Corso di aggiornamento: Il nuovo Regolamento generale sulla protezione dei dati personali

Lo Studio Legale e-Lex organizza quattro incontri di formazione e di aggiornamento sul nuovo Regolamento Generale in materia di protezione dei dati personali. Ogni incontro avrà la durata di quattro ore e sarà tenuto presso la sede dello studio, nel centro storico di Roma (zona Largo Argentina). Ai partecipanti sarà distribuito materiale informativo, contenente le maggiori novità legislative e giurisprudenziali in materia di privacy, oltre ad una raccolta di articoli curata dai soci dello studio. È prevista una sezione Q&A, per rispondere ai quesiti dei partecipanti. Il corso è gratuito per i soggetti rientranti nella categorie dei destinatari, fino ad esaurimento dei posti disponibili.

Destinatari

Data Protection Officer, Avvocati in-house, Responsabili HR e gestione del personale, Digital specialist, Responsabili marketing e social media, Sviluppatori software, Pubbliche amministrazioni.

Programma

Primo incontro

Introduzione al Regolamento

Ambito di applicazione soggettivo e oggettivo

Dati personali, dati sensibili, dati giudiziari, dati anonimi

Principi del Regolamento (Liceità, finalità, necessità, proporzionalità, pertinenza)

One Stop Shop

Titolare del trattamento, responsabile, data protection officer

Titolarità nei gruppi societari

Q&A

Secondo incontro

Informativa e consenso

Diritti dell’interessato

Diritto di accesso e riscontro all’interessato

Portabilità

Regole di accountability

Privacy by Design e Privacy by Default

Diritto all’oblio, rettificazione, cancellazione

Q&A

Terzo incontro

Particolari tipologie di trattamento (giornalisti, minori, ecc.)

Profilazione e Registro delle opposizioni

Big data e compliance normativa

Privacy impact assessments (PIA) e data audit

Misure di sicurezza

Mappatura dei flussi di dati

Risk management, data breach e obblighi del titolare

Q&A

Quarto incontro

Trasferimento di dati all’estero. Il Privacy Shield

Data retention e cloud computing

Codici di condotta e certificazioni

Le Autorità Garanti (nazionali ed europee)

Reclami, ricorsi e segnalazioni

Sanzioni

Risarcimento danni

Q&A

Docenti

Guido Scorza Partner dello studio e-Lex. Insegna presso le Università di Bologna e di Roma. Assiste compagnie di telecomunicazioni, startup, società editoriali.

Giovanni Maria Riccio Partner dello studio e-Lex. Professore di Diritto della comunicazione nell’Università di Salerno, assiste compagnie di telecomunicazioni, società radiofoniche e agenzie pubblicitarie.

Ernesto Belisario Partner dello studio e-Lex. Consulente di pubbliche amministrazioni, enti ospedalieri e startup. Esperto di archiviazione documentale, è consulente governativo.

Alessandro Di Gioia Partner dello studio e-Lex. Assiste società radiofoniche, agenzie pubblicitarie, incubatori e startup.

Maria Laura Salvati Senior associate dello studio e-Lex. Consulente di compagnie telefoniche e startup.

 

Date

10 novembre 2016 – 15-19

17 novembre 2016 – 15-19

24 novembre 2016 – 15-19

1 dicembre 2016 – 15-19

Nel corso di ogni giornata formativa è previsto un coffee & tea break e, al termine, un light aperitif.

Sede 

Studio legale e-Lex

Via dei Barbieri 6

00186 – Roma

Per maggiori informazioni: posta@e-lex.it

 

Le novità in tema di Data Protection Officer

Una delle maggiori novità del Regolamento privacy è rappresentata dall’introduzione della figura del data protection officer (o responsabile della protezione dei dati). Il DPO era già stato introdotto, come obbligatorio, in alcuni ordinamenti europei, tra cui la Germania, l’Austria e la Repubblica Ceca; in altri ordinamenti, come la Francia, la nomina di tale soggetto è facoltativa.

Il responsabile della protezione dei dati sembra presentare numerose analogie con il datenschutzbeauftragter introdotto nell’ordinamento tedesco nel 2003. Il diritto tedesco, al pari dell’originaria formulazione dell’art. 37 del Regolamento, àncora l’obbligo di nomina del DPO alla presenza di un numero minimo di dipendenti preposti a mansioni che implicano il trattamento di dati personali.

Un’ulteriore corrispondenza si rinviene nell’art. 38, par. 1 del Regolamento, stabilisce che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”, nonché nel divieto di penalizzare il DPO per il suo ruolo, atteso il divieto, in capo al titolare del trattamento, di rimuoverlo o penalizzarlo “per l’adempimento dei propri compiti”. Il Regolamento segue la legge tedesca anche nell’assegnare al DPO il diritto di relazionare “direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”, evitando rapporti diretti con altri soggetti.

A ben vedere, di là dalle singole disposizioni, sembra essere circolata l’idea di fondo del modello tedesco, basato su di un approccio di corporate self-monitoring (e di self-responsibility), nel quale le società si fanno carico dell’adeguamento e del controllo capillare sulla gestione dei dati personali. Un complesso uniforme di regole che si rimette alla self-governance delle imprese le quali, incentivate da un quadro sanzionatorio molto rigoroso, hanno interesse a rispettare la disciplina applicabile.

La nomina di un DPO è obbligatoria in tre casi:

  1. a) per le amministrazioni e gli organismi pubblici, con esclusione delle autorità giurisdizionali quando esercitano le loro funzioni;
  2. b) laddove le attività principali di titolare o responsabile consistano in trattamenti che, per la loro natura, il loro oggetto o, ancora, per le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. c) laddove le attività principali di titolare o responsabile consistano in trattamenti, su larga scala, di dati sensibili (inclusi i dati relativi allo stato di salute o alla vita sessuale), di dati genetici, di dati giudiziari e di dati biometrici.

L’obbligo è imposto, quindi, solo sulle grandi società o, per essere più precisi, sulle società che trattano una mole significativa di dati personali o di dati rientranti nel c.d. “nocciolo duro” della privacy.

L’art. 37 ammette poi che un gruppo imprenditoriale o più enti pubblici possano nominare un unico DPO, a condizione che sia facilmente raggiungibile da ciascuno stabilimento.

In caso di nomina del DPO – che, ai sensi del comma 6 dell’art. 37, può essere un dipendente o un soggetto esterno – è necessario che i suoi dati di contatto siano resi pubblici e comunicati al Garante nazionale.

La scelta se nominare un soggetto interno o esterno è rimessa al titolare del trattamento: chi scrive, tuttavia, è dell’avviso che, soprattutto gli enti pubblici e le medie e grandi imprese, dovrebbero preferire un soggetto esterno attesa la difficoltà di reperire, all’interno del proprio organigramma, professionisti dotati dei requisiti di esperienza e professionalità richiesti dalla normativa comunitaria.

Corte di Cassazione: dopo due anni, diritto all’oblio sugli articoli

Il dibattito sul difficile, e a volte mal riuscito, equilibrio tra diritto all’ oblio “the right to be forgotten” e il diritto di cronaca, espressione del diritto alla libera manifestazione del pensiero riconosciuto dall’art. 21 della Costituzione, si riaccende dopo l’ultima pronuncia della Corte di Cassazione n. 13161 del 24 giugno 2016. Perché la pronuncia porta a riflettere? Semplice, perché costituisce una palese distorsione di quanto affermato fin ora rispetto al diritto all’oblio. Proviamo a fare chiarezza.

La Corte di Cassazione già in passato con un’importante pronuncia n. 5525 del 4 aprile 2012, aveva preso posizione sul diritto all’oblio. Il caso riguardava un politico che, arrestato per corruzione nel lontano 1993 per poi essere successivamente assolto, lamentava che nell’archivio online di un’importante testata giornalistica, comparisse a distanza di molti anni, la notizia del suo arresto senza però che venisse fatta alcuna menzione dell’epilogo della vicenda risoltasi con la sua assoluzione. La Suprema Corte in quella sede, richiamando la disciplina prevista dal Codice Privacy d.lgs. 196/2003, ed in particolare l’art.11, sottolineava come l’interessato avesse diritto a che le informazioni oggetto di trattamento rispondessero non solo ai criteri di pertinenza, proporzionalità e necessità, ma fossero anche esatte e coerenti con la sua identità personale. E così, se da un lato si riconosceva che l’interesse del pubblico all’informazione può a volte costituire limitazione al diritto alla riservatezza del soggetto a cui i dati si riferiscono, nondimeno il diritto all’oblio, inteso come diritto “a che non vengano ulteriormente divulgate notizie che per il trascorrere del tempo abbiano perso rilevanza per la generalità dei consociati”, deve essere riconosciuto all’interessato. Tuttavia, così come sostenuto dai giudici, ciò non esclude che per la rilevanza storica del fatto di cronaca, anche a distanza di tempo, possa comunque persistere un interesse del pubblico alla conoscenza della notizia ma di questa devono darsi necessari aggiornamenti attraverso la predisposizione di sistemi volti ad indicare, nel corpo dell’articolo pubblicato o a margine dello stesso, i successivi sviluppi della vicenda, perché una notizia non aggiornata è una notizia non vera.

La sentenza sottolinea il vero cuore del diritto all’oblio che non è quello del singolo di poter cancellare la storia censurando il diritto di cronaca, ma il diritto dello stesso a che la notizia venga contestualizzata ed aggiornata offrendo una visione coerente della propria identità personale.

Si giunge così alla nota sentenza del 2014 cd. Google Spain della Corte di giustizia C-131/12, che ha avuto certamente il merito di riconoscere il diritto all’oblio del singolo nei confronti del gestore di un motore di ricerca. In questo caso, il diritto all’oblio è stato inteso quale diritto di ogni singola persona di richiedere direttamente al gestore del motore di ricerca, o in caso di inerzia di questo alle autorità competenti, la rimozione dall’elenco dei risultati di ricerca effettuata digitando il proprio nome, di link che riportano a pagine web pubblicate da soggetti terzi e contenenti informazioni a lui relative, e ciò a prescindere dal fatto che le informazioni vengano rimosse direttamente anche dalla pagina web dell’editore o che si tratti di informazioni veritiere e pubblicate lecitamente. Il diritto del singolo alla deindicizzazione dei risultati è giustificato infatti dalla circostanza, sottolineata dagli stessi giudici, che grazie all’attività del motore di ricerca, gli utenti del web possono accedere ad una moltitudine di informazioni, spesso irreperibili in altro modo nel mare di internet, che consentono di tracciare il profilo del soggetto su cui si incentra la ricerca. È evidente l’ingerenza di tale profilazione sulla vita privata del soggetto. Ma quel che è ancora più importante sottolineare, in tale sede, è che il diritto all’oblio così inteso non può riconoscersi a prescindere proprio perché potrebbero esserci evidenti ripercussioni negative sul legittimo interesse ad essere informati e, come sostengono i giudici della Corte,

se indubbiamente i diritti della persona interessata prevalgono, anche sul citato interesse degli utenti di Internet, tale equilibrio può nondimeno dipendere, in casi particolari dalla natura dell’informazione di cui trattasi e dal suo carattere sensibile per la vita privata della persona suddetta nonché dall’interesse del pubblico a ricevere tale informazione, il quale può variare in particolare, a seconda del ruolo che tale persona riveste nella vita pubblica.”

I giudici della Corte Europea attentamente colgono l’importanza che tale diritto del singolo sia valutato nel caso di specie e riconosciuto in presenza di determinati presupposti. Ed è apprezzabile come tale principio sia stato correttamente richiamato in un recente provvedimento del Garante Privacy n. 4988654 del 31 marzo 2016 in cui si è negato il diritto all’oblio per un ex- terrorista.

Ma, proprio alla luce del quadro appena tracciato, occorre esaminare la posizione ampiamente criticata ed assunta dalla Corte di Cassazione con la pronuncia del 24 giugno 2016 n 13161/2016. I giudici infatti, andando ben oltre il diritto del singolo alla deindicizzazione dei risultati offerti da un motore di ricerca, in presenza di determinate condizioni, sembrano aver dato netta prevalenza alla riservatezza del singolo a discapito del diritto di cronaca intervenendo seppur indirettamente sugli archivi online di testate giornalistiche. Hanno affermato, sulle orme di quanto detto dal Tribunale nel procedimento in commento, che

la facile accessibilità e consultabilità dell’articolo giornalistico, superiore quelle dei quotidiani cartacei, tenuto conto dell’ampia diffusione locale del giornale online, consentiva di ritenere che dalla data di pubblicazione fino a quella della diffida stragiudiziale fosse trascorso sufficiente tempo perché le notizie divulgate potessero aver soddisfatto gli interessi pubblici sottesi al diritto di cronaca giornalistica”.

In sostanza, seppur la rimozione dell’articolo dall’archivio della testata online, nel caso di specie fosse avvenuta spontaneamente, quel che assume rilievo è che la Cassazione, a circa due anni dai fatti oggetto della notizia di un procedimento ancora in corso, appellandosi ad un presunto diritto all’oblio, e ritendendo soddisfatto l’interesse pubblico ad esser informati, ha consentito che il diritto di cronaca cedesse il passo al diritto alla reputazione del singolo.

Ma a questo punto è opportuno chiedersi se con tale pronuncia la Corte abbia o meno innescato un pericolosissimo meccanismo, non solo per la distorsione del diritto all’oblio quale possibilità del singolo di cancellare ogni traccia del passato, ma soprattutto per l’interferenza che i giudici potrebbero avere rispetto al diritto di cronaca.

Altra spinosa questione sarà poi rintracciare una coerenza tra tale pronuncia della Cassazione e l’art. 17 del Nuovo regolamento Privacy 2016/679 che sarà applicato dal 2018, e che espressamente riconosce il “diritto alla cancellazione” quale diritto all’oblio. Infatti, se da un lato l’articolo al comma 1 riconosce che in presenza di uno dei motivi elencati ,

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”, dall’altro, al comma 3, viene precisato che tale obbligo di cancellazione, trova il proprio limite qualora il trattamento dei dati del soggetto richiedente sia necessario “a) per l’esercizio del diritto alla libertà di espressione e di informazione” o “d) a fini di archiviazione nel pubblico interesse”.

Dalla breve disamina fatta è evidente come la partita dell’equilibrio tra diritto all’oblio e diritto di cronaca, si giochi su un terreno ancora fertile in cui il ruolo degli avvocati e dei giudici assume rilevanza preminente per evitare interpretazioni fallaci e pericolose di un diritto, come quello all’oblio, che in una realtà informatica come la nostra, assumerà un sempre maggior rilievo.

Lo scudo privacy ci tutelerà?

Dopo essere trascorsi oltre nove mesi dalla Sentenza della Corte di Giustizia Europea che ha annullato l’accordo di “safe harbor” in materia di privacy, lo scorso 12 luglio la Commissione Europea ha finalmente raggiunto una nuova intesa con gli Stati Uniti per regolare il trasferimento oltreoceano dei dati personali europei.

L’accordo, definito in modo molto eloquente dagli stessi componenti della Commissione come “Scudo UE-USA per la privacy” viene descritto come “un sistema nuovo e solido che offrirà agli europei la protezione dei dati personali, e alle imprese la certezza del diritto. Rafforzerà le norme sulla protezione dei dati, che saranno fatte rispettare più rigorosamente, offrirà garanzie riguardo all’accesso da parte delle autorità pubbliche e semplificherà per le singole persone le possibilità di ricorso in caso di reclamo”.

 

Lo Scudo privacy prevederà, infatti, obblighi rigorosi per le imprese statunitensi che aderiranno allo Scudo, il cui rispetto sarà costantemente sottoposto a verifica da parte del Dipartimento del Commercio USA.

Saranno previste, inoltre, maggiori garanzie relativamente all’accesso ai dati da parte del governo statunitense. Quest’ultimo ha, in particolare, assicurato ufficialmente che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza sarà soggetto a garanzie e sistemi di vigilanza più stringenti, cercando di escludere, così, attività indiscriminate di sorveglianza di massa sui dati personali.

Inoltre, al fine di fornire una tutela sostanziale dei diritti individuali, lo Scudo privacy disporrà anche di meccanismi di composizione delle controversie per coloro che riterranno di aver subito un abuso.

Le persone potranno rivolgersi perfino alle rispettive autorità nazionali di protezione dei dati le quali, attraverso la collaborazione con la Commissione federale del Commercio USA, assicureranno che i casi di reclamo siano effettivamente esaminati e risolti.

Infine, qualora tutti i mezzi di tutela a disposizione dovessero alla fine dimostrarsi vani, il caso oggetto di presunto abuso sarà sottoposto ad un procedimento arbitrale predisposto ad hoc.

Da quanto affermato nel comunicato stampa pubblicato dalla Commissione la “decisione di adeguatezza” dell’accordo è stato già notificato agli Stati membri, entrando così in vigore automaticamente.

A partire dal prossimo 1° agosto, invece, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio statunitense.

Grazie allo Scudo privacy gli accordi commerciali tra UE e USA, messi a dura prova dall’invalidazione del safe harbor, potranno ora tornare finalmente a navigare nelle acque tranquille di una disciplina più chiara. Tuttavia, ci si domanda: per i cittadini sarà altrettanto efficace? Noi vi terremo aggiornati!

 

L’Avv. Ernesto Belisario sarà docente al corso: Per una P.A. “Aperta”, trasparente, accessibile.

L’avvocato Ernesto Belisario parteciperà, in qualità di docente esperto in nuove tecnologie e pubblica amministrazione, al corso promosso dall’Università di Udine sulla Comunicazione istituzionale intitolato: Per una P.A. “Aperta”, trasparente, accessibile

(altro…)

Il Garante privacy sanziona la formazione di elenchi telefonici con dati presi dal web

Il Garante per la protezione dei dati personali ha sanzionato una società che “pescava” on line, per mezzo di appositi software, dati e informazioni per realizzare elenchi telefonici.

Il Garante ha ricordato la necessità di utilizzare il DBU (data base degli utenti) l’archivio elettronico che raccoglie  numeri di telefono e  altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

L’unica possibile alternativa è rappresentata dalla possibilità di raccogliere i consensi dei singoli utenti.

Ulteriori informazioni sul caso sono disponibili sul sito del Garante.

La Commissione e gli Stati Uniti si accordano sul Privacy Shield

La Commissione europea e il governo americano hanno raggiunto un’intesa sul Privacy Shield, l’accordo che dovrebbe sostituire i safe harbor agreement dopo la sentenza Schrems della Corte di Giustizia.
Il testo dell’accordo non è stato ancora licenziato, ma prevedrà maggiori garanzie per i cittadini comunitari, l’impegno da parte degli Stati Uniti di limiti chiari, garanzie e meccanismi di controllo nelle attività di sorveglianza per motivi di sicurezza nazionale e regole certe per le imprese.
Il comunicato stampa della Commissione europea è disponibile all’indirizzo http://europa.eu/rapid/press-release_IP-16-216_en.htm.

Master in comunicazione 3.0: come cambia il rapporto tra amministrazione e cittadini

Gli ultimi interventi normativi in tema di trasparenza nelle PA hanno fatto sì che la comunicazione istituzionale diventasse un leva strategica e trasversale per il funzionamento del nuovo impianto organizzativo della Pubblica Amministrazione.
Tuttavia, il cambiamento radicale del sistema di comunicazione, l’accelerazione improvvisa delle sue nuove modalità e il contestuale invecchiamento della popolazione hanno creato un divide che si allarga sempre di più, ponendo ai margini del dibattito una larga fetta della popolazione adulta.
Lo strumento della comunicazione istituzionale appare, dunque, decisivo nella definizione delle nuove relazioni virtuose con i cittadini, e oggi più di ieri, è fondamentale per costruire dal basso una nuova forma di convivenza tra gli attori che compongono le diverse anime della società attuale.
In tale contesto, comunicare con il cittadino è diventata un’attività multidisciplinare che richiede nuove competenze.
Saranno queste le tematiche e i principali obiettivi che si porrà il Master sulla comunicazione pubblica 3.0 organizzato dalla Scuola Umbra di Amministrazione Pubblica.
Tra i docenti sarà presente l’Avv. Ernesto Belisario in qualità di esperto di nuove tecnologie e di amministrazione digitale.
Le lezioni si terranno da marzo a maggio 2016 presso la Scuola Umbra di Amministrazione Pubblica (Villa Umbra, Loc. Pila – Perugia).

Per maggiori informazioni vai al sito:http://www.villaumbra.gov.it/home.aspx

Trasferimento di dati personali: quali scenari dopo la fine del Safe Harbor Agreement?

imm2 WikiImagesCon la sentenza del 13 novembre 2015, la Corte di Giustizia ha annullato gli accordi di Safe Harbors, che legittimavano il trasferimento dei dati personali tra Europa e Stati Uniti. L’impatto della decisione sulle imprese.
Gli Stati Uniti non forniscono una protezione sufficiente dei dati personali dei cittadini europei. A stabilirlo è stata la Corte Europea che ha così stracciato una decisione della Commissione che giudicava il paese a Stelle e Strisce come un porto sicuro per le informazioni degli europei, autorizzando così le grandi aziende di internet a poter operare in tranquillità dall’altra sponda dell’Atlantico (accordo Safe Harbour del 2000).
Ma la decisione, presa in seguito alla denuncia contro Facebook del giovane austriaco Max Schrems, che impatti avrà sul nostro modo di usare la rete?
Ricapitoliamo il quadro normativo. L’art. 25 della direttiva 46/95/CE prevede un generale divieto di trasferire dati personali al di fuori dell’Unione europea. Questa regola ammette, però, una serie di eccezioni: il trasferimento è ammesso nel caso in cui vi sia il consenso della persona cui i dati personali si riferiscono, ovvero avvenga in esecuzione di misure contrattuali o precontrattuali o, ancora, per rispondere a un interesse pubblico; in presenza di strumenti negoziali – validati dalla Commissione europea – che offrano garanzie di sicurezza; infine, in caso di decisioni di adeguatezza, ovvero attestazioni della Commissione europea che un determinato Paese, non appartenente all’Unione o allo spazio economico europeo, assicuri un livello di protezione adeguato, che sia quindi dotato di misure legislative che offrano un livello di protezione dei dati personali conforme agli standard comunitari
Tra le decisioni di adeguatezza – che hanno interessato, tra gli altri, Israele, Svizzera, Australia e Canada – la più nota è quella del 26 luglio 2000 tra Unione europea e Stati Uniti, detta Safe harbor, oggi invalidata dalla sentenza Schrems. L’operato della Corte di giustizia ha ricevuto apprezzamenti da più parti, non da ultimo dal nostro Garante per la protezione dei dati personali, che ha sottolineato l’importanza che i diritti dei cittadini siano rispettati anche al di fuori dei confini comunitari. Una presa di posizione con la quale non si può che essere d’accordo, ma che forse evidenzia solo una faccia di un prisma molto più complesso.
Innanzitutto, la Corte di giustizia fotografa una situazione grave, ma in parte non più attuale. Dopo lo scandalo Snowden, da cui ha tratto origine anche il caso deciso dai giudici europei, gli Stati Uniti stavano provando ad arginare l’emergenza privacy con alcuni provvedimenti legislativi, tra cui il Judicial Redress Act dello scorso anno.
In secondo luogo, non può essere sottaciuto l’impatto economico e politico della sentenza Schrems. Non è una sentenza che colpisce Facebook o Google, come semplicisticamente si è detto: sono circa 4mila le imprese europee e statunitensi che beneficiano dei principi di Safe harbor e di queste circa il 60% sono Piccole e medie imprese, incluse numerose start up. Quello che in pochi hanno sottolineato è che tali principi regolano esclusivamente i rapporti tra Unione europea e Stati Uniti, ma non sono l’unico strumento giuridico per il trasferimento transfrontaliero di dati personali. Clausole contrattuali standard e binding corporate rules garantiscono la medesima efficacia, legittimando i trasferimenti di dati oltre lo spazio europeo, ma impongono costi transattivi più alti.
Quanto appena detto vale specialmente per le clausole contrattuali standard (anche note come model contract clauses), da inserire all’interno di contratti tra imprese che non appartengono al medesimo gruppo (cui, invece, sono riservate le binding corporate rules). Questi contratti sono necessari perché il flusso dei dati non può essere impedito. Ciò determinerebbe la paralisi per molte imprese, tacendo il potenziale isolamento commerciale per l’Europa: una ricerca del 2013 di Syntech Numérique dimostra con chiarezza che l’interruzione del flusso dei dai transfrontalieri porterebbe alla riduzione del Pil dell’Unione europea del 1,3% e un’emorragia nelle esportazioni dei servizi forniti dall’Europa verso gli Stati Uniti, che diminuirebbero del 6,7%.
Il punto, quindi, è che le imprese saranno costrette a ripiegare sulle clausole contrattuali standard – unico strumento sopravvissuto al crollo del Safe harbor – il cui costo verrà sostenuto da tutti i soggetti interessati, con un impatto differente su piccole e grandi imprese. Un’altra possibile chiave di lettura attiene al rapporto tra Corte di giustizia e Commissione europea.
Non è la prima volta che i giudici comunitari intervengono in materia di dati personali: data retention e diritto all’oblio sono i casi più noti, ma non i soli. Nel settore che ci interessa, la decisione della Corte di giustizia pregiudica fortemente le negoziazioni in atto per la revisione dei Safe harbor che, a questo punto, dovranno essere ripensati ex novo, avendo come punto di partenza l’inadeguatezza di quelli esistenti: in altri termini, si ricomincia da zero e i negoziati, verosimilmente, saranno più lunghi di quello che era lecito attendersi, relegando gli Stati Uniti a un ruolo subordinato che dovrà adattarsi alle strettoie delle posizioni comunitarie. Né può dimenticarsi che l’eco della sentenza in questione potrebbe riverberarsi, a livello europeo, anche sul difficile e travagliato percorso che sta conducendo verso l’approvazione – spesso annunciata e più volte procrastinata – del nuovo regolamento in materia di dati personali.
Non si può, tuttavia, circoscrivere la discussione al solo livello comunitario. Se si inverte la prospettiva geografica, non può non rimarcarsi la leggerezza con cui gli Stati Uniti, a qualsiasi stadio, hanno affrontato il tema della sicurezza delle informazioni personali: prima con lo scandalo Prism e successivamente, a livello giudiziario, con la decisione – che rispecchia un frettoloso laissez-faire – della Corte Suprema nel caso Clapper.
C’è ancora un ulteriore problema. La decisione della Corte Ue fornisce alle autorità garanti nazionali il potere di verificare se il trasferimento di dati personali degli utenti tra nazioni è sicuro. Ma questo eccessivo spezzettamento tra 28 garanti potrebbe portare a non poche complicazioni. Per questo già nelle dichiarazioni nelle ore successive alla sentenza, il garante italiano Soru ha detto che “occorre una risposta coordinata a livello europeo anche da parte dei Garanti nazionali, e in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”. Sulla stessa linea anche il comunicato di Facebook, che chiede un chiarimento da parte di Ue e Stati Uniti: “È imperativo che i governi di Ue e Usa garantiscano che continueranno a fornire metodi affidabili per il trasferimento legale dei dati e che risolveranno tutte le questioni legate alla sicurezza nazionale”.

Presentata in Brasile la Carta di Internet

“L’accesso a Internet è diritto fondamentale della persona e condizione per il suo pieno sviluppo individuale e sociale”. E’ questo l’articolo 2 della Dichiarazione dei diritti in Internet, un documento composto da un preambolo e quattordici articoli che ha visto la luce nella sala del mappamondo della Camera dei Deputati. La presentazione è avvenuta a un anno esatto dall’annuncio, da parte della Presidente della Camera, Laura Boldrini, dell’istituzione della Commissione di studio per l’elaborazione di principi in tema di diritti e doveri relativi ad Internet, presieduta da Stefano Rodotà, con il compito, appunto, di arrivare alla stesura di un Internet bill of rights italiano ma con un’ambizione europea e, anzi, globale.
Non è, infatti, un caso che nella relazione di accompagnamento si citi espressamente il Marco Civil brasiliano – il primo Internet bill of rights ad essere approvato in un Parlamento – perché è proprio in Brasile, a Joao Pessoa, che il 9 novembre, nel corso dell’Internet Governance Forum 2015, è stata tenuta a battesimo la Dichiarazione dei diritti in Internet, nel suo debutto nella società internazionale.
Un gesto carico di significato perché, per una volta, il nostro Paese si è presentato alla comunità globale che si occupa di Internet, anziché per raccontare degli enormi ritardi e divide digitali che ne rallentano l’ingresso nella società dell’informazione, di una sua eccellenza nello studio ed elaborazione di un insieme di diritti che potrebbero davvero rappresentare il cuore di una Carta costituzionale del cyberspazio.
E, in effetti, la Dichiarazione dei diritti in Internet “rischia” davvero di andare ad allungare l’elenco dei tanti esempi di italiche virtù destinati ad essere più apprezzati e famosi all’estero che nel nostro Paese, perché, in Italia, per il momento, sarà “solo” una mozione con la quale il Parlamento, a settembre, impegnerà il governo a tenere in debito conto i princìpi che vi sono fissati nelle future iniziative in materia digitale.
Non poco, naturalmente, ma meno di quanto meriterebbe un documento che non è esagerato definire storico, sia per il metodo attraverso il quale si è arrivati alla sua stesura – una commissione nell’ambito della quale parlamentari, esperti, stakeholder e società civile si sono confrontati in modo franco ed aperto, acquisendo decine di opinioni e pareri – sia per il suo contenuto.
E basta leggere alcuni passaggi dei quattordici articoli lungo i quali la Dichiarazione dei diritti in Internet si snoda per capire che si tratta di una Carta che va al cuore delle questioni dalle quali dipende il futuro della Rete in Italia e nel mondo e, attraverso la Rete, probabilmente quello di un’umanità che, ormai, vive, dialoga, cresce e si trasforma in una dimensione di interconnessione telematica costante ed universale.
E’ l’articolo 1, come è giusto che sia, che riassume il senso dell’intera dichiarazione: “Sono garantiti in Internet i diritti fondamentali di ogni persona riconosciuti dalla Dichiarazione universale dei diritti umani delle Nazioni Unite, dalla Carta dei diritti fondamentali dell’Unione Europea, dalle costituzioni nazionali e dalle dichiarazioni internazionali in materia”.
Internet non è un altrove rispetto ai nostri Stati, Internet non è un far west, Internet non è altro se non un ambito nuovo – e, anzi, ormai neppure così tanto nuovo – nel quale non c’è ragione per la quale non riconoscere, ad ogni essere umano, quei diritti fondamentali dell’uomo e del cittadino attorno ai quali, la comunità internazionale, con alcune tristi eccezioni, si riconosce ormai da decenni.
E basterebbe, probabilmente questo, se la Dichiarazione dei diritti in Internet fosse, per davvero, una carta costituzionale – e basterà quando lo sarà – per far ordine tra tante piccole e grandi ingiustizie che i cittadini hanno subito e subiscono nella loro dimensione telematica, probabilmente, più spesso per mano degli Stati che li governano che dei grandi protagonisti privati del web che, pure, naturalmente, non sono senza “peccati”.
Deroghe ed eccezioni ai diritti fondamentali dell’uomo e del cittadino sono, infatti, negli ultimi lustri – in Italia ed all’estero – diventate tanto frequenti da potersi considerare la regola.
La “velocità” delle comunicazioni online, l’immaterialità delle condotte nelle reti telematiche, la dimensione extraterritoriale e globale di internet hanno finito con il far passare un principio del quale sono intrise decine di leggi, secondo il quale ciò che è tecnicamente possibile fare per contrastare qualsiasi genere di fenomeno illecito – piccolo o grande che sia – può e deve essere considerato anche giuridicamente legittimo e democraticamente sostenibile.
Non si può, quindi, che salutare con entusiasmo – e forse un pizzico di patriottica fierezza – la Dichiarazione dei diritti in Internet, quando, navigando tra i suoi articoli, ci si imbatte nel diritto di accesso a Internet, in quello alla conoscenza ed all’educazione anche attraverso il web ed il digitale, nel diritto alla privacy ed all’identità personali ed in quello ad una rete neutrale nella quale ciò che si cerca ed i contenuti o servizi verso i quali si naviga non incidono sulla “libertà di circolazione” dei dati e degli utenti.

La Commissione europea sul diritto d’autore: cambia tutto o non cambia nulla?

La Commissione europea ha pubblicato il Work Programme 2015, annunciando una radicale riforma del copyright. Quali sono i punti da riformare e quale sarà il ruolo degli stakeholder?

La Commissione europea ha pubblicato il Work Programme 2015, tra i cui obiettivi, per il Mercato interno, spicca quello di assicurare ai consumatori un accesso transfrontaliero ai servizi digitali, creando condizioni di parità per le imprese e presupposti per incentivare l’economia digitale. Tra le varie proposte legislative, il Work Programme menziona espressamente la modernizzazione del copyright.

Una modernizzazione di cui si è discusso molto, recentemente, anche a seguito della chiusura della consultazione pubblica sulla revisione delle regole del diritto d’autore, lanciata a dicembre 2013 e chiusa lo scorso marzo. La consultazione ha prodotto un’alluvione di risposte – oltre diecimila, sebbene molte di quelle presentate dagli stakeholder siano in “fotocopia” – che porteranno alla pubblicazione di un White Paper che dovrebbe indirizzare i prossimi passi della Commissione.

Continua a leggere su Key4biz.

La tutela del domicilio informatico, anche ai sensi dell’art. 51 c.p. :la sentenza della Cassazione n. 52075 del 2014

Il concetto di domicilio informatico è una tema sempre più frequentemente affrontato dalla Suprema Corte.

Con la sentenza n. 52075 del 29 ottobre 2014, la Quinta sezione penale si è pronunciata relativamente ad una sentenza del Tribunale di Cremona che, all’esito di un giudizio abbreviato, aveva condannato un commercialista per aver acceduto abusivamente alla casella mail del suo collega di studio, prendendo cognizione di alcuni messaggi inviati dallo stesso – di professione avvocato – in cui si facevano pesanti apprezzamenti sui magistrati ed avvocati del proprio foro.

La linea difensiva dell’imputato era quella di sostenere, nel caso di specie, la sussistenza della scriminante dell’esercizio di un diritto relativamente all’accesso abusivo ad un sistema informatico protetto: il commercialista aveva infatti affermato che tutta l’attività realizzata sulla casella email del collega di studio era funzionale alla sua difesa in un procedimento penale che lo riguardava, al fine di far emergere una macchinazione nei suoi confronti: da tale supposta macchinazione, era scaturito un procedimento incardinato presso la Procura della Repubblica di Cremona, che lo vedeva appunto figurare tra gli indagati.

Continua su MediaLaws.

E-Lex presenta il secondo “Report annuale sullo stato del diritto e della politica dell’innovazione in Italia”

Lo Studio legale E-Lex Scorza, Belisario, Riccio & Partners ha pubblicato, così come per il 2013, il report annuale sullo stato del diritto e della politica dell’innovazione in Italia.

Il documento racconta gli eventi principali registratisi nel corso del 2014, a livello legislativo e giurisprudenziale, nel mondo di internet, della privacy e della proprietà intellettuale.

Il Report è gratuitamente scaricabile, con link ai principali testi normativi e giurisprudenziali che hanno caratterizzato l’anno appena trascorso.

Scarica il report in formato EPUB.

Scarica il report in formato MOBI.

Il Regolamento ENAC e le immagini acquisite tramite drone

I droni per uso civile sono velivoli radiocomandati dotati di telecamera, la cui diffusione si sta facendo sempre più frequente negli ultimi mesi. Il motivo è da ricercarsi nel recente abbassamento dei costi per l’acquisto e, soprattutto, per le infinite possibilità che la rete internet offre alla condivisione di video multimediali (si pensi ad esempio a siti quali Youtube o Vimeo): tali elementi hanno quindi permesso una rapida diffusione delle immagini acquisite mediante droni e, di conseguenza, lo sviluppo commerciale di tali apparecchiature.

Per quanto riguarda gli aspetti normativi, l’Italia può considerarsi un paese all’avanguardia: infatti, l’Ente Nazionale per l’Aviazione Civile, con delibera del C.d.A. n. 42/2013, ha emesso il 16 dicembre 2013 un apposito regolamento per chi utilizza mezzi aerei a pilotaggio remoto, in attuazione dell’art. 743 del Codice della Navigazione. Tale regolamento si andrà ad applicare nei confronti delle riprese effettuate dai privati cittadini, ma anche da tutte quelle imprese che – soprattutto nel settore turistico – hanno colto la portata innovativa e promozionale delle immagini realizzate tramite i droni.

Le prescrizioni contenute nel Regolamento ENAC sono diverse: ad esempio, viene chiarito che i voli dei droni devono avvenire lontano dagli aerodromi e dagli spazi aerei controllati; inoltre il pilota deve sempre avere a contatto visivo l’apparecchio, che non deve volare oltre i 150 metri di altezza dal suolo, e per un’estensione massima di 500 metri.

E’ però evidente che, oltre a questi aspetti, meramente tecnici, relativi alle modalità di volo di tali dispositivi, i profili legali che potrebbero essere investiti dallo sviluppo di riprese video effettuate tramite drone sono diversi: ci si riferisce in particolare alla tutela della privacy e della riservatezza, anche da un punto di vista penalistico.

In relazione a questa tematica, il Regolamento del 2013 ha previsto una norma apposita, l’art. 22: lo stesso stabilisce che, laddove le operazioni svolte attraverso un aeromobile a pilotaggio remoto possano comportare un trattamento di dati personali, tale circostanza dovrà essere menzionata nella documentazione sottoposta ai fini del rilascio della pertinente autorizzazione. Il trattamento dei dati personali deve essere effettuato in ogni caso nel rispetto del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni ( Codice in materia di protezione dei dati personali), con particolare riguardo all’utilizzo di modalità che permettano di identificare l’interessato solo in caso di necessità, nonché apposite misure ed accorgimenti a garanzia dello stesso, prescritte dal Garante per la protezione dei dati personali.

Va inoltre tenuta presente la tutela apprestata dall’art. 10 c.c., in relazione all’utilizzo abusivo dell’immagine altrui, nonché quella di carattere penale di cui all’art. 615-bis c.p.: tale fattispecie sanziona infatti l’indebita raccolta, la rivelazione e la diffusione di immagini attinenti la vita privata che si svolgono in abitazioni altrui o in altri luoghi di privata dimora.

E’ quindi in definitiva evidente la delicatezza della materia, dati i diversi profili giuridici che potranno essere investiti: in questo senso, il Regolamento ENAC costituisce sicuramente un buon punto di partenza, che dovrà essere però implementato da appositi interventi posti in essere dal Garante per la protezione dei dati personali e dal legislatore comunitario.

Manifestazioni a premio: il Ministero apre le porte alle multinazionali

Gli esperti del settore ed, in particolare, le aziende che ricomprendono nel proprio piano di marketing l’organizzazione di manifestazioni a premio, attendevano da tempo un intervento da parte del Ministero dello Sviluppo Economico che potesse, finalmente, chiarire l’interpretazione e l’applicazione di alcune disposizioni contenute nel D.P.R. 430 del 2001, recante la disciplina dei concorsi e delle operazioni a premio, nonché delle manifestazioni di sorte locali.

Il 20 novembre scorso, il Dipartimento per l’impresa e l’internazionalizzazione ha emanato la circolare prot. n. 0205930 con la quale sono stati fugati alcuni dubbi sulla nuova ipotesi di esclusione della normativa di settore, aggiunta dall’art. 22-bis del decreto legge 24 giugno 2014 n. 91, e sulla corretta interpretazione della lettera a) comma 1 art. 6 del D.P.R. 430/2001.

In merito al primo punto, il decreto legge 91/2014 ha introdotto, al comma 1 dell’art. 6 della disciplina sulle operazioni a premio, la lettera c-bis) in base alla quale non si considerano operazioni a premio e concorsi “le manifestazioni nelle quali, a fronte di una determinata spesa, con o senza soglia d’ingresso, i premi sono costituiti da buoni da utilizzare su una spesa successiva nel medesimo punto vendita che ha emesso detti buoni o in un altro punto vendita facente parte della stessa insegna o ditta”. La norma, seppur di recentissima introduzione, non ha infatti tardato ad essere oggetto di dubbi interpretativi che hanno imposto l’intervento chiarificatore del Ministero.

Sicuramente uno dei passaggi più dibattuti del dettato normativo riguarda il punto vendita presso il quale possa essere speso il buono vinto. Il Ministero, richiamando una “esigenza di ragionevolezza e proporzionalità delle limitazioni all’attività economica”, ha fornito una interpretazione non restrittiva, chiarendo che la ratio è quella di circoscrivere l’utilizzo del buono all’ambito delle imprese che hanno promosso l’iniziativa o vi abbiano aderito, aprendo di fatto alla possibilità di organizzare operazioni premiali in associazione tra più imprese, purché sia data adeguata informazione dei punti vendita presso cui il buono potrà essere speso.

Ma la novità più rilevante che emerge dalla circolare di cui si discute, riguarda l’art. 6, comma 1, lett. a) del D.P.R. 430/2001 per cui non si considerano concorsi e operazioni a premio “i concorsi indetti per la produzione di opere letterarie, artistiche o scientifiche, nonché per la presentazione di progetti o studi in ambito commerciale o industriale, nei quali il conferimento del premio all’autore dell’opera prescelta ha carattere di corrispettivo di prestazione d’opera o rappresenta il riconoscimento del merito personale o un titolo di incoraggiamento nell’interesse della collettività”.

Anche in questo caso, l’interpretazione fornita dal Ministero è ispirata ad una maggiore elasticità, soprattutto in riferimento all’ipotesi di esclusione nel caso in cui il premio sia considerato corrispettivo per l’acquisizione di un progetto in ambito commerciale o industriale. In questa ipotesi, infatti, il Ministero ha precisato che non è da considerarsi necessario, al fine dell’esclusione, un impegno circa l’effettivo successivo utilizzo del progetto, essendo condizionato da autonome valutazioni di mercato.

L’esigenza di fornite chiarimenti sul punto è sorta in seguito alla segnalazione di numerose iniziative concorsuali organizzate da imprese multinazionali per le quali era espressamente prevista la partecipazione dei cittadini di nazionalità italiana, avuto riguardo alla complessità della legislazione vigente nel nostro Paese. Ad oggi, quindi, “eventuali ulteriori dichiarazioni in tal senso da parte dei soggetti promotori dopo i presenti chiarimenti – si legge nella circolare – possono essere ritenute discriminatorie ed ingannevoli, non corrispondendo, o non corrispondendo più, all’effettiva situazione normativa italiana”.

Booking.com rinuncia [in parte] al miglior prezzo garantito

L’Autorità Garante per la concorrenza ed il mercato ha pubblicato lo scorso 15 dicembre gli impegni che Booking.com – la popolare piattaforma di prenotazioni alberghiere online – si è dichiarata disponibile ad assumere, pur senza riconoscere, evidentemente, alcuna propria responsabilità, per far cadere le contestazioni di violare le regole della concorrenza mossele dalla nostra Authority e da alcune sue omologhe di altri Paesi.

All’origine di tali contestazioni, in particolare, la clausola c.d. Most Favored Nation – in acronimo MFN – attualmente contenuta nelle condizioni generali che legano Booking ai gestori degli Hotel e che impegnano questi ultimi ad offrire ai clienti che prenotano attraverso la piattaforma un prezzo eguale o migliore rispetto a quello praticato su ogni altro canale di vendita diretto o indiretto.

L’effetto restrittivo della concorrenza di tale clausola, secondo le contestazioni mosse dall’Authority, sarebbe amplificato dalla clausola presente nelle condizioni generali che disciplinano il rapporto tra Booking ed i clienti finali in forza della quale i gestori degli hotel sarebbero tenuti al rimborso qualora un cliente trovi, al di fuori di Booking, un’offerta migliore di quella riservatagli in sede di prenotazione online.

Continua a leggere su Web Law, il blog di Guido Scorza su Nòva

Le linee-guida per il diritto all’oblio: ancora più potere per i motori di ricerca?

L’Article 29 Working Group ha pubblicato, lo scorso 26 novembre, le linee guida per l’implementazione della sentenza della Corte di Giustizia sul diritto all’oblio. I motori di ricerca destinati a diventare gli arbitri dell’informazione online?

Il 26 novembre, l’Article 29 Working Group ha pubblicato le linee guida per l’implementazione della sentenza della Corte di Giustizia sul diritto all’oblio, così come preannunciato già lo scorso settembre.

Il parere contiene, innanzi tutto, una precisazione importante sull’ambito territoriale interessato dalla decisione Google Spain. Difatti, sebbene la sentenza trovi applicazione esclusivamente agli operatori comunitari, ciò non significa che dovranno essere deindicizzati solo i nomi di dominio con top level domain europeo (ad esempio: .eu; .it; .co.uk; .fr; ecc.), ma anche i domini generici, come .com, .net, .org e così via discorrendo.

Continua a leggere su Key4biz.

In Gazzetta Ufficiale il Decreto sull’identità digitale

Adesso ci siamo davvero o, meglio, ci saremo prima che arrivi la primavera.

Il Decreto che stabilisce le regole per il rilascio, l’utilizzo e la gestione delle identità digitali delle imprese e dei cittadini italiani è stato pubblicato ieri sulla Gazzetta Ufficiale della Repubblica.

Perché SPID – acronimo del Sistema Pubblico di Identità digitale – entri in funzione, a questo punto, manca solo che, al più tardi dopo la pausa natalizia l’Agenzia per l’Italia digitale, sentito il Garante per la Privacy, definisca le regole tecniche e le modalità attuative e che, sempre sentita l’Autorità Garante per la Privacy – entro sessanta giorni dalla pubblicazione in Gazzetta del Decreto, la stessa Agenzia vari il proprio regolamento relativo alle modalità di accreditamento  dei soggetti SPID e quello relativo alle   procedure   necessarie   a consentire ai gestori dell’identità digitale, tramite l’utilizzo  di altri sistemi di identificazione informatica  conformi  ai  requisiti dello SPID, il rilascio dell’identità digitale.

Poi ci saremo davvero o, almeno, potremmo esserci se il mercato e le pubbliche amministrazioni faranno la loro parte iniziando ad utilizzare e far utilizzare l’identità digitale a cittadini ed imprese.

[Continua qui su Nova de Il Sole 24 Ore]

Garante Privacy: nuove regole in materia di biometria

Con un provvedimento generale di carattere prescrittivo del 12 novembre 2014, il Garante per la protezione dei dati personali ha fornito un quadro unitario di misure di carattere tecnico, organizzativo e procedurale per consentire ai titolari di conformare i trattamenti di dati biometrici alla disciplina vigente in materia di dati personali e per accrescerne i livelli di sicurezza.

In ragione dei particolari rischi connessi al trattamento di dati biometrici, per tale tipologia di trattamento è necessario sottoporre al Garante una richiesta di verifica preliminare ai sensi dell’art 17 del Codice Privacy.

Con il provvedimento in questione il Garante ha individuato alcune tipologie di trattamenti che presenterebbero minori rischi e che, pertanto, qualora posti in essere nel rispetto delle regole dettate, non necessiterebbero della verifica preliminare da parte dell’Autorità.

Questi i casi di esonero previsti dal provvedimento:

  1. a) Nell’autenticazione informatica, il trattamento di caratteristiche biometriche utilizzate come credenziali per l’accesso a banche dati e sistemi informatici (impronta digitale o emissione vocale), può avvenire, anche senza il consenso dell’interessato, purché sia svolto nel rispetto delle prescrizioni dettate per la raccolta, la cancellazione e la conservazione dei dati.
  2. b) Nel controllo dell’accesso fisico a luoghi “sensibili”, il trattamento di caratteristiche biometriche (impronta digitale o topografia della mano) può avvenire, anche senza il consenso dell’interessato, purché sia posto in essere nel rispetto delle prescrizione dettate dal provvedimento per l’acquisizione, la trasmissione tra dispositivi di acquisizione e postazioni di controllo e per la conservazione del riferimento biometrico.
  3. c) Al fine di regolare e semplificare l’accesso fisico di utenti ad aree fisiche pubbliche (es. biblioteche) o private o a servizi, possono utilizzarsi caratteristiche biometriche (impronta digitale o topografia della mano). In tal caso il trattamento dovrà avvenire, oltre che nel rispetto delle prescrizioni dettate, solo previa acquisizione del consenso dell’interessato. Devono comunque essere previste modalità alternative per chi rifiuta di rilasciare i propri dati biometrici.
  4. d) Per la sottoscrizione di documenti informatici, è ammesso il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware, laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal D. Lgs. 82/2005, che non prevedono la conservazione centralizzata di dati.

In ambito pubblico non è necessario il consenso dell’interessato se il trattamento di dati biometrici è necessario per il perseguimento di finalità istituzionali; al contrario, in ambito privato il presupposto di legittimità di tale trattamento è dato dal consenso libero degli interessati, che ha validità, fino alla sua revoca, per tutti i documenti da sottoscrivere. Deve sempre rendersi disponibile un sistema alternativo di sottoscrizione (cartaceo o digitale) che non comporti l’utilizzo di dati biometrici.

I dati biometrici e grafometrici non possono essere conservati, neanche temporaneamente, su dispositivi hardware utilizzati per la raccolta, ma devono essere memorizzati all’interno dei documenti informatici sottoscritti in forma cifrata tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata al ciclo di vita del documento e certificato digitale emesso da un certificatore accreditato.

L’accesso al modello grafometrico cifrato può avvenire esclusivamente tramite l’utilizzo della chiave privata e solo in caso di insorgenza di un contenzioso sull’autenticità della firma, a seguito di richiesta dell’autorità giudiziaria.

Al fine di informare i titolari del trattamento, i produttori di tecnologie biometriche e i fornitori di servizi, il Garante ha adottato delle Linee guida in materia di riconoscimento biometrico e firma grafometrica, che costituiscono parte integrante del provvedimento.

Per i titolari di trattamenti biometrici che rientrano nei casi di esonero e che abbiano già richiesto la verifica preliminare ai sensi dell’art. 17, il provvedimento dispone di comunicare la conformità del trattamento alle regole prescritte e che tale comunicazione comporterà il non luogo a provvedere sulle relative istanze.

Voucher a fondo perduto per l’ammodernamento tecnologico delle MPMI. Decreto in Gazzetta

È stato pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2014 il decreto 23 settembre 2014 del Ministro dello Sviluppo Economico, volto a favorire la digitalizzazione dei processi aziendali e l’ammodernamento tecnologico delle micro, piccole e medie imprese.

Il provvedimento (che dà attuazione all’art. 6 del D.L. n. 145/2013, c.d. “Destinazione Italia”) definisce – per le finalità predette – le modalità per l’erogazione di Voucher di importo massimo di 10.000,00 euro.

Ambito soggettivo di applicazione

Possono beneficiare dei contributi le imprese in possesso dei seguenti requisiti:

  1. qualificarsi come micro, piccola o media impresa (MPMI) ai sensi della raccomandazione 2003/361/CE, del 6 maggio 2003, pubblicata nella Gazzetta Ufficiale dell’Unione europea L 124 del 20 maggio 2003, recepita con decreto ministeriale 18 aprile 2005, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 238 del 18 ottobre 2005, indipendentemente dalla loro forma giuridica, nonché dal regime contabile adottato;
  2. non rientrare tra le imprese attive nei settori esclusi dall’articolo 1 del regolamento (UE) n. 1407/2013 della Commissione, del 18 dicembre 2013;
  3. avere sede legale e/o unità locale attiva sul territorio nazionale ed essere iscritte al Registro delle imprese della Camera di commercio territorialmente competente;
  4. non essere sottoposte a procedura concorsuale e non trovarsi in stato di fallimento, di liquidazione anche volontaria, di amministrazione controllata, di concordato preventivo o in qualsiasi altra situazione equivalente secondo la normativa vigente;
  5. non aver ricevuto altri contributi pubblici per le spese oggetto della concessione del Voucher;
  6. non trovarsi nella situazione di aver ricevuto e successivamente non rimborsato o depositato in un conto bloccato aiuti sui quali pende un ordine di recupero, a seguito di una precedente decisione della Commissione europea che dichiara l’aiuto illegale e incompatibile con il mercato comune.

Attività e spese ammissibili

Le attività ammesse ai fini dell’ottenimento del Voucher devono riguardare l’acquisto di software, hardware o servizi che consentano:

  1. il miglioramento dell’efficienza aziendale;
  2. la modernizzazione dell’organizzazione del lavoro, tale da favorire l’utilizzo di strumenti tecnologici e forme di flessibilità, tra cui il telelavoro;
  3. lo sviluppo di soluzioni di e-commerce;
  4. la connettività a banda larga e ultralarga;
  5. il collegamento alla rete internet mediante la tecnologia satellitare, attraverso l’acquisto e l’attivazione di decoder e parabole, nelle aree dove le condizioni geomorfologiche non consentano l’accesso a soluzioni adeguate attraverso le reti terrestri o laddove gli interventi infrastrutturali risultino scarsamente sostenibili economicamente o non realizzabili;
  6. la formazione qualificata, nel campo ICT, del personale delle suddette piccole e medie imprese.

In particolare, relativamente agli ambiti appena menzionati sono ammissibili le spese:

  1. per l’acquisto di hardware, software e servizi di consulenza specialistica strettamente finalizzati alla digitalizzazione dei processi aziendali;
  2. per l’acquisto di hardware, software e servizi di consulenza specialistica strettamente finalizzati alla modernizzazione dell’organizzazione del lavoro, con particolare riferimento all’utilizzo di strumenti tecnologici e all’introduzione di forme di flessibilità del lavoro, tra cui il telelavoro;
  3. per l’acquisto di hardware, software, inclusi software specifici per la gestione delle transazioni on-line e per i sistemi di sicurezza della connessione di rete, e servizi di consulenza specialistica strettamente finalizzati allo sviluppo di soluzioni di e-commerce;
  4. di attivazione del servizio sostenute una tantum, con esclusivo riferimento ai costi di realizzazione delle opere infrastrutturali e tecniche, quali lavori di fornitura, posa, attestazione, collaudo dei cavi, e ai costi di dotazione e installazione degli apparati necessari alla connettività a banda larga e ultralarga;
  5. relative all’acquisto e all’attivazione di decoder e parabole per il collegamento alla rete internet mediante la tecnologia satellitare;
  6. le spese per la partecipazione a corsi e per l’acquisizione di servizi di formazione qualificata, rivolti al personale dell’impresa che ottiene il Voucher (titolari, legali rappresentanti, amministratori, soci, dipendenti) risultante dal registro delle imprese o dal libro unico del lavoro.

Si segnala che, sulla base di quanto detto, sono ammissibili per l’ottenimento del Voucher le spese relative ai servizi legali finalizzati agli ambiti descritti.

Presentazione della domanda

Le imprese interessate dovranno presentare al Ministero un’istanza di accesso all’agevolazione, riportando l’elenco delle spese che si intendono sostenere ed indicando l’importo del Voucher richiesto.

I servizi e le soluzioni informatiche devono essere acquisiti successivamente all’assegnazione del Voucher, che – stante il possesso dei requisiti richiesti e la correttezza della domanda – sarà concesso nella misura massima del 50 per cento del totale delle spese ammissibili.

Per qualsiasi informazione è possibile contattare lo Studio E-Lex direttamente dal form presente in fondo a questa pagina.

Nominati i primi 100 digital champions italiani

 

Si è svolta il 20 novembre a Roma la presentazione dei primi 100 digital champions italiani. Ma è solo l’inizio: l’obiettivo di Riccardo Luna è quello di nominare un digital champion per ogni comune italiano entro gennaio 2015.

Il Digital Champion è una carica istituita dall’Unione Europea nel 2012. Ogni Paese ne ha uno, con il compito di diffondere la cultura dell’innovazione cercando di rendere i propri cittadini “digitali”.

Con questa iniziativa, il digital champion italiano intende declinare sul territorio la carica ricevuta, prevedendo per ognuno degli 8000 comuni italiani una figura che abbia il compito di aiutare i cittadini sui temi del digitale.

I compiti dei “facilitatori” territoriali sono i seguenti:

  1. dovranno essere una sorta di help desk per gli amministratori pubblici sui temi del digitale;
  2. dovranno muoversi come difensori del cittadino in caso di assenza di banda larga, wifi ed altri diritti negati;
  3. dovranno promuovere, anche con il ricorso al crowdfunding, progetti di alfabetizzazione digitale, dai bambini ai nonni.

Sulla piattaforma digitalchampions.it è possibile candidarsi per diventare il digital champions del proprio comune, collaborare come sviluppatore o semplicemente raccontare la propria esperienza innovativa di successo.

Nel corso dell’iniziativa gli Avvocati Guido Scorza ed Ernesto Belisario, sono stati nominati rispettivamente digital champion per il legal e digital champion per la pubblica amministrazione.

L’AGCM accetta gli impegni di Trenitalia per rimborsi più veloci

Si è chiuso con impegni il procedimento avviato dall’AGCM nei confronti di Trenitalia S.p.A. per due presunte pratiche commerciali scorrette.

La prima pratica contestata alla società ferroviaria – nonché, in prima battuta, a RFI, quale gestore della rete – consisteva nella adozione e gestione di procedure di indennizzo per ritardo dei treni di media e lunga percorrenza reputate dall’AGCM complesse e dispendiose per l’utente del servizio, tanto da scoraggiare le istanze dei consumatori, nonché caratterizzate da eccessiva discrezionalità nella modalità di accertamento del ritardo.

La pratica sarebbe stata posta in essere attraverso una pluralità di condotte afferenti sia alla fase di rilevazione del ritardo e delle relative cause, eventualmente idonee ad escludere la responsabilità del vettore, sia all’attività di comunicazione della informazioni alla clientela.

Con riferimento alle modalità di identificazione della cause del ritardo, da cui deriva l’indennizzabilità o meno dello stesso, nel corso del procedimento è intervenuta una sentenza interpretativa Corte di Giustizia, la quale ha chiarito che la disciplina comunitaria di settore (Reg. CE 1371/2007) si limita ad esonerare il vettore dall’obbligo di risarcimento in caso di ritardo per forza maggiore, ma non esclude che tale ritardo dia diritto al consumatore ad un indennizzo calcolato sul prezzo del biglietto. Pertanto, il vettore non potrà, nelle proprie condizioni di servizio, escludere l’indennizzo per il caso di forza maggiore o causa a lui non imputabile. A parere dell’AGCM, tale rilevante mutamento nel regime degli indennizzi, ha eliminato la rilevanza delle “cause esterne” nella classificazione del ritardo e, di conseguenza, il coinvolgimento nella pratica commerciale di RFI, che, in quanto gestore della rete, validava le cause del ritardo quali “esterne”.

La seconda pratica commerciale, contestata alla sola Trenitalia, atteneva, invece, al mancato riconoscimento, per viaggi composti da più tratte, del cd. “biglietto globale”; tale soluzione determinava una riduzione delle situazioni indennizzabili per ritardo del treno o perdita delle coincidenze in caso di ritardo del treno precedente. Le Condizioni Generali di Trasporto di Trenitalia prevedono, infatti, che il contratto di trasporto è relativo, di norma, all’utilizzo da parte del passeggero di un singolo treno.

Questi i più rilevanti impegni proposti dal vettore ferroviario e accettati dall’AGCM, che li ha resi vincolanti con il provvedimento dello scorso 12 novembre.

Con riferimento alla prima pratica commerciale contestata, Trenitalia si impegna:

– ad informare il consumatore, in caso di ritardo che dà diritto ad indennizzo, delle modalità di erogazione del bonus o dell’indennizzo con un messaggio sonoro a bordo del treno;

– a ridurre i tempi di erogazione dell’indennizzo a 3 giorni dalla data di arrivo a destinazione del treno interessato (dagli attuali 20 giorni) nonché il termine di 3 giorni per l’ottenimento dell’indennizzo;

– a riconoscere un bonus pari al 25% del prezzo del biglietto per il ritardo compreso tra 30 e 59 minuti (fino ad oggi l’azienda, nel rispetto della normativa comunitaria, riconosceva un bonus solo per ritardi superiori ai 60 muniti).

Con riferimento alla seconda pratica commerciale Trenitalia si è impegnata, invece, in caso di ritardo maturato per soluzioni di viaggio che prevedano l’utilizzo di più treni, ad estendere il diritto all’indennizzo da ritardo al prezzo dell’intero servizio acquistato.

L’azienda si è impegnata, inoltre, ad introdurre il c.d. biglietto globale misto per le soluzioni di viaggio che contemplino una servizio del trasporto regionale ed un servizio della media e lunga percorrenza, un modo da garantire al viaggiatore l’indennizzo da ritardo sull’intero importo pagato.

Qui il testo del provvedimento.

Ricorre colpa parziale del correntista laddove non si accorga di eventuali sottrazioni di denaro causate dall’attività di un hacker.

Il correntista, titolare di un conto corrente con servizio di home banking, risponde di concorso di colpa se dopo ripetuti accessi non si avvede della sottrazione di ingenti somme. È quanto emerge da una sentenza del 3 novembre del Tribunale di Caltanissetta.

Il correntista aveva infatti richiesto la restituzione di diverse somme di denaro, rappresentando che, con un abusivo accesso telematico, un hacker avrebbe effettuato ordini di bonifico a favore di uno sconosciuto.
Da ciò sarebbe conseguita una responsabilità della banca, non avendo la stessa adeguatamente predisposto un adeguato sistema di protezione dalle frodi informatiche.
Il Tribunale ha accolto la domanda in modo parziale. Innanzitutto, il Giudice ha precisato che, con la convenzione di home banking stipulata dalle parti, la banca si era impegnata ad assicurare l’efficienza del sistema nonché la riservatezza e l’integrità delle informazioni con adeguata protezione da accessi non autorizzati. L’istituto era dunque tenuto alla diligenza del buon banchiere e al «maggior grado di prudenza e attenzione che la connotazione professionale dell’agente richiede», e quindi ad adottare «misure idonee a garantire la sicurezza del servizio».
Nel caso esaminato, il Tribunale afferma quindi che la banca non ha dimostrato di aver adempiuto esattamente a tali obblighi. Secondo il giudicante, infatti, il codice-utente e la password di accesso «non possono ritenersi sufficienti ad assicurare un livello sufficiente di sicurezza» né la banca aveva dimostrato che il cliente non aveva custodito con diligenza le credenziali d’accesso.
Inoltre, viene evidenziato che non ci sono norme o precetti che impongono al correntista di effettuare ad ogni accesso un controllo puntuale della lista dei movimenti. Ma, esaminando il saldo, il cliente avrebbe potuto accorgersi dell’ammanco (quando i bonifici non autorizzati avevano superato i 70mila euro) e richiedere di conseguenza il blocco del servizio di homebanking.
Per tali motivi il Tribunale non ha ritenuto risarcibili ex art. 1227 c.c. le sottrazioni successive alla data in cui il cliente aveva effettuato accessi che gli avrebbero consentito di rilevare le ingenti sottrazioni.

Multilateral Interchange Fees: l’Antitrust chiude l’istruttoria

Con provvedimento n. 24806 del 19 febbraio 2014, l’Autorità Garante della Concorrenza e del Mercato ha avvitato un procedimento istruttorio nei confronti del Consorzio Bancomat in merito all’accordo sulle commissioni multilaterali interbancarie (Multilateral Interchange Fees) relative ai servizi di pagamento attraverso PagoBANCOMAT di bollettini e fatture commerciali emesse da terzi.

Per ogni pagamento di bollettini o fatture eseguito con una carta PagoBANCOMAT, infatti, la banca che offre il servizio di accettazione agli esercenti, deve corrispondete una commissione alla banca che ha emesso la carta con la quale è stato effettuato il pagamento. Tale commissione era stata fissata in 0,10 euro ad operazione, applicabile agli aderenti al Consorzio BANCOMAT a decorrere dal 3 gennaio 2014, poi ridotta ad euro 0,07 a partire dal 30 giugno 2014.

A detta dell’Autorità, la previsione di una definizione centralizzata ed uniforme per tutte le banche e PSP della commissione interbancaria, configurerebbe un’intesa ai sensi dell’art. 101 del Trattato sul Funzionamento dell’Unione Europea, con conseguenze sull’erogazione dei servizi nei confronti dell’utenza finale. Questo in quanto “la fissazione di una commissione interbancaria in modo coordinato limita gli spazi di autonomia decisionale delle banche e dei PSP nelle politiche commerciali alla clientela, ed è quindi suscettibile di comportare una significativa riduzione del grado di concorrenza sul mercato”. Continua l’Autorità: “L’esistenza di una commissione uniforme definita a livello di Consorzio determina una soglia minima al di sotto della quale la concorrenza tra acquirer non può ridurre il merchant fee agli esercenti, rappresentando una voce di costo comune per le banche e i PSP alla base della definizione delle politiche commerciali nei confronti degli esercenti. Infatti, trattandosi di una commissione interbancaria multilaterale, tale soglia è comune per tutte le banche o PSP che convenzionano gli esercenti per il circuito PagoBANCOMAT”.

La possibilità che l’accordo possa falsare la concorrenza nel mercato comune è ancor più evidente se si tiene conto della circostanza per cui, di fatto, il Consorzio BANCOMAT rappresenta uno dei circuiti più diffusi in Italia, con l’80% delle carte di debito in circolazione e l’85% dei POS attivi, e che attualmente operano in questo mercato anche operatori non bancari quali, ad esempio, Poste Italiane S.p.A.. Pertanto, l’eventuale intesa coinvolgerebbe l’intero territorio italiano e la quasi totalità delle banche nazionali e di quelle estere che operano in Italia.

Il procedimento è stato però chiuso dall’Autorità con delibera n. 25162 pronunciata nell’adunanza del 28 ottobre 2014, con il quale sono stati resi obbligatori gli impegni presentati dal Consorzio il 30 giugno 2014 ai sensi dell’art. 14 ter della legge 287 del 1990. Nello specifico, il Consorzio BANCOMAT ha proposto di ridefinire l’importo della commissione interbancaria con cadenza biennale, in ragione della rilevazione dei costi e di commissionare ad una società specializzata uno studio sul MIT applicato al mercato italiano.

Tali impegni, sono stati ritenuti sufficienti per chiudere il procedimento nei confronti del Consorzio senza procedere all’accertamento dell’infrazione.

Il Primo emendamento protegge Google?

È una decisione interessante quella resa dalla Superior Court dello Stato della California, nella quale si afferma, forse per la prima volta (se si esclude un isolato precedente del 2007), che l’elenco dei risultati della ricerca di Google e i relativi criteri di indicizzazione rientrano nell’alveo del Primo emendamento della Costituzione americana e sono espressione del free speech.

Il caso è il seguente. CoastNews, un sito che si occupa di food, lamenta che il proprio posizionamento sul più grande motore di ricerca sarebbe penalizzante: il sito, infatti, sarebbe collocato molto in basso tra i risultati della ricerca, a differenza di quanto avviene su Bing e Yahoo. Secondo il gestore del sito, ciò sarebbe dovuto ad una precisa strategia di Big G, che punterebbe a danneggiare un suo potenziale concorrente.

Analoghe accuse, nel recente passato, sono state mosse anche da Yelp e Travelocity: Google sta investendo nel settore dell’intermediazione per la ristorazione e nei viaggi e collocherebbe volutamente prima i propri servizi e solo successivamente quelli dei competitor.

Continua a leggere su Key4biz

Geolocalizzazione dei dipendenti: il Garante Privacy detta le regole

Con due distinti provvedimenti (n. 3505371 3474069), il Garante per la protezione dei dati personali ha accolto le istanze di verifica preliminare ex art. 17 del Codice Privacy avanzate da due società di telefonia in merito al trattamento di dati personali di geolocalizzazione dei propri dipendenti.

Le società coinvolte – Wind Telecomunicazioni S.p.A. ed Ericsson Telecomunicazioni S.p.A. – intenzionate ad introdurre, sui dispositivi smartphone forniti in dotazione ai propri lavoratori dislocati sul territorio, una nuova app di localizzazione geografica, hanno infatti richiesto all’Autorità un parere preventivo in ragione dei rischi specifici legati al trattamento dei dati personali.

L’attivazione di tale funzionalità sarebbe volta all’ottimizzazione del livello di servizi forniti sul territorio, in quanto consentirebbe di migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici, incrementando la velocità di risposta alle richieste dei clienti, anche e soprattutto in casi di emergenza o in presenza di calamità naturali. La geo-localizzazione, inoltre, rafforzerebbe le condizioni di sicurezza dei lavoratori permettendo l’invio mirato di soccorsi in caso di incidenti o difficoltà.

Le criticità connesse all’utilizzo di applicazioni di geolocalizzazione riguardano la possibilità che le stesse siano utilizzate al fine di effettuare un controllo a distanza indiretto sull’operato dei lavoratori. Sul punto il Garante si era già pronunciato con provvedimento generale n. 370 del 2011 in merito ai sistemi di localizzazione dei veicoli, sancendo che “se sono adottate le garanzie previste dall’art. 4, comma 2, l. n. 300/1970, i datori di lavoro privati e gli enti pubblici economici possono effettuare lecitamente il trattamento dei dati personali (diversi da quelli sensibili) relativi all’ubicazione dei propri dipendenti per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro, anche in assenza del consenso degli interessati”, individuando in ciò un legittimo interesse.

È evidente che, nel caso specifico portato all’attenzione dell’Autorità da Wind ed Ericsson, le garanzie nei confronti dei diritti e delle libertà dei dipendenti dovranno essere superiori stante la peculiarità del mezzo utilizzato per la geolocalizzazione, ossia lo smartphone, per sua stessa natura destinato a seguire il lavoratore in tutti gli spostamenti, anche in orario non lavorativo.

Il Garante, ritenuto di dover svolgere degli approfondimenti, ha richiesto chiarimenti alle aziende. In conseguenza di ciò è emerso che, in entrambi i casi, l’applicazione mobile installata sul dispositivo del dipendente invierà i dati di geolocalizzazione ad intervalli regolari (10 o 15 minuti) e che, al di fuori di questo intervallo, non sarà possibile accedere ai dati di posizione in tempo reale se non in presenza di specifiche esigenze (es. situazione di pericolo o emergenza del dipendente).

Allo stesso modo, le società richiedenti hanno comunicato che l’applicazione installata non interferirà con altre applicazioni e non potrà accedere a telefonate, sms o mail, e che non sarà possibile ricostruire, mediante i dati raccolti, gli spostamenti dei lavoratori nel corso della giornata lavorativa.

Da ultimo, il dipendente potrà disattivare l’applicazione al termine dell’orario di lavoro, nei periodi di ferie o malattie e, comunque, nei momenti contrattualmente stabiliti, come la pausa pranzo.

A tali condizioni, quindi, il Garante ha accolto e istanze di verifica preliminare, imponendo adempimenti ulteriori, quali la notificazione ai sensi dell’art. 37 comma 1, lett. a) del Codice Privacy e l’attivazione delle procedure previste dall’art. 4 comma 2 dello Statuto dei lavoratori[1], nonché la predisposizione di idonee misure di sicurezza volte a preservare l’integrità dei dati raccolti.

Ovviamente, le società istanti dovranno informare in maniera chiara e completa i propri dipendenti sulla natura dei dati trattati, sulle funzionalità del dispositivo e sulle ipotesi in cui sarà possibile disattivare la localizzazione durante l’orario lavorativo. Inoltre, le applicazioni utilizzate dovranno essere configurate in modo tale da rendere ben visibile se la funzionalità di geolocalizzazione è o meno attiva.

 


[1]Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.

Italia ancora in ritardo sull’attuazione Agenda Digitale

Un’indagine presentata dal Politecnico di Milano ha dato risultati non di certo esaltanti per quanto riguarda lo stato di attuazione dell’ Agenda Digitale italiana.

Sono stati, infatti, attuati solo 18 dei 53 provvedimenti attuativi previsti dalla normativa vigente.  Mancano all’appello ancora molte linee guida, regolamenti e decreti, essenziali affinché importanti disposizioni in materia di digitalizzazione possano trovare piena attuazione.

Il divario con gli altri Paesi europei emerge altresì chiaramente dalla Digital Agenda Scoreboard, lo strumento che misura lo stato di digitalizzazione dei Paesi del vecchio continente basandosi su specifici parametri suddivisi per macro-aree.

In particolare, l’Italia registra un -19% rispetto alla Svezia (prima in classifica) in materia di e-Commerce, -17% sull’e-Government e un -16% per quanto concerne la disponibilità di servizi internet.

Le aree maggiormente problematiche sono rappresentate dalla sanità digitale (6 azioni in ritardo su 7 pianificate), giustizia digitale (4 azioni in ritardo su 4), Smart cities (4 azioni in ritardo su 4), anagrafe, identità e domicilio (4 azioni in ritardo su 5).

All’indagine, condotta dagli Osservatori Digital Innovation della School of Management del Politecnico di Milano, ha partecipato l’Avv. Ernesto Belisario – senior partner di E-Lex – curandone la parte normativa.

Il documento è disponibile qui.

Vendite piramidali: nuovo intervento sanzionatorio dell’AGCM

Con provvedimento pubblicato lo scorso 3 novembre, l’Autorità Garante della Concorrenza e del Mercato è intervenuta nuovamente in materia di vendite piramidali, sanzionando la condotta di un professionista che avrebbe diffuso, attraverso il proprio sito internet, messaggi pubblicitari volti ad promuovere sistemi di investimento caratterizzati dalla presenza di incentivi economici, in favore degli aderenti, legati essenzialmente all’ingresso di altri partecipanti nella rete di vendita.

L’Autorità ha ritenuto che la condotta integrasse una pratica commerciale vietata ai sensi dell’art. 23 del Codice del Consumo, che contiene la cd. black list di pratiche considerate in ogni caso ingannevoli, nonché ai sensi dell’art. 22 del Codice.

L’art. 23 lett. p) vieta la creazione di sistemi di vendita piramidali, vale a dire quei sistemi nei quali il consumatore fornisce un contributo in cambio della prospettiva di poter ricevere un corrispettivo che deriva, però, principalmente dall’entrata di altri soggetti nel sistema più che dall’effettiva vendita o dal consumo di prodotti. Lo scopo di tale divieto è quello di evitare una eccessiva dilatazione di quei sistemi distributivi basati sul progressivo ampliamento della base di soggetti reclutati, con conseguente danno a carico dei soggetti che hanno investito nella piramide una volta che la catena si estenda in maniera esponenziale.

All’esito dell’istruttoria svolta dall’AGCM è emerso che le possibilità di guadagno per gli aderenti ai programmi di investimento oggetto di indagine erano collegate esclusivamente all’inserimento di nuovi soggetti nella struttura piramidale e non allo svolgimento di una effettiva attività di vendita di beni o servizi. Le caratteristiche di tali attività, infatti, sono risultate di fatto imprecisate nella presentazione dei diversi programmi di investimento, riducendosi quindi gli stessi a mero pretesto per ampliare la rete di consumatori affiliati.

L’AGCM ha ritenuto, inoltre, che le comunicazioni promozionali diffuse dal professionista attraverso il proprio sito internet fossero omissive ai sensi dell’art. 22 del Codice, in quanto non veritiere e lacunose erano le informazioni rese circa il sistema di remunerazione dei programmi idi investimento e l’effettiva fruibilità di tali guadagni da parte degli aderenti: nella descrizione dei programmi non era chiarito, infatti, che i guadagni prospettati avrebbero potuto essere conseguiti solo a fronte di un alto numero di nuovi aderenti, mentre, in caso di interruzione della catena di affiliazione, scarsi sarebbero stati i benefici economici conseguiti.

Qui il testo del provvedimento.

Corte di Giustizia UE: l’embedding non viola il copyright

Dopo il caso Swenson , la Corte di Giustizia torna sul tema della diffusione mediante linking o embedding di un contenuto già condiviso in rete su piattaforme come YouTube, e lo fa ribadendo il principio per cui l’embedding non costituisce una violazione del copyright.

La questione pregiudiziale sottoposta alla Corte di Giustizia nasce in Germania da un’azione intentata da un’azienda produttrice di filtri per l’acqua, la BestWater, nei confronti di due agenti di vendita concorrenti, i quali avevano consentito ai visitatori del proprio sito internetdi visualizzare mediante embedding un video realizzato dalla BestWater e disponibile sull’account YouTube di quest’ultima.

Come noto, l’embedding consistenell’incorporazione all’interno di un sito di un video originariamente diffuso su un’altra piattaforma (per esempio, YouTube),  in modo tale che, a differenza di quanto accade con il linking, la visualizzazione dell’opera è possibile senza la necessità di abbandonare il sito che ha effettuato l’embedding; in altri termini, l’utente ha l’impressione che il contenuto appartenga al sito su cui sta navigando, mentre in realtà proviene da un‘altra piattaforma; peraltro, sono le stesse piattaforme di streaming, come YouTube, a consentire tale pratica attraverso il rilascio di appositi codici per l’embedding dei loro contenuti su altri siti internet.

Il ragionamento seguito dalla CorteUE per arrivare alla conclusione secondo cui l’embeddingda YouTubenon viola il diritto d’autore, è che tale pratica non comporta una nuova e diversa forma di utilizzazione del contenuto “embeddato” nella misura in cui l’opera è comunicata allo stesso pubblico già preso in considerazione dai titolari dei diritti al momento di autorizzare la diffusione dell’opera sul sito di partenza (in questo caso, YouTube). In altri termini,se la comunicazione al pubblico sul sito originario deve considerarsi legittima in quanto autorizzata dai titolari dei diritti, allora non è necessario chiedere una nuova autorizzazione per “embeddare” ovvero “linkare” il medesimo contenuto su un altro sito internet; ciò in quanto una volta caricata su piattaforme come YouTube, l’opera è già disponibile senza limitazioni per la generalità degli utenti con l’espressa autorizzazione dei titolari dei diritti, i quali, quindi,hanno preso in considerazione l’intera platea di Internet come pubblico potenziale a cui l’opera può essere comunicata.

Ovviamente il principio affermato dalla Corte non è applicabile nel caso in cui l’opera sia stata messa a disposizione del pubblico con delle limitazioni: per esempio accesso a pagamento ovvero restrizioni territoriali; in questo caso, la comunicazione a un pubblico diverso da quello originariamente preso in considerazione (negli esempi fatti, il pubblico pagante ovvero quello residente in un determinato territorio), comporta una nuova e diversa forma di utilizzazione che deve essereautorizzata dai titolari dei diritti.

La posizione assunta dalla Corte di Giustizia è destinata a produrre i propri effetti anche in Italia dove la SIAE ha raggiunto un accordo con Google per lo streaming di opere musicali eaudiovisive del repertorio SIAE nei video presenti sulla piattaforma YouTube, e dove in passato la giurisprudenza si è in alcuni casi mostrata incline a considerare illecita la pratica del linking o dell’embeddingin assenza di una nuova autorizzazione da parte dei titolari dei diritti.

Il testo della sentenza è disponibile qui nella versione in lingua francese.

Approvato dal Senato il disegno di legge in tema di modifiche al reato di diffamazione a mezzo stampa

Il Dl diffamazione è arrivato al Senato lo scorso 9 ottobre. Niente più carcere, ma il testo prevede multe fino a 60mila euro. Ai giornali e periodici diffusi via web il giudice potrà richiedere la rimozione delle immagini e dei dati di chi si è sentito diffamato, introducendo così a livello normativo il tema del diritto all’oblio.

Le novità più rilevanti sono quindi le seguenti:

1)    In relazione alla diffamazione a mezzo stampa, la pena detentiva – attualmente prevista con la reclusione fino ad un anno – è sostituita da una sanzione pecuniaria fino a diecimila euro. La sanzione è aggravata, con una multa che va dai 10 ai 50mila euro, se la diffusione della notizia sia avvenuta con la consapevolezza della falsità della stessa.  La rettifica, se conforme a quanto prevede il testo, sarà valutata dal giudice come causa di non punibilità sia per il direttore responsabile, sia per l’autore dell’offesa. E’ altresì prevista l’interdizione da uno a sei mesi dalla professione solo in caso di recidiva reiterata.

2)    Ferma restando la rettifica, l’interessato può chiedere ai siti internet ed ai motori di ricerca, l’eliminazione dei contenuti diffamatori o dei dati personali trattati in violazione di legge.

3)    In tema di rettifica, la novella legislativa prevede che la stessa dovrà essere pubblicata gratuitamente, entro due giorni dalla ricezione della richiesta, senza risposta, senza commento e senza titolo, e menzionando titolo, data e autore dell’articolo da rettificare.

4)    Viene meno la responsabilità a titolo di colpa del direttore della testata, fuori ovviamente i casi di concorso con l’autore dell’articolo, tranne nel caso in cui il delitto sia conseguenza della violazione dei doveri di vigilanza della pubblicazione. La pena è comunque ridotta di un terzo, mentre è esclusa la pena accessoria dell’interdizione alla professione.

Il provvedimento, che ha ottenuto 170 voti a favore, 10 contrari e 47 astensioni, passa ora all’esame della Camera.