Esplora E-book
Categorie
Esplora Audiolibri
Categorie
Esplora Riviste
Categorie
Esplora Documenti
Categorie
INTRODUZIONE
LA PROTEZIONE DEI DATI, LA SICUREZZA E LA SORVEGLIANZA NELLA SOCIETÀ
DELL’INFORMAZIONE
Il dato digitale, il suo valore e il giurista
● Non è il dato che ci interessa ma la combinazione dei dati non omogenei tra loro che
genera una nuova informazione
● Se i dati non sono omogenei, diventa difficile il dialogo e occorre una sincronizzazione
manuale
● il dato non è quello che si vede ma quello che si genera
● Il dato è fragile Si cercano dati pubblici ed esterni
● Tabulati telefonici e file di log
● Internet cafe (commistione con i dati)
● I metadati dati di attività riguardanti tutto ciò che facciamo sui nostri dispositivi (Snowden
errore di sistema) questi non si controllano, generati da sistemi che non possiamo
controllare (es: vado ad un convegno negli stati uniti, parto da malpensa, ma a rho mi sento
male, quindi mi fermo in hotel dove mi collego al wifi può risultare che io ero nell’hotel
“passione Sfrenata” ma grazie ai contenuti posso spiegare il perché di quel soggiorno)
● Il Contenuto è prodotto in modo volontario al contrario dei sui metadati dispositivo, poiché
non possiamo controllarli crea senza il nostro consenso
DATI CHIUSI
Cifratura dei dati (pin/password) strumento di sicurezza più forte.
Anni dopo iphone di San Bernardo iphone 5c arrestato un terrorista e aveva una cifratura
sull’iphone e non sono riusciti a sbloccare, nemmeno apple a tentano di violare la privacy del
proprio sistema
Le origini del termine privacy (termine anglosassone), nasce in Inghilterra nel 1990 sull’articolo nato
sull’harvad law review da warren e Brandeis riporta all’intimità/riservatezza della persona
Warren interpretava la privacy come “non fotografate mia moglie”
Brandeis (origine ebrea) trasferitosi a Boston nel 1890 picco di immigrati era tutto colpa degli
immigrati, i quali venivano incolpati per qualsiasi episodio interpreta la privacy come “sono stanco
di questa discriminazione non usare i dati come mezzo di discriminazione
Insegnano tutti e due ad Harvard e parlano dei loro problemi, così da arrivare a voler scrivere il
primo articolo scientifico che porta una definizione di privacy” “the right of privacy” il diritto di
essere lasciati soli (non il diritto di essere soli ma di essere lasciati soli)
MA tutto questo crolla con:
● l’11 settembre → L’80% della popolazione era disposta a rinunciare alla propria privacy per garantire
sicurezza nei confronti degli attacchi terroristici
● l’avvento di facebook → “morte della privacy” i social portano ad esibire la European data protection
Usciamo dalla Seconda guerra mondiale Protezione dei dati con la Stasi controllare la privacy
LE ORIGINI
Il diritto alla tutela del dato personale si è affermata a seguito dello sviluppo tecnologico, avvenuto
in Italia negli anni ’70 che ha comportato l’estensione del tradizionale diritto alla privacy, definito
come “right to be alone” anche il diritto alla tutela e all’esercizio di un controllo sui propri dati e sui
trattamenti a cui i dati sono sottoposti.
L’affermarsi di questa nuova concezione del diritto alla privacy è stato accompagnato da importanti
interventi normativi che hanno condotto all’attuale normativa privacy europea, il general data
protection regulation (c.d. GDPR o reg.).
Il pacchetto (pacchetto protezione dati) è composto da 2 provvedimenti:
1 .la direttiva UE 2016/80 in materia di trattamento dei dati personali nei settori della prevenzione,
del contrasto e della repressione dei crimini direttamente applicabile
2 .il regolamento europeo 2016/679 (la normativa precedente si era rivelata inadeguata) in
materia di protezione dei dati personali, che è in vigore dal 24 maggio 2016 ed è diventato
applicabile in via diretta in tutti i paesi UE a partire dal 25 maggio 2018
A livello italiano abbiamo:
In Italia, il 19 settembre 2018 è entrato in vigore il d.lgs. n. 101/2018, che ha lo scopo di:
1. abrogare espressamente le disposizioni del d.lgs. n. 196/2003 ritenute incompatibili con il
GDPR;
2. integrare e revisionare le disposizioni rimaste in vigore;
3. introdurre nuove disposizioni.
Attuale quadro normativo:
1. GDPR
2. D.lgs. 196/2003, così come novellato dal D.lgs. 101/2018.
GDPR livello europeo si applica solo alle persone fisiche e non giuridiche (autorità garante
D. lgs. 196/2003)
ART.32 GDPR
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del
contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i
diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio.
Art. 32 GDPR
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di
incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e
organizzative al fine
CONCETTO DI RISCHIO
Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali
trasmessi, conservati o comunque trattati.
CYBERSECURITY
Un tema che a noi interessa particolarmente, Il primo articolo del GDPR che vi consigliamo:
l’articolo 32 («Misure adeguate di sicurezza»)
Il GDPR è il provvedimento oggi più importante in tema di protezione dei dati nel mondo.
General Data Protection Regulation, è un Regolamento dell’Unione Europea, Cominciamo a
comprenderla in pratica:
discuteremo su una serie di INCIDENTI (in particolare DIECI) che sono capitati a realtà che
trattavano dati in Europa.
Da ogni incidente ricaveremo insieme le prime regole (spesso sono anche regole di buon senso)
che ci faranno capire che cosa intende il DIRITTO per «cybersecurity».
● Abitudini sbagliate
● Non conoscenza di tutte le funzioni
● Possibile data breach
● Possibili allegati
● Possibili furti di «pacchetti» di indirizzi
● Nuovo/recente/aggiornato
● Impostato con strumenti specifici di sicurezza
● Quando usate un cloud sicuro
● Quando affiancate l’uso di strumenti personali all’uso di strumenti professionali
● Comparazione WhatsApp / Signal / Telegram
● Comparazione sistemi di cloud (iCloud, Tresorit, SpiderOak)
● Comparazione sistemi di e-mail (ProtonMail, PEC)
IL CORPO ELETTRONICO
L’aumento esponenziale dei dati, che riguardano la nostra persona, disponibili elettronicamente
hanno portato ad affermare la comparsa del cosiddetto corpo elettronico. Alla luce di una nuova
concezione integrale della persona, con riferimento ai diritti stessi della persona, quali il diritto alla
riservatezza, alla privacy e al controllo pieno ed effettivo sui dati e sul trattamento degli stessi.
Il corpo elettronico fa riferimento alla nascita di una nuova concezione integrale della persona e del
diritto alla pretesa di non perdere mai il potere di controllare il proprio corpo elettronico.
Abbiamo, quindi, una contrapposizione tra corpo fisico e corpo elettronico, entrambi da tutelare, ed
un interessante parallelo tra habeas corpus e habeas data, per cui partendo da presupposti e
caratteristiche differenti, la finalità è la medesima: la tutela dei diritti fondamentali della persona.
➔ Lo studioso Stefano Rodotà diceva “il diritto ad avere diritti” e “lo schermo, sul quale la
persona proietta la sua vita, non è più soltanto quello del personal computer, ma tende a
coincidere con l’intero spazio della rete”
Nel complesso rapporto che esiste tra tecnologia e diritto e tra tecnologia ed umanità, va ricordata
la preminenza della dignità dell’essere umano. → La dignità è il tramite per ricostruire l’integrità di
una persona, ricongiungendo il corpo elettronico e il corpo fisico.
Grande importanza ha sotto questo punto di vista la tematica dell’Internet delle cose (IOT), dove
però l’uomo continua ad essere soggetto ed oggetto di dignità ed integrità psichica e fisica da
tutelare, sia per quanto riguarda il concetto di corpo elettronico, sia per quanto riguarda il concetto
di corpo fisico.
In relazione all’esistenza di un corpo elettronico strettamente connesso al corpo digitale, non esiste
una sola ed unica eredità riconducibile alla persona fisica, ma esiste anche un’eredità digitale,
composta non soltanto dai dati personali, ma anche da tutto ciò che una persona lascia di sé
complessivamente nel mondo digitale ed in rete: un insieme di informazioni articolate e varie,
connesse ai gusti, gli interessi, le preferenze, l'opinione del soggetto e che fanno parte dell’intero
patrimonio digitale dell’umanità.
Il corpo elettronico non è una persona virtuale.
LA REPUTATION ECONOMY
L’identità digitale così creata diviene come merce sul mercato del lavoro funzionale alla
acquisizione di nuovi incarichi e l’attività di self branding può essere considerata una forma di
lavoro su beni immateriali, volutamente intrapresa al fine di raccogliere l'attenzione, la reputazione
ed, in ultima analisi il profitto. La creazione di una identità digitale diviene così una funzione di una
economia dell’immagine, nella quale è fondamentale monetizzare attenzione notorietà, e fama.
Mentre in passato la reputazione è stata considerata come riflesso diretto della qualità intrinseca del lavoro o
delle caratteristiche di una persona, ora diviene così frutto un processo con il quale un soggetto richiama a sé
stesso informazioni, attirando attenzioni con ogni mezzo necessario al fine di ingenerare fiducia nei confronti
di soggetti terzi. → «Questo processo è stato descritto da alcuni come “auto-branding” ed è volto ad
evidenziare il contesto lavorativo di un soggetto permettendo a questi di acquisire ulteriori incarichi
professionali, all’interno della cornice professionale che l’attività ha generato».
Stiamo inoltre assistendo alla creazione di una “cultura di intimità pubblica”, nella quale
l'esposizione pubblica e mediatica di sentimenti e di emozione provate da determinate persone in
relazione a determinati fatti, divine anch’essa chiaramente connessa ad un valore monetario, come
chiaramente accade nei reality. Ciò ha portato ad affermare l’esistenza del " sentimento generale”.
Grazie alla rete, non solo siamo in grado di vedere il numero di le relazioni che una persona ha, ma
siamo in grado di valutarne la qualità e valutare oggettivamente il valore economico delle sue
relazioni.
Valutando tutti questi fattori siamo in grado di definire un valore economico per l’identità
digitale di un soggetto; secondo alcuni autori, i quali hanno parlato di effetto Whuffie (una
moneta fittizia basata sulla reputazione personale) , per descrivere il sopraesposto processo, la
reputazione online sta diventano una moneta di scambio, della quale non è più possibile fare a
meno.
INTRODUZIONE
Il Regolamento generale sulla protezione dei dati personali 679/2016 ha introdotto un insieme
armonizzato di norme applicabili a tutti i trattamenti di dati personali riferiti ad individui che si
trovano in UE.
L’obiettivo primario sotteso a queste norme è quello di assicurare un elevato standard di
protezione dei dati personali dei soggetti interessati e di aumentare la certezza del diritto. Il GDPR
non disciplina il trattamento di dati personali relativi a persone giuridiche, ma solo quelli relativi a
persone fisiche, e ricordiamo che il diritto alla protezione dei dati personali è un diritto
fondamentale.
Il GDPR ha anche un ulteriore obiettivo: contribuire alla realizzazione di uno spazio di libertà,
sicurezza e giustizia comune e armonico tra tutti gli stati membri dell’unione europea, rafforzando il
progresso economico e sociale nel mercato interno. In un quadro di una libera circolazione dei dati
personali tra gli stati europei il GDPR si pone alla guida e all’avanguardia sulla protezione dei dati
personali.
Il diritto alla protezione dei dati personali è continuamente sottoposto ad un bilanciamento con altri
diritti e libertà fondamentali in un’ottica di proporzionalità, come per esempio:
a. Libertà di espressione
b. Libertà di pensiero
c. Libertà di stampa
d. Libertà di religione
e. Libertà d’impresa
Un esempio tipico va effettuato per esempio con il bilanciamento tra il diritto alla protezione dei dati
personali e il diritto alla libertà di espressione, per cui esistono limitazioni per bilanciare e
controbilanciare questi diritti. In questo scenario occorre assicurare che da un lato i cittadini
abbiano il pieno controllo dei dati personali e dall’altro che sia assicurata la certezza giuridica per
imprese.
Il GDPR, infatti, richiede che la protezione dei dati personali sia garantita in modo neutrale e come
impianto normativo rappresenta una guida, un solido orientamento e punto di riferimento normativo
e acquisisce una funzione ordinante.
Dai fondamentali...
Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua
famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua
reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni.
Dichiarazione Universale dei Diritti dell’Uomo, Art. 12
IL PRINCIPIO DI MINIMIZZAZIONE
Per quanto concerne il principio di minimizzazione, secondo il GDPR, per minimizzare i rischi, è
bene minimizzare e limitare il trattamento solo per i dati strettamente necessari. Infatti, i dati
personali oggetto del trattamento devono essere adeguati, pertinenti e limitati a quanto
strettamente necessario rispetto alle finalità per le quali sono trattati.
Quindi, le categorie di dati scelti per il trattamento devono essere effettivamente necessarie al fine
di raggiungere con operazioni di trattamento le finalità indicate.
Tale principio, dunque, può essere inteso in una duplice accezione:
a. Quantità minima di dati personali
b. Portata minima del trattamento dei dati personali
ACCOUNTABILITY
La componente essenziale del c.d. principio di responsabilizzazione è data dall’obbligo del titolare
del trattamento di:
a. Mettere in atto misure per garantire che le norme in materia di protezione dei dati personali
siano rispettate e garantite nel contesto delle operazioni di trattamento
b. Disporre di documentazione atta a dimostrare agli interessati e alle autorità di controllo le
misure adottate per conseguire il rispetto delle norme in materia di protezione dei dati
personali
Il principio di accountability, dunque, esige che i titolari del trattamento dimostrino attivamente il
rispetto delle disposizioni del GDPR, provino e diano la comprovata dimostrazione di aver adottato
misure proporzionate ed efficaci, diano evidenze probatorie circa le fasi di trattamento dei dati.
Sono obblighi di sicurezza, che riguardano ogni fase del trattamento dei dati personali.
CAPITOLO VI: LE BASI GIURIDICHE DEL TRATTAMENTO DEI DATI
IL CONSENSO
Le condizioni dovranno sempre essere oggetto di informativa all’interessato. Tra i presupposti di
legittimità del trattamento vi è il consenso dell’interessato per conferire liceità al trattamento.
IL LEGITTIMO INTERESSE
Ultima base giuridica è il perseguimento di un interesse legittimo del titolare o dei terzi e tale
condizione di liceità potrebbe legittimare il trattamento di dati personali, ma solo a patto di non
prevalere rispetto a interessi/diritti/libertà fondamentali dell’interessato che implichino una
protezione dei dati personali.
L’impiego di tale base giuridica implica un bilanciamento di interessi contrapposti, con la finalità di
garantire la sicurezza delle reti e dell’informazione.
IN GENERALE
Il Regolamento europeo, come normativa uniforme e generale, per la protezione dei dati personali
n. 679/2016 prevede numerosi adempimenti, molti dei quali non sono nuovi, ma sono ereditati dal
d.lgs. n.196/03, ed erano già previsti dalla Direttiva CE 95/46, cosiddetta Data Protection Directive,
che ha originato l’attuale quadro di protezione dei dati
Tra gli adempimenti più importanti vi sono l’informativa e il consenso, considerati due adempimenti
fondamentali e tradizionali, posti al centro del sistema.
Tali adempimenti dovranno informare il cittadino e rendere trasparente l’intero processo di
trattamento dei dati anche in rete. Il totale del trattamento è tenuto ad effettuare una rilevazione
costante e puntuale delle informazioni riguardanti i dati trattati: da dove sono
raccolti, per quanto tempo sono raccolti, le modalità di conservazione, se e quando moriranno, la
circolazione e i percorsi effettuati.
Anche i diritti dell’interessato sono potenziati, in modo tale da permettere allo stesso di controllare,
governare e accedere al proprio dato. Infatti, accanto ai diritti di accesso, diritto di rettifica e diritto
d’integrazione, sono apparsi i nuovi diritti quali il diritto all’ e il diritto alla portabilità dei dati.
L’intero sistema delle misure di sicurezza è finalizzato ad elaborare misure sempre più idonee a
gestire il trattamento dei dati ed è compito del titolare del trattamento metterlo in pratica e doverlo
in ogni momento dimostrare e rendere verificabile, alla luce del principio di accountability già
esposto.
In questo scenario, infatti, sarà un nuovo soggetto, il Data Protection Officer (DPO) a fare da
sceriffo e controllore all’interno di molte grandi realtà che trattano i dati, per garantire l’applicazione
di tutte le disposizioni del Regolamento e per dialogare con il Garante in caso di problemi.
La nomina di un DPO, insieme alla tenuta di un registro dei trattamenti aggiornato e una corretta
gestione di eventuali data breach, ossia esfiltrazioni di dati dall’archivio dell’azienda, sono
considerati adempimenti da mettere in opera per garantire un buon approccio alla nuova idea di
sicurezza.
Per quanto riguarda le sanzioni, esse sono stabilite in percentuale con riferimento al fatturato
mondiale annuo dell’azienda.
In un’era dove il dato personale digitale viaggia oltre i confini con estrema facilità, sulle piattaforme
social network e nel cloud, possiamo dire che ormai è incorporato con la persona fisica e circola
insieme a lei negli smartphone, nei braccialetti fitness e nell’Internet delle Cose.
Gli adempimenti del GDPR sono di diversa complessità e mirano a tenere traccia dei fatti con un
approccio tecnico-organizzativo, ed è importante sapersi muovere in questa mappa di
adempimenti, adeguando sempre le misure di sicurezza al rischio concreto che potrebbe
verificarsi, con costante attenzione alle tecnologie disponibili.
ACCOUNTABILITY E TRASPARENZA
Il principio di accountability costituisce l’essenza della normativa europea, prevedendo che il
titolare del trattamento sia competente per l’osservanza dei principi generali del trattamento e che
sia in grado di rendicontare e comprovare quanto eseguito in tema di protezione dei dati personali.
Le misure tecnico-organizzative devono essere, se necessario, costantemente riesaminate e
aggiornate dal titolare per garantire un trattamento di dati personali conforme al Regolamento.
Il principio di trasparenza si sostanzia nell’obbligo del titolare di informare gli interessati in merito al
trattamento dei loro dati personali e di informare gli stessi in caso di violazione dei dati personali,
con il cosiddetto data breach.
LE SANZIONI
La violazione delle disposizioni del Regolamento è soggetta a due diverse fasce di sanzioni
amministrative pecuniarie a seconda della norma violata:
1) fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo
dell'esercizio precedente, se superiore;
2) fino a 20.000.000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo
dell'esercizio precedente, se superiore.
Le sanzioni devono essere effettive, proporzionate e con chiaro scopo dissuasivo nei confronti delle
imprese.
INFORMAZIONI DA FORNIRE
ART. 13: qualora i dati personali siano raccolti presso l'interessato ART. 14: qualora i dati personali
non siano stati ottenuti presso l’interessato
Nel caso in cui i dati non siano raccolti presso l’interessato, il titolare del trattamento deve
comunicare tutte le informazioni previste dall’articolo 13, più le informazioni previste dall’articolo 14,
il tutto entro un termine ragionevole (un mese, il primo contatto o la prima comunicazione dei dati).
In caso di mutamento delle finalità, è necessario fornire una informativa ulteriore.
IL CONSENSO ESPLICITO
Il Regolamento prevede dei casi in cui il consenso del soggetto interessato deve essere esplicito,
relativamente al trattamento di categorie particolari di dati personali.
OBBLIGHI E FACOLTA’ DEL TITOLARE DEL TRATTAMENTO IN CASO DI ESERCIZIO DEL DIRITTO
DI ACCESSO
In caso di esercizio del diritto di accesso da parte di un interessato, il riscontro da parte del titolare
deve avvenire senza ingiustificato ritardo entro un mese dalla richiesta. Questo termine può essere
prorogato di ulteriori due mesi, se necessario, tenuto conto della complessità e del numero delle
richieste gestite.
L’esercizio del diritto è generalmente gratuito, ma nel caso in cui vengano richieste più copie dei
dati viene corrisposto un importo e dunque l’onerosità del rilascio delle copie è necessariamente
correlato ai costi sostenuti dal titolare del trattamento.
IL DIRITTO DI RETTIFICA
Il diritto di rettifica appartiene al nucleo delle tutele già riconosciute e viene considerato
intrinsecamente collegato agli altri diritti, come per esempio il diritto di accesso. Con l’avvento del
Regolamento europeo 679/2016 il diritto di rettifica si estrinseca in due fattispecie distinte: una,
intesa come correzione di un errore sui dati esistenti, e l’altra come integrazione di eventuali dati
inesatti o incompleti.
Il titolare del trattamento deve valutare la richiesta dell’interessato, deve ottemperare alla richiesta
pervenuta dall’interessato aggiornando i dati e deve procedere a notiziare della rettifica o
dell’integrazione.
L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti
che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento,
l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una
dichiarazione integrativa.
Il titolare del trattamento comunica le rettifiche a tutti i destinatari cui sono stati trasmessi i dati
personali.
Il GDPR dedica una parte della normativa al diritto alla cancellazione dei dati per il data subjet,
ossia il diritto all’, nella versione in inglese “right to be forgotten”. Tra i motivi che legittimano la
richiesta di cancellazione dei dati abbiamo:
a. I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti b. Il
trattamento era basato sul consenso dell’interessato e l’interessato revoca il consenso c.
L’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per
procedere al trattamento
d. I dati personali sono stati trattati illecitamente
La richiesta dell’interessato deve essere accettata e la cancellazione deve essere effettuata, salvo
che il trattamento sia necessario rispetto alla situazione concreta.
DIRITTO DI OPPOSIZIONE
ART. 21
Nel caso di trattamenti basati su legittimo interesse o sull’interesse pubblico, l'interessato ha il
diritto di opporsi al trattamento dei dati personali che riguardano la sua situazione particolare.
Incombe sul titolare del trattamento dimostrare che i suoi interessi legittimi prevalgono sugli
interessi o sui diritti e sulle libertà fondamentali dell'interessato.
INQUADRAMENTO NORMATIVO
Negli ultimi anni la portata, la frequenza e l’impatto dei data breach concernenti soprattutto i dati
personali trattati dalle grandi piattaforme online hanno comportato un aumento esponenziale dei
rischi per la sfera privata delle vittime coinvolte nelle violazioni. Il contesto tecnologico attuale deve
fare i conti con un aumento della superficie di attacco, derivante dall’enorme diffusione degli
oggetti connessi ad Internet.
L’iper - connessione, l’utilizzo di dispositivi elettronici, l’utilizzo dei cloud hanno portato ad una
costante crescita del cybercrime, ossia l’attacco informatico.
Il Legislatore europeo ha fissato una serie di obblighi generalizzati che stabiliscono misure di
sicurezza volte non solo alla prevenzione degli incidenti, ma anche al contenimento dell’impatto sui
diritti e sulle libertà dell’interessato.
Il Garante Privacy italiano ha recepito le indicazioni europee varando un provvedimento di
carattere generale, la normazione relativa ai data breach e tali violazioni devono avere ad oggetto
dati personali qualificati come informazioni riferite a persone fisiche identificate o identificabili.
Inoltre, il GDPR ha reso la notifica della violazione e la comunicazione all’interessato un obbligo in
tema di sicurezza.
LA COMUNICAZIONE ALL’INTERESSATO
Lo scopo principale della comunicazione all’interessato è quello di fornire tutte le principali
informazioni relative all’incidente o alla frode informatica, adottando le misure di protezione atte
alla minimizzazione dei rischi sui dati.
A differenza di quanto avviene con la notifica all’Autorità di controllo, in tali ipotesi non è previsto
un limite temporale prestabilito, per cui la comunicazione all’interessato deve avvenire il prima
possibile.
I contenuti minimi della comunicazione devono essere espressi con un linguaggio semplice e
chiaro, la descrizione della violazione, la descrizione delle probabili conseguenze della violazione,
la descrizione delle misure adottate per porre rimedio e per attenuare i possibili effetti negativi.
IL CONCETTO DI «RISCHIO»
«Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che
sono stimate in termini di gravità e probabilità per i diritti e le libertà»
(Linee guida del Gruppo di lavoro Articolo 29 in materia di valutazione di impatto sulla protezione
dei dati – WP248rev.1)
Art. 24 GDPR
«Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento,
nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il
titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed
essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente
regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.»
I titolari del trattamento devono adottare un approccio basato sul rischio.
ACCOUNTABILITY
Il titolare del trattamento è competente per il rispetto dei principi fondamentali per la protezione dei
dati, che deve essere in grado di comprovare.
In particolare, dovrebbe essere in grado di dimostrare:
● la conformità delle sue attività di trattamento con i principi del GDPR (limitazione della
conservazione, minimizzazione, liceità e correttezza, esattezza);
● di aver messo in atto le misure tecniche ed organizzative adeguate al livello di rischio
valutato;
● l’efficacia delle misure tecniche ed organizzative adottate.
→Quali tipi di rischio bisogna considerare?
L’art. 35 del GDPR (DPIA) menziona, in particolare, i rischi connessi al diritto alla riservatezza e
protezione dei dati personali.
Occorre però considerare anche il rischio in relazione ad altri diritti fondamentali che potrebbero
essere compromessi a causa di una violazione dei principi del GDPR o di un data breach.
Ad esempio:
- la libertà di espressione e di pensiero;
- la libertà di movimento;
- il divieto di discriminazioni;
- il diritto alla libertà di coscienza e di religione.
È sempre possibile identificare tre elementi costanti che caratterizzano il concetto di rischio in
materia di protezione dei dati personali:
1. Il verificarsi di un evento
2. L’incertezza sul se e sul quando l’evento si realizzerà
3. La presenza di un effetto che origina dal suddetto evento
Elementi da considerare nella valutazione del rischio:
Origine + natura+ gravità + probabilità +impatto sui diritti e le libertà degli interessati = RISCHIO
→errori da evitare
Non bisogna confondere la gestione dei rischi con il tema delle misure di sicurezza. Il rischio non si
riferisce al titolare
ma al soggetto interessato.
Gestire i rischi in ambito privacy significa agire sulla probabilità di accadimento di un evento lesivo
e sulle sue conseguenze negative sui diritti e le libertà degli interessati al fine di eliminare o
mitigare.
PROBABILITÀ
GRAVITÀ
IL RISCHIO
RISCHIO INERENTE→ Rischio che un’attività di trattamento di dati personali incorpora prima che il
titolare abbia considerato le misure di sicurezza o altri fattori di mitigazione che sono stati posti in essere.
RISCHIO RESIDUO→ Rischio per i diritti e le libertà degli interessati che è considerato al netto dell’effetto
di mitigazione sortito dalle misure di sicurezza e dai meccanismi di controllo adottati dal titolare.
IL «RISCHIO ELEVATO»
Rischio elevato per i diritti e le libertà fondamentali dell’interessato
> Valutazione d’impatto (DPIA) Art. 35
> Notifica di data breach agli interessati Art. 34
DPIA
La valutazione d’impatto sulla protezione dei dati è sempre richiesta, ai sensi dell’art. 35 del GDPR,
nei casi seguenti:
1. quando viene eseguita una valutazione sistematica e globale di aspetti personali relativi a
persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla
quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo
significativamente suddette persone fisiche;
2. quando il trattamento è eseguito su larga scala e interessa categorie particolari di dati
personali (vale a dire dati sensibili, biometrici, genetici, giudiziari);
3. quando si procede ad una sorveglianza sistematica su larga scala di una zona accessibile
al pubblico.
«RISCHIO ELEVATO»
Notifica di data breach agli interessati
Ai sensi dell’art. 34, il titolare deve notificare, senza ingiustificato ritardo, di aver subito una
violazione di dati personali agli interessati (oltre che all’Autorità Garante) quando la stessa «è
suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche».
Tale rischio sussiste quando la violazione può comportare un danno fisico, materiale o immateriale
per le persone fisiche i cui dati sono stati violati.
Es.: discriminazione, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione.
Il verificarsi di tale danno dovrebbe essere considerato probabile quando la violazione riguarda dati
personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o
filosofiche, l’appartenenza sindacale, oppure che includono dati genetici, dati relativi alla salute o
dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza
(categorie particolari di dati).
→Come valutare il rischio elevato?
I Considerando 75 e 76 del regolamento suggeriscono che, di norma, nella valutazione del rischio
si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità del rischio per i diritti
e le libertà degli interessati. Inoltre il regolamento afferma che il rischio dovrebbe essere valutato in
base a una valutazione oggettiva.
Il Working Party Art. 29, nelle sue Linee Guida sulla notifica delle violazioni dei dati personali, indica
una serie di criteri che il titolare dovrebbe considerare nel valutare l’esistenza di un rischio elevato
per gli interessati, e cioè:
a) Tipo di violazione;
b) Natura, carattere sensibile e volume dei dati personali;
c) Facilità di identificazione delle persone fisiche;
d) Gravità delle conseguenze per le persone fisiche;
e) Caratteristiche particolari dell’interessato;
f) Caratteristiche particolari del titolare del trattamento di dati;
g) Numero di persone fisiche interessate.
L’articolo 32 del GDPR spiega inoltre che nell’attuare misure tecniche e organizzative per garantire
un livello di sicurezza adeguato al rischio, si dovrebbe prendere in considerazione, tra le altre cose,
“la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento” e “la capacità di ripristinare tempestivamente la
disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.
ESEMPIO
L’indisponibilità, anche solo temporanea, di dati medici critici di pazienti di un ospedale potrebbe
presentare un rischio per i diritti e le libertà delle persone interessate, poiché potrebbe comportare
l’annullamento di operazioni e mettere a rischio le vite dei pazienti.
Tale prospettiva è tuttavia non applicabile quando si registri, ad esempio, una indisponibilità di
alcune ore dei sistemi di una società di comunicazione che, quindi, non ha modo di inviare una
newsletter ai propri abbonati: in tale caso è improbabile che ciò presenti un rischio per i diritti e le
libertà delle persone fisiche.
→Le misure di sicurezza adeguate
ART. 32 GDPR
Misure di sicurezza idonee (no elenco ma valutazione caso per caso)
Quanto ai parametri di valutazione delle misure, l’art. 32 del GDPR stabilisce che il titolare deve
tener conto:
● dello stato dell’arte,
● dei costi di attuazione,
● della natura del trattamento,
● dell’oggetto del trattamento,
● del contesto del trattamento,
● delle finalità del trattamento,
● della gravità del rischio per i diritti e le libertà delle persone fisiche stimato.
→ Le misure di sicurezza tecniche
Il GDPR fornisce un elenco non esaustivo, che comprende:
a) la pseudonimizzazione;
b) la cifratura;
c) misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e
dei servizi di trattamento;
d) misure atte a garantire il tempestivo ripristino della disponibilità dei dati (ad es. procedure di
disaster recovery);
e) procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza
adottate (ad es. procedure di testing periodico).
Non esiste un obbligo generalizzato di adozione di misure “minime” di sicurezza, poiché la
valutazione delle misure che risultano le più adeguate è rimessa, caso per caso, al titolare e al
responsabile, in rapporto ai rischi specificamente individuati e analizzati.
→Le misure di sicurezza organizzative
● Definire e implementare un Modello organizzativo data protection coerente con
l’organizzazione aziendale e i trattamenti svolti, che identifichi in maniera chiara ruoli e
responsabilità;
● avvalersi di meccanismi di distribuzione e ripartizione dei compiti e delle funzioni per aree
funzionali, al fine di far fronte concretamente alla molteplicità delle attività e degli
adempimenti derivanti dal ruolo di titolare del trattamento;
● implementare una effettiva segregazione dei ruoli interni nelle organizzazioni più
complesse, costituendo ciò uno dei modi con cui il titolare può assolvere ai propri obblighi di
controllo effettivo e di garanzia sostanziale.
Le misure organizzative includono anche l’impianto documentale predisposto dal titolare (ad
esempio il registro dei trattamenti, le informative sul trattamento) e l’attuazione di politiche,
possibilmente formalizzate in policies e procedure, in materia di protezione dei dati personali
nell’ambito dello specifico contesto di riferimento in cui il titolare si trova ad operare i trattamenti.
Quanto alla finalità delle misure di sicurezza, sia organizzative sia tecniche, le stesse dovranno
essere efficaci al raggiungimento di un “livello di sicurezza adeguato”.
Nello specifico, le misure che il titolare deciderà di adottare dovranno tutte tendere al
raggiungimento dell’obiettivo di contrastare i rischi di distruzione, perdita, modifica, divulgazione
non autorizzata o accesso, accidentale o illegale, a dati personali trasmessi, conservati o
comunque trattati dal titolare stesso
→Fattori di variazione dell'entità del rischio
Tutti i trattamenti le cui caratteristiche attuative (ambito, finalità, dati personali raccolti, identità di
titolari o destinatari, periodi di conservazione dei dati, misure tecniche e organizzative) sono mutate
dovrebbero essere oggetto di una rivalutazione.
In particolare, la necessità di operare una nuova valutazione dei rischi, nonché del livello di
adeguatezza delle misure di sicurezza adottate, insorge al modificarsi dei rischi target di riferimento
presi in considerazione nella prima analisi condotta derivanti dai trattamenti eseguiti in un dato
momento/contesto specifico.
ESEMPI
1. l’utilizzo di una nuova tecnologia, prima non valutata dal titolare;
2. l’utilizzo dei dati personali per una diversa finalità non perseguita originariamente.
Le variazioni da monitorare possono riguardare:
● il contesto,
● il numero di dati raccolti,
● le finalità,
● le funzionalità di un sistema,
● il tipo di dati personali oggetto di trattamento che può evolvere ricomprendendo anche dati
appartenenti a categorie particolari,
● i destinatari, nuovi incroci di dati
● i trasferimenti internazionali di dati originariamente non attivati.
Inoltre, i rischi possono mutare la loro entità al variare, ad esempio, delle fonti di rischio, degli
impatti potenziali, delle minacce.
UNITA’ 2: LA PUBBLICA AMMINISTRAZIONE DIGITALE
Adozione del Codice dell’Amministrazione Digitale (CAD) - d.lgs. 7 marzo 2005, n. 82: un lustro
più tardi dell’entrata in vigore del CAD, risalente al 2005, la strategia “Europa 2020” ha delineato la
risposta dell’Unione alle sfide della situazione economica globale, rispondendo alla crisi del 2008 e
definendo alcune iniziative faro, tra cui l’Agenda digitale europea, il cui obiettivo è ottenere
vantaggi socioeconomici sostenibili, grazie ad un mercato digitale unico basato su un Internet
superveloce.
Un elemento essenziale per il successo del mercato unico dell’Agenda digitale è la trasformazione
della P.A. sulla base dell’innovazione digitale, non solo affinché diventi aperta, trasparente ed
efficiente, ma anche equamente ristrutturata.
L’Italia si è dotata di un’autorità per l’uso dell’ICT ed è l’Agenza per l’Italia Digitale, chiamata anche
AgID.
Rispetto all’Amministrazione Digitale una spinta fondamentale è stata data dalla “Legge Madia” del
2015, che ha introdotto la Carta della cittadinanza digitale, il cui obiettivo è garantire a cittadini ed
imprese il diritto di accedere a tutti i dati, i documenti di loro interesse in modalità digitale, per
garantire la semplificazione nell’accesso, riducendo così la necessità di recarsi fisicamente presso
gli uffici pubblici, erogando così servizi in modo funzionale e migliorando quindi la qualità della vita
dei propri utenti, circa il <<nuovo contenuto>> del CAD deve solo contenere i principi di carattere
generale.
Altro atto molto importante che concerne la digitalizzazione della Pubblica Amministrazione è il
piano triennale per l’informatica 2019-2021.
Il CAD deve contenere solo principi generali, le linee Guida approvate dall’AGID:
• Agenda Digitale
• digitalizzazione della P.A.
• sicurezza informatica
• interoperabilità e cooperazione applicativa tra sistemi
informatici pubblici e quelli dell’Unione Europea.
Il Piano Triennale per l’informatica nella P.A. è il modello strategico di evoluzione del sistema
informativo della Pubblica Amministrazione
OPEN GOVERNMENT
Un open Government garantisce inclusività, fornitura di servizi digitali senza frontiere è una
riduzione delle barriere, dei costi e degli oneri amministrativi e >
AgID
È l’Agenzia tecnica della Presidenza del Consiglio che garantisce la realizzazione degli obiettivi
dell’Agenda Digitale Italiana (in coerenza con l’Agenda Digitale Europea) e che mira a contribuire
alla diffusione delle tecnologie dell’informazione e della comunicazione sul territorio nazionale.
È sottoposta ai poteri di indirizzo e vigilanza del Presidente del Consiglio dei Ministri o del Ministro
da lui delegato.
Gli organi di cui l’Agenzia per l’Italia Digitale si compone sono:
● il Direttore Generale (il legale rappresentante dell’Agenzia; la dirige ed è responsabile della
gestione e dell’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o
dal Ministro da lui delegato);
● il Comitato d’indirizzo (l’organo di indirizzo strategico);
● il Collegio dei Revisori (vigila sull’osservanza delle disposizioni di legge, regolamentari e
statutarie, nonché provvede agli altri compiti previsti dalla normativa vigente).
I suoi compiti sono:
1. Assicurare il coordinamento informatico dell’amministrazione statale, regionale e locale, in
attuazione dell’articolo 117, comma 2, lettera r) Cost.;
2. Contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della
comunicazione, allo scopo di favorire l’innovazione e la crescita economica del Paese;
3. Elaborare indirizzi, regole tecniche e linee guida in materia di omogeneità dei linguaggi,
delle procedure e degli standard per la piena interoperabilità e uniformità dei sistemi
informatici della P.A.;
4. Vigilare sulla qualità dei servizi e sulla razionalizzazione della spesa informatica della P.A.;
5. Promuovere e diffondere le iniziative di alfabetizzazione digitale.
PRINCIPIO DI SEMPLIFICAZIONE
La semplificazione delle procedure interne a ciascuna Pubblica Amministrazione e dei
procedimenti amministrativi, riguardo alle esigenze di celerità, certezza, trasparenza nei confronti
dei cittadini e delle imprese, è strettamente collegata alla digitalizzazione. Il ricorso alle ICT può
agevolare e rendere più efficienti le attività dell’amministrazione, sia nel cosiddetto back office,
ossia l’attività interna della P.A., sia nel cosiddetto front office, ossia l’attività di relazione con il
pubblico.
Si prevede quindi un ampio processo di semplificazione e razionalizzazione delle procedure,
attraverso strumenti innovativi e informatici che perseguono obiettivi strategici finalizzati alla
riorganizzazione e ristrutturazione del mondo digitale nelle Pubbliche Amministrazioni.
PRINCIPIO DI ACCOUNTABILITY
Intendiamo il principio di accountability come la responsabilità in capo alla P.A. del proprio operato,
rispetto al contesto di digitalizzazione.
Prerequisito è che le P.A. siano trasparenti nei confronti dei cittadini e nei confronti dei loro dati, e
che facciano uso di dati aperti, i cosiddetti open data.
Nel caso in cui vi siano delle violazioni da parte della P.A. i cittadini possono ricorrere in giudizio.
REGISTRI
La disciplina della PEC prevede l’istituzione di appositi registri in cui convogliare tutti gli indirizzi
PEC esistenti al fine di garantire la sicurezza del sistema di comunicazione. Si tratta di un elenco
pubblico denominato Indice Nazionale Indirizzi PEC, meglio conosciuto come INI-PEC.
Per cercare una PEC è necessario inserire il C.F. se si tratta di una persona fisica, mentre la P.IVA
se si tratta di un’impresa.
LA SENTENZA DELLA CORTE DI CASSAZIONE, SEZ. III, N. 3709/19 Sul tema dei registri e della
loro validità si è espressa la Corte di Cassazione, in riferimento all’Ordine degli avvocati e agli
indirizzi PEC per fini processuali.
GLI STRUMENTI DIGITALI DI CUI AI CAP. 20 E 21 ALLA LUCE DEGLI OBIETTIVI FISSATI IN
AMBITO UE (DIGITAL SINGLE MARKET E E-GOVERNMENT) In merito a tale tematica è opportuno
volgere lo sguardo alla strategia del Digital single market, ossia il mercato unico digitale che non
può essere confinato solo ad alcuni settori merceologici, ma che deve essere aperto anche al
settore dei servizi più disparati.
DEFINIZIONE E CARATTERISTICHE
Gli open data costituiscono uno strumento fondamentale del modello open government, fondato
sui pilastri di trasparenza, partecipazione, collaborazione e basato su un nuovo rapporto tra mondo
privato e pubblico.
Le amministrazioni devono essere trasparenti a tutti i livelli e rendere le proprie attività aperte e
disponibili per favorire azioni maggiormente efficaci e per garantire il controllo pubblico mediante le
nuove tecnologie.
Gli open data sono dati digitali resi disponibili con le caratteristiche tecniche e legali necessarie per
essere liberamente utilizzati, riutilizzati e ridistribuiti da chiunque in qualsiasi momento, sia da
parte di soggetti pubblici sia da parte di soggetti privati.
Nell’ordinamento giuridico italiano è prevista una definizione normativa di open data, che
presentano le seguenti caratteristiche.
a. Dimensione giuridica, perché rispettano disposizioni di legge e previsioni normative
b. Dimensione tecnologica, perché sono accessibili in un formato aperto mediante IOT
c. Dimensione economica, perché sono resi gratuitamente oppure a costi marginali
FINALITA’
Gli open data, per mezzo del riutilizzo, permettono di generare valore e di perseguire molteplici
finalità, e possono essere utilizzati per creare prodotti, app, servizi capaci di incidere sulle
amministrazioni stesse, sui cittadini, e sulle imprese.
In sostanza, gli open data contribuiscono al miglioramento della qualità di vita degli utenti e
costituiscono un valido strumento di trasparenza, finalizzato anche a garantire maggiore efficienza
della macchina pubblica, sollecitata a organizzare il proprio patrimonio informativo e ad assicurare
maggiore e partecipazione nell’azione pubblica.
Tra i dati aperti particolarmente significativi emergono i dati geografici, ambientali, sanitari, sociali,
turistici, sui trasporti pubblici, sui bilanci, sulla criminalità.
Il concetto di open data nasce negli Stati Uniti d’America nel 2009.
Con il Memorandum on Transparency and Open Government e l’Open Government Directive,
Barack Obama prescrive alle istituzioni i pilastri dell’impostazione (trasparenza, partecipazione e
collaborazione) e individua negli open data uno strumento strategico di partecipazione della
collettività.
→Le ICT diventano strumento per assicurare il processo di apertura
In realtà le ICT sono ugualmente uno strumento di chiusura, non necessariamente di apertura, si
pensi alle crescenti diseguaglianze sociali, o ai profitti delle big tech, o alla posizione dominante di
alcune di queste oggetto di attenzione delle Antitrust...)
Perché le ICT non sono più uno strumento, ma interpretano e creano la realtà. Vi è una sostanziale
omogeneità digitale tra dati e programmi (A. Turing), che si ripercuote anche sui nostri concetti di
«governo», «spazio», «tempo», etc.
Negli USA la strategia di Barack Obama porta nel 2009 alla creazione di un portale dedicato agli
open data, data.gov, modello seguito negli anni successivi da diversi Paesi europei (nel 2009
data.gov.uk del Regno Unito, in Francia data.gouv.fr, Spagna con datos.gob.es etc.).
In Europa la dichiarazione aperta sui servizi pubblici europei (Open Declaration on European
Services) nel 2009: importanza dei principi di trasparenza, partecipazione e empowerment.
I contenuti della Dichiarazione aperta sui servizi pubblici europei sono fatti propri della
Dichiarazione di Malmö del 2009.
→Digital Agenda for Europe (Agenda digitale europea), 2010
mira a realizzare una crescita intelligente. Nella realizzazione di un digital single market europeo,
conferisce un ruolo chiave alle tecnologie informatiche per raggiungere gli obiettivi europei e per
favorire l’innovazione, la crescita economica, la competitività e il progresso.
Piano d’azione dell’Agenda digitale europea:
- 2011-2015: Piano d’azione europeo per l’e- government che riflette le priorità della
Dichiarazione di Malmö;
- 2016-2020: Piano d’azione attuale, conferisce centralità ai principi di trasparenza e
apertura, declinati nella possibilità di accesso, controllo e correzione dei propri dati da parte
degli utenti e nel coinvolgimento delle parti interessate nella progettazione e nella
prestazione dei servizi.
Nel 2019 la Commissione ha aggiornato la PSI Directive (Directive 2003/98/EC) con una nuova
versione, che punta tutto sul riuso dei dati.
QUADRO NORMATIVO
Il CAD, ossia il d. lgs. N. 82/2005, è particolarmente attento al principio di disponibilità dei dati
pubblici in formato digitale.
La normativa italiana ha rafforzato questo principio ed ha promosso esplicitamente gli open data,
sotto lo stimolo dell’Unione europea.
STRATEGIE
In riferimento alle strategie legate all’apertura dei dati, ricordiamo la nascita del modello open
government, il paradigma degli open data e la realizzazione del portale data.gov. A tal proposito,
nel 2011 il Governo italiano ha lanciato il portale nazionale di open data: www.dati.gov.it
aggiornato nel tempo per favorire qualità, uniformità e proficue sinergie con le istituzioni, in una
visione sistemica, in cui il dato è inteso come un bene comune riutilizzabile.
DIMENSIONE GIURIDICA
Le informazioni strutturate, i dataset e i database, quali insiemi organizzati di dati, ricevono la tutela
giuridica del diritto d’autore e dei diritti connessi, a seguito delle modifiche alla l. n. 633/1941 da
parte del d.lgs. n. 169/1999, in attuazione della Direttiva 96/9/CE.
La tutela offerta dal diritto d’autore non crea ostacoli al riutilizzo ma il titolare del diritto deve
disciplinare le condizioni di utilizzo e le eventuali limitazioni con una licenza.
Accanto allo strumento della licenza, la definizione di Open Data prevede anche la possibilità che
sia una previsione normativa a rendere disponibili i dati, permettendone l’utilizzo da parte di
chiunque, anche per finalità commerciali, in formato disaggregato.
→Riutilizzo
(art. 1, comma 1, lett. n- bis), d.lgs. n. 82/2005
e art. 2, comma 1, lett. E), d.lgs. n. 36/2006
Uso del dato di cui è titolare una pubblica amministrazione o un organismo di diritto pubblico, da
parte di persone fisiche o giuridiche, ai fini commerciali o non commerciali diversi dallo scopo
iniziale per il quale il documento che lo rappresenta è stato prodotto nell’ambito dei fini istituzionali
La licenza cosiddetta «aperta» deve permettere l’utilizzo dei dati da parte di chiunque, anche per
finalità commerciali, in formato disaggregato, nel rispetto del GDPR.
→Licenze aperte
- Creative commons (CC): libertà di utilizzo per fini commerciali, libertà di utilizzo citando
l’autore, divieto di apportare modifiche, etc.;
- Italian Open Data Licences (IODL): create allo scopo specifico della diffusione e riutilizzo
dei dati pubblici;
- Open Data Commons Licences.
DIMENSIONE TECNOLOGICA
I dati devono essere rilasciati in formato aperto, ossia «un formato di dati reso pubblico,
documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione
dei dati stessi» (art. 1, comma 1, lett. l-bis), d.lgs. n. 82/2005).
Per essere «open», i dati devono essere adatti all’utilizzo automatico da parte dei software e
devono essere accompagnati da metadati, ossia informazioni e dati che li descrivono.
I metadati permettono e agevolano la ricerca, l’interoperabilità e la correlazione dei dati, facilitando
così il riutilizzo degli stessi.
- 1 stella: il dato è disponibile sul web in qualunque formato, ma con la licenza aperta, es.
PDF;
- 2 stelle: formato strutturato processabile in modo automatico da software, di tipo
proprietario, es. xls;
- 3 stelle: il formato è aperto, non proprietario (non devi pagare la livenza), es. csv;
- 4 stelle: formati che seguono standard aperti, dotati di URI-online, es. RDF;
- 5 stelle: i cosiddetti linked open data, dove i dati contengono link e altri dati e quindi,
fornendo un contesto e un collegamento, acquisiscono maggior valore.
(La classificazione «5 stars» di Tim Berners Lee)
DIMENSIONE ECONOMICA
Per essere aperti i dati devono essere resi disponibili gratuitamente o ai costi marginali sostenuti
per la loro riproduzione e
divulgazione, salvo quanto previsto dall’art. 7 del d.lgs. 36/2006 che prevede casi specifici per i
quali non si applicano tali previsioni e per i quali, di conseguenza, è possibile determinare tariffe
superiori in deroga al principio generale.
PROBLEMATICHE
L’apertura del patrimonio informativo pubblico incontra però dei limiti, quali il segreto di Stato, il
segreto statistico, il diritto d’autore, la sicurezza pubblica e la protezione dei dati personali. È
necessario, dunque, in un’ottica di questo tipo bilanciare gli interessi e assicurare tutela dei diritti
fondamentali.
In riferimento alle norme sulla data protection, è importante tracciare un equilibrio e non
pregiudicare il livello di tutela con riguardo alla protezione dei dati personali, infatti devono essere
esclusi dal riutilizzo le particolari categorie di dati personali, ossia i dati sensibili e i dati giudiziari
relativi a condanne penali e reati.
Oltre alle problematiche di ordine giuridico, emergono le criticità costituite dalla differente qualità e
mancanza di uniformità nell’apertura del patrimonio informatico pubblico.
CAPITOLO XXII: IL VOTO ELETTRONICO
CONCLUSIONI
La scelta di sposare una soluzione di voto elettronico, al fine di sostituire lo strumento manuale di
carta e matita, dovrebbe scaturire da un attento esame per determinare gli effetti benefici, gli
svantaggi e i rischi.
Vi deve essere riguardo ai principi fondamentali di uno Stato democratico e alla sicurezza
informatica.
UNITA’ 3
DIGITAL SINGLE MARKET E DIRITTO
CONCLUSIONI
Il meccanismo sembrerebbe a macchia di leopardo e dalla complessità esistente emerge la
necessità di un intervento legislativo europeo che possa muovere per fornire una
regolamentazione unitaria concernente la gestione dei contenuti ad opera delle piattaforme online,
tramite procedure trasparenti, al fine di garantire la tutela dei diritti fondamentali.
All'odierna lettura della norma, le tipologie di servizi elencate appaiono evidentemente riduttive
rispetto alla grande quantità di attività che possono essere svolte online. Vi sono attualmente in
Internet operatori che svolgono attività molto differenti tra loro e che ripropongono la questione
della responsabilità del provider in contesti e circostanze che non possono essere trattate
unitamente e che richiedono delle distinzioni.
Sin dai primi anni dalla sua approvazione, la Direttiva ha suscitato perplessità, contrasti dottrinali e
giurisprudenziali e proposte di riforma legislativa nel tentativo di operare delle distinzioni tra le varie
categorie di servizi che potrebbero astrattamente rientrare nella definizione di hosting provider.
A tale categoria sono state ricondotte attività molto diverse tra loro, dalla gestione di un blog
personale in relazione ai commenti degli utenti, ai motori di ricerca, ai social network.
La giurisprudenza ha tuttavia tentato in più occasioni di attribuire al provider qualche forma di
responsabilità rispetto agli illeciti commessi dagli utenti , ritenendo che tale soggetto non potesse
essere considerato del tutto estraneo rispetto alle attività degli utenti.
Ciò ha portato all’elaborazione di una fondamentale distinzione tra provider attivo (contenuti
gestiti) e provider passivo (processo tecnico, attività di ordine meramente tecnico, automatico e
passivo), volta a riaffermare la responsabilità di alcune tipologie di provider.
Il principio dell’irresponsabilità del provider ha, inoltre, iniziato a subire alcune prime erosioni, sia ad
opera delle Corti, che mediante l’introduzione di rilevanti eccezioni nell’ambito della
legislazione europea.
→ casi
“Google Spain”: è stata affermata la responsabilità del motore di ricerca ove non intervenga per
effettuare la de-indicizzazione dei contenuti, nei limiti della normativa per la tutela dei dati personali,
a seguito di richiesta dell’utente.
“Delfi v. Estonia”: la Corte ha ritenuto compatibile con la Convenzione l’applicazione di una
sanzione al portale web per i commenti pubblicati dagli utenti ed ha affermato che gli Stati membri
possono, in alcune circostanze, prevedere che il portale web sia responsabile anche per i
commenti pubblicati dagli utenti, purché ciò non costituisca un pericolo per la libertà di espressione.
“Magyar v. Ungheria”: i commenti non vengono ritenuti manifestamente illeciti, né qualificabili come
hate speech, e nel quale viene considerata la tipologia di attività svolta dal portale, in questo caso
(a differenza del precedente) non volta al conseguimento di un ritorno economico attraverso
l’inserimento di inserzioni pubblicitarie.
↓
Le pronunce richiamate segnano l’inizio di un cambio di prospettiva: l’esigenza di rinvenire nuove
modalità di controllo dei contenuti online porta a guardare ai provider come nuovi interlocutori ai fini
della gestione della diffusione di fenomeni quali il terrorismo, i discorsi d’odio, il cyberbullismo, le
fake news, nonché il più tradizionale problema della tutela del copyright.
VERSO UNA NUOVA RESPONSABILITA’ DEL PROVIDER
Cass. civ. n. 7708 del 19 marzo 2019→ recentemente, inoltre, la Cassazione, nella ricostruzione
della responsabilità del provider, ha precisato che, ai fini della riconoscibilità dell’illiceità del
contenuto, è sufficiente che essa «sia ragionevolmente constatabile» e che il soggetto «sia in colpa
grave per non averla positivamente riscontrata, alla stregua del grado di diligenza che è
ragionevole attendersi da un operatore professionale della rete in un determinato momento storico»
Nella Comunicazione “Tackling Illegal Content Online. Towards an enhanced responsibility of
online platforms”, la Commissione ha affermato che le piattaforme costituiscono il principale punto
di accesso alle informazione in Internet e che, pertanto, hanno una significativa responsabilità
sociale, dovendo proteggere gli utenti e la società stessa e impedire ai criminali e alle persone
coinvolte in attività illecite di sfruttare i loro servizi.
Il Legislatore europeo, rinviando al futuro un intervento di più ampio respiro di revisione della
Direttiva 31/2000, si è mosso intervenendo per settori, elaborando strumenti normativi (direttive e
regolamenti), ma anche codici di condotta, con nuove forme di collaborazione tra piattaforme e
istituzioni.
Le piattaforme sono divenute interlocutori delle istituzioni europee, invitate alla collaborazione per il
contrasto delle attività illecite commesse online dagli utenti, sedute ai tavoli nei quali vengono
elaborate le nuove proposte normative.
Gli interventi e le proposte di intervento più rilevanti in ambito europeo con riguardo alla
responsabilità del provider concernono le seguenti tematiche:
1. Data protection
2. Terrorismo→ l’hosting service provider, nelle sue condizioni generali di contratto, deve
includere disposizioni volte alla prevenzione della diffusione di contenuti terroristici. Le
misure devono essere effettive e proporzionate e tenere conto dei rischi relativi alla
diffusione del contenuto terroristico, ma anche della tutela dei diritti fondamentali e
della fondamentale importanza della libertà di espressione e informazione in una
società democratica.
Le autorità possono richiedere agli hosting service providers di fornire, entro tre mesi dalla
richiesta e al massimo una volta all’anno, un report dettagliato sulle misure poste in essere.
Il report concerne i contenuti rimossi o ai quali l’accesso è stato disabilitato e le misure
poste in essere al fine di impedire il ricaricamento di contenuti già identificati come
terroristici.
Il provider è, inoltre, tenuto alla rimozione di contenuti o a disabilitare l’accesso, a seguito di
ricezione di un ordine dell’autorità, entro un’ora, informando l’autorità dell’avvenuta
rimozione .
Ove richiesto dall’autorità è tenuto anche alla conservazione ove ciò sia necessario ai fini
della prova in procedimenti giudiziari a fini investigativi.
Il content provider deve essere informato della rimozione, salvo nel caso in cui l’autorità
richieda espressamente segretezza, nonché dei motivi della rimozione, ove lo richieda.
Deve, inoltre, essere predisposto un complaint mechanism attraverso il quale il content
provider possa richiedere che il contenuto sia rimesso online.
3. E-evidence→ Proposta di Regolamento relativo agli ordini europei di produzione e di
conservazione di prove elettroniche in materia penale.
mira ad adattare i meccanismi di cooperazione all’era digitale, fornendo alle autorità
giudiziarie e di contrasto gli strumenti per stare al passo con le attuali modalità di
comunicazione dei criminali e combattere le forme moderne di criminalità.
L’obiettivo della proposta è “stabilire le norme in base alle quali un’autorità
giudiziaria competente dell’Unione europea può, mediante un ordine europeo di produzione
o di conservazione, ingiungere a un prestatore di servizi che offre servizi nell’Unione di
produrre o conservare prove elettroniche”.
Si tratta di strumenti possono essere usati solo in situazioni transfrontaliere, ovvero nei casi
in cui il prestatore di servizi è stabilito o rappresentato in un altro Stato membro.
Essa prevede, in particolare la possibilità di richiedere “ordini europei di produzione” e
“ordini europei di conservazione”.
Con il primo termine s’intende “la decisione vincolante di un’autorità di emissione di uno
Stato membro che ingiunge a un prestatore di servizi che offre servizi nell’Unione ed è
stabilito o rappresentato in un altro Stato membro di produrre prove elettroniche”.
Con il secondo “la decisione vincolante di un’autorità di emissione di uno Stato membro che
ingiunge a un prestatore di servizi che offre servizi nell’Unione ed è stabilito o rappresentato
in un altro Stato membro di conservare prove elettroniche in vista di una successiva
richiesta di produzione”.
Essi possono essere rivolti ai prestatori di servizi che forniscono servizi di comunicazione
elettronica, servizi della società dell’informazione (servizi di hosting), servizi di nomi a
dominio e di numerazione IP.
L’ordine può essere emesso da un giudice, un organo giurisdizionale, un magistrato
inquirente o un pubblico ministero competente nel caso interessato, o qualsiasi altra autorità
competente, definita dallo Stato di emissione che, nel caso di specie, agisca in qualità di
autorità inquirente nel procedimento penale.
4. Hate speech→ La Commissione europea, Facebook, Twitter, YouTube e Microsoft hanno
elaborato, nel maggio 2016, un Codice di condotta (“Code of Conduct on Countering Illegal
Hate Speech Online”) per contrastare la diffusione delle espressioni d’odio online.
Prevede:
- procedure per la segnalazione da parte degli utenti dei contenuti illeciti e per la loro
rimozione;
- l’impegno a riscontrare le segnalazioni degli utenti concernenti hate speech entro le
24 ore dal ricevimento e a rimuovere i contenuti ove lesivi;
- una migliore informazioni agli utenti sulle tipologie di contenuti non permessi e sulle
procedure di rimozione degli stessi;
- la cooperazione e il dialogo con la Commissione europea per contrastare tali
fenomeni.
5. Fake news→ codice di condotta.
6. Audiovisual media service→Con riguardo ai servizi media audiovisivi, già regolati dalla
Direttiva 13/2010, si è scelto di intervenire modificandola mediante la Direttiva 1808/2018, in
considerazione dell’“evoluzione delle realtà del mercato”.
Essa introduce, limitandosi alle problematiche oggetto di analisi, un nuovo Capo IX bis
all’“Audiovisual Media Services Directive”, concernente le disposizioni applicabili
ai “servizi di piattaforma per la condivisione di video”.
Le nuove norme si applicano ove la piattaforma abbia come “obiettivo principale” o come
obiettivo di una sezione del servizio la fornitura di video generati dagli utenti
Tali piattaforme adottino misure per tutelare:
a) i minori, da contenuti che possano nuocere al loro sviluppo fisico, mentale o
morale;
b) il grande pubblico, da contenuti che istighino alla violenza o all’odio;
c) il grande pubblico, da contenuti la cui diffusione costituisce reato
(in particolare la pubblica provocazione a commettere reati di terrorismo e reati di
stampo razzista e xenofobo).
Le misure elencate:
a) definire e applicare, nei termini e nelle condizioni dei fornitori di piattaforme per la
condivisione di video, i concetti di istigazione alla violenza o all’odio e di contenuto che
potrebbe nuocere allo sviluppo fisico, mentale o morale dei minori;
b) istituire e applicare meccanismi affinché gli utenti possano segnalare o indicare, al
fornitore di piattaforme per la condivisione di video, il contenuto che istighi all’odio o sia
nocivo per i minori conservato sulla sua piattaforma;
c) istituire e applicare sistemi per verificare l’età degli utenti delle piattaforme di condivisione
di video per quanto attiene ai contenuti che potrebbero nuocere gravemente allo sviluppo
fisico, mentale o morale dei minori;
d) istituire e applicare sistemi che consentano agli utenti delle piattaforme per la
condivisione di video di valutare i contenuti;
e) dotarsi di sistemi di controllo parentale per quanto attiene ai contenuti che potrebbero
nuocere allo sviluppo fisico, mentale o morale dei minori;
f) istituire e applicare sistemi per spiegare agli utenti quale seguito sia stato dato alla
segnalazione
7. Copyright→ Direttiva sul diritto d’autore e sui diritti connessi nel mercato unico digitale
Prevede che i prestatori di servizi di condivisione di contenuti online siano responsabili “per
atti non autorizzati di comunicazione al pubblico, compresa la messa a disposizione del
pubblico di opere e altri materiali protetti dal diritto d’autore a meno che non dimostrino di
a) aver compiuto i massimi sforzi per ottenere un’autorizzazione;
b) aver compiuto, secondo elevati standard di diligenza professionale di settore, i massimi
sforzi per assicurare che non siano disponibili opere o altri materiali oggetto di segnalazioni
da parte dei titolari dei diritti, ove questi abbiano fornito le informazioni pertinenti e
necessarie;
c) aver reagito tempestivamente, dopo aver ricevuto una segnalazione sufficientemente
motivata, per disabilitarne l’accesso, rimuovere il contenuto, nonché aver compiuto i
massimi sforzi per impedirne il caricamento in futuro” .
Ai fini della valutazione delle condotte tenute dalla piattaforma è applicabile il principio di
proporzionalità e devono essere considerati anche:
- la tipologia,
- il pubblico,
- la dimensione del servizio e
- la tipologia di opere o altri materiali caricati dagli utenti,
nonché “la disponibilità di strumenti adeguati ed efficaci e il relativo costo per i prestatori di
servizi”.
SECONDARY LIABILITY
La responsabilità della piattaforma per i contenuti degli utenti, cosiddetta “secondary liability”,
si struttura quindi allo stato attuale nel modo seguente:
1. vi è il principio di irresponsabilità di cui alla Direttiva 31/2000, che non si applica ove il
gestore della piattaforma effettui una selezione/modifica dei contenuti (se non in modo
automatizzato), e ad esso si affiancano una serie di eccezioni rispetto alle quali il provider è
o tenuto a intervenire, o invitato a farlo, dalla Commissione, nella forma delle "voluntary
measures”.
Sembrerebbe, quindi, derivarne un meccanismo a macchia di leopardo: l’irresponsabilità come
regola, che salta in caso di intervento diretto, salvo che tale intervento sia diretto a reprimere uno
dei fenomeni per i quali la Commissione incoraggia un intervento.
Dalla complessità esistente emerge la necessità di un intervento legislativo europeo che
possa muovere oltre la Direttiva 31/2000 e fornire una regolamentazione unitaria concernente la
gestione dei contenuti ad opera delle piattaforme.
La regolamentazione generale della gestione dei contenuti degli utenti da parte delle
piattaforme, concernenti, quale contenuto minimo, obblighi informativi relativi a:
● i contenuti non ammessi,
● le misure attuabili in caso di violazione,
● la specificazione delle procedure per l’assunzione delle decisioni in merito al contenuto,
● le possibilità di ricorso sulle decisioni,
● la segnalazione dei contenuti da parte degli utenti,
● le misure proattive.
DEFINIZIONE E FUNZIONAMENTO
Per capirne funzionamento e funzionalità, è necessario partire innanzitutto dalla definizione di
blockchain: si tratta di un registro pubblico nel quale vengono archiviati in modo sicuro, verificabile
e permanente transazioni che avvengono tra due utenti appartenenti a una stessa rete.
I dati relativi agli scambi sono salvati all’interno di blocchi crittografici, collegati in maniera
gerarchica l’uno all’altro.
Si viene così a creare un’infinita catena di blocchi di dati e da qui il nome blockchain, che consente
di risalire e verificare tutte le transazioni mai fatte.
La funzione primaria di una blockchain è, dunque, di certificare transazioni tra persone. Nel caso
dei Bitcoin la blockchain serve a verificare lo scambio di criptovaluta tra due utenti, ma si tratta solo
di uno dei tanti possibili utilizzi di questa struttura tecnologica. In altri settori, la blockchain può
certificare lo scambio di titolo e azioni: operare come fosse un notaio e “vidimare” un contratto o
rendere sicuri e non alterabili i voti espressi tramite votazione online.
Le principali caratteristiche della tecnologia blockchain sono:
a. immutabilità del registro
b. tracciabilità delle transazioni
c. alto livello di sicurezza basato su tecniche crittografiche
Per capire come funziona la blockchain è necessario conoscere due termini: nodi della blockchain
e miner.
I nodi della blockchain sono i computer della rete che hanno scaricato la blockchain nella loro
memoria. Qualsiasi computer può diventare un nodo tramite un apposito programma. I miner,
invece, sono coloro che effettuano il controllo delle transazioni grazie a computer molto potenti e a
un protocollo di validazione piuttosto complesso.
La blockchain nasce come registro pubblico per effettuare le transazioni ma nel corso del tempo
questa tecnologia è riuscita a entrare sempre di più all’interno di sistemi più o meno chiusi, dando
origine alle blockchain private, ovvero che richiedono una specifica autorizzazione per accedervi.
Da quest’ultime sono nate poi blockchain riferite a specifiche filiere, denominate consorzi
blockchain il cui processo di autorizzazione è delegato a un gruppo preselezionato. L’evoluzione
della blockchain con l’implementazione degli smart contract ha fatto sì che questa tecnologia
aprisse la propria applicazione a diversi settori:
a. Diritto d’autore
b. Registrazione brevetti
c. Sicurezza farmaci
d. Finance
e. Energia
Sempre più aziende hanno iniziato a utilizzarla e i motivi sono essenzialmente 5:
a. è digitale e quindi adattabile a qualsiasi ambito
b. è sicura grazie al processo di crittografia
c. è attendibile dato che viene organizzata cronologicamente
d. è affidabile poiché le sue caratteristiche tecniche ne impediscono il danneggiamento e
quindi la possibile perdita dei dati
e. è veloce perché non richiede la presenza di un’entità centrale che ne verifichi la validità ed
essendo una tecnologia digitale i tempi di qualsiasi operazione si comprimono
BLOCKCHAIN E DLT
Il blockchain e dlt è un protocollo aperto e interoperabile non controllato da un soggetto centrale
(decentralizzato), le cui componenti tecnologiche sono già presenti in modo non articolato in ambito
accademico negli anni 80-90. I concetti principali sono transizioni, nodi e rete.
Il portafoglio (o wallet) è lo strumento tecnologico che permette ai partecipanti della rete di
scambiare bitcoin o una criptomoneta, altro tipo di valore o informazione.
EVOLUZIONE: locale → istituzionale → decentralizzata
SMART CONTRACT
EVOLUZIONE
→ strumentale 1980-2001
Il computer è una tecnologia di supporto: chi lo utilizza si limita a redigere i contratti su applicativi di
videoscrittura per poi stamparli.
Il mezzo utilizzato per concludere i contratti è la carta: il supporto è ancora un aspetto centrale delle
trattative.
Questa fase segna il passaggio dalla meccanica all’elettronica: aziende e professionisti
approcciano al computer come un mero assistente operativo.
Le parti hanno modo di concludere contratti a distanza: le reti e la comunicazione sono
appannaggio di applicazioni industriali e finanziarie.
→ telematica 2002-2019
Il legislatore permette la digitalizzazione dei rapporti contrattuali con strumenti come Pec e Firma
Digitale.
Le parti si incontrano, dialogano, negoziano e concludono i contratti online: l’esecuzione delle
obbligazioni è spesso ancora offline.
Le comunicazioni sono per la maggior parte dematerializzate: il mercato finanziario prima e quello
giuridico poi sviluppano strumenti sicuri di invio documentazione digitale.
Le procedure vengono digitalizzate: per primo il Processo Civile Telematico e seguire quello
amministrativo e quello penale.
→ automata 2020-...
Nick Szabo è il tecnico-giurista che ha teorizzato l’esecuzione automatica dei rapporti obbligatori
tra le parti.
Uno smart contract è un insieme di istruzioni informatiche, la cui esecuzione dipende dell’avverarsi
di determinate condizioni.
La Blockchain permette di avere i protocolli all’interno dei quali le parti adempiono a tali promesse.
Quando uno smart contract soddisfa i requisiti di cui all’art.1321 c.c., si parla di smart legal
contract.
TOKEN ORACOLO
COS’E’
Si definisce "smart contract" un programma per elaboratore che opera su tecnologie basate su
registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti
predefiniti dalle stesse. Gli smart contract soddisfano il requisito della forma scritta previa
identificazione informatica delle parti interessate, attraverso un processo avente i requisiti fissati
dall'Agenzia per l'Italia digitale con linee guida da adottare entro novanta giorni dalla data di entrata
in vigore della legge di conversione del presente decreto.
Entro novanta giorni dalla data di entrata in vigore della legge di conversione del presente
decreto, l'Agenzia per l'Italia digitale individua gli standard tecnici che le tecnologie basate su
registri distribuiti debbono possedere ai fini della produzione degli effetti di cui al comma 3.
IMPATTI
→ web 3.0
La Blockchain, anche attraverso lo smart contract, abilita il web 3.0.
Alcune caratteristiche del web 3.0 sono:
- decentralizzazione
- Basato su una Virtual Machine globale (una buona candidata è la EVM di Ethereum)
- Open source
- Governato da nuovi incentivi (crypto)
L’avvento del web 3.0 obbliga a rivedere l’approccio giuridico:
- Protezione dei dati
- Responsabilità civile e/o penale
- Nuovi modelli di business
- Nuovi ruoli delle piattaforme
→ decentralized finance
La Decentralized Finance (DEFI) è la branca finanziaria emersa con l’avvento di Blockchain e
smart contract
Rispetto alla finanza tradizionale, la DEFI:
- Gli intermediari non sono ancora del tutto regolamentati
- Il mercato in sé è molto rischioso, sia per assenza di regolamentazione sia per assenza di
conoscenza approfondita dello stesso
La DEFI solleva alcune questioni giuridiche:
- Funzionamento degli Exchange Decentralizzati (DEX)
- Responsabilità in caso di perdite legate a cause non finanziarie (i.e. truffe,
malfunzionamento delle piattaforme, perdita del wallet etc)
- Gestione del rischio e regolamentazione finanziaria - Riciclaggio di denaro
→Decentralized Autonomous Organization
Una Decentralized Autonomous Organization (DAO) è uno smart contract complesso.
Attraverso la DAO i partecipanti possono gestire un’organizzazione con i suoi asset digitali.
Da un punto di vista giuridico, il Wyoming è il primo Stato a riconoscere rilevanza societaria a
questo smart contract complesso: da giugno 2021 sarà giuridicamente simile a una S.r.l. -
Rilevanza in quella normativa proprio alla caratteristiche del contratto.
I DAO sollevano diverse tematiche giuridiche:
- Espressione del diritto di voto
- Gestione dei diritti economici legati alla partecipazione
- Gestione della partecipazione in sé
- Validità giuridica di un’organizzazione così costituita
Funzionamento dell’organizzazione: la forte automazione nella gestione dei rapporti, rende
l’approccio particolarmente complesso.
→ Non-Fungible Token
Il funzionamento di un Non-Fungible Token (NFT) è regolato da uno smart contract.
Piattaforma di riferimento: Ethereum
Diversi standard: tra i più utilizzati ERC-721 e ERC-1155. Molto utilizzati in campo artistico per
garantire l’unicità delle opere, grossomodo.
Gli NFT sollevano diverse tematiche giuridiche:
- Proprietà intellettuale
- Transazione e proprietà in senso civilistico
- Responsabilità del contenuto dell’opera
- Riciclaggio di denaro
→Bitcoin whitepaper
reso pubblico nel 2008, da Satoshi Nakamoto, un personaggio misterioso che l’anno successivo
trasmette la prima transazione.
Il Bitcoin è un’applicazione che poggia su un registro decentralizzato: la Blockchain, un particolare
tipo di DLT.
Nel contesto delle DLT sono nati gli smart contract: un particolare tipo di software che può
assumere rilevanza legale (in questo caso si parla di smart legal contract).
Lo smart legal contract è il picco dell’evoluzione del contratto informatico e formalizza l’epoca
autómata, che segue quella telematica e quella strumentale.
Il legislatore italiano regola in parte la materia degli smart contract: il meglio deve ancora venire. Lo
smart contract abilita il web 3.0 e alcune delle sue applicazioni più interessanti: DEFI, DAO e NFT
LA CRIPTOVALUTA
Una criptovaluta è un bene di tipo digitale che viene utilizzato come modalità di scambio attraverso
la crittografia per rendere sicure le transazioni e controllare la creazione di nuova valuta
Una criptovaluta è un mezzo di scambio simile alle classiche monete come Euro, USD, etc ma che
è stata progettata con lo scopo di scambiare informazioni digitali attraverso un processo basato
sulla crittografia.
La crittografia viene utilizzata per proteggere le transazioni e per controllare la creazione di nuove
monete. La prima criptovaluta creata, come abbiamo già affermato, fu il Bitcoin nel 2009. Oggi ce
ne sono centinaia, spesso definite come Altcoin.
A differenza della classica modalità di fare banca, in maniera completamente “centralizzata”, come
ad esempio fa da secoli la Federal Reserve o più recentemente la Banca Centrale Europea, con le
criptovalute non c’è nessuno che controlla la quantità di denaro che viene stampato. Tutto è
prestabilito (esiste infatti un tetto massimo di Bitcoin, che è di 21 milioni circa) e questo significa
che è praticamente impossibile alterare il valore dei Bitcoin.
LA CRITTOGRAFIA
La crittografia sta diventando un elemento essenziale nella protezione dei dati personali nella
società dell’informazione, sempre più votata al controllo.
Quello che è considerato un valido strumento per la protezione dei dati, affinché siano davvero
sicuri sia per la perdita occasionale oppure lo smarrimento, ma anche nei confronti del controllo da
parte di soggetti importanti quali lo Stato, le Forze dell’ordine o attività di spionaggio industriale.
Le problematiche relative al controllo della crittografia sono sia di tipo politico, sia di tipo normativo,
perché è interesse dello Stato controllare la crittografia e quindi magari introdurre delle modalità
che permettono di scardinare il sistema crittografico, anche il diritto è molto interessato come ad
esempio il nuovo Regolamento europeo sulla protezione dei dati personali, perché la crittografia
viene vista come unico strumento per tutelare oggi veramente il dato della persona e quindi i diritti
della persona, in una società sempre più invasiva.
È una tecnologia dallo sviluppo molto lento, che fornisce sicurezza al cittadino comune
estremamente alta.
È lo strumento più sicuro che ci sia come strumento generalizzato.
CAPITOLO XXX: INTELLIGENZA ARTIFICIALE, MACHINE LEARNING, DEEP LEARNING
VULNERABILITA’
Quali saranno le tecnologie che, nel prossimo futuro, avranno un maggiore impatto sulla nostra
vita?
Per quanto riguarda gli attacchi informatici, mai come oggi può creare determinati pericoli. Se
pensiamo al futuro l’intelligenza artificiale ed Internet delle Cose sono i due ambiti sicuramente.
Abbiamo trasferito la parte più intima di noi sulle cose e sappiamo che l’Internet delle Cose è
vulnerabile, perché nel momento in cui un dispositivo è connesso alla rete diventa un dispositivo
vulnerabile e ricordiamo che ogni dato interessa.
Per l’intelligenza artificiale ha un grande timore, ossia quello che la macchina impazzisca e diventa
un’intelligenza artificiale realmente intelligente.
Con riferimento all’intelligenza artificiale ricordiamo:
a. L’uso di reti neurali per elaborare i dati dei morti, per esempio il caso del ragazzo morto in
un incidente stradale e la sua fidanzata che lavora in una società di intelligenza artificiale
ha creato un robot con cui si può continuare a dialogare con il ragazzo morto, ed è riuscita
a creare un soggetto che parla realmente.
b. L’uso di robot killer, ossia sono le nuove forme di esercito che verranno utilizzate nelle
guerre del futuro, in grado in modo indipendente decidere uccidere, attaccare o meno,
possono essere robot simili all’essere umano oppure modifiche dello stato della natura e
quindi modifiche degli uccelli o degli insetti, pensiamo agli scarafaggi meccanici pensato ai
fini di spionaggio con un sistema per intercettare.
Ci sono interessi economici ingenti.
Con il termine intelligenza artificiale, spesso abbreviato in AI, dall'inglese Artificial Intelligence, si
intende generalmente l'abilità di un computer di svolgere funzioni e ragionamenti tipici della
mente umana.
Esistono almeno quattro diversi punti di vista sull'intelligenza artificiale, quattro modi diversi di
intendere l'intelligenza artificiale. Questi approcci sono:
a. Pensare come un essere umano - Approccio del test di Turing
b. Agire come un essere umano - Approccio della simulazione
c. Pensare razionalmente - Approccio della logica
d. Agire razionalmente - Approccio degli agenti razionali
L'intelligenza artificiale è una disciplina dibattuta tra scienziati e filosofi, la quale ha aspetti sia
teorici sia pratici. Nel suo aspetto puramente informatico, essa comprende la teoria e le tecniche
per lo sviluppo di algoritmi che consentano alle macchine (tipicamente ai calcolatori) di mostrare
un'abilità e/o attività intelligente, almeno in domini specifici. Per attività intelligente si intende la
capacità di estrapolare da conoscenze precedenti delle linee guida da utilizzare per
risolvere nuovi problemi, problemi che il sistema non ha mai affrontato sebbene possa
averne affrontati di simili in passato. In questo quadro così mutato rispetto a quello dei primi
anni del nuovo secolo, si inserisce il Regolamento Generale sulla protezione dei dati personali.
La sicurezza informatica non è più intesa come sicurezza del singolo Ente, ma viene inquadrata in
un’ottica di ecosistema virtuoso dal quale dipendono diversi interessi sociali.
Elementi cardine in materia di sicurezza informatica nel Regolamento europeo sono principalmente
tre:
1. analisi dei rischi;
2. accountability;
3. misure tecniche e organizzative.
Il Machine Learning insegna ai computer e ai robot a fare azioni ed attività in modo naturale
come gli esseri umani o gli animali: imparando dall’esperienza (o meglio, attraverso programmi
di apprendimento automatico). In sostanza, gli algoritmi di Machine Learning usano metodi
matematico-computazionali per apprendere informazioni direttamente dai dati, senza modelli
matematici ed equazioni predeterminate. Gli algoritmi di Machine Learning migliorano le loro
prestazioni in modo “adattivo” mano a mano che gli “esempi” da cui apprendere aumentano.
Il Deep Learning, la cui traduzione letterale significa apprendimento profondo, è una
sottocategoria del Machine Learning (che letteralmente viene tradotto come apprendimento
automatico) e indica quella branca dell’Intelligenza Artificiale che fa riferimento agli algoritmi ispirati
alla struttura e alla funzione del cervello chiamate reti neurali artificiali.
Da un punto di vista scientifico, potremmo dire che il Deep Learning è l’apprendimento da parte
delle “macchine” attraverso dati appresi grazie all’utilizzo di algoritmi (prevalentemente di
calcolo statistico).
Il Deep Learning (noto anche come apprendimento strutturato profondo o apprendimento
gerarchico), infatti, fa parte di una più ampia famiglia di metodi di Machine Learning basati
sull’assimilazione di rappresentazioni di dati, al contrario di algoritmi per l’esecuzione di task
specifici.
Le architetture di Deep Learning (con le quali oggi si riporta all’attenzione anche del grande
pubblico il concetto di rete neurale artificiale) sono per esempio state applicate nella computer
vision, nel riconoscimento automatico della lingua parlata, nell’elaborazione del linguaggio naturale,
nel riconoscimento audio e nella bioinformatica (l’utilizzo di strumenti informatici per descrivere dal
punto di vista numerico e statistico determinati fenomeni biologici come le sequenze di geni, la
composizione e la struttura delle proteine, i processi biochimici nelle cellule, ecc.)
I BIG DATA
I big data sono sprovvisti di una specifica definizione codificata dal Legislatore italiano e sono
altresì privi di un'univoca definizione anche dal punto di vista tecnico-informatico.
Secondo l'Unione europea i megadati sono «grandi quantità di tipi diversi di dati prodotti da varie
fonti, fra cui persone, macchine e sensori».
Il «big» dei dati fa riferimento ad alcune caratteristiche fondamentali: Volume, Velocità e Varietà.
A queste si aggiunge la veracità (di natura contenutistica) e il valore.
CORRELATION INSIGHTS
Gli algoritmi, grazie al trattamento di grandi masse di dati, possono rivelare relazioni tra scelte,
comportamenti, azioni, gusti e aiutare a costruire modelli altamente predittivi, di domanda e offerta,
di prodotti, servizi e contenuti di vario genere (anche culturali e politici).
MACHINE LEARNING
Sono modelli di apprendimento automatizzato in cui non si dice alla IA cosa fare, ma la si
programma per apprendere.
1. Produrranno soluzioni che si adattano più ad un concetto di probabilità che di certezza;
2. Attribuiscono importanza ai dati (esempi utilizzati per apprendere)
Importanza dei dati: se i dati sono errati, producono conseguenze devastanti del funzionamento e
nei risultati del sistema.
Effetto dei bad data: I programmi di machine learning «diventano sempre più strumenti di apprendimento
automatico, che riportano risultati (output) delle elaborazioni all’interno del programma stesso
consentendogli di modificare il proprio comportamento e di evolvere».
Due sistemi di IA identici ma alimentati con dati diversi, producono risultati diversi e evolvono in modo
diverso→ L’errore da occasionale diventa «automatico» (compromissione di tutto il sistema).
In considerazione dell’importanza dei dati, alcuni sistemi di machine learning sono allenati con esempi
“etichettati”.
Learning supervisionato: Viene fornita una serie di esempi di input e output corretti da chi li
etichetta per far capire alla IA come si deve comportare.
Learning non supervisionato: L’IA analizza una serie di dati senza che un umano indirizzi lo
schema input e output: sarà l’IA a rilevare correlazioni tra dati non catalogati.
DEEP LEARNING
Sottoinsieme del machine learning. Modelli di apprendimento ispirati alla struttura del cervello
biologico che si basano su reti neurali artificiali.
Il percorso input – output è il risultato del percorso che, attraverso i vari livelli della rete neurale,
viene seguito dal dato in entrata. Ogni livello svilupperà un microprocesso input/output che
comunicherà al livello successivo, fino all’esito finale.
Concetto: è la macchina che determina i classificatori da utilizzare.
RESPONSABILITA’
1. «Più i robot sono autonomi, meno possono essere considerati come meri strumenti nelle mani di altri
attori» e «in ultima analisi, l’autonomia dei robot solleva la questione della loro natura alla luce delle
categorie giuridiche esistenti e dell’eventuale necessità di creare una nuova categoria con caratteristiche
specifiche e implicazioni proprie» (Parlamento europeo, Risoluzione 16 febbraio 2018)→ Creazione
quindi di uno status giuridico ad hoc.
2. Individuazione dei soggetti che, a vario titolo, potrebbero essere coinvolti nella responsabilità per
danni cagionati da una IA. (opacità nel caso di sistemi di deep learning: impossibile l’individuazione
dell’errore)
Sono state sviluppate IA in grado di produrre contenuti scritti, musicali, opere pittoriche e si
stanno sviluppando IA in grado di scrivere software (tutelato come opera letteraria).
1. A chi spetta il diritto d’autore: Caposaldo del diritto d’autore è la possibilità di attribuire diritti ad
una persona fisica. Nel caso di IA non è sufficiente attribuire diritti al programmatore del sistema in
quanto una IA che non abbia lavorato una ingente quantità di dati non sarebbe in grado di produrre
un’opera nuova
2. Che incidenza hanno i dati sull’opera prodotta dalla IA? La domanda non trova oggi una risposta
valida ma apre la porta al tema della proprietà dei dati.
RESPONSABILITA’ CIVILE
Tali norme dovrebbero avere natura sussidiaria (applicabili laddove non sia possibile isolare la
responsabilità diretta di un soggetto umano cui imputare l’errore del sistema).
Ci sono nel nostro ordinamento norme in grado di attribuire in via sussidiaria la responsabilità per
fatti dannosi realizzati da una IA?
Gli ordinamenti europei e quello italiano prevedono forme di responsabilità anche qualora non ricorra il
paradigma di cui all’art. 2043 c.c. (condotta ascrivibile a un soggetto→ danno causalmente derivante da
tale condotta → elemento soggettivo).
Forme di responsabilità oggettiva in cui parte della dottrina individua gli istituti cui far riferimento per
imputare le conseguenze dei danni cagionati da una IA:
1. Limitare l’applicazione della responsabilità del produttore al fine di non scoraggiare l’innovazione.
2. Non applicare una responsabilità oggettiva ad un soggetto che, sia per l’imprevedibilità del
sistema IA, sia per la frammentazione sfumata dei contributi che i singoli soggetti danno
all’emissione dell’output della IA.
3. Possibilità di individuare nella IA un soggetto agente e dunque opportunità di invocare per i danni
cagionati da una IA il paradigma della responsabilità dei genitori per i danni cagionati da minori (art.
2048 c.c.), responsabilità del proprietario per danni cagionati da animali (art. 2052 c.c.) o più in
generale responsabilità derivante dall’esercizio di attività pericolose Presupposto: l’art. 35 GDPR
nel richiedere per i trattamenti ad alto rischio una specifica valutazione d’impatto, individua il caso
dell’uso di nuove tecnologie, tra le quali l’IA, come uno dei parametri di riferimento per ritenere che
il trattamento sia pericoloso
TEORIA DI HALLEVY
Partendo dal presupposto che una IA potrebbe avere capacità pensante (di intendere e volere) e
che gli ordinamenti giuridici moderni stanno producendo forme di responsabilità penale anche per
le persone giuridiche, vi possono essere 3 livelli di coinvolgimento di una IA in un reato:
1. Una IA potrebbe essere utilizzata consapevolmente per commettere un reato e figurerebbe
come “agente innocente”.
In tale caso si applicherebbe la responsabilità al soggetto che tramite essa ha commesso il reato.
La IA non viene vista come strumento - oggetto ma come soggetto non imputabile. Del reato
risponde chi ha determinato volontariamente la IA a commetterlo.
2. La seconda ipotesi riguarda il caso in cui un reato sia commesso da una IA durante il
funzionamento ordinario della stessa.
Paradigma: agente innocente, ma il soggetto determinante risponderà solo se il reato è punibile a
titolo di colpa atteso che la commissione del reato è avvenuta solo per negligenza, imprudenza o
imperizia nella programmazione o utilizzo del sistema.
3. Possibilità di attribuire alla IA la condotta e di riconoscere una mens rea, ossia l’elemento
soggettivo. Oltre a ritenere ipotizzabile la responsabilità dell’essere umano, Hallevy ritiene
ipotizzabile anche quella del sistema in quanto centro di imputazione della condotta e del correlato
animus.
LO SCENARIO DI RIFERIMENTO
L’impiego di tecnologie avanzate nella professione legale costituisce un fenomeno in forte
sviluppo, destinato a lasciare un profondo cambiamento.
È in continuo aumento anche la capacità dei sistemi di raccogliere, processare, conservare e
analizzare dati in quantità sempre maggiori.
Il beneficio principale per studi e avvocati è il sostanziale risparmio di tempo. Vi sono altri ambiti,
però, in cui difficilmente l’impiego di tecnologie avanzate porterà mutamenti sostanziali, come la
difesa orale in giudizio.
DOCUMENTO INFORMATICO
Fin dagli anni ‘90, numerose norme per definire il «documento informatico».
Es. Legge «Bassanini», 15 marzo 1999, n. 59, art. 15, co. 2: «gli atti, dati e documenti formati dalla
pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle
medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi
e rilevanti a tutti gli effetti di legge».
CAD
● Definizione
Art. 1, comma 1, lett. p) – «documento informatico: il documento elettronico che contiene la
rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti».
● Disciplina
Art. 20 – 23-ter. Numerosi rinvii alle Linee Guida
dell’AgID.
FIRMA ELETTRONICA
Art. 3, n. 10, Reg. eIDAS: «dati in forma elettronica, acclusi oppure connessi tramite associazione
logica ad altri dati elettronici e utilizzati dal firmatario per firmare».
Art. 1, lett. q) CAD (abrogato): «l’insieme dei dati in forma elettronica, allegati oppure connessi
tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione
informatica».
È la più semplice ma anche la meno efficace giuridicamente.
→ I soggetti obbligati:
● Professionisti: L’obbligo decorre dal 2009.
● Società: Le nuove società devono dichiarare la casella PEC all’atto dell’iscrizione al
Registro Imprese. Dal novembre 2011, tutte le società devono aver dichiarato la casella
PEC al Registro Imprese.
● Ditte individuali: Le ditte individuali, artigiani compresi, devono dichiarare la PEC quando si
iscrivono nel Registro Imprese. Dalla fine di giugno 2013 tutte le ditte individuali devono
aver comunicato la PEC al Registro Imprese.
● Pubbliche Amministrazioni: Devono tutte essere dotate di PEC con obbligo di
comunicazione entro il 30 novembre 2014 al Registro PP.AA.
Il diritto dell’Unione non prevede, per giunta, strumenti e meccanismi di cooperazione per quanto
riguarda la portata di una deindicizzazione al di fuori dell’Unione.
Il diritto dell’Unione obbliga tuttavia il gestore di un motore di ricerca a effettuare tale
deindicizzazione nelle versioni del suo motore di ricerca corrispondenti a tutti gli Stati membri e ad
adottare misure sufficientemente efficaci per garantire una tutela effettiva dei diritti fondamentali
della persona interessata.
Pertanto, le autorità degli Stati membri restano competenti ad effettuare, conformemente agli
standard nazionali di protezione dei diritti fondamentali, un bilanciamento tra, da un lato, il diritto
della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e,
dall’altro, il diritto alla libertà d’informazione e, al termine di tale bilanciamento, a richiedere, se del
caso, che il gestore di tale motore di ricerca effettui una deindicizzazione su tutte le versioni di
suddetto motore.
Questioni aperte + prospettive future
- Mancanza di definizioni condivise
- Bilanciamento tra contrapposti diritti e interessi
- Effettività
- Non solo cancellazione ma «riduzione visibilità»: Non è solo mera alternativa tra
mantenimento e rimozione
- Non solo privacy: Non è solo riservatezza
- Diritto di cronaca (non solo GDPR)
- Rapporti tra le fonti
- Rapporti tra le Corti
- Applicazione territoriale e sovranità digitale
- Ruolo e poteri delle piattaforme
→Cass. civ., ordinanza 19 maggio 2020, n. 9147
Esigenze di unicità ed organicità di sistema consentono di raccordare gli esiti di fonti e
giurisprudenza comunitaria a quelli interni, il tutto a ricomposizione di un quadro che meglio
consente di comprendere, nella loro acquisita complessità, le ragioni di un sistema in cui
l'informazione si smaterializza, prende altre forme di accesso alla conoscibilità attraverso l'operare
di nuove soggettività, e il diritto all'oblio, ricostruito all'interno di una normativa Europea nettamente
improntata sul trattamento dei dati personali, e già di ispirazione di leggi e testi unici nazionali,
acquisisce nuove declinazioni.
→Informazioni, piattaforme e controllo
1. Su Internet si scrive con l’inchiostro, non a matita, constata un personaggio di un film
americano uscito nel 2010, The Social Network.
2. Infatti, al centro della causa in esame si trova la questione se un host provider che gestisce
una piattaforma di rete sociale in linea possa essere obbligato a far sparire, con l’ausilio di
un metaforico correttore per inchiostro, determinati contenuti messi in rete da utenti di tale
piattaforma.
Szpunar, C-18/18
Le piattaforme, fondamentali per l’innovazione, “organizzano e definiscono l’ecosistema Internet” e
“hanno assunto la funzione di guardiani di Internet, potendo controllare l’accesso alle informazioni,
ai contenuti e alle transazioni online”.
[[Commissione Europea, Comunicazione sulla revisione intermedia dell’attuazione della strategia
per il mercato unico digitale. [Un mercato unico digitale connesso per tutti, «COM(2017) 228»
(2017)]]