Sei sulla pagina 1di 83

INFORMATICA GIURIDICA

INTRODUZIONE
LA PROTEZIONE DEI DATI, LA SICUREZZA E LA SORVEGLIANZA NELLA SOCIETÀ
DELL’INFORMAZIONE
Il dato digitale, il suo valore e il giurista
● Non è il dato che ci interessa ma la combinazione dei dati non omogenei tra loro che
genera una nuova informazione
● Se i dati non sono omogenei, diventa difficile il dialogo e occorre una sincronizzazione
manuale
● il dato non è quello che si vede ma quello che si genera
● Il dato è fragile Si cercano dati pubblici ed esterni
● Tabulati telefonici e file di log
● Internet cafe (commistione con i dati)
● I metadati dati di attività riguardanti tutto ciò che facciamo sui nostri dispositivi (Snowden
errore di sistema) questi non si controllano, generati da sistemi che non possiamo
controllare (es: vado ad un convegno negli stati uniti, parto da malpensa, ma a rho mi sento
male, quindi mi fermo in hotel dove mi collego al wifi può risultare che io ero nell’hotel
“passione Sfrenata” ma grazie ai contenuti posso spiegare il perché di quel soggiorno)
● Il Contenuto è prodotto in modo volontario al contrario dei sui metadati dispositivo, poiché
non possiamo controllarli crea senza il nostro consenso

DATI CHIUSI
Cifratura dei dati (pin/password) strumento di sicurezza più forte.
Anni dopo iphone di San Bernardo iphone 5c arrestato un terrorista e aveva una cifratura
sull’iphone e non sono riusciti a sbloccare, nemmeno apple a tentano di violare la privacy del
proprio sistema

IL GIURISTA E IL PASSAGGIO AI BIG DATA


Le investigazioni si fanno tramite i social network, le persone rivelano molte informazioni sui social
Tecnica dell’Open social network analysis (ONS)
● Capire lo stato d’animo delle persone a distanza (leggendo post/storie ecc..)
● Registrare se eravamo presenti o assenti in luogo a una tal ora
● Capire lo stile di vita e il reddito
● Informazioni su con chi è una persona, accedere alla sfera sociale di una determinata
persona
● Rilevare episodi di cyberbullismo, casi di furto di identità
● Background check il passato delle persone che viene ripreso dai social il corpo elettronico
può non corrispondere con il nostro reale (in California, volevano adottare una legge che
eliminava il background check raggiunta la maggiore età)

DIFFERENZA SENSIBILE TRA APPROCCIO USA E APPROCCIO EUROPEO ALL’IDEA DELLA


PROTEZIONE DEL DATO DIGITALE

Le origini del termine privacy (termine anglosassone), nasce in Inghilterra nel 1990 sull’articolo nato
sull’harvad law review da warren e Brandeis riporta all’intimità/riservatezza della persona
Warren interpretava la privacy come “non fotografate mia moglie”
Brandeis (origine ebrea) trasferitosi a Boston nel 1890 picco di immigrati era tutto colpa degli
immigrati, i quali venivano incolpati per qualsiasi episodio interpreta la privacy come “sono stanco
di questa discriminazione non usare i dati come mezzo di discriminazione
Insegnano tutti e due ad Harvard e parlano dei loro problemi, così da arrivare a voler scrivere il
primo articolo scientifico che porta una definizione di privacy” “the right of privacy” il diritto di
essere lasciati soli (non il diritto di essere soli ma di essere lasciati soli)
MA tutto questo crolla con:
● l’11 settembre → L’80% della popolazione era disposta a rinunciare alla propria privacy per garantire
sicurezza nei confronti degli attacchi terroristici
● l’avvento di facebook → “morte della privacy” i social portano ad esibire la European data protection
Usciamo dalla Seconda guerra mondiale Protezione dei dati con la Stasi controllare la privacy

LE ORIGINI
Il diritto alla tutela del dato personale si è affermata a seguito dello sviluppo tecnologico, avvenuto
in Italia negli anni ’70 che ha comportato l’estensione del tradizionale diritto alla privacy, definito
come “right to be alone” anche il diritto alla tutela e all’esercizio di un controllo sui propri dati e sui
trattamenti a cui i dati sono sottoposti.
L’affermarsi di questa nuova concezione del diritto alla privacy è stato accompagnato da importanti
interventi normativi che hanno condotto all’attuale normativa privacy europea, il general data
protection regulation (c.d. GDPR o reg.).
Il pacchetto (pacchetto protezione dati) è composto da 2 provvedimenti:
1 .la direttiva UE 2016/80 in materia di trattamento dei dati personali nei settori della prevenzione,
del contrasto e della repressione dei crimini direttamente applicabile
2 .il regolamento europeo 2016/679 (la normativa precedente si era rivelata inadeguata) in
materia di protezione dei dati personali, che è in vigore dal 24 maggio 2016 ed è diventato
applicabile in via diretta in tutti i paesi UE a partire dal 25 maggio 2018
A livello italiano abbiamo:
In Italia, il 19 settembre 2018 è entrato in vigore il d.lgs. n. 101/2018, che ha lo scopo di:
1. abrogare espressamente le disposizioni del d.lgs. n. 196/2003 ritenute incompatibili con il
GDPR;
2. integrare e revisionare le disposizioni rimaste in vigore;
3. introdurre nuove disposizioni.
Attuale quadro normativo:
1. GDPR
2. D.lgs. 196/2003, così come novellato dal D.lgs. 101/2018.
GDPR livello europeo si applica solo alle persone fisiche e non giuridiche (autorità garante
D. lgs. 196/2003)

FINALITÀ DEL REGOLAMENTO


● Creare un sistema armonizzato di norme evitando differenze di approccio
● Fornire una normativa in grado di stare al passo con la tecnologia attuale
● Fornire maggiore tutela ai cittadini, anche al di fuori dell’UE
● Più trasparenza nei trattamenti di dati personali
● Garantire certezza del diritto a tutti gli operatori economici
Il regolamento si applica a tutti quelli che trattano i dati personali dell’interessato il soggetto che
definisce i mezzi e le finalità del trattamento.
IMPLICAZIONI
● sanzioni espresse in percentuali, capaci di colpire grandi gruppi sanzioni amministrative
pecuniarie
- fino a 10 milioni o 2% del fatturato dell’anno prima
- fino a 20 milioni o 4% del fatturato dell’anno prima
● focus sull’interessato (potere di controllo sul dato, esercizio dei diritti)

LA STRUTTURA DEL REGOLAMENTO


Il Regolamento (UE) 2016/679 presenta una lunga serie di premesse 178 («considerando»), molte
delle quali contengono i principi essenziali e le definizioni preliminari in materia di privacy quando
non è chiaro un articolo, ci definisce il contenuto di tale articoli. È strutturato in 11 capi e consta
complessivamente di 99 articoli.
Ambito di applicazione materiale
Il Regolamento si applica solo al trattamento dei dati relativi a persone fisiche = «interessato» che
si trovi nell’UE, a prescindere dalla nazionalità o dal luogo di residenza (c.14).
Il Regolamento NON si applica:
● ai dati personali relativi a persone giuridiche
● ai trattamenti di dati personali effettuati da una persona fisica per attività di carattere
esclusivamente personale o domestico; (es: io ho un album di foto attività di carattere
personale)
● ai dati anonimi.

AMBITO DI APPLICAZIONE TERRITORIALI IN UE


Il GDPR si applica al trattamento dei dati effettuati nell’ambito dell’attività di uno stabilimento da
parte di un titolare del trattamento (o di un Responsabile dello stesso) indipendentemente dal fatto
che il trattamento sia effettuato o meno nell’Unione. Si applica innanzitutto ai Titolari «EUROPEI»
che trattano dati.
Ambito di applicazione territoriali extra UE
Si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un
titolare del trattamento (o da un responsabile del trattamento) che non è stabilito nell'Unione (es:
call center, social media), quando le attività di trattamento riguardano:
● l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione,
indipendentemente dall'obbligatorietà di un pagamento dell'interessato;
● il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all'interno dell’Unione.
Il Regolamento viene applicato al trattamento di dati personali, sia se questo è effettuato in modo
interamente o parzialmente automatizzato, sia se è effettuato in modo non automatizzato su dati
contenuti in un archivio.
Per trattamento s'intende qualsiasi operazione effettuata sui dati: raccolta, archiviazione,
cancellazione, consultazione, diffusione, comunicazione, etc. (cfr. art. 4, punto n. 2)
N.B. Anche la semplice consultazione del dato o la conservazione del dato costituiscono
trattamenti.
Il dato personale→ qualsiasi informazione dirette/indirette guardante una persona fisica identificata o
identificabile («interessato»).
informazioni dirette e indirette che mi permettono di identificare la persona fisica
● nome, dati anagrafici
● dati relativi all’ubicazione
● numero di identificazione
● identificativo online
● stato di salute
● abitudini immagine
● voce
Il data protection officer→ La figura del Data Protection Officer (DPO) rappresenta una delle novità
introdotte dal GDPR.
La designazione del DPO rappresenta una misura volta a facilitare l’osservanza della normativa
sulla protezione dei dati.
Il Data Protection Officer è nominato dal Titolare o dal Responsabile e deve essere una persona
che soddisfi specifici requisiti:
● Professionalità (deve avere conoscenze giuridiche, informatiche e altre abilità ed
esperienze)
● Ottima conoscenza della normativa e delle prassi in materia di privacy
● Capacità di svolgere i compiti assegnati
Art.37 GDPR: obbligo di nominare un DPO per:
● tutte le amministrazioni e gli enti pubblici
● quei soggetti la cui attività principale consiste in trattamenti che richiedono un monitoraggio
sistematico e regolare degli interessati su larga scala
● per i soggetti la cui attività principale consiste nel trattamento di dati particolari (ex dati
sensibili) o relativi a condanne penali e reati, su larga scala.
Tra i principali compiti del DPO rientrano:
● informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti;
● verificare l’attuazione e l’applicazione del Regolamento(incluse sensibilizzazione e
formazione del personale coinvolto nel trattamento);
● fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati
(DPIA);
● fungere da punto di contatto per gli interessati in merito a
qualunque problematica connessa al trattamento dei loro dati;
● fungere da punto di contatto per il Garante per la protezione
dei dati personali.
→gli adempimenti essenziali
Informativa e consenso → Art.13 GDPR: elenca in modo puntuale gli
elementi che il titolare del trattamento deve inserire all’interno
dell’informativa.L’informativa è la comunicazione obbligatoria di una serie di
informazioni all’interessato prima di trattare i suoi dati.Costituisce uno
strumento di trasparenza riguardo al trattamento dei dati personali e
all’esercizio dei diritti.Ad esempio, con essa si vuole facilitare la
comprensione dei contenuti, anche attraverso l’uso di icone identiche in tutta
l’Unione europea. Quando il trattamento dei dati è basato sul consenso, il
Titolare del trattamento deve essere in grado di dimostrare che il consenso è effettivamente stato
prestato dall’interessato. La richiesta di consenso deve essere formulata in modo da essere
distinguibile da altri documenti, comprensibile e facilmente accessibile, e scritta con un linguaggio
altrettanto semplice e chiaro. N.B. Il consenso rappresenta solo una delle possibili basi giuridiche
che rendono lecito il trattamento (art. 6 GDPR).
● Registro dei trattamenti
● Nomina DPO
● Gestione di un Data Breach
● Misure di sicurezza

UNITA’ 1: DATA GOVERNANCE, PROTEZIONE DEI DATI E GDPR

CAPITOLO I : SICUREZZA GIURIDICA E SICUREZZA INFORMATICA DAL D.LGS. 196/03 AL


REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI

PRIVACY E SICUREZZA INFORMATICA: UN BINOSCIO INSCINDIBILE


La disciplina in materia di protezione dei dati personali ha sempre avuto punti di contatto con la
sicurezza informatica, considerata come mezzo imprescindibile per raggiungere lo scopo del
corretto trattamento.
La centralità del tema della sicurezza, connesso con il generale diritto alla riservatezza, ha lo
scopo di garantire ad ogni persona fisica il rispetto dei diritti e delle libertà fondamentali, il
diritto alla vita privata in relazione al trattamento di dati a carattere personale che li riguardano.
La finalità è evitare che i dati possano distruggersi accidentalmente, essere modificati o diffusi
senza autorizzazione, per garantire la più elevata sicurezza informatica ed ordine pubblico.

LA SICUREZZA INFORMATICA E LA DATA PROTECTION NELL’AMBITO DELLA STRATEGIA


EUROPEA
Il tema della sicurezza delle reti e dei dati personali risulta affrontato già in sede europea a partire
dalle Direttive, che non hanno immediata applicazione sul territorio nazionale, poiché necessitano
di una legge nazionale per poter essere applicate all’interno dello stato membro. Importante sono
la sicurezza di funzionamento della rete, il mantenimento della sua integrità e la protezione
dei dati in essa circolanti.
Siamo arrivati al codice per la protezione dei dati personali, cosiddetto codice privacy, il d.lgs. n.
196/03, che riguarda la sicurezza, la riservatezza delle comunicazioni, la corretta gestione e
trattamento dei dati personali, o meglio detti dati sensibili dei soggetti interessati. Quindi particolare
attenzione va data alla regolamentazione della corretta gestione dei dati personali e
soprattutto attenzione al loro trattamento.
Due sono gli ambiti di grande interesse per l’attività normativa dell’unione europea in merito alla
sicurezza informatica:
a. La sicurezza delle reti pubbliche e delle telecomunicazioni
b. La prevenzione e repressione dei cosiddetti cybercrimes, che continuano ad essere in
forte ascesa nonostante la maggiore consapevolezza e progressivo affinarsi delle tecniche
di sicurezza informatica
Lo scopo è quindi quello di raggiungere questi obiettivi fondamentali:
a. Internet meno costoso, più sicuro e rapido
b. Investire nelle competenze
c. Stimolare l’uso di Internet
d. Promozione delle tecnologie
e. Incoraggiamento della cooperazione tra ambito pubblico e ambito privato
f. Favorire la diffusione di piattaforme elettroniche

FENOMENO DELLA DIGITALIZZAZIONE


Nel frattempo il fenomeno della «digitalizzazione» e dell’uso sempre più frequente della tecnologia
utilizzata non solo come strumento – ma anche come mezzo di produzione (industria 4.0) - ha
profondamento modificato le esigenze per la sicurezza delle informazioni sotto due
punti di vista:
a. proteggere i dati personali;
b. proteggere il patrimonio dagli attacchi dei cyber criminali;
I fattori che hanno incentivato questo percorso sono diversi:
1. Industria 4.0
2. La connessione continua
3. IOT> si indica il processo di interconnessione di una mole sempre maggiore di oggetti in
rete. Gli IOT espandono l’ubiquità di internet così come la gamma di opportunità:
- controllo dei macchinari;
- nel campo dell’automotive sarà possibile progettare macchine a comando
intelligente;
- smart cities;
- smart building.
Il cloud che definisce un processo di virtualizzazione degli strumenti oltre che dall’archiviazione.
Il cambiamento dei processi di lavoro con l’introduzione dello smart working grazie al quale è
possibile lavorare da remoto.

LA SICUREZZA INFORMATICA E LE MISURE DI SICUREZZA NEL D.LGS. 196/03 (CD. CODICE


PRIVACY)
Il Codice Privacy raccoglie l’eredità della legge n. 675/96 in una prospettiva di tipo evolutivo con
una finalità circa gli obblighi in merito alla sicurezza nel trattamento dei dati personali. Sono state
previste misure minime di sicurezza per creare una regolamentazione articolata e complessa.
Infatti, la norma cardine del codice privacy concerneva dalla previsione in materia di protezione
dei dati personali di idonee e preventive misure di sicurezza e strumenti digitali, sulla base di
questi elementi:
a. Progresso tecnico tecnologico
b. Natura del dato
c. Caratteristiche del trattamento
d. Analisi del rischio
I principi, quindi, maggiormente innovativi sono:
1. Semplificazione
2. Novità
3. Progettualità
Le principali novità del regolamento sono:
1. Nuovi principi generali
● Accountability
● Privacy by design e by default
2. Nuovi diritti degli interessati
● Diritto all’
● Diritto alla portabilità dei dati
3. Nuove figure professionali
● Data Protection Officer (DPO) / Responsabile della protezione dei dati personali
(RPD)
4. Nuovi adempimenti
● Registro delle attività di trattamento
● DPI
● (Notifica di data breach)
5. Nuove sanzioni amministrative

ART.32 GDPR
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del
contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i
diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio.
Art. 32 GDPR
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di
incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e
organizzative al fine

CONCETTO DI RISCHIO
Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali
trasmessi, conservati o comunque trattati.

ANALISI DEL LIVELLO DI SICUREZZA


1. Accesso fisico e misure di sicurezza attuate;
2. Gestione degli utenti (autorizzazione e autenticazione, gestione password);
3. Aggiornamento dei sistemi;
4. Corretta gestione:
- della navigazione web;
- della posta elettronica;
- dei software;
7. Cura del back up e del sistema di ripristino;
8. Corretto utilizzo dei dispositivi aziendali;
9. Formazione continua e policy;
10. Un sistema teso a comprovare l’adeguatezza delle misure adottate.

LA SICUREZZA INFORMATICA NELL’ALLEGATO B


Nel Codice privacy all’allegato B sono elencate misure minime di sicurezza e procedure per quanto
concerne l’autenticazione e autorizzazione, per la gestione e sicurezza del dato informatico.
Scopo dell’autenticazione è accertare l’identità dell’utente che vuole accedere alla rete nonché
l’autenticità della comunicazione, mentre scopo dell’autorizzazione è quello di consentire ad un
utente presumibilmente già autenticato il trattamento dei dati. L’adozione di un sistema efficiente di
autenticazione è la prima barriera che consente di tracciare il perimetro a difesa del sistema
e del dato informatico, ed è fondamentale per poter tracciare gli avvenimenti accaduti
riconducibili ad un determinato soggetto. Importante è anche ciò che concerne l’ambito
penalistico, con la previsione di idonee e specifiche fattispecie penali e sanzioni penali, come per
esempio il reato informatico ascrivibile alla norma prevista dall’art. 615-ter c.p, contro l’accesso
abusivo ad un sistema telematico o informatico
Altre misure di sicurezza sono sicuramente: supporti magnetici, supporti basati su memoria flash,
meccanismi di cifratura che impediscono la leggibilità dei dati da parte di soggetti non autorizzati,
servizi di archiviazione cloud, aggiornamento costante dei software e previsione di istruzioni
tecnico-organizzative circa il ripristino dei dati, ossia il cosiddetto disaster recovery, la cui finalità
era far sì che in caso di incidenti di natura informatica, non venisse meno uno degli obiettivi
principali della sicurezza del trattamento dei dati personali, ossia la disponibilità dei dati stessi.
● autenticazione informatica;
● adozione di procedure di gestione delle credenziali di autenticazione;
● utilizzazione di un sistema di autorizzazione;
● aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
● protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi
non consentiti e a determinati programmi informatici;
● adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei
dati e dei sistemi;
● tenuta di un aggiornato documento programmatico sulla sicurezza;
● adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

LA SICUREZZA INFORMATICA NEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI


Questo quadro risulta essere così mutato rispetto a quello dei primi anni del secolo scorso, dove
l’idea di sicurezza non va più intesa come problema del singolo ente, pubblico o privato, ma va
inquadrata in un’ottica di ecosistema virtuoso dal quale dipendono interessi di natura
economica nazionali e internazionali.
In tale panorama normativo, economico e tecnologico, si colloca il Regolamento generale sulla
protezione dei dati personali, che contempla una disciplina delineata e articolata in materia di
sicurezza informatica.
Si è passati da una visione dato-centrica ad una visione più volumetrica e ampia, che tenga conto
anche delle caratteristiche del trattamento e del titolare del trattamento, non solo delle
caratteristiche del dato, sempre considerando l’analisi dei rischi e dei costi. In una realtà
informatica e in una politica di sicurezza, le misure di sicurezza sono previste per assicurare la
riservatezza, l’integrità, la disponibilità, la resilienza dei sistemi informatici e dei servizi di
trattamento dei dati personali.
Il filo conduttore può essere riscontrato in queste parole:
a. Permanentemente
b. Tempestivamente
c. Regolarmente
In conclusione, il Regolamento generale sulla protezione dei dati personali, costituisce un’ottima
summa delle varie evoluzioni della sicurezza informatica connessa al trattamento dei dati
personali.

SICUREZZA IN PERIODO COVID


Nella società digitale, sono sempre più connesse Si parla molto di sicurezza urbana, di sicurezza
delle periferie.
Si parla molto di uso di sistemi per il riconoscimento facciale per gestire disordini, prevenire
crimini, tutelare l’ordine pubblico.
Pensate a come l'abbiamo improvvisamente vissuta
1. Tracciamento e App
2. Droni per controllo delle strade
3. Esercito per controllo delle persone
4. Uso delle celle telefoniche per controllare gli spostamenti Rapporto tra libertà e sicurezza

CYBERSECURITY
Un tema che a noi interessa particolarmente, Il primo articolo del GDPR che vi consigliamo:
l’articolo 32 («Misure adeguate di sicurezza»)
Il GDPR è il provvedimento oggi più importante in tema di protezione dei dati nel mondo.
General Data Protection Regulation, è un Regolamento dell’Unione Europea, Cominciamo a
comprenderla in pratica:
discuteremo su una serie di INCIDENTI (in particolare DIECI) che sono capitati a realtà che
trattavano dati in Europa.
Da ogni incidente ricaveremo insieme le prime regole (spesso sono anche regole di buon senso)
che ci faranno capire che cosa intende il DIRITTO per «cybersecurity».

→Credenziali nel «deep web»


● Problema di partenza: la presenza su siti e forum (soprattutto) nel deep web di grandi
quantitativi di dati esfiltrati da computer, server e database.
● Protezione del sistema di autenticazione, quale esso sia (purtroppo, quasi sempre
username e password).
es → Tra il 2018 e il 2020 molti clienti si lamentano per data breach (Un data breach o "fuga
di dati" è la diffusione intenzionale o non intenzionale, in un ambiente non affidabile, di
informazioni protette o private/confidenziali) correlati a un sito di shopping online.
➔ Si indaga la sicurezza del titolare e del suo responsabile esterno che gestisce il
sito di shopping
➔ Liste di credenziali non cifrate e password pubblicate su Internet.
➔ Presupposto dell’attacco: gli utenti spesso usano le stesse password e nomi utente
(o indirizzi mail) per servizi differenti.
automazione dell’attacco
● Attaccante usa dei bot per cercare di loggarsi in un gran numero di siti
● Gli attaccanti ottengono cognome, nome, indirizzo mail, data di nascita, numero della
cartàfedeltà e «balance», oltre a tutte le informazioni sugli ordini.
conclusioni es 1
● Strategia di accountability considerata sbagliata
● Conflitto tra tempi tecnici e tempi giuridici
● Conflitto tra «informatici» e «legali»?
● Attenzione anche alla mitigazione del danno
● Vulnerabilità ad attacchi che partono dai cattivi comportamenti degli utenti.

→SIM disattivata ma numero «vivo» per alcuni giorni


Problema di partenza: un utente «eredita» servizi e contenuti di un altro utente per un errore del
titolare.
es → (operatore telefonico in belgio) Il titolare assegna il numero di telefono dell’interessato a una terza
parte non autorizzata, causando all’interessato la perdita di accesso al suo numero di telefono.
Dal momento esatto in cui la SIM card viene disattivata, l’attività del titolare permette alla terza
parte di accedere a vari dati personali dell’interessato tra il 16 e il 19 settembre 2019 (tre giorni!),
come lo storico/elenco delle chiamate e account di vari servizi, soprattutto PayPal, Facebook e
WhatsApp, tutti servizi che erano associati a quel numero.
conclusioni es 2

● Cessazione di un servizio e morte del dato


● Problemi di configurazione
● Spesso la vulnerabilità è generata da un cattivo utilizzo/gestione del sistema o da
prove che si fanno, o da configurazioni sbagliate

→campo “ cc” nelle email


es → (romania) Viene inviata una e-mail informativa a 295 soggetti rendendo pubblico il loro indirizzo e-
mail a tutti i riceventi QUINDI Violazione dell’aspetto della confidenzialità
conclusioni es 3

● Abitudini sbagliate
● Non conoscenza di tutte le funzioni
● Possibile data breach
● Possibili allegati
● Possibili furti di «pacchetti» di indirizzi

→il training interno di cybersecurity


L’articolo 32 prevede la formazione come vera e propria misura di sicurezza, pari all’antivirus.
Formazione di sostanza e dimostrabile.
es → (romania)
Banca Transilvania, La banca chiede una dichiarazione al cliente circa l’utilizzo di una certa somma di denaro
che lo stesso voleva prelevare dal suo conto. La dichiarazione viene inviata alla banca online e girata a diversi
dipendenti della banca. Un dipendente fotografa la dichiarazione con il suo cellulare e la diffonde via
WhatsApp.Il documento viene poi postato su Facebook e su un sito → disclosure → La disclosure prova
l’inefficacia del training interno dei dipendenti della banca circa la compliance alla data protection
conclusioni es 4
problemi di comportamento e formazione

→il dottore tecnologico


Il problema di partenza: la gestione personale dell’informatica MA in ambito professionale
(commistione pericolosa di strumenti personali e professionali)
es → (francia) Il dottore memorizza immagini mediche di raggi X e dati dei suoi pazienti, con relativi
trattamenti, sul suo computer .Non prende corrette misure per la sicurezza dei dati. Tutti potevano
accedere ai dati dei suoi pazienti senza protezione all’accesso, e i dati sono rimasti esposti per 4
mesi.Ulteriore step critico (seconda sanzione): salvataggio su un server per accedere dal suo
home computer. Ma accesso al server non sicuro. Data leak che dura molto tempo.
conclusioni es 5
Commistione tra personale e professionale, Titolare singolo professionista o micro/piccola impresa

→il riavvio del server (la legge murphy)


es → (polonia) Società finanziaria che riavvia un server ma commette un errore. I settings dei
software del server che dovevano assicurare la cybersecurity si resettano, rendendo
pubblicamente disponibili i dati di 140.699 clienti. Il database viene immediatamente scaricato dal
server e cancellato da un soggetto che, poi, domanda una somma per restituirlo.
conclusioni es 6
vulnerabilità nelle configurazioni → Interessante anche il momento del passaggio da un sistema
all’altro: il periodo di migrazione apre vulnerabilità, soprattutto se fatto senza interrompere il
servizio.
quando il nostro sistema è sicuro?

● Nuovo/recente/aggiornato
● Impostato con strumenti specifici di sicurezza
● Quando usate un cloud sicuro
● Quando affiancate l’uso di strumenti personali all’uso di strumenti professionali
● Comparazione WhatsApp / Signal / Telegram
● Comparazione sistemi di cloud (iCloud, Tresorit, SpiderOak)
● Comparazione sistemi di e-mail (ProtonMail, PEC)

→errore nel test


es → (ungheria) Sistema di prenotazione di viaggi. Tutti potevano vedere i dati dei clienti via Google.
(compresi documenti di identità). I dati erano in un database di test creato dalla web agency che è
stata assunta per sviluppare e gestire il database. Aveva «popolato» il database non con dati finti
ma anche con dati veri dei clienti del titolare (circa 781).
conclusioni es 7
la sicurezza del responsabile esterno → Caso Marriott, Caso Unicredit, Caso PEC

→lo storage del cloud


es→ (svezia) Università: progetto di ricerca su violenza sessuale. Immagazzinati diversi rapporti di polizia su
un cloud di una società USA. Report con dati personali. Lo storage in un simile servizio di cloud per il
garante non protegge adeguatamente dati così sensibili. Invio di report non cifrati alla polizia svedese per
mail.
conclusioni

● Particolare attenzione per i dati sensibili


● Cautela nell’uso del cloud (cloud cifrato / zero knowledge systems?)
● Molto vicino al problema precedente (scelta del responsabile esterno)

→autorizzazioni accesso pazienti


es → (svezia) Accesso ai dati dei pazienti, Sistema informativo TakeCare non risponde al principio di
cybersecurity del minimum access. C’era un full access ai dati confidenziali dei pazienti di cui noi c’era
necessità per finalità lavorativa.
autorizzazione → Tantissime sanzioni, Errate configurazioni soprattutto nel settore sanitario
(Ospedali), Chi può vedere che cosa, L’importanza dei privilegi e degli account singoli per ciascun
utente, e del controllo delle attività (file di log)

→ leak sui siti web


es → (norvegia) Comune: un file di studenti che contiene dati personali viene pubblicato sul sito web della
società.
filtro/verifica di ciò che viene reso pubblico
Cosa esce sul web?
Chi controlla l’ultimo step: la pubblicazione Anche in Italia, soprattutto in enti pubblici
Dato sanitario e riviste mediche
Fare attenzione alla comunicazione pubblica di informazioni riservate

CAPITOLO II: IDENTITA’ DIGITALE, CORPO ELETTRONICO E REPUTAZIONE

IDENTITA’ DIGITALE E IDENTITA’ PERSONALE


dato → “Il concetto di “dato” esprime una registrazione elementare nella memoria di un computer, pur non
avendo una sua dimensione numerica prestabilita, che possa farlo ritenere una precisa unità di misurazione:
nel linguaggio comune il termine dati ha invece una accezione più ampia, significando spesso l'insieme dei
contenuti registrati nella memoria di un computer [...]” (Pica ,1999, Perri, 2007).
dato personale → “qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il
nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più
elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o
sociale; (C26, C27, C30) [...]”
diritti della personalità → “Con il termine “diritti della personalità” si intendono [ndr tradizionalmente]
quei diritti soggettivi ed assoluti volti a garantire le ragioni fondamentali della vita e dello sviluppo, fisico e
morale, dell’esistenza della persona. Tali diritti si caratterizzano per non avere carattere patrimoniale, per
essere inalienabili, intrasmissibili, irrinunciabili, imprescrittibili”
diritti della personalità e della persona → «Parte della dottrina opera una distinzione tra i diritti della
persona e i diritti della personalità, così enfatizzando la differenza tra gli aspetti attinenti alla
“persona”, intesa come persona fisica, e gli aspetti attinenti alla “personalità”, da considerarsi nella
sua dimensione morale, ideale, spirituale, relazionale, sociale».
QUINDI Aderendo a questa impostazione, sarebbero riconducibili alla categoria dei “diritti della
personalità” i profili relativi all’identità ed all’identificazione del soggetto nei suoi diversi aspetti
oggettivi e soggettivi e la percezione che il soggetto ha di se stesso nonché quella che il soggetto
dà al resto della comunità.
Al concetto di “identità personale” possono essere attribuiti differenti significati tutti legati
all’esigenza di riassume ciò che una persona realmente è, all’interno di un processo di costante
costruzione e di identificazione con uno o più modelli disponibili nell’ambiente sociale, per cui ogni
persona ha tante identità quanti sono i modelli con cui si identifica.
È da ritenersi del tutto superata l’accezione volta a considerare l’identità personale unicamente
quale complesso di dati anagrafici, che consentono l’identificazione di un soggetto.
Importanti in tal senso sono le sentenze della Corte costituzionale per cui ogni persona ha il diritto
a non vedere alterato o travisato all’esterno il proprio patrimonio intellettuale, politico, sociale,
religioso, professionale e ricordiamo il caso Veronesi sulle sigarette (pag.26).
Quindi, la questione relativa al diritto all’identità personale deve essere considerata anche in
relazione alla tutela costituzionale all’interno delle organizzazioni e formazioni sociali. Citiamo l’art.
2 della Costituzione → che tutela i diritti dei soggetti e la loro personalità nelle loro formazioni
sociali, in riferimento all’obiettivo primario che è sempre la tutela dei diritti fondamentali dell’uomo e
il suo pieno sviluppo.
L’identità personale è un bene autonomo e indipendente, riconosciuto e tutelato dalla Costituzione.
Il diritto a che la propria individualità sia preservata intatta.

IL DIRITTO ALL’IDENTITA’ DIGITALE


Il concetto di identità digitale non è espressamente previsto da alcuna norma di legge italiana
ed è spesso utilizzato quale sinonimo di strumento di identificazione dell’utente all’interno delle reti
telematiche di comunicazione, inteso come complesso di dati connessi all’utente, come
espressione dei valori dell’utente, come manifestazione della personalità dell’utente. Da qui, nasce
una forte esigenza nell’accordare nel mondo digitale una tutela analoga alla tutela nel mondo
reale, alla luce del fatto che l’identità digitale può essere intesa come l’altra faccia della medaglia.
L’identità digitale è spesso connessa al modo con cui soggetti terzi vedono e qualificano un utente
e i suoi dati, tramite ricerche online immediate.
● Possibilità di disporre di una moltitudine di differenti identità in rete, a volte condizionate
dall’anonimato.
● Possibili squilibri tra identità personale e identità digitale.
● Proiezione della propria identità personale in reti di comunicazione.
● L’individuo riesce a mantenere il controllo sulla rappresentazione della propria identità
online
Per l’identità digitale non è previsto:
● obbligo di cancellazione;
● obbligo di aggiornare le informazioni, mantenendo uno storico;
● bilanciamento degli interessi in gioco.
Il fatto storico potrebbe danneggiare la proiezione sociale dell’identità personale dell’interessato,
che ha diritto al « rispetto della propria identità personale o morale ».
Le notizie online devono essere contestualizzate e aggiornate.
L’identità digitale intesa anche sia come la rappresentazione di una persona all’interno della
rete, sia come l’insieme dei codici elettronici che identificano un soggetto fisico nel mondo virtuale
(l’indirizzo IP).
Il furto di identità può manifestarsi tramite:
● impersonificazione totale: occultamento totale della propria identità mediante
appropriazione di dati relativi all’identità di un altro soggetto (vivo o deceduto);
● impersonificazione parziale: utilizzo combinato di dati relativi alla propria persona e di dati
relativi a un altro soggetto.
L’identità digitale può essere un account di un social network, un indirizzo di posta elettronica, un
profilo di un gioco di ruolo ecc.
Quando viene creato un profilo falso virtuale, il bene giuridico che viene leso è quello dell’identità
personale.
È fondamentale, dunque, che vi sia nel digitale una precisa, autentica, sicura e corretta
proiezione dell’identità personale del soggetto e che vi sia corrispondenza tra dato fattuale e
dato digitale, in ogni contesto.
Il diritto e le corti si sono interrogate sul tema, ed in particolare sul diritto soggettivo di chiunque a
vedere costantemente aggiornate le proprie informazioni in rete.
Alla luce delle interpretazioni giuridiche, grande spazio va dato alla tematica attuale ed importante
del rapporto tra diritto all’ e identità digitale, in un’ottica di bilanciamento degli interessi in
campo e considerando la tematica della memoria connessa alla tecnologia. In un’era sempre più
digitale, è importante considerare i diritti dell’essere umano all’interno della realtà elettronica ed
informatica, con riferimento ai dati sensibili che costituiscono una evidente estensione del corpo
fisico, costituendo il cosiddetto corpo elettronico.

IL CORPO ELETTRONICO
L’aumento esponenziale dei dati, che riguardano la nostra persona, disponibili elettronicamente
hanno portato ad affermare la comparsa del cosiddetto corpo elettronico. Alla luce di una nuova
concezione integrale della persona, con riferimento ai diritti stessi della persona, quali il diritto alla
riservatezza, alla privacy e al controllo pieno ed effettivo sui dati e sul trattamento degli stessi.
Il corpo elettronico fa riferimento alla nascita di una nuova concezione integrale della persona e del
diritto alla pretesa di non perdere mai il potere di controllare il proprio corpo elettronico.
Abbiamo, quindi, una contrapposizione tra corpo fisico e corpo elettronico, entrambi da tutelare, ed
un interessante parallelo tra habeas corpus e habeas data, per cui partendo da presupposti e
caratteristiche differenti, la finalità è la medesima: la tutela dei diritti fondamentali della persona.
➔ Lo studioso Stefano Rodotà diceva “il diritto ad avere diritti” e “lo schermo, sul quale la
persona proietta la sua vita, non è più soltanto quello del personal computer, ma tende a
coincidere con l’intero spazio della rete”
Nel complesso rapporto che esiste tra tecnologia e diritto e tra tecnologia ed umanità, va ricordata
la preminenza della dignità dell’essere umano. → La dignità è il tramite per ricostruire l’integrità di
una persona, ricongiungendo il corpo elettronico e il corpo fisico.
Grande importanza ha sotto questo punto di vista la tematica dell’Internet delle cose (IOT), dove
però l’uomo continua ad essere soggetto ed oggetto di dignità ed integrità psichica e fisica da
tutelare, sia per quanto riguarda il concetto di corpo elettronico, sia per quanto riguarda il concetto
di corpo fisico.
In relazione all’esistenza di un corpo elettronico strettamente connesso al corpo digitale, non esiste
una sola ed unica eredità riconducibile alla persona fisica, ma esiste anche un’eredità digitale,
composta non soltanto dai dati personali, ma anche da tutto ciò che una persona lascia di sé
complessivamente nel mondo digitale ed in rete: un insieme di informazioni articolate e varie,
connesse ai gusti, gli interessi, le preferenze, l'opinione del soggetto e che fanno parte dell’intero
patrimonio digitale dell’umanità.
Il corpo elettronico non è una persona virtuale.

IL VALORE DEL BENE REPUTAZIONE


La tematica della tutela del diritto all’identità non solo personale, ma anche digitale, è strettamente
connessa con la tutela del diritto alla reputazione e al processo reputazionale, in un contesto di
rapporti interpersonali, di realtà sociale e di relazioni economiche, in relazione al marketing e alle
attività commerciali, finalizzate ad ottenere profitto personale.
Siamo in un’epoca sempre più digitale, in cui la reputazione online, l’esposizione pubblica e
l’immagine che appare da essa, hanno sempre più valenza anche da un punto di vista lavorativo.

IL DIRITTO ALLA REPUTAZIONE


Il concetto di reputazione è proprio e tipico delle scienze penalistiche, con riferimento al bene
giuridico della reputazione, da tutelare e proteggere.
La reputazione → è il complesso di idee, valutazioni ed opinioni che soggetti terzi hanno di una
determinata persona fisica in un ambiente sociale, e la reputazione online si crea a partire da dati
informatici presenti nel mondo digitale, connessi ad un preciso soggetto. Ricordiamo che il diritto
alla reputazione non può essere leso nel mondo fattuale e nel mondo digitale, in cui
sappiamo che l’informazione personale viaggia senza confini di spazio e di tempo, a livello
mondiale e con una risonanza e potenza nettamente maggiore rispetto alla diffusione di dati
cartacei.
Infatti, i dati immessi in rete sono fruibili da chiunque nel mondo, da un numero indeterminato di
persone, con una diffusione che spesso espone la reputazione online a rischi e danni.
Giurisprudenza, dottrina e diritto positivo sono attivamente occupate affinché il diritto possa
arginare la tematica e imporre delle norme finalizzate a regolamentare in modo efficace e completo
la disciplina e la materia.
QUINDI Esiste un corposo orientamento giurisprudenziale, a livello italiano ed europeo, che tende
all’allargamento della tutela della personalità morale degli enti, orientamento che, seppure
disomogeneo, appare in via di forte consolidamento.
Il danno reputazionale causato dalla circolazione di «fake news»:
● Condannato per truffa chi vendeva pacchetti di recensioni false su TripAdvisor, ristoratori parte civile
nel processo (Tribunale di Lecce, 12 settembre 2018) → caso lecce
● Ristoratore diffamato mediante false recensioni su TripAdvisor (Trib. Napoli, 6 agosto
2015, n. 11019)
● Medico diffamato su sistema di rating online (BGH, 23 settembre 2014 - VI ZR 358/13)
● Bertolli & Carapelli case (USA) → Epilogo con multa per la vicenda del falso olio extravergine
di oliva venduto nei supermercati da una serie di grandi case produttrici, condannate dall'Antitrust per
pratica commerciale scorretta.Gli esami hanno confermato che si trattava di semplice olio vergine
d'oliva, di qualità inferiore rispetto a quello "extra", per quanto riguarda i marchi Carapelli, Bertolli,
Sasso, Primadonna (Lidl), Coricelli, Santa Sabina e Antica Badia (Eurospin).

LA REPUTATION ECONOMY
L’identità digitale così creata diviene come merce sul mercato del lavoro funzionale alla
acquisizione di nuovi incarichi e l’attività di self branding può essere considerata una forma di
lavoro su beni immateriali, volutamente intrapresa al fine di raccogliere l'attenzione, la reputazione
ed, in ultima analisi il profitto. La creazione di una identità digitale diviene così una funzione di una
economia dell’immagine, nella quale è fondamentale monetizzare attenzione notorietà, e fama.
Mentre in passato la reputazione è stata considerata come riflesso diretto della qualità intrinseca del lavoro o
delle caratteristiche di una persona, ora diviene così frutto un processo con il quale un soggetto richiama a sé
stesso informazioni, attirando attenzioni con ogni mezzo necessario al fine di ingenerare fiducia nei confronti
di soggetti terzi. → «Questo processo è stato descritto da alcuni come “auto-branding” ed è volto ad
evidenziare il contesto lavorativo di un soggetto permettendo a questi di acquisire ulteriori incarichi
professionali, all’interno della cornice professionale che l’attività ha generato».
Stiamo inoltre assistendo alla creazione di una “cultura di intimità pubblica”, nella quale
l'esposizione pubblica e mediatica di sentimenti e di emozione provate da determinate persone in
relazione a determinati fatti, divine anch’essa chiaramente connessa ad un valore monetario, come
chiaramente accade nei reality. Ciò ha portato ad affermare l’esistenza del " sentimento generale”.
Grazie alla rete, non solo siamo in grado di vedere il numero di le relazioni che una persona ha, ma
siamo in grado di valutarne la qualità e valutare oggettivamente il valore economico delle sue
relazioni.
Valutando tutti questi fattori siamo in grado di definire un valore economico per l’identità
digitale di un soggetto; secondo alcuni autori, i quali hanno parlato di effetto Whuffie (una
moneta fittizia basata sulla reputazione personale) , per descrivere il sopraesposto processo, la
reputazione online sta diventano una moneta di scambio, della quale non è più possibile fare a
meno.

TUTELA CIVILISTICA DELLA REPUTAZIONE


In considerazione del fatto che la più tipica aggressione al bene giuridico della reputazione si
esplica attraverso le fattispecie di reato previste nel Capo II del Titolo XII del codice penale, è
altresì possibile rilevare che la diffamazione e l’ingiuria non costituiscono le modalità
esclusive attraverso le quali l’offesa viene perpetrata.
parallelamente allo sviluppo di tali tematiche, è andata infatti emergendo una nuova esigenza
correlata alla formulazione di una nozione civilistica di reputazione. Parte della dottrina ha ritenuto
che “sulla emersione di una nozione civilisticamente autonoma di reputazione ha pesato non poco
la secolare prevalenza dell’inquadramento penalistico che l’ha resa in larga misura tributaria delle
consolidate figure delittuose dell’ingiuria e della diffamazione”
“Il travisamento del patrimonio intellettuale, politico o sociale del rappresentato, integra violazione
del diritto all'identità personale, protetto dall'art. 2 Cost., anche in assenza di una lesione del diritto
all'onore o alla dignità. Tale violazione determina un danno risarcibile, suscettibile di liquidazione in
via equitativa ex art. 1226 e 2056 c.c., tenuto conto della riconoscibilità del raffigurato, della
divulgazione dell'immagine, dei destinatari e dell'attitudine lesiva dell'eventuale testo a corredo”.
focus → comunicazione con i meme su social media

CAPITOLO III: LE ORIGINI DELLA PRIVACY E DELLA PROTEZIONE DEI DATI

DIRITTI FONDAMENTALI E DIGNITA’


Per quanto concerne il tema del diritto alla privacy e alla protezione dei dati personali nel contesto
attuale di una società sempre più globalizzata, digitale e connessa in rete, è necessario
comprendere quali siano le origini di tali fondamentali diritti e su quali valori si fondino.
Questi diritti si fondano sul concetto di dignità umana, ed il sostantivo “dignità” deriva dal latino
“dignus”, ossia degno e meritevole.
La dignità è uno dei pilastri, insieme alla memoria, su cui si fonda l’intera costruzione dei nostri
diritti e della civiltà moderna, pensiamo alla Dichiarazione universale dei diritti umani dell’ONU del
1958, la Convenzione europea dei diritti dell’uomo del 1950, la Carta dei diritti fondamentali
dell’unione europea del 2000, ossia la cosiddetta Carta di Nizza.
Sulla base di questi impianti normativi, ricordiamo il diritto di ciascun individuo alla privacy, alla
riservatezza e alla vita privata, per cui viene richiamato il concetto di dignità della persona umana,
in relazione alla tutela dei dati personali.
Tali principi devono orientare gli individui e sono oggetto di continui bilanciamenti giuridici. E’
opportuno effettuare un’analisi precisa e puntuale su due concetti simili, che spesso vengono
confusi ed inter-cambiati: il diritto alla protezione dei dati personali e il diritto alla riservatezza.
Entrambi i concetti nonostante affondino le proprie radici nel comune terreno del diritto alla vita
privata e alla dignità umana, hanno declinazione, evoluzione e caratteristiche differenti.
a. Il primo concetto, ossia il diritto alla protezione dei dati personali, inteso come diritto
positivo ad avere il controllo sulle informazioni personali e sui dati sensibili, è noto nel
mondo anglosassone come “information privacy” oppure “data privacy” e si delinea nella
società dell’informazione. Si parla di “diritto ad avere protezione nel trattamento dei propri
dati”.
b. Il secondo concetto, ossia il diritto alla riservatezza si colloca invece nella categoria dei
diritti negativi, ossia quei diritti che escludono e vietano. Si parla di “diritto a non avere
interferenze nella propria sfera d’azione privata”. In inglese il diritto alla riservatezza viene
definito come “right to be let alone”, inteso come inviolabilità della sfera personale e della
vita privata. E’ quindi con tale espressione che nasce non solo il concetto moderno di diritto
alla privacy, ma anche il rapporto che deve sussistere tra due diritti ugualmente importanti,
ossia il diritto di informare ed essere informati.

EVOLUZIONE TECNOLOGICA E TUTELA DEI DATI PERSONALI: ALCUNI INTERESSI IN GIOCO


Sono molte le tappe che hanno condotto all’adozione in Europa di una regolamentazione assai
evoluta in riferimento al tema della protezione dei dati personali, ossia il General Data Protection
Regulation UE 679/2016.
Nell’attuale società digitale sono molteplici e varie le tematiche che possono emergere sia in
relazione al corretto punto di equilibrio tra manifestazione del pensiero e di stampa sia in relazione
alla protezione dei dati personali intesa come limite alla diffusione delle informazioni che
riguardano un data subject senza il suo consenso o altro presupposto di legittimità.
La perdita totale di controllo su questi dati, idonei a caratterizzare ogni persona fisica,
comporterebbe una lesione al diritto alla privacy, che va considerato alla luce della funzione
sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.
L’esigenza di tutelare il diritto alla riservatezza è diventata particolarmente sentita negli ultimi anni,
in considerazione anche del ruolo che stanno assumendo la tecnologia ed Internet nelle vite di
ciascuno, con la conseguente infinita esposizione e circolazione di dati sensibili. Nella realtà
riceviamo e immettiamo dati in Internet continuamente e le informazioni che riguardano la nostra
sfera personale sono sottoposti a inevitabili e rilevanti rischi per la nostra privacy.
Si pensi anche alla implicazioni privacy collegate alla circolazione dei dati mediante l’interazione di
oggetti connessi in rete: l’Internet delle cose (IoT). Con tale espressione si indica l’insieme delle
tecnologie che permette di collegare a Internet qualunque tipo di apparato, con lo scopo di
raccogliere e processare dati, trasferirli e svolgere azioni.
Gli ambiti di applicazione dell’IoT attualmente sono numerosissimi ed includono la sanità, la
robotica, il settore della sorveglianza e della sicurezza, le smart city, i pagamenti digitali. Il Garante
della Privacy italiano ha evidenziato alcuni dei possibili rischi in ambito di IoT, relativi all’affidabilità
dei dati.
Gli interessi in gioco sono diversi ed è bene arginare questo ambito, in cui trovare un punto di
equilibrio è una delle sfide di quest’epoca, che è stata definita anche “The Age of Data”.

IL QUADRO NORMATIVO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI


L’entrata in vigore del Regolamento Europeo 679/2016, ossia il General Data Protection
Regulation (GDPR), il 25 maggio del 2016, ha avuto un effetto su scala globale. Come ogni
regolamento europeo, è direttamente applicabile in tutti gli stati membri dell’Unione Europea, ma il
suo ambito di applicazione va oltre i confini europei. In principio sono state soprattutto le grandi
multinazionali attive nel settore dell’informazione e della tecnologia ad aver posto in essere
programmi di adeguamento agli adempimenti richiesti dal GDPR.
Si tratta di un nuovo impianto normativo in materia di protezione dei dati personali in ragione
soprattutto degli importi elevatissimi delle sanzioni amministrative previste dal GDPR in caso di
violazione delle sue disposizioni.
L’iter di adeguamento è e sarà stato graduale, così come lo è stato il processo che ha portato alla
sua elaborazione. I primi lavori della Commissione europea volti ad abbozzare uno schema di
Regolamento risalgono al 2012, prima di arrivare alla sua approvazione il 14 aprile 2016.
In un contesto di sviluppo tecnologico sempre più avanzato e in un sistema di circolazione dei dati
molto dinamico, ove diversi sono i rischi connessi a tale progresso della macchina di Internet,
prima del GDPR, vi è stata la Direttiva CE 95/46, cosiddetta Data Protection Directive, che ha
assolto alla funzione di colonna portante della struttura legislativa europea in materia di protezione
dei dati personali.
Tale direttiva, però, si era dimostrata inadeguata già all’inizio del XXI secolo, in particolare alla luce
della sempre più capillare diffusione di internet e di tutti i fenomeni connessi di circolazione e
trattamento dei dati personali, in virtù dei quali è stato inevitabile ampliare e adeguare la
normativa.
Il GDPR, invece, fornisce una completa disciplina in relazione all’altro diritto fondamentale, ossia
quello della protezione dei dati personali.
Per quanto riguarda la normativa italiana, il diritto alla protezione dei dati personali venne introdotto
dalla legge n. 675/96. Tale legge venne abrogata dal d.lgs. n. 196/03, ossia il Codice in materia di
protezione dei dati personali, comunemente detto Codice privacy, adottato in attuazione della Data
Protection Directive.
Con l’entrata in vigore del GDPR, è sorta l’esigenza di adeguare tutti gli ordinamenti nazionali dei
singoli Stati membri dell’Unione Europea, e in Italia è stato a tal fine approvato il d.lgs. n. 101 del
2018, che prevede numerose modifiche al Codice privacy, affinché questo risulti in linea con il
nuovo quadro normativo europeo, e nel rispetto della dignità umana, dei diritti e delle libertà
fondamentali della persona.

CAPITOLO IV: I PRINCIPI FONDANTI DEL GDPR

INTRODUZIONE
Il Regolamento generale sulla protezione dei dati personali 679/2016 ha introdotto un insieme
armonizzato di norme applicabili a tutti i trattamenti di dati personali riferiti ad individui che si
trovano in UE.
L’obiettivo primario sotteso a queste norme è quello di assicurare un elevato standard di
protezione dei dati personali dei soggetti interessati e di aumentare la certezza del diritto. Il GDPR
non disciplina il trattamento di dati personali relativi a persone giuridiche, ma solo quelli relativi a
persone fisiche, e ricordiamo che il diritto alla protezione dei dati personali è un diritto
fondamentale.
Il GDPR ha anche un ulteriore obiettivo: contribuire alla realizzazione di uno spazio di libertà,
sicurezza e giustizia comune e armonico tra tutti gli stati membri dell’unione europea, rafforzando il
progresso economico e sociale nel mercato interno. In un quadro di una libera circolazione dei dati
personali tra gli stati europei il GDPR si pone alla guida e all’avanguardia sulla protezione dei dati
personali.
Il diritto alla protezione dei dati personali è continuamente sottoposto ad un bilanciamento con altri
diritti e libertà fondamentali in un’ottica di proporzionalità, come per esempio:
a. Libertà di espressione
b. Libertà di pensiero
c. Libertà di stampa
d. Libertà di religione
e. Libertà d’impresa
Un esempio tipico va effettuato per esempio con il bilanciamento tra il diritto alla protezione dei dati
personali e il diritto alla libertà di espressione, per cui esistono limitazioni per bilanciare e
controbilanciare questi diritti. In questo scenario occorre assicurare che da un lato i cittadini
abbiano il pieno controllo dei dati personali e dall’altro che sia assicurata la certezza giuridica per
imprese.
Il GDPR, infatti, richiede che la protezione dei dati personali sia garantita in modo neutrale e come
impianto normativo rappresenta una guida, un solido orientamento e punto di riferimento normativo
e acquisisce una funzione ordinante.
Dai fondamentali...
Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua
famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua
reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni.
Dichiarazione Universale dei Diritti dell’Uomo, Art. 12

IL PRINCIPIO DI LICEITA’, CORRETTEZZA E TRASPARENZA


Il primo principio è il principio di liceità, secondo il quale i dati personali devono essere trattati in
modo lecito, corretto e trasparente nei confronti dell’interessato. Ogni trattamento di dati personali
deve trovare fondamento in un’idonea base giuridica per essere considerato lecito, come per
esempio il consenso dell’interessato, l’adempimento di obblighi giuridici, l’esecuzione di contratti,
l’esercizio di poteri pubblici. Un trattamento è quindi lecito se conforme alla legge e se persegue
una finalità legittima e strettamente necessaria.
Il secondo principio, strettamente connesso con il principio di liceità dunque, è il principio di
necessità, ossia il bisogno che giustifica il trattamento dei dati.
Il terzo principio su cui si fonda il rapporto tra il titolare del trattamento e l’interessato, è il principio
di correttezza, secondo il quale il trattamento può valutarsi corretto se è conforme alle norme
etiche, se lo sono del trattamento è determinato, esplicito e legittimo, se sono corrette le modalità
di raccolta dei dati e l’utilizzo dei dati stessi, e se infine vi è corrispondenza tra dati trattati e dati
riferiti all’interessato.
Da qui nasce l’obbligo per il titolare del trattamento di conformarsi alla volontà dell’interessato
quando il consenso costituisce la base giuridica del trattamento, l’obbligo di mantenere informato
l’interessato circa le modalità di trattamento dei dati che lo riguardano, l’obbligo di garantire la
protezione dei dati.

IL PRINCIPIO DI LIMITAZIONE DELLE FINALITA’


Per quanto concerne il principio di limitazione delle finalità, la finalità del trattamento deve essere
manifestamente definita prima che il trattamento abbia inizio. I dati devono essere raccolti per
finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia
incompatibile con tali finalità.
La finalità legittima e limitatamente determinata, quindi, conferisce legittimità e giustificazione al
trattamento dei dati personali, in materia di protezione dei dati personali.

IL PRINCIPIO DI MINIMIZZAZIONE
Per quanto concerne il principio di minimizzazione, secondo il GDPR, per minimizzare i rischi, è
bene minimizzare e limitare il trattamento solo per i dati strettamente necessari. Infatti, i dati
personali oggetto del trattamento devono essere adeguati, pertinenti e limitati a quanto
strettamente necessario rispetto alle finalità per le quali sono trattati.
Quindi, le categorie di dati scelti per il trattamento devono essere effettivamente necessarie al fine
di raggiungere con operazioni di trattamento le finalità indicate.
Tale principio, dunque, può essere inteso in una duplice accezione:
a. Quantità minima di dati personali
b. Portata minima del trattamento dei dati personali

IL PRINCIPIO DI ESATTEZZA, INTEGRITA’ E RISERVATEZZA DEI DATI


Per quanto concerne il principio di esattezza, i dati personali oggetto di trattamento devono essere
esatti, necessari e costantemente aggiornati e il titolare del trattamento deve adottare
tutte le misure ragionevoli ed idonee per cancellare, rettificare o modificare i dati inesatti rispetto
alle finalità per cui sono trattati. È dovere del titolare del trattamento garantire l’esattezza e la
sicurezza mediante misure tecnico-organizzative, come per esempio la cifratura e il ripristino
dell’accesso al dato.
Sono dunque fondamentali il principio di integrità del dato e il principio di riservatezza dei dati.

IL PRINCIPIO DI LIMITAZIONE DELLA CONSERVAZIONE


Strettamente correlato al principio di limitazione delle finalità, è il principio di limitazione della
conservazione, secondo il quale i dati devono essere cancellati quando le finalità per le quali sono
stati raccolti sono state soddisfatte.
Tale principio, quindi, richiede la necessità di conservare o meno i dati personali sulla base di una
valutazione di legittimazione della conservazione nel tempo.

ACCOUNTABILITY
La componente essenziale del c.d. principio di responsabilizzazione è data dall’obbligo del titolare
del trattamento di:
a. Mettere in atto misure per garantire che le norme in materia di protezione dei dati personali
siano rispettate e garantite nel contesto delle operazioni di trattamento
b. Disporre di documentazione atta a dimostrare agli interessati e alle autorità di controllo le
misure adottate per conseguire il rispetto delle norme in materia di protezione dei dati
personali
Il principio di accountability, dunque, esige che i titolari del trattamento dimostrino attivamente il
rispetto delle disposizioni del GDPR, provino e diano la comprovata dimostrazione di aver adottato
misure proporzionate ed efficaci, diano evidenze probatorie circa le fasi di trattamento dei dati.
Sono obblighi di sicurezza, che riguardano ogni fase del trattamento dei dati personali.
CAPITOLO VI: LE BASI GIURIDICHE DEL TRATTAMENTO DEI DATI

LA POLISEMIA DEL PRINCIPIO DI LICEITA’ DEL TRATTAMENTO DEI DATI PERSONALI


Il Regolamento Generale 679/2016 accoglie una polisemia del principio di liceità con riferimento al
trattamento dei dati personali, che deve essere lecito, corretto e trasparente ed individua i
presupposti legittimanti, ossia le condizioni di liceità del trattamento. Il giudizio di liceità sul
trattamento sul trattamento ha natura complessa, basandosi non solo sulla liceità, sulla correttezza
e sulla trasparenza del trattamento, ma altresì dell'esistenza dei presupposti di legittimità.

LE CONDIZIONI DI LICEITA’ QUALI BASI GIURIDICHE DEL TRATTAMENTO Le condizioni di liceità


sono condizioni al verificarsi delle quali possa ritenersi lecito il trattamento e sono definite basi
giuridiche del trattamento, alla luce di un costante bilanciamento tra diritti.

IL CONSENSO
Le condizioni dovranno sempre essere oggetto di informativa all’interessato. Tra i presupposti di
legittimità del trattamento vi è il consenso dell’interessato per conferire liceità al trattamento.

L’ ESECUZIONE DI UN CONTRATTO O DI MISURE PRECONTRATTUALI


Ulteriore base giuridica del trattamento dei dati personali è l’esigenza di dare esecuzione ad un
contratto o a misure precontrattuali.
Tali informazioni personali trattate risultano indispensabili e funzionali alla conclusione dello stesso
e necessarie in sede contrattuale precontrattuale.

L’ ADEMPIMENTO DI UN OBBLIGO GIURIDICO, L’ESECUZIONE DI UN COMPITO DI INTERESSE


PUBBLICO O CONNESSO ALL’ESERCIZIO DI PUBBLICI POTERI
Sono indicate quali condizioni di liceità del trattamento l’adempimento di un obbligo giuridico/ un
obbligo legale oppure l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di
pubblici poteri.
Vi è sempre l’esigenza di rispettare requisiti di certezza normativa, chiarezza e precisione per
quanto concerne il trattamento dei dati, con riguardo ai diritti e alle garanzie dell’interessato.
Tali basi giuridiche sono idonee a legittimare il trattamento dei dati personali di un data subjet.

LA SALVAGUARDIA DI INTERESSI VITALI


L’esigenza di salvaguardia di interessi vitali dell’interessato o di un terzo costituisce una condizione
di liceità del trattamento dei dati personali.
Tale base giuridica ha un’applicazione marginale, posto che troverà applicazione laddove il
trattamento non possa essere manifestamente fondato su altra base giuridica. Il disposto
normativo esprime un bilanciamento tra il diritto alla protezione dei dati personali e il diritto alla vita
e/o all’incolumità fisica, richiamati dalla ampia nozione di interesse vitale.

IL LEGITTIMO INTERESSE
Ultima base giuridica è il perseguimento di un interesse legittimo del titolare o dei terzi e tale
condizione di liceità potrebbe legittimare il trattamento di dati personali, ma solo a patto di non
prevalere rispetto a interessi/diritti/libertà fondamentali dell’interessato che implichino una
protezione dei dati personali.
L’impiego di tale base giuridica implica un bilanciamento di interessi contrapposti, con la finalità di
garantire la sicurezza delle reti e dell’informazione.

LA BASE GIURIDICA DEL TRATTAMENTO ULTERIORE CON FINALITA’ DIVERSE RISPETTO A


QUELLE INIZIALMENTE COMUNICATE ALL’INTERESSATO
Il titolare del trattamento sarà tenuto ad accertare se la finalità dell’ulteriore trattamento sia diversa
rispetto a quella per la quale i dati erano stati inizialmente raccolti.
Il giudizio di compatibilità prescritto nel Regolamento dovrà includere una valutazione formale e
sostanziale, e il titolare del trattamento dovrà tener conto di adeguate garanzie.
CONCLUSIONI
Nel Regolamento europeo, l’individuazione della base giuridica, al pari delle finalità del trattamento
cui sono destinati i dati, è cruciale nel giudizio di liceità iniziale e deve sempre essere oggetto di
specifica informativa.
Vi è, dunque, una stretta connessione tra base giuridica e finalità del trattamento.

CAPITOLO VII: IL GDPR E I SUOI ADEMPIMENTI

IN GENERALE
Il Regolamento europeo, come normativa uniforme e generale, per la protezione dei dati personali
n. 679/2016 prevede numerosi adempimenti, molti dei quali non sono nuovi, ma sono ereditati dal
d.lgs. n.196/03, ed erano già previsti dalla Direttiva CE 95/46, cosiddetta Data Protection Directive,
che ha originato l’attuale quadro di protezione dei dati
Tra gli adempimenti più importanti vi sono l’informativa e il consenso, considerati due adempimenti
fondamentali e tradizionali, posti al centro del sistema.
Tali adempimenti dovranno informare il cittadino e rendere trasparente l’intero processo di
trattamento dei dati anche in rete. Il totale del trattamento è tenuto ad effettuare una rilevazione
costante e puntuale delle informazioni riguardanti i dati trattati: da dove sono
raccolti, per quanto tempo sono raccolti, le modalità di conservazione, se e quando moriranno, la
circolazione e i percorsi effettuati.
Anche i diritti dell’interessato sono potenziati, in modo tale da permettere allo stesso di controllare,
governare e accedere al proprio dato. Infatti, accanto ai diritti di accesso, diritto di rettifica e diritto
d’integrazione, sono apparsi i nuovi diritti quali il diritto all’ e il diritto alla portabilità dei dati.
L’intero sistema delle misure di sicurezza è finalizzato ad elaborare misure sempre più idonee a
gestire il trattamento dei dati ed è compito del titolare del trattamento metterlo in pratica e doverlo
in ogni momento dimostrare e rendere verificabile, alla luce del principio di accountability già
esposto.
In questo scenario, infatti, sarà un nuovo soggetto, il Data Protection Officer (DPO) a fare da
sceriffo e controllore all’interno di molte grandi realtà che trattano i dati, per garantire l’applicazione
di tutte le disposizioni del Regolamento e per dialogare con il Garante in caso di problemi.
La nomina di un DPO, insieme alla tenuta di un registro dei trattamenti aggiornato e una corretta
gestione di eventuali data breach, ossia esfiltrazioni di dati dall’archivio dell’azienda, sono
considerati adempimenti da mettere in opera per garantire un buon approccio alla nuova idea di
sicurezza.
Per quanto riguarda le sanzioni, esse sono stabilite in percentuale con riferimento al fatturato
mondiale annuo dell’azienda.
In un’era dove il dato personale digitale viaggia oltre i confini con estrema facilità, sulle piattaforme
social network e nel cloud, possiamo dire che ormai è incorporato con la persona fisica e circola
insieme a lei negli smartphone, nei braccialetti fitness e nell’Internet delle Cose.
Gli adempimenti del GDPR sono di diversa complessità e mirano a tenere traccia dei fatti con un
approccio tecnico-organizzativo, ed è importante sapersi muovere in questa mappa di
adempimenti, adeguando sempre le misure di sicurezza al rischio concreto che potrebbe
verificarsi, con costante attenzione alle tecnologie disponibili.

CAPITOLO VIII: L’INFORMATIVA, IL CONSENSO E IL REGISTRO DELLE ATTIVITÀ DI


TRATTAMENTO

ACCOUNTABILITY E TRASPARENZA
Il principio di accountability costituisce l’essenza della normativa europea, prevedendo che il
titolare del trattamento sia competente per l’osservanza dei principi generali del trattamento e che
sia in grado di rendicontare e comprovare quanto eseguito in tema di protezione dei dati personali.
Le misure tecnico-organizzative devono essere, se necessario, costantemente riesaminate e
aggiornate dal titolare per garantire un trattamento di dati personali conforme al Regolamento.
Il principio di trasparenza si sostanzia nell’obbligo del titolare di informare gli interessati in merito al
trattamento dei loro dati personali e di informare gli stessi in caso di violazione dei dati personali,
con il cosiddetto data breach.

IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO


Il registro dei trattamenti è una FOTOGRAFIA di come vengono trattati i dati in una certa realtà.
Contiene anche una sintesi delle misure di sicurezza adottate.
Ogni titolare (e responsabile) che rientri nell’obbligo (art. 30 GDPR) deve tenere un registro delle
attività di trattamento in forma scritta, anche in formato elettronico, contenente alcune informazioni
fondamentali specifiche indicate nel medesimo articolo.
La funzione specifica del registro è quella di essere messa a disposizione dell’Autorità in caso di
ispezioni e/o controlli!

LE SANZIONI
La violazione delle disposizioni del Regolamento è soggetta a due diverse fasce di sanzioni
amministrative pecuniarie a seconda della norma violata:
1) fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo
dell'esercizio precedente, se superiore;
2) fino a 20.000.000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo
dell'esercizio precedente, se superiore.
Le sanzioni devono essere effettive, proporzionate e con chiaro scopo dissuasivo nei confronti delle
imprese.

IL TRATTAMENTO DEI DATI PERSONALI E LE BASI DI LEGITTIMITA’ SU CUI SI FONDA


Il trattamento di un dato personale, definito come qualsiasi operazione o insieme di operazioni
compiute relativamente al ciclo di vita di un dato personale, è lecito se fondato su una delle basi di
legittimità, tra cui:
a. Consenso espresso dal soggetto interessato
b. Esecuzione di un contratto di cui l’interessato è parte o esecuzione di misure
precontrattuali
c. Adempimento di un obbligo legale al quale è soggetto il titolare del trattamento
d. Necessità di salvaguardare interessi vitali
e. Esecuzione di un compito di interesse pubblico o connesso con l’esercizio di pubblici poteri
f. Necessità di perseguire un interesse legittimo

IL CONSENSO QUALE BASE GIURIDICA


Il consenso del soggetto interessato è definito come qualsiasi manifestazione di volontà libera,
specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio
assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati che lo riguardano
siano oggetto di trattamento.
Il consenso è valido se è:
a. Manifestazione di volontà libera
b. Manifestazione di volontà specifica
c. Manifestazione di volontà informata
d. Manifestazione di volontà inequivocabile
Il silenzio o l’inattività non possono essere considerati una manifestazione di volontà attiva di
scelta al trattamento dei propri dati personali.

INFORMAZIONI DA FORNIRE
ART. 13: qualora i dati personali siano raccolti presso l'interessato ART. 14: qualora i dati personali
non siano stati ottenuti presso l’interessato
Nel caso in cui i dati non siano raccolti presso l’interessato, il titolare del trattamento deve
comunicare tutte le informazioni previste dall’articolo 13, più le informazioni previste dall’articolo 14,
il tutto entro un termine ragionevole (un mese, il primo contatto o la prima comunicazione dei dati).
In caso di mutamento delle finalità, è necessario fornire una informativa ulteriore.

IL CONSENSO ESPLICITO
Il Regolamento prevede dei casi in cui il consenso del soggetto interessato deve essere esplicito,
relativamente al trattamento di categorie particolari di dati personali.

LA DIMOSTRAZIONE DEL CONSENSO


Il titolare deve essere in grado di provare che l’interessato ha prestato un valido consenso e nel
caso in cui i trattamenti dovessero mutare, occorrerà richiedere un nuovo consenso all’interessato,
e quindi tenere aggiornato il consenso stesso.

LA REVOCA DEL CONSENSO


L’interessato deve poter revocare il consenso in qualsiasi momento e con la stessa facilità in cui lo
ha reso, senza subire nessun pregiudizio e la revoca è un elemento necessario, che si ricollega
alla validità del consenso stesso.
Ove il consenso venga revocato, i trattamenti dei dati che si basano sul consenso avvenuti prima
della revoca sono leciti, ma il titolare deve interrompere le attività di trattamento e deve cancellare i
dati.

L’INFORMATIVA AL SOGGETTO INTERESSATO


Il diritto all’informativa costituisce uno dei principali pilastri dell’intera disciplina del trattamento dei
dati personali ed è una declinazione stessa del diritto alla protezione dei dati personali.
L’informativa è dovuta per qualsiasi trattamento, indipendentemente dalla base giuridica che lo
legittima ed è uno strumento che consente all’interessato di individuare ed identificare il titolare, le
caratteristiche del trattamento, le finalità e le modalità con cui verranno trattati e processati i dati.
E’ quindi fondamentale che il contenuto non sia frammentato o disperso, ma presentato
unitariamente con queste caratteristiche:
a. Forma concisa, trasparente, intellegibile
b. Facilmente accessibile
c. Linguaggio semplice e chiaro
d. Per iscritto o con altri mezzi

IL CONTENUTO DELLE INFORMATIVE


Le informazioni obbligatorie nel momento in cui i dati personali sono ottenuti sono le seguenti:
a. L’identità e i dati di contatto del titolare del trattamento
b. I dati di contatto del Data protection officer
c. Le finalità del trattamento
d. Gli eventuali destinatari
e. Ove possibile l’intenzione del titolare del trattamento di trasferire dati personali
f. Periodo di conservazione dei dati personali
g. Diritto dell’interessato di chiedere la rettifica dei dati
h. Diritto dell’interessato di chiedere la cancellazione dei dati
i. Diritto dell’interessato di voler revocare il consenso in qualsiasi momento
j. Diritto di proporre reclamo

IL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO


Il registro delle attività di trattamento rappresenta uno degli aspetti in cui si declina il principio di
accountability previsto dal Regolamento.
Per dimostrare di conformarsi alla normativa de qua, infatti, il titolare e il responsabile del
trattamento devono tenere un registro delle attività di trattamento effettuate sotto la loro
responsabilità, mettendolo a disposizione dell’Autorità di controllo.
Le finalità perseguite attraverso l’obbligo di tenuta del registro sono duplici:
a. Rappresentare lo strumento di cooperazione con il Garante Privacy
b. Costituire un documento da redigere al termine di un’analisi dei dati, di una mappatura dei
trattamenti e di una ricognizione delle finalità perseguite, tanto da diventare uno strumento
indispensabile per ogni valutazione e analisi del rischio
c. Divenire un mezzo di documentazione della conformità della propria organizzazione alle
prescrizioni di legge
Il registro delle attività di trattamenti:
a. Deve essere mantenuto costantemente aggiornato, poiché il suo contenuto deve sempre
corrispondere all’effettività dei trattamenti posti in essere
b. Deve essere tenuto in formato cartaceo o elettronico, poiché deve soddisfare la forma
scritta perché possa considerarsi validamente tenuto, in considerazione alle disposizioni
del C.C. e del CAD
c. Deve essere tenuto dalle imprese o organizzazioni con più di 250 dipendenti
d. Deve rispettare il principio di accountability

IL CONTENUTO DEL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO


Il registro delle attività di trattamento del titolare del trattamento deve contenere:
a. Il nome e i dati di contatto del titolare
b. Le finalità del trattamento
c. Una descrizione delle categorie di interessati
d. Una descrizione delle categorie di dati personali
e. Le misure tecnico-organizzative adottate

CAPITOLO X: IL DIRITTO DI ACCESSO AI DATI E IL DIRITTO DI RETTIFICA

IL DIRITTO DI ACCESSO: DALLA DIRETTIVA 95/46/CE AL CODICE DELLA PRIVACY


Il diritto di accesso è probabilmente il diritto primario riconosciuto agli interessati, spesso
prodromico dell’esercizio di ulteriori diritti riconosciuti dalla normativa in materia di protezione dei
dati personali.
Il nucleo originario di garanzie da cui promana questo specifico diritto era già contemplato
all’interno di norme precedenti al GDPR, per garantire a qualsiasi persona interessata il diritto di
ottenere la conferma dell’esistenza o dell’assenza di trattamenti che coinvolgessero dati personali.
Nel complesso, il diritto di accesso rimane immutato nel tempo.
L’articolo 15 è una diversa declinazione del diritto conoscitivo garantito dagli articoli 13 e 14, con la
sola inversione dell’azione: non è il titolare a fornirle, ma è l’interessato a richiederle.

REGOLAMENTO (UE) 2016/679


Del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
...per ribadire i fondamentali
Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua
famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua
reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni.
Dichiarazione Universale dei Diritti dell’Uomo, Art. 12.
La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un
diritto fondamentale.
L'articolo 8, paragrafo 1 della Carta dei diritti fondamentali dell'Unione europea («Carta») e l'articolo
16, paragrafo 1 del trattato sul funzionamento dell'Unione europea («TFUE») stabiliscono che ogni
persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

IL DIRITTO DI ACCESSO NEL REGOLAMENTO UE 2016/679


Il Regolamento UE 2016/679 disciplina il diritto di accesso in un apposito articolo e prevede in
capo all’interessato sia il diritto di ottenere informazioni circa l’eventuale trattamento di dati
personali che lo riguardano sia il diritto di accedere ai propri dati personali.
Nell’enucleare le informazioni, si desume quindi che l’interessato possa esercitare i propri diritti, tra
cui il diritto all’accesso ai propri dati personali, trasmettendo una richiesta di accesso.

OBBLIGHI E FACOLTA’ DEL TITOLARE DEL TRATTAMENTO IN CASO DI ESERCIZIO DEL DIRITTO
DI ACCESSO
In caso di esercizio del diritto di accesso da parte di un interessato, il riscontro da parte del titolare
deve avvenire senza ingiustificato ritardo entro un mese dalla richiesta. Questo termine può essere
prorogato di ulteriori due mesi, se necessario, tenuto conto della complessità e del numero delle
richieste gestite.
L’esercizio del diritto è generalmente gratuito, ma nel caso in cui vengano richieste più copie dei
dati viene corrisposto un importo e dunque l’onerosità del rilascio delle copie è necessariamente
correlato ai costi sostenuti dal titolare del trattamento.

IL DIRITTO DI RETTIFICA
Il diritto di rettifica appartiene al nucleo delle tutele già riconosciute e viene considerato
intrinsecamente collegato agli altri diritti, come per esempio il diritto di accesso. Con l’avvento del
Regolamento europeo 679/2016 il diritto di rettifica si estrinseca in due fattispecie distinte: una,
intesa come correzione di un errore sui dati esistenti, e l’altra come integrazione di eventuali dati
inesatti o incompleti.
Il titolare del trattamento deve valutare la richiesta dell’interessato, deve ottemperare alla richiesta
pervenuta dall’interessato aggiornando i dati e deve procedere a notiziare della rettifica o
dell’integrazione.
L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti
che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento,
l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una
dichiarazione integrativa.
Il titolare del trattamento comunica le rettifiche a tutti i destinatari cui sono stati trasmessi i dati
personali.

INDEROGABILITA’ DEI DIRITTI DI ACCESSO E RETTIFICA


I diritti di accesso e di rettifica sono diritti fondamentali ed inderogabili pattiziamente e per questo
motivo non possono essere limitati dal titolare del trattamento, nemmeno mediante previsioni
contrattuali.
I diritti di accesso e di rettifica sono un’articolazione del fondamentale diritto alla protezione dei dati
personali.

CAPITOLO XI: IL DIRITTO ALL’ E ALLA PORTABILITA’ DEI DATI

INTRODUZIONE AL DIRITTO ALL’


Il diritto all’ è un diritto oggetto di dibattiti dottrinali nei quali si scontrano differenti visioni dei
rapporti tra riservatezza e libertà di espressione, tra esigenze di memoria e desiderio di
dimenticanza.
È un diritto nato a coronamento di una stagione che ha registrato la moltiplicazione dei diritti della
personalità e l’esigenza di invocare ed esercitare il diritto all’ sorge quando, a seguito di una
pubblicazione di un’informazione il soggetto interessato, cui l’informazione si riferisce, ha interesse
a che tale pubblicazione non venga più effettuata o mantenuta.
A fronte della richiesta di cancellazione, la successiva pubblicazione o il mantenimento saranno
legittimi solo ove vi siano altri interessi prevalenti, idonei a giustificarla. Si riteneva che l’interesse
alla conservazione de dato venisse meno con il trascorrere del tempo e quindi il fattore temporale
veniva indicato come elemento caratterizzante il diritto all’.
Il digitale ed Internet hanno mutato tale paradigma, sulla base del Regolamento generale in
materia di protezione dei dati personali.

IL DIRITTO ALLA CANCELLAZIONE DEI DATI (DIRITTO ALL’) NEL GDPR


Il «diritto all’» si configura come un diritto alla cancellazione dei propri dati personali in forma
rafforzata. Si prevede, infatti, l'obbligo per i titolari di informare della richiesta di cancellazione altri
titolari che trattano i dati personali cancellati, compresi link, copie o riproduzioni.
Il titolare del trattamento comunica l’avvenuta cancellazione a tutti i destinatari cui sono stati
trasmessi i dati personali.

Il GDPR dedica una parte della normativa al diritto alla cancellazione dei dati per il data subjet,
ossia il diritto all’, nella versione in inglese “right to be forgotten”. Tra i motivi che legittimano la
richiesta di cancellazione dei dati abbiamo:
a. I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti b. Il
trattamento era basato sul consenso dell’interessato e l’interessato revoca il consenso c.
L’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per
procedere al trattamento
d. I dati personali sono stati trattati illecitamente
La richiesta dell’interessato deve essere accettata e la cancellazione deve essere effettuata, salvo
che il trattamento sia necessario rispetto alla situazione concreta.

IL DIRITTO ALL’ E IL BILANCIAMENTO CON ALTRI DIRITTI ED INTERESSI Il bilanciamento tra il


diritto all’ ed altri diritti ed interessi riconosciuti e tutelati dall’ordinamento giuridico è un’operazione
complessa e delicata, che tocca principi fondamentali e nel caso della libertà di espressione tocca i
pilastri della democrazia. In materia di diritto all’, la decisione a favore della cancellazione dei dati
non incide soltanto sulla sfera dell’interessato e del titolare del trattamento, bensì anche sulla
generalità di persone che avrebbero potenzialmente interesse ad accedere a tale informazione. I
casi concreti di bilanciamento sollevano delle problematiche.

DIRITTO ALLA LIMITAZIONE


Se il trattamento è limitato, i dati personali sono trattati, salvo che per la conservazione, soltanto
con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede
giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse
pubblico rilevante dell'Unione. Il titolare del trattamento comunica l’avvenuta cancellazione a tutti i
destinatari cui sono stati trasmessi i dati personali.

IL DIRITTO ALLA PORTABILITA’ DEI DATI


Il diritto alla portabilità dei dati è uno dei diritti dell’interessato introdotti dal GDPR, per cui lo stesso
ha diritto di ricevere da parte del titolare del trattamento la copia dei dati personali che lo
riguardano in un formato strutturato.
ART. 20
Il diritto alla portabilità consente all’interessato di ricevere i dati personali precedentemente forniti a
un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, nonché di
trasmetterli a un altro titolare del trattamento senza impedimenti.
Questo diritto si applica solo ai trattamenti automatizzati, solo ai trattamenti effettuati con consenso
o per contratto e solo per i dati forniti direttamente dall’interessato.
In ogni caso, non pregiudica i trattamenti in essere né confligge con l’esercizio di altri diritti.

DIRITTO DI OPPOSIZIONE
ART. 21
Nel caso di trattamenti basati su legittimo interesse o sull’interesse pubblico, l'interessato ha il
diritto di opporsi al trattamento dei dati personali che riguardano la sua situazione particolare.
Incombe sul titolare del trattamento dimostrare che i suoi interessi legittimi prevalgono sugli
interessi o sui diritti e sulle libertà fondamentali dell'interessato.

PROCESSO DECISIONALE AUTOMATIZZATO


ART. 22
L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul
trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano
o che incida in modo analogo significativamente sulla sua persona.
ART. 8 CEDU
Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale
ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è
necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese,
alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla
protezione dei diritti e delle libertà altrui.
ART. 23 GDPR
Si può limitare la portata dei diritti nel caso in cui sia necessario e indispensabile per
salvaguardare;
a) la sicurezza nazionale;
b) la difesa;
c) la sicurezza pubblica;
d) la prevenzione e perseguimento dei reati
e) importanti obiettivi di interesse pubblico generale;
f) l'indipendenza della magistratura e del processo;
g) il perseguimento di violazioni della deontologia delle professioni regolamentate;
h) una funzione di controllo, d'ispezione o di regolamentazione;
i) la tutela dell'interessato o dei diritti e delle libertà altrui;
j) l'esecuzione delle azioni civili.
→Come si esercitano
Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando
ogni misura idonea, sia tecnica che organizzativa.
L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi eccezioni,
se si tratta di richieste manifestamente infondate o eccessive o ripetitive.
→Cosa si ottiene
Il titolare deve dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di
diniego, eventualmente comunicando l’estensione del termine a massimo 3 mesi, in casi particolari
e complessi.
Il riscontro all’interessato di regola deve avvenire in forma scritta, anche attraverso strumenti
elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede
l’interessato stesso.
La risposta fornita all’interessato non deve essere solo intelligibile, ma anche concisa, trasparente e
facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
→Habeas corpus – Habeas data
Questi diritti servono a garantire il controllo degli interessati sui propri dati.
I nostri dati, infatti, sono sempre più un’estensione della nostra persona e sono meritevoli della
massima tutela possibile.

CAPITOLO XII: LA FUGA DEI DATI E LA MINACCIA DEI DATA BREACH

INQUADRAMENTO NORMATIVO
Negli ultimi anni la portata, la frequenza e l’impatto dei data breach concernenti soprattutto i dati
personali trattati dalle grandi piattaforme online hanno comportato un aumento esponenziale dei
rischi per la sfera privata delle vittime coinvolte nelle violazioni. Il contesto tecnologico attuale deve
fare i conti con un aumento della superficie di attacco, derivante dall’enorme diffusione degli
oggetti connessi ad Internet.
L’iper - connessione, l’utilizzo di dispositivi elettronici, l’utilizzo dei cloud hanno portato ad una
costante crescita del cybercrime, ossia l’attacco informatico.
Il Legislatore europeo ha fissato una serie di obblighi generalizzati che stabiliscono misure di
sicurezza volte non solo alla prevenzione degli incidenti, ma anche al contenimento dell’impatto sui
diritti e sulle libertà dell’interessato.
Il Garante Privacy italiano ha recepito le indicazioni europee varando un provvedimento di
carattere generale, la normazione relativa ai data breach e tali violazioni devono avere ad oggetto
dati personali qualificati come informazioni riferite a persone fisiche identificate o identificabili.
Inoltre, il GDPR ha reso la notifica della violazione e la comunicazione all’interessato un obbligo in
tema di sicurezza.

DEFINIZIONE E TIPOLOGIE DI VIOLAZIONI


Il data breach consiste in una violazione di sicurezza che comporta accidentalmente o in modo
illecito la distruzione, la perdita, la modifica, la diffusione, l’accesso ai dati personali trasmessi,
conservati o comunque trattati → Dati che escono dalla disponibilità del titolare e iniziano a
circolare o diventano inutilizzabili
I data breach sono classificati in riferimento alle tre proprietà di sicurezza delle informazioni,
comunemente espresse in termini di:
a. Riservatezza
b. Integrità
c. Disponibilità
Distruzione: tutte le ipotesi di perdita irreversibile dei dati, circostanza che si realizza non solo
quando i dati non sono più esistenti, ma anche quando i dati non siano più esistenti in qualsiasi
modo utilizzabile dal Titolare (ad. es. incendio, danneggiamento fisico deliberato).
Perdita: l’evento al seguito del quale i dati personali sono ancora esistenti ma il Titolare ne abbia
perso il controllo o l’accesso o non ne sia più in possesso (ad. es. furto di un device contenente dati
personali).
Modifica: sussisterà laddove i dati siano alterati anche se esistenti (ad. es. errore umano, azione di
malware).
Divulgazione non autorizzata o l’accesso: si pensi al caso di utenti che riescano ad accedere a dati
personali che non sono di loro competenza per un errore di configurazione del sistema o al caso di
illecita diffusione dei dati personali (ad. es. invio via e-mail di documenti a destinatari errati; attacchi
informatici).

NOTIFICA DI UNA VIOLAZIONE DI DATI PERSONALI ALL’AUTORITÀ DI CONTROLLO E


COMUNICAZIONE AGLI INTERESSATI
• In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di
controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a
conoscenza, a meno che sia improbabile che la violazione di dati personali presenti un rischio per i
diritti e le libertà delle persone fisiche. Qualora la notifica non sia effettuata entro le 72 ore è
corredata dai motivi del ritardo.
• «Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e
le libertà delle persone fisiche, il Titolare del trattamento comunica la violazione all’interessato
senza ingiustificato ritardo» (art. 34, par. 1 GDPR).
I VOLTI DEL DATA BREACH
1. Il data breach doloso → interno ed esterno
2. Il data breach accidentale: negligenza, imprudenza, imperizia
3. Il data breach correlato al furto e/o allo smarrimento di dispositivi.
4. l data breach collegato al phishing → è un tipo di truffa effettuata su Internet attraverso la quale
un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati
finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
5. Il data breach legato agli attacchi ransomware → è un tipo di malware (Programma/codice che
mette a rischio un sistema) che limita l'accesso del dispositivo che infetta, richiedendo un riscatto da
pagare per rimuovere la limitazione
6. Il data breach legato alle configurazioni dei sistemi
7. Il data breach legato alle vulnerabilità
8. Il data breach ereditario
9. Il data breach «fisico»

DATA BREACH EMBLEMATICI


● Ashley Madison; → Nel luglio 2015, un gruppo che si fa chiamare "The Impact Team" ha rubato i
dati degli utenti di Ashley Madison, un sito web commerciale pubblicizzato come abilitante per
relazioni extraconiugali. Il gruppo ha copiato le informazioni personali sulla base di utenti del sito e
ha minacciato di rilasciare i nomi degli utenti e le informazioni di identificazione personale se Ashley
Madison non si fosse chiusa immediatamente. Il 18 e 20 agosto, il gruppo ha fatto trapelare oltre 60
gigabyte di dati aziendali, inclusi i dettagli degli utenti. A causa della politica del sito di non
cancellare le informazioni personali degli utenti, inclusi nomi reali, indirizzi di casa, cronologia delle
ricerche e record delle transazioni con carta di credito, molti utenti temevano di essere pubblicamente
svergognati
● Piattaforma Rousseau; → n provvedimento equilibrato, quello con cui il Garante Privacy ha
appena sanzionato il M5S con 50 mila euro per la Piattaforma Rousseau, A seguito dell’intrusione
l’utente Twitter “rogue0” ha diffuso sul social dati personali di iscritti o simpatizzanti del Movimento
5 Stelle, apparentemente estratti dal database anagrafico della “piattaforma Rousseau”. L’indagine
del Garante ha permesso di verificare che, sebbene ci si potesse iscrivere ai siti della piattaforma
Rousseau solo con autenticazione forte (ovvero l’accertamento dell’identità dell’utente attraverso due
o più strumenti di autenticazione) e previa verifica del documento di identità da parte di un operatore,
successivamente la login era subordinata unicamente all’inserimento di una password e, il sistema,
non richiedeva particolari requisiti di complessità della parola chiave (era ad esempio possibile
inserire una password di lunghezza inferiore agli 8 caratteri). Questo fatto rendeva particolarmente
vulnerabile la piattaforma
● Equifax → La violazione dei dati Equifax si è verificata tra maggio e luglio 2017 presso l'ufficio
crediti americano Equifax. Record privati di 147,9 milioni di americani, insieme a 15,2 milioni di
cittadini britannici e circa 19.000 cittadini canadesi sono stati compromessi nella violazione,
rendendolo uno dei più grandi crimini informatici legati al furto di identità. In un accordo con la
Federal Trade Commission degli Stati Uniti, Equifax ha offerto agli utenti interessati fondi di
liquidazione e monitoraggio gratuito del credito. Nel febbraio 2020, il governo degli Stati Uniti ha
incriminato i membri dell'Esercito di liberazione popolare cinese per aver violato Equifax e
saccheggiato dati sensibili come parte di una massiccia rapina che includeva anche il furto di segreti
commerciali, sebbene il Partito comunista cinese abbia negato queste affermazioni.
● Unicredit; → L’evento di violazione ha riguardato gli accessi abusivi ai dati di circa 762 mila clienti
in seguito ad un’intrusione nei sistemi dell’applicativo per la gestione delle richieste dei
finanziamenti. Le informazioni oggetto di violazione hanno riguardato, a detta della stessa Unicredit
dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di
identità nonché informazioni relative a datore di lavoro, salario, importo del prestito, stato del
pagamento, “approssimazione della classificazione creditizia del cliente” e identificativo Iban.
● Leonardo S.p.A. → “All’esito di complesse attività d’indagine del Gruppo di lavoro sul cybercrime
della Procura della Repubblica di Napoli, volte a definire i contorni di un grave attacco alle strutture
informatiche della Divisione Aerostrutture e della Divisione Velivoli di Leonardo S.p.A., il
C.N.A.I.P.I.C. del Servizio centrale della Polizia postale e delle comunicazioni e il Compartimento
campano del medesimo servizio hanno eseguito due ordinanze applicative di misure cautelari nei
confronti di un ex dipendente e di un dirigente della predetta società, essendo gravemente indiziati, il
primo, dei delitti di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni
telematiche e trattamento illecito di dati personali”.
→Fattori di rischio
➔ contesto tecnologico (aumento della superficie d’attacco);
➔ utilizzo di cloud;
➔ dispositivi sempre connessi;
➔ crescita del cyber crime.
→Possibili conseguenze
➔ interruzione delle attività lavorative (DoS o sabotaggio);
➔ perdite economiche e finanziarie dirette (cause legali, crisi reputazionali o perdita di
competitività);
➔ perdita di fiducia tra clienti, utenti, dipendenti e investitori;
➔ danni fisici, inclusi danni ai propri dipendenti o clienti (es. fabbriche, aziende di trasporti,
ospedali).
→Come reagire a un data breach
● procedura gestione → Pianificazione di un piano di risposta in cui siano stabiliti i ruoli e le
responsabilità dell’organizzazione, nonché le procedure da adottare.
● valutazione dei danni contenimento → Valutazione di impatto del data breach sui diritti e le libertà
degli interessati e definizione delle misure e delle strategie da adottare.
● tre livelli notifica
1. compilazione del registro interno.
2. notifica all’Autorità Garante
3. notifica all’interessato
● policy di prevenzione → Stesura di un piano operativo per scongiurare il rischio di data breach
Esistono cinque tipologie di violazioni fondamentali previste nel GDPR, suddivise in accidentali e
illecite, con gli impatti prevalenti sui tre principi fondamentali in materia di sicurezza delle
informazioni.
a. Il primo è la distruzione, ossia l’indisponibilità permanente dei dati con impossibilità di ripristino,
che può essere accidentale, cioè causata da un evento esterno alla volontà umana, oppure illecita.
b. Il secondo è la perdita, ossia lo smarrimento e sottrazione dei dati personali, che può essere
accidentale oppure illecita.
c. Il terzo è la modifica, ossia il cambiamento di dati personali improprio o non autorizzato, in grado
di compromettere la completezza e/o la correttezza delle informazioni, che può essere accidentale
oppure illecita.
d. Il quarto è la divulgazione non autorizzata, ossia la rivelazione di dati personali a soggetti terzi
determinati o indeterminati, che può essere accidentale o illecita
e. La quinta è l’accesso ai dati personali trasmessi, conservati o comunque trattati, ossia attività di
trattamento di dati personali effettuata da soggetti non autorizzati, che può essere accidentale o
illecita.
Questi sono i rischi da tenere in considerazione per la valutazione dell’adeguato livello di sicurezza
da assicurare all’interno della propria organizzazione.
L’intento del Legislatore è quello di far riflettere il titolare del trattamento sugli scenari di rischi, sulla
base del cosiddetto controllo basato sul rischio, al fine di minimizzare gli incidenti che possono
essere classificati come violazioni di sicurezza.

LA NOTIFICA ALL’AUTORITA’ DI CONTROLLO


Il GDPR stabilisce che la notifica di data breach deve essere effettuata dal titolare del trattamento
all’Autorità di controllo competente, entro 72 ore dal momento in cui ne è venuto a conoscenza.
Il titolare del trattamento deve essere costantemente nella condizione di rilevare i data breach e di
disporre dei mezzi idonei per prendere decisioni tempestive in merito alla valutazione del rischio
per gli interessati.
Questi aspetti vanno letti anche alla luce degli obblighi di garanzia rispetto alle misure di sicurezza
tecniche e organizzative e al livello di rischio dei trattamenti attuati. È importante che il titolare dei
trattamenti effettui una mappatura dei dati e che conduca la relativa analisi del rischio, per stimare
la gravità degli eventuali data breach in corso. La notifica deve contenere necessariamente alcune
informazioni di carattere sintetico, tra cui:
a. Una descrizione della violazione dei dati personali
b. L’indicazione della categoria dei dati
c. I dati di contatto del titolare del trattamento
d. I dati di contatto del Data protection Officer se designato
e. Una descrizione delle possibili conseguenze del data breach
f. Una descrizione delle misure adottate per porre rimedio alla violazione dei dati personali

LA COMUNICAZIONE ALL’INTERESSATO
Lo scopo principale della comunicazione all’interessato è quello di fornire tutte le principali
informazioni relative all’incidente o alla frode informatica, adottando le misure di protezione atte
alla minimizzazione dei rischi sui dati.
A differenza di quanto avviene con la notifica all’Autorità di controllo, in tali ipotesi non è previsto
un limite temporale prestabilito, per cui la comunicazione all’interessato deve avvenire il prima
possibile.
I contenuti minimi della comunicazione devono essere espressi con un linguaggio semplice e
chiaro, la descrizione della violazione, la descrizione delle probabili conseguenze della violazione,
la descrizione delle misure adottate per porre rimedio e per attenuare i possibili effetti negativi.

LA CORRETTA GESTIONE DI UN DATA BREACH E IL RUOLO DEL DATA PROTECTION OFFICER


Fondamentale per il titolare del trattamento è aver messo in atto un piano operativo, con l’esigenza
di prevedere a supporto un’attività strutturata di gestione del rischio. Fondamentale è rilevare
tempestivamente il data breach e poterne limitare l’impatto, attraverso misure di sicurezza, per
tracciare tutti gli incident, per pianificare strategie e un piano di risposta.
In tal senso, il GDPR ha previsto specifici obblighi in capo al Data protection officer in riferimento ai
data breach.

CAPITOLO XIV: TRATTAMENTO DI DATI PERSONALI, SANZIONI AMMINISTRATIVE E


PECUNIARIE E PENALI
INTRODUZIONE
Il Legislatore italiano sia con la l. n. 675/1996, sia con il d.lgs. n. 196/2003 ha previsto un ventaglio
sanzionatorio differenziato, posto che da un lato ha previsto, sanzioni amministrative pecuniarie e
dall’altro lato ha previsto norme penali incriminatrici. Con l’entrata in vigore del GDPR, il sistema
sanzionatorio resta sostanzialmente analogo. Si tratta di sanzioni differenti e vi sono tre elementi
fondamentali in materia: a. La prima questione è legata al concetto di trattamento di dati personali
effettuato da una
persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico, e che
quindi non abbiano una connessione con un’attività commerciale o professionale b. La seconda
questione riguarda il principio del ne bis in idem
c. La terza questione riguarda la possibilità che l’Autorità di controllo disponga di misure correttive
In riferimento alle violazioni, si dovranno vagliare gli elementi quali il danno subito dagli interessati,
in conseguenza del trattamento non conforme e il grado di responsabilità. In merito alla questione,
sono state emesse numerose pronunce giurisprudenziali, sulla base del quadro normativo.

LE SANZIONI AMMINISTRATIVE PECUNIARIE PREVISTE DAL GDPR Lo scopo del Legislatore


europeo con il GDPR è quello di garantire effettività alla tutela dei diritti fondamentali protetti anche
mediante l’imposizione, in caso di violazioni, di sanzioni amministrative pecuniarie.
La costruzione delle fattispecie sanzionatorie viene ripartita in due grandi categorie che si
differenziano per il massimo della pena applicabile e irrogabile:
a. Pena fino a 10 milioni di euro (2 % del fatturato mondiale totale annuo)
b. Pena fino a 20 milioni di euro (4 % del fatturato mondiale totale annuo)
La sanzione deve essere effettiva, proporzionata e dissuasiva, in relazione alla cosiddetta funzione
social-preventiva.
Esistono due macroaree ben distinte:
a. Da un lato troviamo le sanzioni amministrative pecuniarie espressamente contemplate dal
GDPR
b. Dall’altro lato troviamo le sanzioni per la cui individuazione il GDPR ha rinviato alla
normativa interna di ciascun stato membro.

LE SANZIONI AMMINISTRATIVE PECUNIARIE INTRODOTTE DAL D. LGS. 101/2018


Con il decreto legislativo 10 agosto del 2018 n. 101 e con la modifica del d. lgs. N. 196/2003
vengono disciplinati i criteri di applicazione delle sanzioni e viene individuato un corpus di leggi e
un corposo impianto sanzionatorio in materia di protezione dei dati personali.

LE NORME RELATIVE ALL’APPLICAZIONE DELLE SANZIONI AMMINISTRATIVE PECUNIARIE


PREVISTE DAL GDPR E DAL CODICE DELLA PRIVACY
Il Codice della Privacy, modificato dal d. lgs. N. 101/2018, prevede che il soggetto competente
all’irrogazione delle sanzioni amministrative pecuniarie nei confronti di soggetti pubblici e privati sia
il Garante Privacy.
L’avvio del procedimento applicativo delle sanzioni e delle misure correttive può avvenire sia
d’ufficio, che su iniziativa di parte, con la proposizione del reclamo al Garante da parte
dell’interessato.
Una volta ricevuta la notifica con indicazione dei fatti e delle violazioni contestate, il trasgressore
potrà far pervenire all’Autorità, entro 30 giorni, degli scritti difensivi e chiedere di essere sentito dal
Garante.

LE SANZIONI PENALI E IL PRINCIPIO NE BIS IN IDEM


Il GDPR contempla la possibilità che ciascun stato membro introduca delle sanzioni penali per la
violazione del Regolamento generale.
Con il d. lgs. N. 101/2018 sono state introdotte delle norme penali incriminatrici, e ricordiamo che è
necessario prestare una particolare attenzione al bilanciamento tra sanzioni amministrative
pecuniarie e norme penali incriminatrici, allo scopo di evitare situazioni di ne bis in idem, per cui un
soggetto non può essere sanzionato due volte, in un procedimento amministrativo e in un
procedimento penale.
LE SINGOLE SANZIONI PENALI ATTUALMENTE PREVISTE DAL CODICE DELLA PRIVACY
Con il decreto legislativo vengono interamente riscritte una serie di norme penali incriminatrici e se
ne aggiungono delle nuove.
Pensiamo all’elemento del nocumento arrecato all’interessato, ossia al danno che altera o
interrompe la funzionalità o l’efficacia di un fatto naturale, e al fatto tipico in diritto penale. Il dolo
richiesto è generico e deve consistere nella consapevolezza della falsità delle dichiarazioni, notizie
o circostanze per esempio.

CAPITOLO XVI: LA MORTE DELL’UTENTE, LE POLITICHE DELLE PIATTAFORME E IL RAPPORTO TRA


IL LUTTO E IL DIGITALE

PREMESSA: LA “MORTE DIGITALE”


L’annuncio che ha avviato il dibattito in tutto il mondo è stato dato dalla BCC “a breve su Facebook
ci saranno più morti che vivi, come se fosse un cimitero digitale”. Il luogo/non luogo frequentato
dalla maggior parte dei “cittadini digitali”, capace di superare i confini di Paesi e Continenti si
starebbe trasformando sempre di più in un luogo di morte. Alcuni studiosi hanno già coniato
l’espressione morte digitale, come un genere di morte che si unirebbe e si aggiungerebbe all’idea,
ben nota a tutti, di morte fisica.
Avremmo così tre fenomeni connessi alla società dell’informazione:
a. La morte fisica
b. La morte digitale, ossia dell’aspetto digitale o della presenza dell’essere umano in un
servizio informatico o in un social network
c. Gli effetti della morte fisica sui beni digitali
Si tratta di un ambito che tocca tantissimi temi religiosi, sociali, tecnologici, economici, storici,
filosofici, sino ad arrivare a delineare all’orizzonte una nuova idea di comprensione e gestione
della morte, ripensata ed infine adattata per l’era digitale e per le numerose identità virtuali e corpi
elettronici dell’individuo.
Con la dizione “morte digitale” si potrebbe allora, intendere anche la “morte” di dati, raccolte di dati
e servizi digitali nell’ambiente online, estendendo una definizione accurata ed omnicomprensiva di
morte digitale.
Un primo elemento di analisi, in un’ottica informatico giuridica, riguarda la comprensione di che
cosa ne sarà dei nostri dati digitali dopo la morte e quale sarà il destino di tutte le nostre
persone/identità digitali/alter ego virtuali/corpi elettronici che hanno preso forma nel mondo online
e quali saranno le persone che potranno disporne e prendere decisioni sul modo di trattare i nostri
beni.
Siamo ormai in un’epoca di dati eterni, che sopravvivono senza difficoltà alla morte dell’individuo.
Esisterebbe, quindi, un’idea di eredità digitale non semplicemente connessa ai dati singoli, ma
anche a quanto una persona lascia di sé complessivamente nel mondo digitale. Si tratta di una
presenza di informazioni che costituisce un vero e proprio patrimonio digitale, che non ha
precedenti nella storia dell’umanità, sia per dimensioni e sia per dinamicità, e che ha un rilievo per
l’aspetto strettamente patrimoniale.

LE PIATTAFORME TECNOLOGICHE, IL DIRITTO E LA GESTIONE DEGLI UTENTI DEFUNTI


I fornitori di piattaforme di social network e i provider di servizi di posta elettronica e di spazi cloud
cercano, quotidianamente, di mediare tra le esigenze di privacy dei clienti/utenti defunti e le istanze
dei parenti e amici per apprendere i dati di un parente deceduto o per celebrare anche online il
ricordo di una persona.
Le grandi aziende tecnologiche mirano ad anticipare la volontà dell’utente medio, dando la
possibilità ai loro clienti di nominare, tramite testamento finto o meglio dire atto privato, degli eredi
digitali o un mandatario post mortem per il digitale, che si occupi di ricere tutti i codici del defunto,
oppure cristallizzando un profilo facendolo diventare commemorativo e immodificabile,
Non è semplice, anche nell’ambiente digitale, conciliare le esigenze di tutti gli eredi e da qui si
generano numerose questioni e le soluzioni adottate sono in corso di costante aggiornamento.

LA MORTE, IL LUTTO E IL DIGITALE


In un ambito così fluido e liquido, sono numerosi i servizi che si stanno occupando di gestire i dati
personali dopo la morte e la gestione del lutto online.
Dal punto di vista dell’eredità, è indiscutibile che l’idea di un patrimonio digitale stia assumendo
sempre più interesse anche in un’ottica di valore.
Il problema è che il cosiddetto patrimonio digitale può sollevare aspetti spinosi sia dal punto di vista
della privacy del defunto sia per quanto concerne l’aspetto patrimoniale e a tal proposito: deve
prevalere la privacy del defunto come diritto fondamentale, anche rispetto all’interesse dei parenti
di accedere ai dati?
es 1→ Nel 2004 il giovane marine americano muore tragicamente in Iraq e i genitori chiedono a Yahoo!
l’accesso all’account di posta elettronica del figlio → Yahoo! respinge la richiesta presentando due
motivazioni:
1. il contratto prevedeva la clausola “no right of survivorship and no trasferability”
2. il provider, salvo un ordine giudiziale, si era impegnato a non comunicare a terzi informazioni
dell’account.
Dopo un travagliato iter giudiziario, i genitori di Justin ottengono la consegna su CD delle e-mail
ricevute dal figlio, ma non il permesso di accedere all’account.
es 2 → I genitori di un giovane prematuramente scomparso chiedono ad Apple di poter recuperare i dati del
figlio dal suo Iphone;gli stessi « avevano più volte contattato la società resistente, la quale aveva, peraltro,
preteso, per consentire l’accesso ai dati contenuti dell’ID Apple,un ordine del Tribunale contenente
determinati requisiti; alcuni degli elementi indicati dalla Apple come contenuto dell’ordine del Tribunale
erano estranei all’ordinamento italiano »; «parte ricorrente, (...), ha allegato la sussistenza del fumus boni
iuris – evidenziando come, ai sensi dell’art. 2 terdecies dal Nuovo Codice della Privacy, i diritti riguardanti le
persone decedute potevano essere esercitati per “ragioni familiari meritevoli di protezione” – e del periculum
in mora, atteso che la Apple aveva fatto presente che i propri sistemi, dopo un periodo di inattività
dell’account i-cloud sarebbero stati automaticamente distrutti »; → pertanto, il Tribunale di Milano
accoglie il ricorso dei genitori e, condannando la Apple Italia S.r.l. al pagamento delle spese di lite,
ordina alla società di fornire assistenza ai genitori del giovane per consentire l’acquisizione delle
credenziali di accesso all’ID apple del figlio.
In un’ottica di questo tipo è importante raggiungere un equilibrio tra le parti e gli interessi in causa.
Il ruolo che hanno i social è finalizzato a possibilità di dialogo ed è chiaro che se cambiano le
modalità di interazione sociale di chi sta per morire e di chi commemora, allora cambia anche
l’esperienza e la percezione del lutto, perché la connessione tra la morte e il mondo tecnologico e
digitale, che danno modo di percepire un senso di comunità, è inscindibile.
I social network permettono la « socializzazione del lutto » e la morte tecnologica si intrinseca online
→ Si rivela uno sdoganamento della morte: un lutto che non è più intimo, la morte che diventa
social,La sofferenza viene condivisa, la tecnologia viene usata per cercare di stare meglio.
Siamo, dunque, di fronte ad una morte sempre più presente nelle nostre vite, perché collocata
negli smartphone, nei tablet e negli apparecchi tecnologici.
Alcune considerazioni e problematiche
● morire digitalmente è più difficile che morire fisicamente;
● hanno sempre più successo i servizi che si occupano di gestire la vita digitale degli utenti
dopo la loro morte (digital life manager);
● esistono servizi funebri digitali che organizzano veri e propri funerali sui social network;
● si registrano numerosi i casi di suicidi filmati o in diretta; → il suicidio di un giovane su periscope
● « un dato digitale è per sempre ».

IL CONCETTO DI «RISCHIO»
«Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che
sono stimate in termini di gravità e probabilità per i diritti e le libertà»
(Linee guida del Gruppo di lavoro Articolo 29 in materia di valutazione di impatto sulla protezione
dei dati – WP248rev.1)
Art. 24 GDPR
«Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento,
nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il
titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed
essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente
regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.»
I titolari del trattamento devono adottare un approccio basato sul rischio.

ACCOUNTABILITY
Il titolare del trattamento è competente per il rispetto dei principi fondamentali per la protezione dei
dati, che deve essere in grado di comprovare.
In particolare, dovrebbe essere in grado di dimostrare:
● la conformità delle sue attività di trattamento con i principi del GDPR (limitazione della
conservazione, minimizzazione, liceità e correttezza, esattezza);
● di aver messo in atto le misure tecniche ed organizzative adeguate al livello di rischio
valutato;
● l’efficacia delle misure tecniche ed organizzative adottate.
→Quali tipi di rischio bisogna considerare?
L’art. 35 del GDPR (DPIA) menziona, in particolare, i rischi connessi al diritto alla riservatezza e
protezione dei dati personali.
Occorre però considerare anche il rischio in relazione ad altri diritti fondamentali che potrebbero
essere compromessi a causa di una violazione dei principi del GDPR o di un data breach.
Ad esempio:
- la libertà di espressione e di pensiero;
- la libertà di movimento;
- il divieto di discriminazioni;
- il diritto alla libertà di coscienza e di religione.
È sempre possibile identificare tre elementi costanti che caratterizzano il concetto di rischio in
materia di protezione dei dati personali:
1. Il verificarsi di un evento
2. L’incertezza sul se e sul quando l’evento si realizzerà
3. La presenza di un effetto che origina dal suddetto evento
Elementi da considerare nella valutazione del rischio:
Origine + natura+ gravità + probabilità +impatto sui diritti e le libertà degli interessati = RISCHIO
→errori da evitare
Non bisogna confondere la gestione dei rischi con il tema delle misure di sicurezza. Il rischio non si
riferisce al titolare
ma al soggetto interessato.
Gestire i rischi in ambito privacy significa agire sulla probabilità di accadimento di un evento lesivo
e sulle sue conseguenze negative sui diritti e le libertà degli interessati al fine di eliminare o
mitigare.

PROBABILITÀ

PROBABILITÀ SIGNIFICATIVO DEL VALORE CRITERIO DI SCELTA


1 MOLTO IMPROBABILE • Il verificarsi del danno è
subordinato a un concatenamento di
eventi indipendenti tra loro;
• Il verificarsi del danno è creduto
impossibile dagli addetti;
• Non è mai accaduto nulla di simile.

2 POCO PROBABILE • Il verificarsi del danno dipende da


condizioni «sfortunate»;
• Il verificarsi del danno
provocherebbe reazioni di grade
stupore tra gli addetti;
• Eventi simili si sono verificati molto
raramente.

3 PROBABILE • Il verificarsi del danno dipende da


condizioni non direttamente
connesse alla situazione ma
possibili;
• Il verificarsi del danno
provocherebbe reazioni di moderato
stupore;
• Eventi simili sono stati già
riscontrati.

4 MOLTO PROBABILE • Il verificarsi del danno dipende da


condizioni direttamente connesse
alla situazione;
• Il verificarsi del danno non
provocherebbe alcuna reazione di
stupore;
• Eventi simili sono già accaduti in
azienda o in aziende dello stesso
tipo.

GRAVITÀ

GRAVITÀ RISCHIO DESCRIZIONE

minore di 2 basso Gli interessati non incontreranno inconvenienti o


potrebbero incontrare alcuni inconvenienti che
supereranno senza problemi (tempo impiegato per
reinserire informazioni, fastidio, irritazione, etc.).

compreso fra 2 medio Gli interessati potranno incontrare inconvenienti


e3 significativi, che saranno in grado di superare
nonostante alcune difficoltà (costi aggiuntivi, rifiuto di
accesso ai servizi aziendali, paura, mancanza di
comprensione, stress, disturbi fisici lievi, etc.).

compreso fra 3 alto Gli interessati possono incontrare conseguenze


e4 significative, che dovrebbero essere in grado di
superare anche se con gravi difficoltà (appropriazione
indebita di fondi, lista nera da parte delle banche,
danni alla proprietà, perdita di posti di lavoro,
citazione, peggioramento delle condizioni di salute,
etc.)

maggiore di 4 molto alto Gli interessati possono incontrare conseguenze


significative o addirittura irreversibili, che non possono
superare (difficoltà finanziarie come debito sostanziale
o incapacità al lavoro, disturbi psicologici a lungo
termine o disturbi fisici, morte, etc.).

IL RISCHIO
RISCHIO INERENTE→ Rischio che un’attività di trattamento di dati personali incorpora prima che il
titolare abbia considerato le misure di sicurezza o altri fattori di mitigazione che sono stati posti in essere.
RISCHIO RESIDUO→ Rischio per i diritti e le libertà degli interessati che è considerato al netto dell’effetto
di mitigazione sortito dalle misure di sicurezza e dai meccanismi di controllo adottati dal titolare.

LA VALUTAZIONE DEL RISCHIO:


La valutazione e gestione dei rischi implica un insieme coordinato di attività finalizzate a guidare e
monitorare il titolare nei riguardi dei rischi identificati.
Considerando 90 GDPR
«è opportuno che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei
dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, [...]. La
valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui
meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e
dimostrando la conformità al Regolamento».
DPIA
Obbligatoria se il trattamento presenta un «rischio elevato».
La prospettiva della valutazione del titolare richiesta dal GDPR deve essere improntata sui rischi
per i soggetti interessati, diversamente dalle attività di valutazione del rischio praticate in altri ambiti
(per esempio, la sicurezza delle informazioni) ove essa è focalizzata sui rischi per l’ente o azienda
stessa.
Anche se il titolare non ha l’obbligo di condurre una DPIA, dovrebbe ugualmente effettuare una
costante valutazione del rischio, nel rispetto del principio di accountability.
La valutazione del rischio deve riguardare non solo la sicurezza del trattamento ma anche gli effetti
complessivi.
È possibile identificare un nucleo di fasi e azioni ricorrenti e caratterizzanti un processo di
valutazione e gestione del rischio che può incidere sui diritti e le libertà degli interessati:
● analisi del contesto in cui sono trattati i dati personali;
● identificazione degli eventi di rischio, finalizzata alla mappatura degli eventi potenziali che
possono ledere i diritti e le libertà per gli interessati (l’art. 35 GDPR e le Linee guida del
Working Party art. 29 sulla DPIA offrono i criteri per l’individuazione dei trattamenti a rischio
elevato);
● analisi del rischio, finalizzata alla stima della probabilità di accadimento e dell’impatto
generato sulla base di tecniche quantitative e/o qualitative;
● valutazione dei controlli previsti sui rischi, finalizzata a valutare l’adeguatezza e l’efficacia
del sistema di misure di sicurezza esistente in relazione ai rischi identificati, al fine di
evidenziare il rischio residuo;
● ponderazione del rischio che il titolare deve operare tenendo in considerazione anche della
natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di
rischio, al fine di decidere se è possibile trattare e mitigare i rischi e con quali priorità, o se
necessario provvedere ad una consultazione preventiva dell’Autorità Garante ai sensi
dell’art. 36 del GDPR;
● trattamento del rischio, finalizzato ad individuare e scegliere le soluzioni di misure tecniche
ed organizzative per ridurre il rischio e implementare le stesse;
● monitoraggio e valutazione, finalizzati a verificare l’attuazione e valutazione dell’efficacia
delle misure di sicurezza.

IL «RISCHIO ELEVATO»
Rischio elevato per i diritti e le libertà fondamentali dell’interessato
> Valutazione d’impatto (DPIA) Art. 35
> Notifica di data breach agli interessati Art. 34

DPIA
La valutazione d’impatto sulla protezione dei dati è sempre richiesta, ai sensi dell’art. 35 del GDPR,
nei casi seguenti:
1. quando viene eseguita una valutazione sistematica e globale di aspetti personali relativi a
persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla
quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo
significativamente suddette persone fisiche;
2. quando il trattamento è eseguito su larga scala e interessa categorie particolari di dati
personali (vale a dire dati sensibili, biometrici, genetici, giudiziari);
3. quando si procede ad una sorveglianza sistematica su larga scala di una zona accessibile
al pubblico.

«RISCHIO ELEVATO»
Notifica di data breach agli interessati
Ai sensi dell’art. 34, il titolare deve notificare, senza ingiustificato ritardo, di aver subito una
violazione di dati personali agli interessati (oltre che all’Autorità Garante) quando la stessa «è
suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche».
Tale rischio sussiste quando la violazione può comportare un danno fisico, materiale o immateriale
per le persone fisiche i cui dati sono stati violati.
Es.: discriminazione, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione.
Il verificarsi di tale danno dovrebbe essere considerato probabile quando la violazione riguarda dati
personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o
filosofiche, l’appartenenza sindacale, oppure che includono dati genetici, dati relativi alla salute o
dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza
(categorie particolari di dati).
→Come valutare il rischio elevato?
I Considerando 75 e 76 del regolamento suggeriscono che, di norma, nella valutazione del rischio
si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità del rischio per i diritti
e le libertà degli interessati. Inoltre il regolamento afferma che il rischio dovrebbe essere valutato in
base a una valutazione oggettiva.

DPIA NOTIFICA DATA BREACH


• Il titolare deve considerare tanto i rischi • Nel caso di una violazione effettiva,
del trattamento svolto come pianificato, l’evento si è già verificato, quindi
tanto quelli in caso di violazione. l’attenzione si concentra esclusivamente sul
• Nel valutare una potenziale violazione, rischio risultante dell’impatto di tale
esamina in termini generali la probabilità violazione sulle persone fisiche.
che la stessa si verifichi e il danno • Il titolare del trattamento dovrebbe
all’interessato che potrebbe derivarne. considerare le circostanze specifiche della
Si tratta, quindi, di una valutazione di un violazione, inclusa la gravità dell’impatto
EVENTO IPOTETICO. potenziale e la probabilità che tale impatto
si verifichi.
Si tratta di una valutazione di un EVENTO
GIÀ ACCADUTO.

Il Working Party Art. 29, nelle sue Linee Guida sulla notifica delle violazioni dei dati personali, indica
una serie di criteri che il titolare dovrebbe considerare nel valutare l’esistenza di un rischio elevato
per gli interessati, e cioè:
a) Tipo di violazione;
b) Natura, carattere sensibile e volume dei dati personali;
c) Facilità di identificazione delle persone fisiche;
d) Gravità delle conseguenze per le persone fisiche;
e) Caratteristiche particolari dell’interessato;
f) Caratteristiche particolari del titolare del trattamento di dati;
g) Numero di persone fisiche interessate.
L’articolo 32 del GDPR spiega inoltre che nell’attuare misure tecniche e organizzative per garantire
un livello di sicurezza adeguato al rischio, si dovrebbe prendere in considerazione, tra le altre cose,
“la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento” e “la capacità di ripristinare tempestivamente la
disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”.
ESEMPIO
L’indisponibilità, anche solo temporanea, di dati medici critici di pazienti di un ospedale potrebbe
presentare un rischio per i diritti e le libertà delle persone interessate, poiché potrebbe comportare
l’annullamento di operazioni e mettere a rischio le vite dei pazienti.
Tale prospettiva è tuttavia non applicabile quando si registri, ad esempio, una indisponibilità di
alcune ore dei sistemi di una società di comunicazione che, quindi, non ha modo di inviare una
newsletter ai propri abbonati: in tale caso è improbabile che ciò presenti un rischio per i diritti e le
libertà delle persone fisiche.
→Le misure di sicurezza adeguate
ART. 32 GDPR
Misure di sicurezza idonee (no elenco ma valutazione caso per caso)
Quanto ai parametri di valutazione delle misure, l’art. 32 del GDPR stabilisce che il titolare deve
tener conto:
● dello stato dell’arte,
● dei costi di attuazione,
● della natura del trattamento,
● dell’oggetto del trattamento,
● del contesto del trattamento,
● delle finalità del trattamento,
● della gravità del rischio per i diritti e le libertà delle persone fisiche stimato.
→ Le misure di sicurezza tecniche
Il GDPR fornisce un elenco non esaustivo, che comprende:
a) la pseudonimizzazione;
b) la cifratura;
c) misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e
dei servizi di trattamento;
d) misure atte a garantire il tempestivo ripristino della disponibilità dei dati (ad es. procedure di
disaster recovery);
e) procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza
adottate (ad es. procedure di testing periodico).
Non esiste un obbligo generalizzato di adozione di misure “minime” di sicurezza, poiché la
valutazione delle misure che risultano le più adeguate è rimessa, caso per caso, al titolare e al
responsabile, in rapporto ai rischi specificamente individuati e analizzati.
→Le misure di sicurezza organizzative
● Definire e implementare un Modello organizzativo data protection coerente con
l’organizzazione aziendale e i trattamenti svolti, che identifichi in maniera chiara ruoli e
responsabilità;
● avvalersi di meccanismi di distribuzione e ripartizione dei compiti e delle funzioni per aree
funzionali, al fine di far fronte concretamente alla molteplicità delle attività e degli
adempimenti derivanti dal ruolo di titolare del trattamento;
● implementare una effettiva segregazione dei ruoli interni nelle organizzazioni più
complesse, costituendo ciò uno dei modi con cui il titolare può assolvere ai propri obblighi di
controllo effettivo e di garanzia sostanziale.
Le misure organizzative includono anche l’impianto documentale predisposto dal titolare (ad
esempio il registro dei trattamenti, le informative sul trattamento) e l’attuazione di politiche,
possibilmente formalizzate in policies e procedure, in materia di protezione dei dati personali
nell’ambito dello specifico contesto di riferimento in cui il titolare si trova ad operare i trattamenti.
Quanto alla finalità delle misure di sicurezza, sia organizzative sia tecniche, le stesse dovranno
essere efficaci al raggiungimento di un “livello di sicurezza adeguato”.
Nello specifico, le misure che il titolare deciderà di adottare dovranno tutte tendere al
raggiungimento dell’obiettivo di contrastare i rischi di distruzione, perdita, modifica, divulgazione
non autorizzata o accesso, accidentale o illegale, a dati personali trasmessi, conservati o
comunque trattati dal titolare stesso
→Fattori di variazione dell'entità del rischio
Tutti i trattamenti le cui caratteristiche attuative (ambito, finalità, dati personali raccolti, identità di
titolari o destinatari, periodi di conservazione dei dati, misure tecniche e organizzative) sono mutate
dovrebbero essere oggetto di una rivalutazione.
In particolare, la necessità di operare una nuova valutazione dei rischi, nonché del livello di
adeguatezza delle misure di sicurezza adottate, insorge al modificarsi dei rischi target di riferimento
presi in considerazione nella prima analisi condotta derivanti dai trattamenti eseguiti in un dato
momento/contesto specifico.
ESEMPI
1. l’utilizzo di una nuova tecnologia, prima non valutata dal titolare;
2. l’utilizzo dei dati personali per una diversa finalità non perseguita originariamente.
Le variazioni da monitorare possono riguardare:
● il contesto,
● il numero di dati raccolti,
● le finalità,
● le funzionalità di un sistema,
● il tipo di dati personali oggetto di trattamento che può evolvere ricomprendendo anche dati
appartenenti a categorie particolari,
● i destinatari, nuovi incroci di dati
● i trasferimenti internazionali di dati originariamente non attivati.
Inoltre, i rischi possono mutare la loro entità al variare, ad esempio, delle fonti di rischio, degli
impatti potenziali, delle minacce.
UNITA’ 2: LA PUBBLICA AMMINISTRAZIONE DIGITALE

CAPITOLO XVII: I PRINCIPI FONDANTI DEL CODICE DELL’AMMINISTRAZIONE DIGITALE

IL CONTESTO DELL’AMMINISTRAZIONE DIGITALE


Il processo di digitalizzazione delle Pubbliche Amministrazioni italiane si è avviato partendo dal
principio di semplificazione della comunicazione tra le stesse e i cittadini. Con il passare del tempo
ha preso forma con l’e-Government l’applicazione delle tecnologie dell’Information and
Communications Technology, chiamate ICT.
Nella situazione attuale, le pubbliche amministrazioni sono invitate a diventare soggetti trasparenti,
responsabili, scrutinabili, sensibili ai bisogni dei cittadini, in ossequio del principio di accountability.
I principi che fondano il Codice dell’amministrazione digitale oggi in vigore prendono il via con la
c.d. “Legge Bassanini” del 1997, la quale sancisce l’equivalenza del documento di carta con il
documento elettronico, presupposto indispensabile per la digitalizzazione della Pubblica
Amministrazione.
Con la Legge 29 luglio 2003, n. 229, il Parlamento delega il Governo al coordinamento e al
riassetto delle disposizioni vigenti.
La disciplina della comunicazione pubblica, della riorganizzazione delle disposizioni in materia di
documentazione amministrativa, la promozione e semplificazione dell’accesso da parte degli utenti
ha raggiunto importanti risultati con la c.d. “Legge stanca” nel 2004 e con l’introduzione della Posta
Elettronica Certificata (PEC).
Tra gli obiettivi primari vi sono:
a. Disciplinare gli strumenti giuridici quali la firma elettronica e il documento informatico
b. Attivare un ammodernamento nella P.A.
c. Garantire la disponibilità di servizi digitali
d. Rendere le modalità di accesso più semplici
e. Proteggere i dati personali e la sicurezza informatica
f. Adottare idonei correttivi

Adozione del Codice dell’Amministrazione Digitale (CAD) - d.lgs. 7 marzo 2005, n. 82: un lustro
più tardi dell’entrata in vigore del CAD, risalente al 2005, la strategia “Europa 2020” ha delineato la
risposta dell’Unione alle sfide della situazione economica globale, rispondendo alla crisi del 2008 e
definendo alcune iniziative faro, tra cui l’Agenda digitale europea, il cui obiettivo è ottenere
vantaggi socioeconomici sostenibili, grazie ad un mercato digitale unico basato su un Internet
superveloce.
Un elemento essenziale per il successo del mercato unico dell’Agenda digitale è la trasformazione
della P.A. sulla base dell’innovazione digitale, non solo affinché diventi aperta, trasparente ed
efficiente, ma anche equamente ristrutturata.
L’Italia si è dotata di un’autorità per l’uso dell’ICT ed è l’Agenza per l’Italia Digitale, chiamata anche
AgID.
Rispetto all’Amministrazione Digitale una spinta fondamentale è stata data dalla “Legge Madia” del
2015, che ha introdotto la Carta della cittadinanza digitale, il cui obiettivo è garantire a cittadini ed
imprese il diritto di accedere a tutti i dati, i documenti di loro interesse in modalità digitale, per
garantire la semplificazione nell’accesso, riducendo così la necessità di recarsi fisicamente presso
gli uffici pubblici, erogando così servizi in modo funzionale e migliorando quindi la qualità della vita
dei propri utenti, circa il <<nuovo contenuto>> del CAD deve solo contenere i principi di carattere
generale.
Altro atto molto importante che concerne la digitalizzazione della Pubblica Amministrazione è il
piano triennale per l’informatica 2019-2021.
Il CAD deve contenere solo principi generali, le linee Guida approvate dall’AGID:
• Agenda Digitale
• digitalizzazione della P.A.
• sicurezza informatica
• interoperabilità e cooperazione applicativa tra sistemi
informatici pubblici e quelli dell’Unione Europea.
Il Piano Triennale per l’informatica nella P.A. è il modello strategico di evoluzione del sistema
informativo della Pubblica Amministrazione

OPEN GOVERNMENT
Un open Government garantisce inclusività, fornitura di servizi digitali senza frontiere è una
riduzione delle barriere, dei costi e degli oneri amministrativi e >

Trasparenza: Accountability: Partecipazione:


- Riconoscimento del «diritto di - Norme di comportamento - Norme di comportamento
conoscere» chiare chiare
- Tutte le informazioni delle - Supervisione e applicazione - Supervisione e applicazione
PP.AA. Sono autonome e indipendenti autonome e indipendenti
disponibili - Limitazione dei conflitti - Limitazione dei conflitti
- L’accesso è la regola; il d’interesse d’interesse
segreto è - Dichiarazione dei beni - Dichiarazione dei beni
l’eccezione - Approvvigionamento - Approvvigionamento
- Pubblicazione proattiva delle - Protezione dei - Protezione dei
informazioni whistleblowers whistleblowers
- Formati aperti - Apertura
- Regole e formati standard - Tempistiche chiare e
ragionevoli - Informazioni
chiare ed esaurienti -
Collaborazioni attive
- Procedure chiare e
appropriate
- Empowerment

AgID
È l’Agenzia tecnica della Presidenza del Consiglio che garantisce la realizzazione degli obiettivi
dell’Agenda Digitale Italiana (in coerenza con l’Agenda Digitale Europea) e che mira a contribuire
alla diffusione delle tecnologie dell’informazione e della comunicazione sul territorio nazionale.
È sottoposta ai poteri di indirizzo e vigilanza del Presidente del Consiglio dei Ministri o del Ministro
da lui delegato.
Gli organi di cui l’Agenzia per l’Italia Digitale si compone sono:
● il Direttore Generale (il legale rappresentante dell’Agenzia; la dirige ed è responsabile della
gestione e dell’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o
dal Ministro da lui delegato);
● il Comitato d’indirizzo (l’organo di indirizzo strategico);
● il Collegio dei Revisori (vigila sull’osservanza delle disposizioni di legge, regolamentari e
statutarie, nonché provvede agli altri compiti previsti dalla normativa vigente).
I suoi compiti sono:
1. Assicurare il coordinamento informatico dell’amministrazione statale, regionale e locale, in
attuazione dell’articolo 117, comma 2, lettera r) Cost.;
2. Contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della
comunicazione, allo scopo di favorire l’innovazione e la crescita economica del Paese;
3. Elaborare indirizzi, regole tecniche e linee guida in materia di omogeneità dei linguaggi,
delle procedure e degli standard per la piena interoperabilità e uniformità dei sistemi
informatici della P.A.;
4. Vigilare sulla qualità dei servizi e sulla razionalizzazione della spesa informatica della P.A.;
5. Promuovere e diffondere le iniziative di alfabetizzazione digitale.

I PRINCIPI COSTITUZIONALI art. 14 CAD


La disciplina dell’amministrazione digitale trova fondamento nell’art. 117, lett. r) della Costituzione,
che affida il coordinamento informatico-statistico dei dati dell’Amministrazione statale, alla
competenza dello Stato.
Il coordinamento statale deve intendersi in un ambito unitario, in modo da permettere la più
efficace comunicabilità tra i sistemi informatici delle varie amministrazioni, per evitare la
frammentazione.
Quindi, del rapporto tra Stato, Regioni ed autonomie locali si occupa il CAD, che prevede in capo
allo Stato, l’adozione di regole tecniche necessarie per garantire ottimizzazione delle spese,
attenzione alla sicurezza e all’interoperabilità di sistemi.
Il coordinamento dell’evoluzione strategica tecnologica del sistema informativo delle P.A. si basa
anche sul principio di uguaglianza sancito dall’art. 3 della Costituzione, garantendo inclusione e
accessibilità dei servizi e il diritto alla connessione.
L’art. 97 Cost. afferma il principio del buon andamento e dell’imparzialità dell’azione amministrativa.
Presente in numerosi articoli, tra cui l’art. 12, l’art. 15 e l’art. 41.
Piattaforme abilitanti: servizi realizzati a livello centrale (statale) pensati per evitare la
frammentazione nel digitale. Esempi sono SPID, PagoPA , ANPR

PRINCIPIO DEL DIGITAL BY DEFAULT


Con la Carta della Cittadinanza digitale, è stato recepito il principio del digital first, che significa
innanzitutto digitale, e del digital by default, che significa digitale per definizione. Si dispone che
Art. 2 CAD: «Lo Stato, le Regioni e le autonomie locali assicurano la disponibilità, la gestione,
l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale e si
organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate e nel modo più
adeguato al soddisfacimento degli interessi degli utenti le tecnologie dell'informazione e della
comunicazione».
Consiste nella progettazione dei servizi “centrata sulla loro erogazione digitale prima ancora che
secondo modalità tradizionali, senza che resti esclusa questa possibilità».
Tale principio non è da confondersi col progressivo passaggio al digitale, con esclusione
dell’analogico.
Il fine ultimo del principio di digital by default è quello di raggiungimento della massima trasparenza
amministrativa, della massima apertura e fruibilità dei dati pubblici della massima fruibilità dei
servizi offerti dalle pubbliche amministrazioni.

IL DIRITTO ALL’USO DELLE TECNOLOGIE E IL PRINCIPIO DEL DIGITAL IDENTITY ONLY


Il diritto all’uso delle ICT garantisce a chiunque soluzioni e strumenti accessibili ed efficaci ai fini
dell’esercizio dei diritti di accesso e della partecipazione al procedimento amministrativo, fermi
restando i diritti delle minoranze linguistiche riconosciute. Connessi e strumentali sono il diritto di
accesso ai servizi digitali tramite la propria identità digitale SPID.
È stata, inoltre, messa a disposizione dell’AgID, attraverso il Sistema pubblico di connettività la
piattaforma pagoPA per l’interconnessione e l’interoperabilità tra le Pubbliche Amministrazioni e i
prestatori di servizi di pagamento, chiamati PSP.
Tramite il sistema dei pagamenti elettronici pagoPA è possibile pagare ticket sanitari, tributari,
tasse, utenze, rette, bolli, etc.

PRINCIPI DI INCLUSIONE, ACCESIBILITA’, EFFICACIA E FIDUCIA


Per quanto concerne il principio di inclusione, diciamo che il divario tra chi ha accesso all’ICT e chi
non ne ha, cosiddetto digital divide, è un tema estremamente attuale, soprattutto per le categorie a
rischio di esclusione.
Per quanto concerne il principio dell’accessibilità come requisito, diciamo che un sito web o un’app
mobile, per essere accessibili, devono essere percepibili, utilizzabili e comprensibili. Per quanto
concerne il principio dell’efficacia collegata alla sicurezza in materia di dati personali, diciamo che
è bene mirare a migliorarla sempre di più, per coltivare la fiducia degli utenti.

PRINCIPIO DI APERTURA, TRASPARENZA E PARTECIPAZIONE


Nel 2011 l’Italia ha aderito all’iniziativa internazionale dell’Open Government Partnership, con
interventi mirati volti ad assicurare una maggiore disponibilità di informazioni pubbliche e volte a
rafforzare e promuovere apertura, trasparenza e partecipazione, per migliorare la qualità della vita
dei cittadini.

PRINCIPIO DEL CLOUD FIRST


Il CAD prevede in capo alle Pubbliche Amministrazioni l’onere di una valutazione comparativa di
tipo tecnico ed economico, prima di acquistare programmi informatici, valutando la garanzia
dell’interoperabilità e della cooperazione, della sicurezza informatica in materia di protezione dei
dati personali, con un’attenzione particolare al sistema cloud. Le PA devono, in via prioritaria,
adottare il paradigma cloud prima di qualsiasi altra opzione tecnologica.
Programma di abilitazione al Cloud: insieme di attività, risorse, metodologie da mettere in campo
per rendere le pubbliche amministrazioni capaci di migrare e mantenere in efficienza i propri servizi
informatici (infrastrutture e applicazioni) all’interno del modello Cloud della PA.
Modello Cloud delle PP.AA: modello strategico per infrastrutture e servizi volti a garantire elevati
standard di qualità per la PA

PRINCIPI DI ONCE ONLY E INTEROPERABILITY BY DESIGN


Tra i principi per la realizzazione di servizi digitali delle Pubbliche Amministrazioni c’è il principio
del once only, cioè evitare che i cittadini debbano fornire le stesse informazioni più di una volta.
Tale nozione ci introduce ai principi di interoperabilità e cooperazione, punti chiave del processo di
digitalizzazione delle Pubbliche Amministrazioni, che presuppone un efficace sistema di dialogo tra
le amministrazioni stesse.

PRINCIPIO DI SEMPLIFICAZIONE
La semplificazione delle procedure interne a ciascuna Pubblica Amministrazione e dei
procedimenti amministrativi, riguardo alle esigenze di celerità, certezza, trasparenza nei confronti
dei cittadini e delle imprese, è strettamente collegata alla digitalizzazione. Il ricorso alle ICT può
agevolare e rendere più efficienti le attività dell’amministrazione, sia nel cosiddetto back office,
ossia l’attività interna della P.A., sia nel cosiddetto front office, ossia l’attività di relazione con il
pubblico.
Si prevede quindi un ampio processo di semplificazione e razionalizzazione delle procedure,
attraverso strumenti innovativi e informatici che perseguono obiettivi strategici finalizzati alla
riorganizzazione e ristrutturazione del mondo digitale nelle Pubbliche Amministrazioni.

PRINCIPIO DI ACCOUNTABILITY
Intendiamo il principio di accountability come la responsabilità in capo alla P.A. del proprio operato,
rispetto al contesto di digitalizzazione.
Prerequisito è che le P.A. siano trasparenti nei confronti dei cittadini e nei confronti dei loro dati, e
che facciano uso di dati aperti, i cosiddetti open data.
Nel caso in cui vi siano delle violazioni da parte della P.A. i cittadini possono ricorrere in giudizio.

CAPITOLO XIX: DOMICILIO DIGITALE E PEC

INTRODUZIONE AL DOMICILIO DIGITALE, OBIETTIVI E STATO ATTUALE Secondo l’ultimo


aggiornamento del CAD è prevista l’istituzione del cosiddetto domicilio digitale del cittadino, ossia
un indirizzo di posta elettronica certificata.
Il domicilio digitale corrisponde alla PEC, e presuppone comunicazioni elettroniche aventi valore
legale e una volta inserito l’indirizzo PEC nell’apposita anagrafe di questo indirizzo sarà
obbligatoria usarla in via esclusiva.
Bisogna sottolineare che la possibilità d’inviare comunicazioni in via elettronica aventi valore
legale, sia un vantaggio sia dal punto di vista delle tempistiche, sia in termini di risorse finanziarie
per lo stato e per le imprese.
La PEC assume un’importanza rilevante nei procedimenti giudiziari e nel processo telematico,
come mezzo di notificazione degli atti.

PEC: DEFINIZIONE E FUNZIONAMENTO


La Posta Elettronica Certificata, detta anche PEC, è un particolare tipo di casella di posta
elettronica capace di certificare sia la consegna del messaggio al proprio gestore del servizio PEC,
sia l’avvenuta consegna nella casella di posta del destinatario, con valore legale equivalente a
quello di una raccomandata postale con avviso ricevimento, chiamata anche raccomandata
postale con ricevuta di ritorno.
Il servizio di spedizione di una raccomandata postale con avviso di ricevimento, chiamata anche
raccomandata postale con ricevuta di ritorno, presuppone 3 elementi: a. Busta con mittente e
destinatario all’interno della quale ci sarà il documento da spedire b. Cartolina
c. Foglietto ricevuta
Tale sistema di spedizione assicura un elevata sicurezza dei traffici giuridici e lo stesso
procedimento è replicato in chiave digitale con la PEC, tramite i messaggi di avvenuta consegna
ed in seguito l’accettazione.
Aspetto molto importante affinché l’invio della PEC abbia valore legale è che il soggetto
destinatario sia a sua volta un soggetto munito di indirizzo PEC.
● Chiunque ha il diritto di accedere ai servizi on-line offerti dai soggetti di cui all'articolo 2,
comma 2, lettere a) e b), tramite la propria identità digitale.
● I soggetti di cui all'articolo 2, comma 2, i professionisti tenuti all'iscrizione in albi ed elenchi e
i soggetti tenuti all'iscrizione nel registro delle imprese hanno l'obbligo di dotarsi di un
domicilio digitale iscritto nell'elenco di cui agli articoli 6-bis o 6-ter.
● Chiunque ha facoltà di eleggere il proprio domicilio digitale da iscrivere nell'elenco di cui
all'articolo 6-quater e di richiedere la cancellazione del proprio domicilio digitale dall'elenco
di cui all'articolo 6-quater.
Le comunicazioni elettroniche trasmesse ad uno dei domicili digitali di cui all'articolo 3-bis
producono, quanto al momento della spedizione e del ricevimento, gli stessi effetti giuridici delle
comunicazioni a mezzo raccomandata con ricevuta di ritorno ed equivalgono alla
notificazione per mezzo della posta salvo che la legge disponga diversamente. Le suddette
comunicazioni si intendono spedite dal mittente se inviate al proprio gestore e si intendono
consegnate se rese disponibili al domicilio digitale del destinatario, salva la prova che la mancata
consegna sia dovuta a fatto non imputabile al destinatario medesimo. La data e l'ora di
trasmissione e ricezione del documento informatico sono opponibili ai terzi se apposte in
conformità alle Linee guida.
Art. 6
1-ter. L'elenco dei domicili digitali delle imprese e dei professionisti è l'Indice nazionale dei domicili
digitali (INI- PEC) delle imprese e dei professionisti di cui all'articolo 6-bis.
L'elenco dei domicili digitali dei soggetti di cui all'articolo 2, comma 2, lettere a) e b), è l'Indice degli
indirizzi della pubblica amministrazione e dei gestori di pubblici servizi, di cui all'articolo 6-ter.

PAGAMENTI CON MODALITÀ INFORMATICHE


1. I soggetti di cui all'articolo 2, comma 2, sono obbligati ad accettare, tramite la piattaforma di
cui al comma 2, i pagamenti spettanti a qualsiasi titolo attraverso sistemi di pagamento
elettronico, ivi inclusi, per i micro- pagamenti, quelli basati sull'uso del credito telefonico.
Tramite la piattaforma elettronica di cui al comma 2, resta ferma la possibilità di accettare
anche altre forme di pagamento elettronico, senza discriminazione.
2. Al fine di dare attuazione al comma 1, la Presidenza del Consiglio dei ministri mette a
disposizione una piattaforma tecnologica per l'interconnessione e l'interoperabilità tra le
pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati.
Obbligo per le banche: comma 2-quater.
→ART. 7: Principi (diritti) di inclusione, accessibilità, efficacia e fiducia
● Chiunque ha diritto di fruire dei servizi erogati dai soggetti di cui all'articolo 2, comma 2, in
forma digitale e in modo integrato, tramite gli strumenti telematici messi a disposizione dalle
pubbliche amministrazioni e il punto di accesso di cui all'articolo 64-bis, anche attraverso
dispositivi mobili.
● Per i servizi in rete, i soggetti di cui all'articolo 2, comma 2, consentono agli utenti di
esprimere la soddisfazione rispetto alla qualità, anche in termini di fruibilità, accessibilità e
tempestività, del servizio.
● In caso di violazione degli obblighi di cui al presente articolo, gli utenti, fermo restando il
diritto di rivolgersi al difensore civico digitale di cui all'articolo 17, possono agire in giudizio.
→Riduzione del digital divide:
Art. 8 - (Promozione della) Alfabetizzazione informatica
dei cittadini.
Art. 8-bis - (Messa a disposizione della) Connettività alla rete Internet negli uffici e luoghi pubblici
(per la quota di banda disponibile).
Art. 9 - Partecipazione democratica elettronica (solo per consultazione preventiva per via
telematica sugli schemi di atto da adottare).
Art. 13 - Formazione informatica dei dipendenti pubblici.
→Capo VI - Sviluppo, Acquisizione e Riuso
Art. 68 - Analisi comparativa delle soluzioni
a) software sviluppato per conto della pubblica amministrazione;
b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
c) software libero o a codice sorgente aperto;
d) software fruibile in modalità cloud computing;
e) software di tipo proprietario mediante ricorso a licenza d'uso;
f) software combinazione delle precedenti soluzioni.
→Art. 69 - Riuso delle soluzioni e standard aperti
1. Le pubbliche amministrazioni che siano titolari di soluzioni e programmi informatici realizzati su
specifiche indicazioni del committente pubblico, hanno l'obbligo di rendere disponibile il relativo
codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza
aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano
adattarli alle proprie esigenze, salvo motivate ragioni di ordine e sicurezza pubblica, difesa
nazionale e consultazioni elettora
2. Al fine di favorire il riuso dei programmi informatici di proprietà delle pubbliche amministrazioni, ai
sensi del comma 1, nei capitolati o nelle specifiche di progetto è previsto, salvo che ciò risulti
eccessivamente oneroso per comprovate ragioni di carattere tecnico-economico, che
l'amministrazione committente sia sempre titolare di tutti i diritti sui programmi e i servizi delle
tecnologie dell'informazione e della comunicazione, appositamente sviluppati per essa.
2-bis. Al medesimo fine di cui al comma 2, il codice sorgente, la documentazione e la relativa
descrizione tecnico funzionale di tutte le soluzioni informatiche di cui al comma 1 sono pubblicati
attraverso una o più piattaforme individuate dall'AgID con proprie Linee guida.

REGISTRI
La disciplina della PEC prevede l’istituzione di appositi registri in cui convogliare tutti gli indirizzi
PEC esistenti al fine di garantire la sicurezza del sistema di comunicazione. Si tratta di un elenco
pubblico denominato Indice Nazionale Indirizzi PEC, meglio conosciuto come INI-PEC.
Per cercare una PEC è necessario inserire il C.F. se si tratta di una persona fisica, mentre la P.IVA
se si tratta di un’impresa.

LA SENTENZA DELLA CORTE DI CASSAZIONE, SEZ. III, N. 3709/19 Sul tema dei registri e della
loro validità si è espressa la Corte di Cassazione, in riferimento all’Ordine degli avvocati e agli
indirizzi PEC per fini processuali.

GLI STRUMENTI DIGITALI DI CUI AI CAP. 20 E 21 ALLA LUCE DEGLI OBIETTIVI FISSATI IN
AMBITO UE (DIGITAL SINGLE MARKET E E-GOVERNMENT) In merito a tale tematica è opportuno
volgere lo sguardo alla strategia del Digital single market, ossia il mercato unico digitale che non
può essere confinato solo ad alcuni settori merceologici, ma che deve essere aperto anche al
settore dei servizi più disparati.

CAPITOLO XX: GLI OPEN DATA

DEFINIZIONE E CARATTERISTICHE
Gli open data costituiscono uno strumento fondamentale del modello open government, fondato
sui pilastri di trasparenza, partecipazione, collaborazione e basato su un nuovo rapporto tra mondo
privato e pubblico.
Le amministrazioni devono essere trasparenti a tutti i livelli e rendere le proprie attività aperte e
disponibili per favorire azioni maggiormente efficaci e per garantire il controllo pubblico mediante le
nuove tecnologie.
Gli open data sono dati digitali resi disponibili con le caratteristiche tecniche e legali necessarie per
essere liberamente utilizzati, riutilizzati e ridistribuiti da chiunque in qualsiasi momento, sia da
parte di soggetti pubblici sia da parte di soggetti privati.
Nell’ordinamento giuridico italiano è prevista una definizione normativa di open data, che
presentano le seguenti caratteristiche.
a. Dimensione giuridica, perché rispettano disposizioni di legge e previsioni normative
b. Dimensione tecnologica, perché sono accessibili in un formato aperto mediante IOT
c. Dimensione economica, perché sono resi gratuitamente oppure a costi marginali

FINALITA’
Gli open data, per mezzo del riutilizzo, permettono di generare valore e di perseguire molteplici
finalità, e possono essere utilizzati per creare prodotti, app, servizi capaci di incidere sulle
amministrazioni stesse, sui cittadini, e sulle imprese.
In sostanza, gli open data contribuiscono al miglioramento della qualità di vita degli utenti e
costituiscono un valido strumento di trasparenza, finalizzato anche a garantire maggiore efficienza
della macchina pubblica, sollecitata a organizzare il proprio patrimonio informativo e ad assicurare
maggiore e partecipazione nell’azione pubblica.
Tra i dati aperti particolarmente significativi emergono i dati geografici, ambientali, sanitari, sociali,
turistici, sui trasporti pubblici, sui bilanci, sulla criminalità.
Il concetto di open data nasce negli Stati Uniti d’America nel 2009.
Con il Memorandum on Transparency and Open Government e l’Open Government Directive,
Barack Obama prescrive alle istituzioni i pilastri dell’impostazione (trasparenza, partecipazione e
collaborazione) e individua negli open data uno strumento strategico di partecipazione della
collettività.
→Le ICT diventano strumento per assicurare il processo di apertura
In realtà le ICT sono ugualmente uno strumento di chiusura, non necessariamente di apertura, si
pensi alle crescenti diseguaglianze sociali, o ai profitti delle big tech, o alla posizione dominante di
alcune di queste oggetto di attenzione delle Antitrust...)
Perché le ICT non sono più uno strumento, ma interpretano e creano la realtà. Vi è una sostanziale
omogeneità digitale tra dati e programmi (A. Turing), che si ripercuote anche sui nostri concetti di
«governo», «spazio», «tempo», etc.
Negli USA la strategia di Barack Obama porta nel 2009 alla creazione di un portale dedicato agli
open data, data.gov, modello seguito negli anni successivi da diversi Paesi europei (nel 2009
data.gov.uk del Regno Unito, in Francia data.gouv.fr, Spagna con datos.gob.es etc.).
In Europa la dichiarazione aperta sui servizi pubblici europei (Open Declaration on European
Services) nel 2009: importanza dei principi di trasparenza, partecipazione e empowerment.
I contenuti della Dichiarazione aperta sui servizi pubblici europei sono fatti propri della
Dichiarazione di Malmö del 2009.
→Digital Agenda for Europe (Agenda digitale europea), 2010
mira a realizzare una crescita intelligente. Nella realizzazione di un digital single market europeo,
conferisce un ruolo chiave alle tecnologie informatiche per raggiungere gli obiettivi europei e per
favorire l’innovazione, la crescita economica, la competitività e il progresso.
Piano d’azione dell’Agenda digitale europea:
- 2011-2015: Piano d’azione europeo per l’e- government che riflette le priorità della
Dichiarazione di Malmö;
- 2016-2020: Piano d’azione attuale, conferisce centralità ai principi di trasparenza e
apertura, declinati nella possibilità di accesso, controllo e correzione dei propri dati da parte
degli utenti e nel coinvolgimento delle parti interessate nella progettazione e nella
prestazione dei servizi.
Nel 2019 la Commissione ha aggiornato la PSI Directive (Directive 2003/98/EC) con una nuova
versione, che punta tutto sul riuso dei dati.

QUADRO NORMATIVO
Il CAD, ossia il d. lgs. N. 82/2005, è particolarmente attento al principio di disponibilità dei dati
pubblici in formato digitale.
La normativa italiana ha rafforzato questo principio ed ha promosso esplicitamente gli open data,
sotto lo stimolo dell’Unione europea.

STRATEGIE
In riferimento alle strategie legate all’apertura dei dati, ricordiamo la nascita del modello open
government, il paradigma degli open data e la realizzazione del portale data.gov. A tal proposito,
nel 2011 il Governo italiano ha lanciato il portale nazionale di open data: www.dati.gov.it
aggiornato nel tempo per favorire qualità, uniformità e proficue sinergie con le istituzioni, in una
visione sistemica, in cui il dato è inteso come un bene comune riutilizzabile.

DIMENSIONE GIURIDICA
Le informazioni strutturate, i dataset e i database, quali insiemi organizzati di dati, ricevono la tutela
giuridica del diritto d’autore e dei diritti connessi, a seguito delle modifiche alla l. n. 633/1941 da
parte del d.lgs. n. 169/1999, in attuazione della Direttiva 96/9/CE.
La tutela offerta dal diritto d’autore non crea ostacoli al riutilizzo ma il titolare del diritto deve
disciplinare le condizioni di utilizzo e le eventuali limitazioni con una licenza.
Accanto allo strumento della licenza, la definizione di Open Data prevede anche la possibilità che
sia una previsione normativa a rendere disponibili i dati, permettendone l’utilizzo da parte di
chiunque, anche per finalità commerciali, in formato disaggregato.
→Riutilizzo
(art. 1, comma 1, lett. n- bis), d.lgs. n. 82/2005
e art. 2, comma 1, lett. E), d.lgs. n. 36/2006
Uso del dato di cui è titolare una pubblica amministrazione o un organismo di diritto pubblico, da
parte di persone fisiche o giuridiche, ai fini commerciali o non commerciali diversi dallo scopo
iniziale per il quale il documento che lo rappresenta è stato prodotto nell’ambito dei fini istituzionali
La licenza cosiddetta «aperta» deve permettere l’utilizzo dei dati da parte di chiunque, anche per
finalità commerciali, in formato disaggregato, nel rispetto del GDPR.
→Licenze aperte
- Creative commons (CC): libertà di utilizzo per fini commerciali, libertà di utilizzo citando
l’autore, divieto di apportare modifiche, etc.;
- Italian Open Data Licences (IODL): create allo scopo specifico della diffusione e riutilizzo
dei dati pubblici;
- Open Data Commons Licences.

DIMENSIONE TECNOLOGICA
I dati devono essere rilasciati in formato aperto, ossia «un formato di dati reso pubblico,
documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione
dei dati stessi» (art. 1, comma 1, lett. l-bis), d.lgs. n. 82/2005).
Per essere «open», i dati devono essere adatti all’utilizzo automatico da parte dei software e
devono essere accompagnati da metadati, ossia informazioni e dati che li descrivono.
I metadati permettono e agevolano la ricerca, l’interoperabilità e la correlazione dei dati, facilitando
così il riutilizzo degli stessi.
- 1 stella: il dato è disponibile sul web in qualunque formato, ma con la licenza aperta, es.
PDF;
- 2 stelle: formato strutturato processabile in modo automatico da software, di tipo
proprietario, es. xls;
- 3 stelle: il formato è aperto, non proprietario (non devi pagare la livenza), es. csv;
- 4 stelle: formati che seguono standard aperti, dotati di URI-online, es. RDF;
- 5 stelle: i cosiddetti linked open data, dove i dati contengono link e altri dati e quindi,
fornendo un contesto e un collegamento, acquisiscono maggior valore.
(La classificazione «5 stars» di Tim Berners Lee)

DIMENSIONE ECONOMICA
Per essere aperti i dati devono essere resi disponibili gratuitamente o ai costi marginali sostenuti
per la loro riproduzione e
divulgazione, salvo quanto previsto dall’art. 7 del d.lgs. 36/2006 che prevede casi specifici per i
quali non si applicano tali previsioni e per i quali, di conseguenza, è possibile determinare tariffe
superiori in deroga al principio generale.

PROBLEMATICHE
L’apertura del patrimonio informativo pubblico incontra però dei limiti, quali il segreto di Stato, il
segreto statistico, il diritto d’autore, la sicurezza pubblica e la protezione dei dati personali. È
necessario, dunque, in un’ottica di questo tipo bilanciare gli interessi e assicurare tutela dei diritti
fondamentali.
In riferimento alle norme sulla data protection, è importante tracciare un equilibrio e non
pregiudicare il livello di tutela con riguardo alla protezione dei dati personali, infatti devono essere
esclusi dal riutilizzo le particolari categorie di dati personali, ossia i dati sensibili e i dati giudiziari
relativi a condanne penali e reati.
Oltre alle problematiche di ordine giuridico, emergono le criticità costituite dalla differente qualità e
mancanza di uniformità nell’apertura del patrimonio informatico pubblico.
CAPITOLO XXII: IL VOTO ELETTRONICO

CHE COSA SI INTENDE PER VOTO ELETTRONICO


L’espressione voto elettronico oppure e-voting dall’inglese electronic voting, difetta oggi di una
definizione univoca e pienamente condivisa.
In via generale si è concordi nel ritenere che per voto elettronico si debba intendere l’impiego della
tecnologia in una o più fasi di un qualsivoglia procedimento elettorale, scrutinio incluso. Per quanto
concerne il concetto di voto elettronico, si è affermato che non si può parlare di voto elettronico, se
gli strumenti offerti dalle tecnologie non permettono il manifestarsi di un’autentica volontà
elettorale.
È possibile trarre una definizione di ampia portata, dentro la quale la locuzione voto elettronico
indica non solo il momento di espressione del voto, ma contempla anche fasi ulteriori e diverse,
che in un modo o nell’altro sono informatizzate: la razionalizzazione dell’accertamento dei risultati
elettorali, la loro pubblicazione, la raccolta, la verifica, il conteggio elettronico delle firme digitali.

PRIMA CATEGORIA (definizione restrittiva)


Il Consiglio d’Europa ha affermato che non si può parlare di voto elettronico, se gli strumenti offerti
dalle tecnologie non sono utilizzati nella fase vera e propria di manifestazione della volontà
elettorale.
Escludere la possibilità di definire il voto elettronico, riferendosi a quei meccanismi in cui la
tecnologia sia introdotta nel procedimento, ma non riguarda l’atto tout court del voto.

SECONDA CATEGORIA (definizione estensiva)


L’art. 2 del d.l. del 3 gennaio 2006, n. 1, rubricato “Rilevazione informatizzata dello scrutinio delle
elezioni politiche 2006” contiene una definizione di “voto elettronico” che indica non solo il momento
di espressione del voto, ma contempla anche fasi ulteriori e diverse, che, in un modo o nell’altro
sono informatizzate la razionalizzazione dell’accertamento dei risultati elettorali e la loro
pubblicazione, la raccolta, la verifica e il conteggio elettronico delle firme digitali, la predisposizione
per via informatica di tutte le informazioni utili agli elettori.

LA COMPLESSITA’ DEI SISTEMI DI E-VOTING


I sistemi di e-voting si presentano come dei sistemi complessi e la complessità è proprio la
caratteristica fondamentale di questi sistemi di voto.
Il voto elettronico può essere descritto come una transazione tra l’elettore e il sistema elettorale,
attraverso un protocollo sviluppato ad hoc e tale da veder ottemperati alcuni requisiti di sicurezza,
tra cui l’eleggibilità, l’accuratezza, la privacy, la responsabilità.
→Condizioni che devono essere soddisfatte:
1. Eleggibilità: Il requisito dell’eleggibilità attiene alla garanzia che solamente gli elettori che
godono del diritto di voto possano partecipare alle consultazioni e che possano farlo una e
una sola volta.
2. Accuratezza: Certezza sull’impossibilità che un voto espresso tramite sistema elettronico
possa essere alterato, che un voto valido sia eliminato dal computo finale oppure, al
contrario, che un voto non valido sia conteggiato e che quindi tali evenienze possano anche
verificarsi ambedue all’interno di un’elezione, più volte.
3. Privacy: Per quanto concerne la privacy, non deve essere possibile collegare voto e
votante.
4. Verificabilità: Verificabilità concerne la possibilità di procedere agilmente a verifiche, nei
casi dubbi.
5. Efficienza: L’efficienza si traduce nella ragionevolezza dei tempi delle varie fasi del
procedimento elettronico di voto.
6. Scalabilità: È la condizione per cui la dimensione delle elezioni non deve incidere
negativamente sull’efficienza.
7. Responsabilità: Nei Paesi in cui votare è obbligatorio, il sistema di voto elettronico deve
assicurare la possibilità di controllare chi si è astenuto.

DALLA COMPLESSITA’ DEL PROBLEMA AGLI SFORZI TECNOLOGICI INTRAPRESI PER


AFFRONTARLO
A sostegno del voto elettronico è stato detto che sia economico e in grado di apportare velocità e
correttezza alle operazioni di conteggio dei voti, nel pieno rispetto della democrazia diretta.
Importante è lo sviluppo di alcuni sistemi tecnici e protocolli crittografici, le cui basi sono
rintracciabili nella firma elettronica cieca e nella blockchain.
● Firma Elettronica Cieca (Blind Signature): Attraverso la firma elettronica cieca, la
preferenza espressa dell’elettore è cifrata. Dopo l’espressione di voto, l’ufficiale elettorale,
apponendo la propria firma elettronica, autentica il voto che viene poi depositato nell’urna.
La firma dell’Autorità elettorale garantisce: l’anonimato del votante; la segretezza del voto;
privacy; diritto di esprimere un solo voto e una volta sola.
● Firma omomorfa: Con la firma omomorfa è possibile sommare due numeri cifrati senza
decifrarli e ciò consente che la fase di scrutinio di un procedimento elettorale si realizzi
senza che sorga la necessità di decifrare i singoli voti, tutelando così l’anonimato degli
elettori.
● Schemi MIX-NETS: Sistemi sviluppati su insiemi di server con i quali è possibile cifrare e
permutare i voti espressi, in modo da rendere quasi impossibile ricostruire chi ha votato
cosa (coppia voto- elettore).
● Blockchain: Con la blockchain l’utente-elettore esprime il proprio voto effettuando una
transazione in bitcoin in modo da rendere non modificabile e unica la preferenza espressa.
Tramite la blockchain l’elettore rimarrebbe l’unico in grado di operare una verifica sulla
preferenza da lui manifestata in sede di voto.

I SISTEMI DI VOTO STATUNITENSI


Tre principali categorie tecniche e tecnologie cui ricondurre i diversi sistemi di voto statunitensi:
Negli USA
● Punch Card Voting System: l’elettore deve perforare con ilpunzonatore agganciato
all’urna la scheda in corrispondenza del candidato preferito e, una volta perforata, viene
infilata dal cittadino nell’urna. Lo spoglio avviene in maniera automatizzata mediante
l’utilizzo di una macchina che scansiona i fori nelle schede.
● Optical Scan Paper Ballot System: l’elettore segna sulla scheda la propria preferenza di
voto utilizzando un marcatore leggibile dallo scanner ottico.
● Direct Recording Electronic (DRE): l’elettore esprime la propria preferenza tramite un
touch screen. Del voto così espresso è spesso rilasciata una copia cartacea.
In Estonia:
L'Estonia è probabilmente l'unico paese al mondo in cui il 99% dei servizi pubblici è disponibile
online 24 ore su 24, 7 giorni su 7 (tranne matrimoni, i divorzi e le transazioni immobiliari).
Grazie al loro ecosistema digitale ritengono di risparmiare ogni anno oltre «844 anni di tempo di
lavoro». Il sistema si chiama i-vote (internet voting)
Solo il 44% degli estoni utilizza i-vote... perché la partecipazione può essere favorita dalle ICT, ma
non è automaticamente garantita dalle ICT

DISMOGENEITA’ E MULTIFATTORIETA’ DEL RISCHIO


Scenari di insicurezza sono dati dagli attacchi e dagli incidenti, che minano la fiducia complessiva
degli elettori.

LA SICUREZZA DEI PROTOCOLLI DI E-VOTING E LE PRINCIPALI TECNICHE DI ATTACCO


La maggioranza di quei sistemi di e-voting mostra gravi problemi di vulnerabilità e le principali
tecniche di attacco che possono essere sferrate sui protocolli posti alla base dei sistemi e voting
sono l’intercettazione, la modifica, la falsificazione e l’interruzione.
● Intercettazione: Una terza parte riesce ad accedere alla rete di comunicazione e intercetta il
messaggio che mittente e destinatario si stanno scambiando (elettore-sistema elettorale),
catturando i dati in transito. Questa tecnica di attacco viene definita passiva.
● Modifica: L’attaccante riesce a intercettare il messaggio e a modificarlo con informazioni
false per poi farlo proseguire al destinatario. La modifica rientra tra gli attacchi di tipo attivo
contro l’integrità del messaggio stesso.
● Falsificazione: L’attaccante invia al destinatario un messaggio che rappresenta a tutti gli
effetti un «quid novum». Si differenzia dalla modifica in quanto la terza parte che falsifica
non si spaccia per il mittente originale. È un attacco attivo.
● Interruzione: La rete di comunicazione tra mittente e destinatario viene interrotta; viene
pertanto definito come un attacco alla disponibilità del dato. È un attacco attivo in cui una o
più parti si adoperano per interrompere il flusso delle informazioni.

L’ITALIA: IL REFERENDUM DEL 2017 E ROUSSEAU


Il nostro Paese ha sperimentato il voto elettronico il 22 ottobre 2017, in occasione del referendum
per l’autonomia della Lombardia.
L’esperienza si è palesata fallimentare sotto molteplici aspetti: in quell’occasione la scelta cadde
su un metodo di voto attraverso tablet, che non garantivano ai cittadini di operare un controllo sulla
scelta fatta.
Vi sono stati poi rischi di modifica dei dati e contestazioni.
La piattaforma Rousseau ha subito diversi attacchi informatici, che hanno dimostrato la sua
vulnerabilità, con conseguenti data breach di varia entità e natura, tanto da diventare oggetto di
istruttorie presso il Garante per la protezione dei dati personali.

ALTRE ESPERIENZE DI VOTO


La strada verso il voto elettronico è attualmente costellata d’insuccessi dei quali bisogna prendere
atto e dai quali si può trarre spunto per ragionare su quali fronti si possa agire.

CONCLUSIONI
La scelta di sposare una soluzione di voto elettronico, al fine di sostituire lo strumento manuale di
carta e matita, dovrebbe scaturire da un attento esame per determinare gli effetti benefici, gli
svantaggi e i rischi.
Vi deve essere riguardo ai principi fondamentali di uno Stato democratico e alla sicurezza
informatica.

UNITA’ 3
DIGITAL SINGLE MARKET E DIRITTO

CAPITOLO XXV: IL DIGITAL SINGLE MARKET, IL COMMERCIO ELETTRONICO E LA TUTELA DEL


CONSUMATORE

DIGITAL SINGLE MARKET


Il mercato unico nasce successivamente al trattato di Maastricht del 7 febbraio 1992.
E’ caratterizzato da quattro libertà:
1. La Comunità Economica Europea (CEE) diviene Comunità Europea.
2. Sono rafforzati i poteri del Parlamento
3. Sono aboliti i dazi doganali e le restrizioni quantitative all'entrata e all'uscita delle merci e le
misure di effetto equivalente.
4. Sono eliminati gli ostacoli alla libera circolazione delle merci, delle persone, dei servizi, dei
capitali

DIGITAL AGENDA FOR EUROPE


Nel marzo 2010 la Commissione lancia la Strategia Europa 2020.
L’Agenda Digitale Europea è una delle sette iniziative faro della strategia Europa 2020.
L'agenda si prefigge di tracciare la strada per sfruttare al meglio il potenziale sociale ed economico delle
TIC → tecnologie dell'informazione e della comunicazione (TIC).
In particolare di internet, che costituisce il supporto essenziale delle attività socioeconomiche, che
si tratti di creare relazioni d'affari, lavorare, giocare, comunicare o esprimersi liberamente.
Obiettivo: Maggiore diffusione e un uso più efficace delle tecnologie digitali
Per
● Stimolare innovazione e crescita economica
● Migliorare la vita quotidiana dei cittadini e delle imprese
Ad esempio sotto forma di un'assistenza sanitaria migliore, trasporti più sicuri e più efficienti, un
ambiente più pulito, nuove possibilità di comunicazione e un accesso più agevole ai servizi pubblici
e ai contenuti culturali.
Le problematiche che la caratterizzano sono:
1. Frammentazione dei mercati digitali
2. Mancanza di interoperabilità
3. Aumento della criminalità informatica e rischio di un calo della fiducia nelle reti
4. Mancanza di investimenti nelle reti
5. Impegno insufficiente nella ricerca e nell'innovazione
6. Mancanza di alfabetizzazione digitale e competenze informatiche
7. Opportunità mancate nella risposta ai problemi della società

IL DIGITAL SINGLE MARKET: CONTESTO, OBIETTIVI ED EVOLUZIONE


I temi del Digital Single Market sono:
● Commercio elettronico
● Reti e connettività
● Cybersecurity
● Industria digitale
● Data economy
● Piattaforme
● Artificial Intelligence
● Formazione sul digitale
Il Digital Single Market è la strategia adottata dalla Commissione Europea nel 2015, per la
creazione del Mercato Unico Digitale.
Nel documento programmatico l’Unione europea è descritta come uno spazio economico con un
potenziale tecnologico e di crescita.
L’intervento è stato finalizzato alla creazione di un Mercato Unico Digitale per garantire pari
condizioni di sviluppo sociale ed economico, ponendo le nuove tecnologie al centro. La
realizzazione del mercato unico digitale consentirà all'Europa di mantenersi tra i leader mondiali
dell’economia digitale.
La strategia è fondata su tre aree d'intervento prioritarie:
1. Migliorare l’accesso online
2. Creare un contesto favorevole per lo sviluppo del digitale
3. Massimizzare il potenziale di crescita
4. Norme chiare ed uniformi
E’ esplicato in:
● Direttiva 31/2000 relativa a taluni aspetti del commercio elettronico
● Recepita nel D.lgs 70/2003→ art.12 e art.13
● Codice del consumo se da professionista a consumatore

IL COMMERCIO ELETTRONICO: DEFINIZIONE, CLASSIFICAZIONE, NORMATIVA DI


RIFERIMENTO
Si parla di commercio elettronico, detto e-commerce, ossia electronic commerce, che consiste
nello svolgimento di attività commerciali per via elettronica, basate sull'elaborazione e la
trasmissione dei dati per via elettronica.
Si tratta di beni e servizi oggetti di transazioni e si distingue tra commercio diretto ed indiretto,
commercio business-to-business e commercio business-to-consumer.
La nozione di commercio elettronico e la sua regolamentazione giuridica si è evoluta per effetto di
una serie di interventi normativi di derivazione europea e nazionale, che hanno determinato una
stratificazione normativa complessa.
E’ caratterizzato da 3 fasi:
1. Portali di e-commerce: siti web tradizionali
2. Marketplace: vendita di beni online
3. Platform economy: non solo beni anche servizi
Si divide in:
1. B2C – Business to Consumer
2. B2B – Business to Business
3. C2C – Consumer to Consumer
consumatore→la persona fisica che agisce per scopi estranei all’attività imprenditoriale, commerciale,
artigianale o professionale eventualmente svolta;
professionista→ la persona fisica o giuridica che agisce nell’esercizio della propria attività imprenditoriale,
commerciale, artigianale o professionale, ovvero un suo intermediario

LA DISCIPLINA DEL CONTRATTO TELEMATICO


Il contratto telematico è lo strumento di regolamentazione dei rapporti giuridici nel commercio
elettronico, inteso come l’accezione sopra esaminata di transazione online. Il contratto telematico è
l’accordo, ex art. 1321 c.c., attraverso il quale parti distanti manifestano la volontà negoziale
mediante l’ausilio di strumenti telematici.
Sotto il profilo giuridico occorrerà, dunque, fare riferimento alla disciplina dettata dal Libro quarto,
Titolo II, del Codice Civile, rubricato “Dei contratti in generale”.
L’applicazione della normativa codicistica ai contratti telematici pone alcune problematiche da
tenere in debita considerazione, come per esempio la forma del contratto e le condizioni generali
di contratto.
Questioni giuridiche sollevate in merito contratto telematico:
● imputabilità
● forma
● momento della conclusione
● luogo della conclusione
→firme elettroniche
Il documento informatico soddisfa il requisito della forma scritta e ha l'efficacia prevista dall'articolo
2702 del Codice civile quando vi e' apposta una firma digitale, altro tipo di firma elettronica
qualificata o una firma elettronica avanzata o, comunque, e' formato con modalita' tali da garantire
la sicurezza, integrita' e immodificabilita' del documento e, in maniera manifesta e inequivoca, la
sua riconducibilita' all'autore.
In tutti gli altri casi, l'idoneità del documento informatico a soddisfare il requisito della forma scritta e
il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di
sicurezza, integrita' e immodificabilita'. La data e l'ora di formazione del documento informatico
sono opponibili ai terzi se apposte in conformità alle Linee guida.
→contratto point and click
si conclude tramite alcuni click del mouse su campi selezionabili e la definitiva pressione del
cosiddetto “tasto negoziale virtuale”, che va a sostituire la manifestazione di volontà tipica della
conclusione contrattuale nel mondo analogico.
Qualora, su richiesta del proponente o per la natura dell’affare o secondo gli usi, la prestazione
debba eseguirsi senza una preventiva risposta, il contratto è concluso nel tempo e luogo in cui ha
avuto inizio l’esecuzione.

CODICE DEL CONSUMO


Il codice del consumo è caratterizzato da 6 macro-categorie
1. Disposizioni relative all’equilibrio normativo e contrattuale del contratto
2. Disposizioni relative alla trasparenza contrattuale
3. Disposizioni che consentono al consumatore di ripensare al contratto concluso (o ancora da
concludere)
4. Clausole vessatorie + garanzie
5. Obblighi informativi e requisiti di forma
6. Diritto di recesso
→ obblighi formativi
Art.39
Prima che il consumatore sia vincolato da un contratto a distanza o negoziato fuori dei locali
commerciali o da una corrispondente offerta, il professionista fornisce al consumatore le
informazioni seguenti, in maniera chiara e comprensibile:
● le caratteristiche principali dei beni o servizi
● l'identità del professionista;
● l'indirizzo e il suo numero di telefono, di fax e l'indirizzo elettronico
● il prezzo totale dei beni o dei servizi comprensivo delle imposte e spese aggiuntive;
● le modalità di pagamento, consegna ed esecuzione, la data entro la quale il professionista
si impegna a consegnare i beni o a prestare i servizi e, se del caso, il trattamento dei
reclami da parte del professionista
● Diritto di recesso: sussistenza o insussistenza e condizioni, termini e procedure;
● Garanzia legale di conformità: promemoria;
● Codici di condotta
● Durata del contratto e condizioni per recedere dal contratto;
● Durata minima degli obblighi del consumatore a norma del contratto;
● Condizioni di depositi o altre garanzie finanziarie;
● Funzionalità del contenuto digitale
● Interoperabilita’
● Alternative Dispute Resolution.
Le informazioni di cui al comma 1 formano parte integrante del contratto a distanza o del contratto
negoziato fuori dei locali commerciali e non possono essere modificate se non con accordo
espresso delle parti.
Nel caso di utilizzazione di tecniche che consentono una comunicazione individuale, le informazioni
di cui al comma 1 sono fornite, ove il consumatore lo richieda, in lingua italiana.
L'onere della prova relativo all'adempimento degli obblighi di informazione di cui alla presente
sezione incombe sul professionista.
Le informazioni precedentemente elencate devono essere fornite con modalità adatte al mezzo di
comunicazione impiegato, in modo leggibile, prima dell’inoltro dell’ordine, e il linguaggio utilizzato
deve essere semplice e comprensibile.
→recesso
Si tratta di uno degli istituti più importanti introdotti dalla disciplina consumeristica al fine di
consentire alla parte più debole del rapporto contrattuale di ripensare al contratto concluso.
Entro 14 giorni, che decorrono, nel caso di contratti di servizi dalla conclusione del contratto, nel
caso di contratti di vendita «dal giorno in cui il consumatore o un terzo, diverso dal vettore e
designato dal consumatore, acquisisce il possesso fisico dei beni».
Nel caso in cui l’ordine concerna più beni, il termine decorre dal momento in cui è acquisito il
possesso fisico dell’ultimo dei beni, lotto o pezzo consegnato, salvo che si tratti di contratto per
la consegna periodica di beni, nel qual caso decorrerà dalla consegna del primo bene.
→ passaggio del rischio
Il rischio della perdita o del danneggiamento dei beni si trasferisce al consumatore nel momento in
cui quest’ultimo entra materialmente in possesso dei beni.
→ foro competente
Per le controversie civili inerenti all'applicazione delle Sezioni da I a IV del presente capo la
competenza territoriale inderogabile e' del giudice del luogo di residenza o di domicilio del
consumatore, se ubicati nel territorio dello Stato.
→ legge applicabile
Se la legge applicabile al contratto non è la legge italiana ma quella di un altro stato membro
dell’Unione europea, ai consumatori residenti in Italia saranno in ogni caso applicabili le
disposizioni previste in materia di contratti a distanza e eventuali clausole contrattuali dirette a
limitare o escludere tali diritti non vincolano il consumatore.
→ clausole vessatorie
Si suddividono in 4 macro-categorie:
1. prevedono limitazioni all’obbligo di adempimento del contratto,
2. derogano al principio di immodificabilità del contratto,
3. derogano all’irretrattabilità del consenso,
4. limitano le difese del consumatore o prevedono l’autotutela del professionista.

LA TUTELA DEL CONSUMATORE NEL COMMERCIO ELETTRONICO


La classificazione sotto il profilo soggettivo dei modelli contrattuali assume particolare rilevanza in
relazione alla determinazione della disciplina da applicare alla fattispecie e alla conseguente tutela
da riconoscere alla parte contraente più debole.
L’avvento e lo sviluppo del commercio elettronico è basato sulla contrapposizione tra il venditore,
che ha potere negoziale, e il consumatore.
La regolamentazione della materia è demandata al Codice del Consumo, di cui al d.lgs. n.
206/2005, ossia un corpus normativo organico che racchiude la normativa nazionale più
significativa sul punto.
La tutela del consumatore è garantita attraverso una serie di obblighi posti a carico del
professionista e di diritti previsti a favore del consumatore o utente.
Con riferimento agli strumenti di protezione del consumatore, il Codice del Consumo attribuisce al
contraente debole la possibilità di tutelarsi avverso le pratiche commerciali ingannevoli e scorrette.
In relazione al diritto di recesso, il professionista è tenuto a mettere a disposizione del
consumatore un modulo standard, per avvalersi di tale diritto, che può essere esercitato entro 14
giorni dalla data di consegna del bene.
Per gli acquisti di modico valore, l’eventuale ricorso alla giustizia ordinaria può risultare
antieconomico.
Al fine di fronteggiare detta situazione, il Legislatore europeo, attraverso la Direttiva 2013/11/UE,
ha inteso incoraggiare gli Stati membri ad adottare nei rispettivi ordinamenti soluzioni che facilitino
il ricorso alle ADR, ossia le Alternative Dispute Resolution, strumenti di composizione delle
controversie tra imprese e consumatori in via stragiudiziale diffusi nei sistemi di common law.

CAPITOLO XXVI:LA RESPONSABILITA’ DEL PROVIDER E LA GESTIONE DEI CONTENUTI ILLECITI


DA PARTE DELLE PIATTAFORME

LA DIRETTIVA 31/2000 E IL PROBLEMA DELLA RESPONSABILITA’ DEL PROVIDER


I soggetti che offrono servizi a distanza, per via elettronica, a richiesta di un destinatario, sono
definiti come servizi della società dell’informazione.
Con riguardo alla responsabilità del prestatore dei servizi della società dell’informazione si parla
della cosiddetta responsabilità del provider.
Più precisamente, si tratta della responsabilità dei soggetti che effettuano la trasmissione di
informazioni mediante una rete di comunicazioni.
I prestatori di servizi dell’informazione sono tenuti ad informare senza indugio la pubblica autorità
competente di presunte attività illecite.
Tali principi, applicabili alla responsabilità del provider, possono essere sintetizzati come segue:
● Il provider non ha l’obbligo di sorveglianza sui contenuti che conserva, diffonde o trasmette
● Il provider non è tenuto alla ricerca attiva di attività illecite
● Il provider se viene a conoscenza di attività illecite deve informare senza indugio le autorità

LA RESPONSABILITA’ DELLE PIATTAFORME E LA GESTIONE DEI CONTENUTI ILLECITI DEGLI


UTENTI
La commissione ha affermato che le piattaforme costituiscono il principale punto di accesso alle
informazioni in Internet e che, pertanto, hanno una significativa responsabilità sociale.
Con tematiche come le fake news, il diritto d’autore e il copyright, l’obiettivo è contrastare le attività
illecite.
La responsabilità del provider è garantita nella Direttiva 31/2000→ direttiva sul commercio
elettronico.
Si tratta della responsabilità dei soggetti che effettuano “la trasmissione di informazioni mediante
una rete di comunicazione, la fornitura di accesso a una rete di comunicazione o lo stoccaggio di
informazioni fornite da un destinatario di servizi”
Gli Stati membri non devono imporre ai prestatori di tali servizi, meglio specificati agli articoli 12,
13 e 14, “un obbligo generale di sorveglianza sulle informazioni che trasmettono o memorizzano
né un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di
attività illecite”.
Gli Stati membri possono, tuttavia, prevedere che i prestatori di tali servizi “siano tenuti ad
informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite
dei destinatari dei loro servizi o a comunicare alle autorità competenti, a loro richiesta, informazioni
che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di
memorizzazione dei dati”
Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto
dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per
impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o
pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha
provveduto ad informarne l'autorità competente.
→ mere conduit
consiste nel trasmettere,su una rete di comunicazione, informazioni fornite da un destinatario del
servizio, o nel fornire un accesso alla rete di comunicazione.
Il provider che svolga tale attività non è ritenuto responsabile per le informazioni trasmesse
purché non dia origine alla trasmissione, non selezioni il destinatario e non modifichi le informazioni
trasmesse.
→ caching
consiste nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del
servizio e nel realizzare una memorizzazione automatica, intermedia e temporanea di tali
informazioni effettuata al solo scopo di rendere più efficace il successivo inoltro ad altri destinatari a
loro richiesta.
In tale caso il provider non è responsabile purché non modifichi le informazioni, svolga
l’attività conformemente a quanto previsto in materia di accesso alle informazioni e aggiornamento
delle stesse, non interferisca sull’uso lecito di tecnologie per ottenere dati sull’impiego delle
informazioni e purché agisca prontamente su tali informazioni qualora venga a conoscenza del
fatto che sono state rimosse dal luogo in cui in precedenza si trovavano sulla rete, o che l’accesso
alle medesime è stato disabilitato per intervento, spontaneo o su ordine delle autorità, del
destinatario del servizio.
→ hosting
Memorizzazione di informazioni fornite da un destinatario del servizio.
Il prestatore di tale servizio non è responsabile delle informazioni memorizzate a richiesta di
un destinatario del servizio, a condizione che detto prestatore:
1. non sia effettivamente al corrente del fatto che l'attività o l'informazione è illecita e, per
quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono
manifesta l'illegalità dell'attività o dell'informazione, o
2. non appena al corrente di tali fatti, agisca immediatamente per rimuovere le informazioni o
per disabilitarne l'accesso
- il provider non ha un obbligo di sorveglianza sui contenuti che conserva, diffonde o
trasmette;
- non è tenuto alla ricerca attiva di attività illecite;
- se viene a conoscenza di attività illecite deve informare senza indugio le autorità;
- se le autorità gli richiedono di fornire informazioni o di disabilitare l'accesso ad alcuni
contenuti, il provider deve agire senza indugio.

CONCLUSIONI
Il meccanismo sembrerebbe a macchia di leopardo e dalla complessità esistente emerge la
necessità di un intervento legislativo europeo che possa muovere per fornire una
regolamentazione unitaria concernente la gestione dei contenuti ad opera delle piattaforme online,
tramite procedure trasparenti, al fine di garantire la tutela dei diritti fondamentali.
All'odierna lettura della norma, le tipologie di servizi elencate appaiono evidentemente riduttive
rispetto alla grande quantità di attività che possono essere svolte online. Vi sono attualmente in
Internet operatori che svolgono attività molto differenti tra loro e che ripropongono la questione
della responsabilità del provider in contesti e circostanze che non possono essere trattate
unitamente e che richiedono delle distinzioni.
Sin dai primi anni dalla sua approvazione, la Direttiva ha suscitato perplessità, contrasti dottrinali e
giurisprudenziali e proposte di riforma legislativa nel tentativo di operare delle distinzioni tra le varie
categorie di servizi che potrebbero astrattamente rientrare nella definizione di hosting provider.
A tale categoria sono state ricondotte attività molto diverse tra loro, dalla gestione di un blog
personale in relazione ai commenti degli utenti, ai motori di ricerca, ai social network.
La giurisprudenza ha tuttavia tentato in più occasioni di attribuire al provider qualche forma di
responsabilità rispetto agli illeciti commessi dagli utenti , ritenendo che tale soggetto non potesse
essere considerato del tutto estraneo rispetto alle attività degli utenti.
Ciò ha portato all’elaborazione di una fondamentale distinzione tra provider attivo (contenuti
gestiti) e provider passivo (processo tecnico, attività di ordine meramente tecnico, automatico e
passivo), volta a riaffermare la responsabilità di alcune tipologie di provider.
Il principio dell’irresponsabilità del provider ha, inoltre, iniziato a subire alcune prime erosioni, sia ad
opera delle Corti, che mediante l’introduzione di rilevanti eccezioni nell’ambito della
legislazione europea.
→ casi
“Google Spain”: è stata affermata la responsabilità del motore di ricerca ove non intervenga per
effettuare la de-indicizzazione dei contenuti, nei limiti della normativa per la tutela dei dati personali,
a seguito di richiesta dell’utente.
“Delfi v. Estonia”: la Corte ha ritenuto compatibile con la Convenzione l’applicazione di una
sanzione al portale web per i commenti pubblicati dagli utenti ed ha affermato che gli Stati membri
possono, in alcune circostanze, prevedere che il portale web sia responsabile anche per i
commenti pubblicati dagli utenti, purché ciò non costituisca un pericolo per la libertà di espressione.
“Magyar v. Ungheria”: i commenti non vengono ritenuti manifestamente illeciti, né qualificabili come
hate speech, e nel quale viene considerata la tipologia di attività svolta dal portale, in questo caso
(a differenza del precedente) non volta al conseguimento di un ritorno economico attraverso
l’inserimento di inserzioni pubblicitarie.

Le pronunce richiamate segnano l’inizio di un cambio di prospettiva: l’esigenza di rinvenire nuove
modalità di controllo dei contenuti online porta a guardare ai provider come nuovi interlocutori ai fini
della gestione della diffusione di fenomeni quali il terrorismo, i discorsi d’odio, il cyberbullismo, le
fake news, nonché il più tradizionale problema della tutela del copyright.
VERSO UNA NUOVA RESPONSABILITA’ DEL PROVIDER
Cass. civ. n. 7708 del 19 marzo 2019→ recentemente, inoltre, la Cassazione, nella ricostruzione
della responsabilità del provider, ha precisato che, ai fini della riconoscibilità dell’illiceità del
contenuto, è sufficiente che essa «sia ragionevolmente constatabile» e che il soggetto «sia in colpa
grave per non averla positivamente riscontrata, alla stregua del grado di diligenza che è
ragionevole attendersi da un operatore professionale della rete in un determinato momento storico»
Nella Comunicazione “Tackling Illegal Content Online. Towards an enhanced responsibility of
online platforms”, la Commissione ha affermato che le piattaforme costituiscono il principale punto
di accesso alle informazione in Internet e che, pertanto, hanno una significativa responsabilità
sociale, dovendo proteggere gli utenti e la società stessa e impedire ai criminali e alle persone
coinvolte in attività illecite di sfruttare i loro servizi.
Il Legislatore europeo, rinviando al futuro un intervento di più ampio respiro di revisione della
Direttiva 31/2000, si è mosso intervenendo per settori, elaborando strumenti normativi (direttive e
regolamenti), ma anche codici di condotta, con nuove forme di collaborazione tra piattaforme e
istituzioni.
Le piattaforme sono divenute interlocutori delle istituzioni europee, invitate alla collaborazione per il
contrasto delle attività illecite commesse online dagli utenti, sedute ai tavoli nei quali vengono
elaborate le nuove proposte normative.
Gli interventi e le proposte di intervento più rilevanti in ambito europeo con riguardo alla
responsabilità del provider concernono le seguenti tematiche:
1. Data protection
2. Terrorismo→ l’hosting service provider, nelle sue condizioni generali di contratto, deve
includere disposizioni volte alla prevenzione della diffusione di contenuti terroristici. Le
misure devono essere effettive e proporzionate e tenere conto dei rischi relativi alla
diffusione del contenuto terroristico, ma anche della tutela dei diritti fondamentali e
della fondamentale importanza della libertà di espressione e informazione in una
società democratica.
Le autorità possono richiedere agli hosting service providers di fornire, entro tre mesi dalla
richiesta e al massimo una volta all’anno, un report dettagliato sulle misure poste in essere.
Il report concerne i contenuti rimossi o ai quali l’accesso è stato disabilitato e le misure
poste in essere al fine di impedire il ricaricamento di contenuti già identificati come
terroristici.
Il provider è, inoltre, tenuto alla rimozione di contenuti o a disabilitare l’accesso, a seguito di
ricezione di un ordine dell’autorità, entro un’ora, informando l’autorità dell’avvenuta
rimozione .
Ove richiesto dall’autorità è tenuto anche alla conservazione ove ciò sia necessario ai fini
della prova in procedimenti giudiziari a fini investigativi.
Il content provider deve essere informato della rimozione, salvo nel caso in cui l’autorità
richieda espressamente segretezza, nonché dei motivi della rimozione, ove lo richieda.
Deve, inoltre, essere predisposto un complaint mechanism attraverso il quale il content
provider possa richiedere che il contenuto sia rimesso online.
3. E-evidence→ Proposta di Regolamento relativo agli ordini europei di produzione e di
conservazione di prove elettroniche in materia penale.
mira ad adattare i meccanismi di cooperazione all’era digitale, fornendo alle autorità
giudiziarie e di contrasto gli strumenti per stare al passo con le attuali modalità di
comunicazione dei criminali e combattere le forme moderne di criminalità.
L’obiettivo della proposta è “stabilire le norme in base alle quali un’autorità
giudiziaria competente dell’Unione europea può, mediante un ordine europeo di produzione
o di conservazione, ingiungere a un prestatore di servizi che offre servizi nell’Unione di
produrre o conservare prove elettroniche”.
Si tratta di strumenti possono essere usati solo in situazioni transfrontaliere, ovvero nei casi
in cui il prestatore di servizi è stabilito o rappresentato in un altro Stato membro.
Essa prevede, in particolare la possibilità di richiedere “ordini europei di produzione” e
“ordini europei di conservazione”.
Con il primo termine s’intende “la decisione vincolante di un’autorità di emissione di uno
Stato membro che ingiunge a un prestatore di servizi che offre servizi nell’Unione ed è
stabilito o rappresentato in un altro Stato membro di produrre prove elettroniche”.
Con il secondo “la decisione vincolante di un’autorità di emissione di uno Stato membro che
ingiunge a un prestatore di servizi che offre servizi nell’Unione ed è stabilito o rappresentato
in un altro Stato membro di conservare prove elettroniche in vista di una successiva
richiesta di produzione”.
Essi possono essere rivolti ai prestatori di servizi che forniscono servizi di comunicazione
elettronica, servizi della società dell’informazione (servizi di hosting), servizi di nomi a
dominio e di numerazione IP.
L’ordine può essere emesso da un giudice, un organo giurisdizionale, un magistrato
inquirente o un pubblico ministero competente nel caso interessato, o qualsiasi altra autorità
competente, definita dallo Stato di emissione che, nel caso di specie, agisca in qualità di
autorità inquirente nel procedimento penale.
4. Hate speech→ La Commissione europea, Facebook, Twitter, YouTube e Microsoft hanno
elaborato, nel maggio 2016, un Codice di condotta (“Code of Conduct on Countering Illegal
Hate Speech Online”) per contrastare la diffusione delle espressioni d’odio online.
Prevede:
- procedure per la segnalazione da parte degli utenti dei contenuti illeciti e per la loro
rimozione;
- l’impegno a riscontrare le segnalazioni degli utenti concernenti hate speech entro le
24 ore dal ricevimento e a rimuovere i contenuti ove lesivi;
- una migliore informazioni agli utenti sulle tipologie di contenuti non permessi e sulle
procedure di rimozione degli stessi;
- la cooperazione e il dialogo con la Commissione europea per contrastare tali
fenomeni.
5. Fake news→ codice di condotta.
6. Audiovisual media service→Con riguardo ai servizi media audiovisivi, già regolati dalla
Direttiva 13/2010, si è scelto di intervenire modificandola mediante la Direttiva 1808/2018, in
considerazione dell’“evoluzione delle realtà del mercato”.
Essa introduce, limitandosi alle problematiche oggetto di analisi, un nuovo Capo IX bis
all’“Audiovisual Media Services Directive”, concernente le disposizioni applicabili
ai “servizi di piattaforma per la condivisione di video”.
Le nuove norme si applicano ove la piattaforma abbia come “obiettivo principale” o come
obiettivo di una sezione del servizio la fornitura di video generati dagli utenti
Tali piattaforme adottino misure per tutelare:
a) i minori, da contenuti che possano nuocere al loro sviluppo fisico, mentale o
morale;
b) il grande pubblico, da contenuti che istighino alla violenza o all’odio;
c) il grande pubblico, da contenuti la cui diffusione costituisce reato
(in particolare la pubblica provocazione a commettere reati di terrorismo e reati di
stampo razzista e xenofobo).
Le misure elencate:
a) definire e applicare, nei termini e nelle condizioni dei fornitori di piattaforme per la
condivisione di video, i concetti di istigazione alla violenza o all’odio e di contenuto che
potrebbe nuocere allo sviluppo fisico, mentale o morale dei minori;
b) istituire e applicare meccanismi affinché gli utenti possano segnalare o indicare, al
fornitore di piattaforme per la condivisione di video, il contenuto che istighi all’odio o sia
nocivo per i minori conservato sulla sua piattaforma;
c) istituire e applicare sistemi per verificare l’età degli utenti delle piattaforme di condivisione
di video per quanto attiene ai contenuti che potrebbero nuocere gravemente allo sviluppo
fisico, mentale o morale dei minori;
d) istituire e applicare sistemi che consentano agli utenti delle piattaforme per la
condivisione di video di valutare i contenuti;
e) dotarsi di sistemi di controllo parentale per quanto attiene ai contenuti che potrebbero
nuocere allo sviluppo fisico, mentale o morale dei minori;
f) istituire e applicare sistemi per spiegare agli utenti quale seguito sia stato dato alla
segnalazione
7. Copyright→ Direttiva sul diritto d’autore e sui diritti connessi nel mercato unico digitale
Prevede che i prestatori di servizi di condivisione di contenuti online siano responsabili “per
atti non autorizzati di comunicazione al pubblico, compresa la messa a disposizione del
pubblico di opere e altri materiali protetti dal diritto d’autore a meno che non dimostrino di
a) aver compiuto i massimi sforzi per ottenere un’autorizzazione;
b) aver compiuto, secondo elevati standard di diligenza professionale di settore, i massimi
sforzi per assicurare che non siano disponibili opere o altri materiali oggetto di segnalazioni
da parte dei titolari dei diritti, ove questi abbiano fornito le informazioni pertinenti e
necessarie;
c) aver reagito tempestivamente, dopo aver ricevuto una segnalazione sufficientemente
motivata, per disabilitarne l’accesso, rimuovere il contenuto, nonché aver compiuto i
massimi sforzi per impedirne il caricamento in futuro” .
Ai fini della valutazione delle condotte tenute dalla piattaforma è applicabile il principio di
proporzionalità e devono essere considerati anche:
- la tipologia,
- il pubblico,
- la dimensione del servizio e
- la tipologia di opere o altri materiali caricati dagli utenti,
nonché “la disponibilità di strumenti adeguati ed efficaci e il relativo costo per i prestatori di
servizi”.

SECONDARY LIABILITY
La responsabilità della piattaforma per i contenuti degli utenti, cosiddetta “secondary liability”,
si struttura quindi allo stato attuale nel modo seguente:
1. vi è il principio di irresponsabilità di cui alla Direttiva 31/2000, che non si applica ove il
gestore della piattaforma effettui una selezione/modifica dei contenuti (se non in modo
automatizzato), e ad esso si affiancano una serie di eccezioni rispetto alle quali il provider è
o tenuto a intervenire, o invitato a farlo, dalla Commissione, nella forma delle "voluntary
measures”.
Sembrerebbe, quindi, derivarne un meccanismo a macchia di leopardo: l’irresponsabilità come
regola, che salta in caso di intervento diretto, salvo che tale intervento sia diretto a reprimere uno
dei fenomeni per i quali la Commissione incoraggia un intervento.
Dalla complessità esistente emerge la necessità di un intervento legislativo europeo che
possa muovere oltre la Direttiva 31/2000 e fornire una regolamentazione unitaria concernente la
gestione dei contenuti ad opera delle piattaforme.
La regolamentazione generale della gestione dei contenuti degli utenti da parte delle
piattaforme, concernenti, quale contenuto minimo, obblighi informativi relativi a:
● i contenuti non ammessi,
● le misure attuabili in caso di violazione,
● la specificazione delle procedure per l’assunzione delle decisioni in merito al contenuto,
● le possibilità di ricorso sulle decisioni,
● la segnalazione dei contenuti da parte degli utenti,
● le misure proattive.

DIGITAL MARKET ACT


Il 15 dicembre 2020, la Commissione europea ha presentato due proposte di
regolamento relative ai mercati digitali, il “Digital Services Act” e il “Digital Markets Act”.
Quest’ultimo mira a identificare e vietare determinate pratiche sleali, laddove siano poste in essere
da piattaforme cosiddette “gatekeepers”.
La proposta di Regolamento definisce quindi tanto le caratteristiche che una piattaforma deve
avere per essere considerata “gatekeeper” quanto le condotte che, in tal caso, le sono proibite.
L’art. 3 stabilisce le caratteristiche che la piattaforma deve avere per essere definita gatekeeper.
In particolare, la piattaforma deve:
- avere un impatto significativo sul mercato interno;
- gestire un servizio centrale, che rappresenta cioè un punto di collegamento significativo tra
utenti commerciali e utenti finali;
- godere di una posizione consolidata e duratura nell’ambito in cui opera
→Impatto significativo sul mercato interno
se l’impresa cui appartiene la piattaforma ha generato un fatturato annuo all’interno dello spazio
economico europeo pari o superiore a 6,5 miliardi di euro negli ultimi tre esercizi finanziari, oppure
se la capitalizzazione media di mercato dell’impresa è stata pari ad almeno 65 miliardi di euro
nell'ultimo esercizio finanziario e se l’impresa stessa fornisce un servizio di piattaforma di base in
almeno tre Stati membri.
→Gestione di un servizio rilevante
se la piattaforma ha fornito, nell’ultimo esercizio finanziario, un servizio con più di 45 milioni di
utenti finali attivi mensili stabiliti o situati nell'Unione e più di 10.000 utenti commerciali attivi annui
stabiliti nell'Unione.
→Posizione consolidata e duratura
più di 45 milioni di utenti finali attivi mensili stabiliti o situati nell'Unione e più di 10.000 utenti
commerciali attivi annui stabiliti nell'Unione negli ultimi tre esercizi finanziari.
→Obbligo di notifica
da parte di quelle piattaforme che soddisfino i requisiti indicati e una valutazione da parte della
Commissione.
→Designazione come gatekeeper da parte della Commissione
La Commissione potrà riesaminare le proprie decisioni, ed eventualmente modificare la qualifica di
una piattaforma, laddove vi sia stato un cambiamento sostanziale al quadro fattuale che aveva
portato alla decisione circa la natura della piattaforma oppure se le informazioni su cui si era basata
tale decisione si siano rivelate incomplete, inesatte o fuorvianti.

DIGITAL SERVICES ACT


Il Regolamento proposto mira a ridefinire la disciplina applicabile alle piattaforme
online, modificando la Direttiva 31/2000 ed introducendo nuove disposizioni in materia di
trasparenza, obblighi informativi e accountability.
Interviene sulla Direttiva 31/2000, cosiddetta direttiva e-commerce, nella quale è disciplinata anche
la responsabilità del provider, oggetto di numeri contrasti giurisprudenziali e dottrinali, e che ora
viene ritoccata per rispondere alle esigenze emerse dal 2000 ad oggi con la moltiplicazione dei
servizi online e la ridefinizione del mercato.
La proposta mantiene l’impianto originario della Direttiva 31/2000, ovvero la
regola secondo la quale la piattaforma non è tenuta ad un obbligo di sorveglianza
rispetto ai contenuti immessi sulla piattaforma dagli utenti, ma introduce nuove norme, in gran
parte recependo gli orientamenti e gli indirizzi giurisprudenziali emersi nel corso degli anni, ora
proposti come regolamento europeo per una maggiore armonizzazione e certezza giuridica, in
materia di:
1. trasparenza,
2. obblighi informativi.
3. accountability.
In particolare, la proposta di Regolamento stabilisce:
- un quadro per l'esenzione dalla responsabilità dei prestatori di servizi di intermediazione;
- due diligence obligations per alcune categorie specifiche di provider di servizi di
intermediazione;
- nuove regole per l’attuazione, l’enforcement, la cooperazione e il coordinamento tra gli Stati
membri in materia di servizi digitali.

LA RESPONSABILITA’ DEL PROVIDER


Permangono le due regole fondamentali già contenute nella Direttiva 31/2000 in
materia di responsabilità dell’hosting provider.
Il provider non è responsabile delle informazioni memorizzate su richiesta di un
destinatario del servizio a condizione che il fornitore:
● non abbia una conoscenza effettiva di attività illegali o contenuti illegali e, per quanto
riguarda le richieste di risarcimento danni, non è a conoscenza di fatti o circostanze da cui è
evidente l'attività illegale o il contenuto illegale;
● dopo aver ottenuto tale conoscenza o consapevolezza, agisce rapidamente per rimuovere o
disabilitare l'accesso al contenuto illegale.
Il provider deve, invece, attivarsi per rimuovere il contenuto illecito o fornire informazioni quando gli
è richiesto da un’autorità amministrativa o giudiziaria.
Tuttavia, è specificato che le regola dell’esenzione non si applica se il destinatario
del servizio agisce sotto l’autorità o il controllo del provider, né in materia di responsabilità derivante
dalla disciplina per la tutela dei consumatori per le piattaforme online che consentono ai
consumatori di concludere contratti a distanza con i professionisti, laddove tale piattaforma online
presenti l'informazione specifica o altrimenti consenta la specifica transazione in questione in un
modo tale un consumatore medio e ragionevolmente informato per credere che le informazioni, o
il prodotto o servizio oggetto della transazione, siano forniti dalla piattaforma online stessa o da un
destinatario del servizio che agisce sotto la sua autorità o controllo.
Inoltre, sebbene non vi sia nessun obbligo generale di sorveglianza e monitoraggio, né di
ricercare attivamente fatti o circostanze che indichino un'attività illegale, i provider possono attuare
indagini volontarie di propria iniziativa o altre attività volte a rilevare, identificare e rimuovere o
disabilitare l'accesso a un contenuto illegale,senza che ciò determini la perdita del beneficio
dell’esenzione dall’obbligo di sorveglianza, come già sostenuto nei precedenti indirizzi comunitari.

NUOVE DISTINZIONI E SPECIFICAZIONI


Riconfermato, quindi, l’impianto originario, così come era stato negli anni interpretato, ma con
maggior specificazione delle eccezioni, seguono ulteriori disposizioni che introducono:
1. una disciplina dettagliata sulla trasparenza e gli obblighi informativi per tutti i provider di
intermediary services;
2. alcune disposizioni aggiuntive applicabili ai soli servizi di hosting, concernenti i notice-and-
take-down mechanisms;
3. alcune disposizioni applicabili alle sole “online platform” che non siano PMI;
4. disposizioni applicabili alle sole “very large platform”.
→Intermediary Services
- l’obbligo di stabilire un unico punto di contatto elettronico per il dialogo con le autorità degli
stati membri e l’obbligo di nominare un legale rappresentante nel territorio dell’Unione per i
provider stabiliti fuori dall’UE che offrano servizi ai cittadini dell’Unione;
- obblighi di trasparenza sulle restrizioni all’utilizzo del servizio, sulla content moderation e
sull’algoritmic decision-making;
- obblighi di reporting rispetto alla content moderation, alle richieste ricevute dalle Autorità
degli Stati membri, nonché sui complaint mechanism per i soggetti tenuti a predisporli.
→Hosting Services
Quanto alle misure aggiuntive per gli hosting, è introdotta una disciplina dettagliata e uniforme in
materia di notice-and-take-down mechanisms, obbligatori per consentire le segnalazioni degli utenti
rispetto ai contenuti illeciti.
La procedura di segnalazione e decisione sulla stessa è disciplinata e prevede, in particolare, la
motivazione della decisione di rimozione, con indicazione delle informazioni che tale motivazione
deve contenere.
→Piattaforme Online
Per le piattaforme online è prevista come obbligatoria l’introduzione di un complaint mechanism
interno rispetto alle decisioni della piattaforma concernenti la rimozione di un contenuto, la
sospensione o terminazione del servizio, la sospensione o rimozione dell’account dell’user.
La decisione assunta nel meccanismo di risoluzione delle controversie interno, potrà poi essere
oggetto di ulteriore giudizio sia ricorrendo ai mezzi tradizionali, sia attraverso “out-of-court dispute
settlement”, imparziale e indipendente e certificato dal Digital Services Coordinator dello stato
membro.
Sono, inoltre, introdotte misure:
● in materia di “trusted flaggers” per la segnalazione dei contenuti,
● in materia di sospensione degli account che pubblicano frequentemente contenuti illeciti,
● rispetto alla segnalazioni alle autorità cui le piattaforme sono tenute,
● nonché con riguardo alla tracciabilità degli utenti che sulla piattaforma offrono beni o servizi
e in materia di online advertisement.
→Very Large Platform
Infine, per le sole “very large platform” è introdotto un obbligo di risk assessment rispetto ai rischi
derivanti dal funzionamento del servizio, riguardante, in particolare:
- la content moderation,
- la tutela dei diritti fondamentali,
- la manipolazione del servizio.
La piattaforma sarà, quindi, tenuta, a porre in essere misure ragionevoli, proporzionate e effettive
per la mitigazione del rischio rilevato, con obbligo di audit.
Sono anche previsti obblighi aggiuntivi in materia di recommender systems, online advertising, data
access. E’ introdotta la figura del compliance officer per monitorare tali aspetti

UNITA’ 4: BLOCKCHAIN, AI, DTL E CRIPTOVALUTE

CAPITOLO XXVIII: LA BLOCKCHAIN

DEFINIZIONE E FUNZIONAMENTO
Per capirne funzionamento e funzionalità, è necessario partire innanzitutto dalla definizione di
blockchain: si tratta di un registro pubblico nel quale vengono archiviati in modo sicuro, verificabile
e permanente transazioni che avvengono tra due utenti appartenenti a una stessa rete.
I dati relativi agli scambi sono salvati all’interno di blocchi crittografici, collegati in maniera
gerarchica l’uno all’altro.
Si viene così a creare un’infinita catena di blocchi di dati e da qui il nome blockchain, che consente
di risalire e verificare tutte le transazioni mai fatte.
La funzione primaria di una blockchain è, dunque, di certificare transazioni tra persone. Nel caso
dei Bitcoin la blockchain serve a verificare lo scambio di criptovaluta tra due utenti, ma si tratta solo
di uno dei tanti possibili utilizzi di questa struttura tecnologica. In altri settori, la blockchain può
certificare lo scambio di titolo e azioni: operare come fosse un notaio e “vidimare” un contratto o
rendere sicuri e non alterabili i voti espressi tramite votazione online.
Le principali caratteristiche della tecnologia blockchain sono:
a. immutabilità del registro
b. tracciabilità delle transazioni
c. alto livello di sicurezza basato su tecniche crittografiche
Per capire come funziona la blockchain è necessario conoscere due termini: nodi della blockchain
e miner.
I nodi della blockchain sono i computer della rete che hanno scaricato la blockchain nella loro
memoria. Qualsiasi computer può diventare un nodo tramite un apposito programma. I miner,
invece, sono coloro che effettuano il controllo delle transazioni grazie a computer molto potenti e a
un protocollo di validazione piuttosto complesso.
La blockchain nasce come registro pubblico per effettuare le transazioni ma nel corso del tempo
questa tecnologia è riuscita a entrare sempre di più all’interno di sistemi più o meno chiusi, dando
origine alle blockchain private, ovvero che richiedono una specifica autorizzazione per accedervi.
Da quest’ultime sono nate poi blockchain riferite a specifiche filiere, denominate consorzi
blockchain il cui processo di autorizzazione è delegato a un gruppo preselezionato. L’evoluzione
della blockchain con l’implementazione degli smart contract ha fatto sì che questa tecnologia
aprisse la propria applicazione a diversi settori:
a. Diritto d’autore
b. Registrazione brevetti
c. Sicurezza farmaci
d. Finance
e. Energia
Sempre più aziende hanno iniziato a utilizzarla e i motivi sono essenzialmente 5:
a. è digitale e quindi adattabile a qualsiasi ambito
b. è sicura grazie al processo di crittografia
c. è attendibile dato che viene organizzata cronologicamente
d. è affidabile poiché le sue caratteristiche tecniche ne impediscono il danneggiamento e
quindi la possibile perdita dei dati
e. è veloce perché non richiede la presenza di un’entità centrale che ne verifichi la validità ed
essendo una tecnologia digitale i tempi di qualsiasi operazione si comprimono

BLOCKCHAIN E DLT
Il blockchain e dlt è un protocollo aperto e interoperabile non controllato da un soggetto centrale
(decentralizzato), le cui componenti tecnologiche sono già presenti in modo non articolato in ambito
accademico negli anni 80-90. I concetti principali sono transizioni, nodi e rete.
Il portafoglio (o wallet) è lo strumento tecnologico che permette ai partecipanti della rete di
scambiare bitcoin o una criptomoneta, altro tipo di valore o informazione.
EVOLUZIONE: locale → istituzionale → decentralizzata

SMART CONTRACT
EVOLUZIONE
→ strumentale 1980-2001
Il computer è una tecnologia di supporto: chi lo utilizza si limita a redigere i contratti su applicativi di
videoscrittura per poi stamparli.
Il mezzo utilizzato per concludere i contratti è la carta: il supporto è ancora un aspetto centrale delle
trattative.
Questa fase segna il passaggio dalla meccanica all’elettronica: aziende e professionisti
approcciano al computer come un mero assistente operativo.
Le parti hanno modo di concludere contratti a distanza: le reti e la comunicazione sono
appannaggio di applicazioni industriali e finanziarie.
→ telematica 2002-2019
Il legislatore permette la digitalizzazione dei rapporti contrattuali con strumenti come Pec e Firma
Digitale.
Le parti si incontrano, dialogano, negoziano e concludono i contratti online: l’esecuzione delle
obbligazioni è spesso ancora offline.
Le comunicazioni sono per la maggior parte dematerializzate: il mercato finanziario prima e quello
giuridico poi sviluppano strumenti sicuri di invio documentazione digitale.
Le procedure vengono digitalizzate: per primo il Processo Civile Telematico e seguire quello
amministrativo e quello penale.
→ automata 2020-...
Nick Szabo è il tecnico-giurista che ha teorizzato l’esecuzione automatica dei rapporti obbligatori
tra le parti.
Uno smart contract è un insieme di istruzioni informatiche, la cui esecuzione dipende dell’avverarsi
di determinate condizioni.
La Blockchain permette di avere i protocolli all’interno dei quali le parti adempiono a tali promesse.
Quando uno smart contract soddisfa i requisiti di cui all’art.1321 c.c., si parla di smart legal
contract.
TOKEN ORACOLO

COS’E’
Si definisce "smart contract" un programma per elaboratore che opera su tecnologie basate su
registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti
predefiniti dalle stesse. Gli smart contract soddisfano il requisito della forma scritta previa
identificazione informatica delle parti interessate, attraverso un processo avente i requisiti fissati
dall'Agenzia per l'Italia digitale con linee guida da adottare entro novanta giorni dalla data di entrata
in vigore della legge di conversione del presente decreto.
Entro novanta giorni dalla data di entrata in vigore della legge di conversione del presente
decreto, l'Agenzia per l'Italia digitale individua gli standard tecnici che le tecnologie basate su
registri distribuiti debbono possedere ai fini della produzione degli effetti di cui al comma 3.

IMPATTI
→ web 3.0
La Blockchain, anche attraverso lo smart contract, abilita il web 3.0.
Alcune caratteristiche del web 3.0 sono:
- decentralizzazione
- Basato su una Virtual Machine globale (una buona candidata è la EVM di Ethereum)
- Open source
- Governato da nuovi incentivi (crypto)
L’avvento del web 3.0 obbliga a rivedere l’approccio giuridico:
- Protezione dei dati
- Responsabilità civile e/o penale
- Nuovi modelli di business
- Nuovi ruoli delle piattaforme
→ decentralized finance
La Decentralized Finance (DEFI) è la branca finanziaria emersa con l’avvento di Blockchain e
smart contract
Rispetto alla finanza tradizionale, la DEFI:
- Gli intermediari non sono ancora del tutto regolamentati
- Il mercato in sé è molto rischioso, sia per assenza di regolamentazione sia per assenza di
conoscenza approfondita dello stesso
La DEFI solleva alcune questioni giuridiche:
- Funzionamento degli Exchange Decentralizzati (DEX)
- Responsabilità in caso di perdite legate a cause non finanziarie (i.e. truffe,
malfunzionamento delle piattaforme, perdita del wallet etc)
- Gestione del rischio e regolamentazione finanziaria - Riciclaggio di denaro
→Decentralized Autonomous Organization
Una Decentralized Autonomous Organization (DAO) è uno smart contract complesso.
Attraverso la DAO i partecipanti possono gestire un’organizzazione con i suoi asset digitali.
Da un punto di vista giuridico, il Wyoming è il primo Stato a riconoscere rilevanza societaria a
questo smart contract complesso: da giugno 2021 sarà giuridicamente simile a una S.r.l. -
Rilevanza in quella normativa proprio alla caratteristiche del contratto.
I DAO sollevano diverse tematiche giuridiche:
- Espressione del diritto di voto
- Gestione dei diritti economici legati alla partecipazione
- Gestione della partecipazione in sé
- Validità giuridica di un’organizzazione così costituita
Funzionamento dell’organizzazione: la forte automazione nella gestione dei rapporti, rende
l’approccio particolarmente complesso.
→ Non-Fungible Token
Il funzionamento di un Non-Fungible Token (NFT) è regolato da uno smart contract.
Piattaforma di riferimento: Ethereum
Diversi standard: tra i più utilizzati ERC-721 e ERC-1155. Molto utilizzati in campo artistico per
garantire l’unicità delle opere, grossomodo.
Gli NFT sollevano diverse tematiche giuridiche:
- Proprietà intellettuale
- Transazione e proprietà in senso civilistico
- Responsabilità del contenuto dell’opera
- Riciclaggio di denaro
→Bitcoin whitepaper
reso pubblico nel 2008, da Satoshi Nakamoto, un personaggio misterioso che l’anno successivo
trasmette la prima transazione.
Il Bitcoin è un’applicazione che poggia su un registro decentralizzato: la Blockchain, un particolare
tipo di DLT.
Nel contesto delle DLT sono nati gli smart contract: un particolare tipo di software che può
assumere rilevanza legale (in questo caso si parla di smart legal contract).
Lo smart legal contract è il picco dell’evoluzione del contratto informatico e formalizza l’epoca
autómata, che segue quella telematica e quella strumentale.
Il legislatore italiano regola in parte la materia degli smart contract: il meglio deve ancora venire. Lo
smart contract abilita il web 3.0 e alcune delle sue applicazioni più interessanti: DEFI, DAO e NFT

CAPITOLO XXIX :LE CRIPTOVALUTE

LA CRIPTOVALUTA
Una criptovaluta è un bene di tipo digitale che viene utilizzato come modalità di scambio attraverso
la crittografia per rendere sicure le transazioni e controllare la creazione di nuova valuta

Una criptovaluta è un mezzo di scambio simile alle classiche monete come Euro, USD, etc ma che
è stata progettata con lo scopo di scambiare informazioni digitali attraverso un processo basato
sulla crittografia.
La crittografia viene utilizzata per proteggere le transazioni e per controllare la creazione di nuove
monete. La prima criptovaluta creata, come abbiamo già affermato, fu il Bitcoin nel 2009. Oggi ce
ne sono centinaia, spesso definite come Altcoin.
A differenza della classica modalità di fare banca, in maniera completamente “centralizzata”, come
ad esempio fa da secoli la Federal Reserve o più recentemente la Banca Centrale Europea, con le
criptovalute non c’è nessuno che controlla la quantità di denaro che viene stampato. Tutto è
prestabilito (esiste infatti un tetto massimo di Bitcoin, che è di 21 milioni circa) e questo significa
che è praticamente impossibile alterare il valore dei Bitcoin.

LA CRITTOGRAFIA
La crittografia sta diventando un elemento essenziale nella protezione dei dati personali nella
società dell’informazione, sempre più votata al controllo.
Quello che è considerato un valido strumento per la protezione dei dati, affinché siano davvero
sicuri sia per la perdita occasionale oppure lo smarrimento, ma anche nei confronti del controllo da
parte di soggetti importanti quali lo Stato, le Forze dell’ordine o attività di spionaggio industriale.
Le problematiche relative al controllo della crittografia sono sia di tipo politico, sia di tipo normativo,
perché è interesse dello Stato controllare la crittografia e quindi magari introdurre delle modalità
che permettono di scardinare il sistema crittografico, anche il diritto è molto interessato come ad
esempio il nuovo Regolamento europeo sulla protezione dei dati personali, perché la crittografia
viene vista come unico strumento per tutelare oggi veramente il dato della persona e quindi i diritti
della persona, in una società sempre più invasiva.
È una tecnologia dallo sviluppo molto lento, che fornisce sicurezza al cittadino comune
estremamente alta.
È lo strumento più sicuro che ci sia come strumento generalizzato.
CAPITOLO XXX: INTELLIGENZA ARTIFICIALE, MACHINE LEARNING, DEEP LEARNING

VULNERABILITA’
Quali saranno le tecnologie che, nel prossimo futuro, avranno un maggiore impatto sulla nostra
vita?
Per quanto riguarda gli attacchi informatici, mai come oggi può creare determinati pericoli. Se
pensiamo al futuro l’intelligenza artificiale ed Internet delle Cose sono i due ambiti sicuramente.
Abbiamo trasferito la parte più intima di noi sulle cose e sappiamo che l’Internet delle Cose è
vulnerabile, perché nel momento in cui un dispositivo è connesso alla rete diventa un dispositivo
vulnerabile e ricordiamo che ogni dato interessa.
Per l’intelligenza artificiale ha un grande timore, ossia quello che la macchina impazzisca e diventa
un’intelligenza artificiale realmente intelligente.
Con riferimento all’intelligenza artificiale ricordiamo:
a. L’uso di reti neurali per elaborare i dati dei morti, per esempio il caso del ragazzo morto in
un incidente stradale e la sua fidanzata che lavora in una società di intelligenza artificiale
ha creato un robot con cui si può continuare a dialogare con il ragazzo morto, ed è riuscita
a creare un soggetto che parla realmente.
b. L’uso di robot killer, ossia sono le nuove forme di esercito che verranno utilizzate nelle
guerre del futuro, in grado in modo indipendente decidere uccidere, attaccare o meno,
possono essere robot simili all’essere umano oppure modifiche dello stato della natura e
quindi modifiche degli uccelli o degli insetti, pensiamo agli scarafaggi meccanici pensato ai
fini di spionaggio con un sistema per intercettare.
Ci sono interessi economici ingenti.
Con il termine intelligenza artificiale, spesso abbreviato in AI, dall'inglese Artificial Intelligence, si
intende generalmente l'abilità di un computer di svolgere funzioni e ragionamenti tipici della
mente umana.
Esistono almeno quattro diversi punti di vista sull'intelligenza artificiale, quattro modi diversi di
intendere l'intelligenza artificiale. Questi approcci sono:
a. Pensare come un essere umano - Approccio del test di Turing
b. Agire come un essere umano - Approccio della simulazione
c. Pensare razionalmente - Approccio della logica
d. Agire razionalmente - Approccio degli agenti razionali
L'intelligenza artificiale è una disciplina dibattuta tra scienziati e filosofi, la quale ha aspetti sia
teorici sia pratici. Nel suo aspetto puramente informatico, essa comprende la teoria e le tecniche
per lo sviluppo di algoritmi che consentano alle macchine (tipicamente ai calcolatori) di mostrare
un'abilità e/o attività intelligente, almeno in domini specifici. Per attività intelligente si intende la
capacità di estrapolare da conoscenze precedenti delle linee guida da utilizzare per
risolvere nuovi problemi, problemi che il sistema non ha mai affrontato sebbene possa
averne affrontati di simili in passato. In questo quadro così mutato rispetto a quello dei primi
anni del nuovo secolo, si inserisce il Regolamento Generale sulla protezione dei dati personali.
La sicurezza informatica non è più intesa come sicurezza del singolo Ente, ma viene inquadrata in
un’ottica di ecosistema virtuoso dal quale dipendono diversi interessi sociali.
Elementi cardine in materia di sicurezza informatica nel Regolamento europeo sono principalmente
tre:
1. analisi dei rischi;
2. accountability;
3. misure tecniche e organizzative.
Il Machine Learning insegna ai computer e ai robot a fare azioni ed attività in modo naturale
come gli esseri umani o gli animali: imparando dall’esperienza (o meglio, attraverso programmi
di apprendimento automatico). In sostanza, gli algoritmi di Machine Learning usano metodi
matematico-computazionali per apprendere informazioni direttamente dai dati, senza modelli
matematici ed equazioni predeterminate. Gli algoritmi di Machine Learning migliorano le loro
prestazioni in modo “adattivo” mano a mano che gli “esempi” da cui apprendere aumentano.
Il Deep Learning, la cui traduzione letterale significa apprendimento profondo, è una
sottocategoria del Machine Learning (che letteralmente viene tradotto come apprendimento
automatico) e indica quella branca dell’Intelligenza Artificiale che fa riferimento agli algoritmi ispirati
alla struttura e alla funzione del cervello chiamate reti neurali artificiali.
Da un punto di vista scientifico, potremmo dire che il Deep Learning è l’apprendimento da parte
delle “macchine” attraverso dati appresi grazie all’utilizzo di algoritmi (prevalentemente di
calcolo statistico).
Il Deep Learning (noto anche come apprendimento strutturato profondo o apprendimento
gerarchico), infatti, fa parte di una più ampia famiglia di metodi di Machine Learning basati
sull’assimilazione di rappresentazioni di dati, al contrario di algoritmi per l’esecuzione di task
specifici.
Le architetture di Deep Learning (con le quali oggi si riporta all’attenzione anche del grande
pubblico il concetto di rete neurale artificiale) sono per esempio state applicate nella computer
vision, nel riconoscimento automatico della lingua parlata, nell’elaborazione del linguaggio naturale,
nel riconoscimento audio e nella bioinformatica (l’utilizzo di strumenti informatici per descrivere dal
punto di vista numerico e statistico determinati fenomeni biologici come le sequenze di geni, la
composizione e la struttura delle proteine, i processi biochimici nelle cellule, ecc.)

I BIG DATA
I big data sono sprovvisti di una specifica definizione codificata dal Legislatore italiano e sono
altresì privi di un'univoca definizione anche dal punto di vista tecnico-informatico.
Secondo l'Unione europea i megadati sono «grandi quantità di tipi diversi di dati prodotti da varie
fonti, fra cui persone, macchine e sensori».
Il «big» dei dati fa riferimento ad alcune caratteristiche fondamentali: Volume, Velocità e Varietà.
A queste si aggiunge la veracità (di natura contenutistica) e il valore.

CORRELATION INSIGHTS
Gli algoritmi, grazie al trattamento di grandi masse di dati, possono rivelare relazioni tra scelte,
comportamenti, azioni, gusti e aiutare a costruire modelli altamente predittivi, di domanda e offerta,
di prodotti, servizi e contenuti di vario genere (anche culturali e politici).

IL VALORE DEI DATI


a) Permettono di profilare la nostra domanda individuale di consumo di servizi e prodotti (pubblicità
personalizzata)
b) I dati consentono agli algoritmi di migliorare se stessi
Il valore dei dati aumenta con il loro volume e la loro varietà e, per aumentare il valore dei dati ->
avvento del paradigma del free

PARADIGMA DEL FREE


Nell'ecosistema digitale possiamo accedere a moltissimi servizi gratuitamente. Allo scambio
implicito, che permette pubblicità personalizzate, corrisponde un mercato implicito, quello dei
dati.
Il prodotto siamo noi

CONCETTO DI INTELLIGENZA ARTIFICIALE


1. L'abilità di un computer di svolgere funzioni e replicare ragionamenti secondo gli schemi tipici
della mente umana;
2. Questa attività delle macchine è svolta mediante specifici algoritmi, ovvero procedimenti
codificati volti a trasformare determinati input in un output desiderato, sulla base di calcoli specifici;
3. La macchina necessita, quindi, di definizioni formali di ragionamento e apprendimento.
SISTEMA ESPERTO
Fornisco un input al sistema

Elaborazione dell'input da parte del sistema

Output

Terminato il processo, se fornisco al medesimo sistema un nuovo input, il sistema esperto non terrà conto del
suo output precedente ma ripartirà da zero.

SISTEMA DI MACHINE LEARNING


Fornisco un input al sistema

Elaborazione dell’input fa parte del sistema

Output

Terminato il processo, se fornisco al medesimo sistema un nuovo input, questo terrà conto del suo output
precedente e lo utilizzerà come nuovo parametro insieme al nuovo input. Si dovrebbero ottenere output
diversi in base all'esperienza del sistema.

MACHINE LEARNING
Sono modelli di apprendimento automatizzato in cui non si dice alla IA cosa fare, ma la si
programma per apprendere.
1. Produrranno soluzioni che si adattano più ad un concetto di probabilità che di certezza;
2. Attribuiscono importanza ai dati (esempi utilizzati per apprendere)
Importanza dei dati: se i dati sono errati, producono conseguenze devastanti del funzionamento e
nei risultati del sistema.
Effetto dei bad data: I programmi di machine learning «diventano sempre più strumenti di apprendimento
automatico, che riportano risultati (output) delle elaborazioni all’interno del programma stesso
consentendogli di modificare il proprio comportamento e di evolvere».
Due sistemi di IA identici ma alimentati con dati diversi, producono risultati diversi e evolvono in modo
diverso→ L’errore da occasionale diventa «automatico» (compromissione di tutto il sistema).
In considerazione dell’importanza dei dati, alcuni sistemi di machine learning sono allenati con esempi
“etichettati”.
Learning supervisionato: Viene fornita una serie di esempi di input e output corretti da chi li
etichetta per far capire alla IA come si deve comportare.
Learning non supervisionato: L’IA analizza una serie di dati senza che un umano indirizzi lo
schema input e output: sarà l’IA a rilevare correlazioni tra dati non catalogati.

DEEP LEARNING
Sottoinsieme del machine learning. Modelli di apprendimento ispirati alla struttura del cervello
biologico che si basano su reti neurali artificiali.
Il percorso input – output è il risultato del percorso che, attraverso i vari livelli della rete neurale,
viene seguito dal dato in entrata. Ogni livello svilupperà un microprocesso input/output che
comunicherà al livello successivo, fino all’esito finale.
Concetto: è la macchina che determina i classificatori da utilizzare.

RESPONSABILITA’
1. «Più i robot sono autonomi, meno possono essere considerati come meri strumenti nelle mani di altri
attori» e «in ultima analisi, l’autonomia dei robot solleva la questione della loro natura alla luce delle
categorie giuridiche esistenti e dell’eventuale necessità di creare una nuova categoria con caratteristiche
specifiche e implicazioni proprie» (Parlamento europeo, Risoluzione 16 febbraio 2018)→ Creazione
quindi di uno status giuridico ad hoc.
2. Individuazione dei soggetti che, a vario titolo, potrebbero essere coinvolti nella responsabilità per
danni cagionati da una IA. (opacità nel caso di sistemi di deep learning: impossibile l’individuazione
dell’errore)
Sono state sviluppate IA in grado di produrre contenuti scritti, musicali, opere pittoriche e si
stanno sviluppando IA in grado di scrivere software (tutelato come opera letteraria).
1. A chi spetta il diritto d’autore: Caposaldo del diritto d’autore è la possibilità di attribuire diritti ad
una persona fisica. Nel caso di IA non è sufficiente attribuire diritti al programmatore del sistema in
quanto una IA che non abbia lavorato una ingente quantità di dati non sarebbe in grado di produrre
un’opera nuova
2. Che incidenza hanno i dati sull’opera prodotta dalla IA? La domanda non trova oggi una risposta
valida ma apre la porta al tema della proprietà dei dati.

TEMA DELLA PROPRIETÀ DEI DATI


Un numero elevato di dati consente a una IA di lavorare e, avere la disponibilità di dati di qualità
e in elevato numero, significa poter utilizzare una IA in modo molto efficace. Ne deriva che la
disponibilità di dati assume un valore industriale, oggetto di un'attività privativa piuttosto che di
valutazione economica. Avere la disponibilità di dati di qualità e in elevato numero significa infatti
poter utilizzare una AI in modo molto più efficace (e ciò potrebbe essere ritenuto dal detentore dei
dati come suscettibile di protezione di segreto industriale piuttosto che come valore da
monetizzare).
Quando si tratta di dati personali sorgono doveri di:
A. Dovere di trasparenza imposti dalla normativa sulla protezione dei dati personali e dalla
normative a protezione dei consumatori.
B. Utilizzo prudente del dato imposto dalla normative europea sul trattamento dei dati personali
(Regolamento 2016/679). Richiede tecniche di anonimizzazione o almeno di pseudonimizzazione.
C. Dovere di correttezza e trasparenza laddove i sistemi IA siano utilizzati per profilazione
(“qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati
per valutare determinati aspetti personali relativi ad una persona fisica”). In tali casi è necessario
indicare l’esistenza di un processo decisionale automatizzato e di esporre informazioni significative
sulla logica utilizzata (art. 13, c. 2, lett. f).

RESPONSABILITA’ CIVILE
Tali norme dovrebbero avere natura sussidiaria (applicabili laddove non sia possibile isolare la
responsabilità diretta di un soggetto umano cui imputare l’errore del sistema).
Ci sono nel nostro ordinamento norme in grado di attribuire in via sussidiaria la responsabilità per
fatti dannosi realizzati da una IA?
Gli ordinamenti europei e quello italiano prevedono forme di responsabilità anche qualora non ricorra il
paradigma di cui all’art. 2043 c.c. (condotta ascrivibile a un soggetto→ danno causalmente derivante da
tale condotta → elemento soggettivo).
Forme di responsabilità oggettiva in cui parte della dottrina individua gli istituti cui far riferimento per
imputare le conseguenze dei danni cagionati da una IA:
1. Limitare l’applicazione della responsabilità del produttore al fine di non scoraggiare l’innovazione.
2. Non applicare una responsabilità oggettiva ad un soggetto che, sia per l’imprevedibilità del
sistema IA, sia per la frammentazione sfumata dei contributi che i singoli soggetti danno
all’emissione dell’output della IA.
3. Possibilità di individuare nella IA un soggetto agente e dunque opportunità di invocare per i danni
cagionati da una IA il paradigma della responsabilità dei genitori per i danni cagionati da minori (art.
2048 c.c.), responsabilità del proprietario per danni cagionati da animali (art. 2052 c.c.) o più in
generale responsabilità derivante dall’esercizio di attività pericolose Presupposto: l’art. 35 GDPR
nel richiedere per i trattamenti ad alto rischio una specifica valutazione d’impatto, individua il caso
dell’uso di nuove tecnologie, tra le quali l’IA, come uno dei parametri di riferimento per ritenere che
il trattamento sia pericoloso

RESPONSABILITA’ CONSEGUENTE A REATO


Il robot, o comunque l’IA, non avendo capacità di intendere e di volere, non può essere
incluso nell’elenco dei soggetti imputabili, potendo invece essere lo strumento con cui viene
commesso il reato dalla persona che viene ritenuta responsabile.
Alcuni autori hanno cercato di valorizzare l’autonomia decisionale delle IA anche in campo penale.
A. Alcuni autori non si sono spinti oltre la possibilità puramente teorica di considerare le IA che
“commettono” un reato alla stregua di “soggetti agenti”;
B. Altri autori hanno cercato di formulare ipotesi di responsabilità penale a più livelli, fino a quella
propria delle IA.

TEORIA DI HALLEVY
Partendo dal presupposto che una IA potrebbe avere capacità pensante (di intendere e volere) e
che gli ordinamenti giuridici moderni stanno producendo forme di responsabilità penale anche per
le persone giuridiche, vi possono essere 3 livelli di coinvolgimento di una IA in un reato:
1. Una IA potrebbe essere utilizzata consapevolmente per commettere un reato e figurerebbe
come “agente innocente”.
In tale caso si applicherebbe la responsabilità al soggetto che tramite essa ha commesso il reato.
La IA non viene vista come strumento - oggetto ma come soggetto non imputabile. Del reato
risponde chi ha determinato volontariamente la IA a commetterlo.
2. La seconda ipotesi riguarda il caso in cui un reato sia commesso da una IA durante il
funzionamento ordinario della stessa.
Paradigma: agente innocente, ma il soggetto determinante risponderà solo se il reato è punibile a
titolo di colpa atteso che la commissione del reato è avvenuta solo per negligenza, imprudenza o
imperizia nella programmazione o utilizzo del sistema.
3. Possibilità di attribuire alla IA la condotta e di riconoscere una mens rea, ossia l’elemento
soggettivo. Oltre a ritenere ipotizzabile la responsabilità dell’essere umano, Hallevy ritiene
ipotizzabile anche quella del sistema in quanto centro di imputazione della condotta e del correlato
animus.

CAPITOLO XXXI: ESPERIMENTI DI TECNOLOGIE AVANZATE NELLA PROFESSIONE LEGALE

LO SCENARIO DI RIFERIMENTO
L’impiego di tecnologie avanzate nella professione legale costituisce un fenomeno in forte
sviluppo, destinato a lasciare un profondo cambiamento.
È in continuo aumento anche la capacità dei sistemi di raccogliere, processare, conservare e
analizzare dati in quantità sempre maggiori.
Il beneficio principale per studi e avvocati è il sostanziale risparmio di tempo. Vi sono altri ambiti,
però, in cui difficilmente l’impiego di tecnologie avanzate porterà mutamenti sostanziali, come la
difesa orale in giudizio.

TECNOLOGIE “DISRUPTIVE” PER LA PROFESSIONE LEGALE


Macchina + uomo > uomo o macchina
a. Machine learning e analisi predittiva
b. Ricerca legale intelligente
c. Revisione documentale ed estrazione di informazioni
d. Produzione documentale automatizzata
CONCLUSIONI
Un primo aspetto riguarda il ruolo del professionista legale del futuro e il crescente affiancamento
della dimensione tecnologica al servizio legale, che porterà vantaggi in molteplici settori per i
professionisti che la sapranno utilizzare in maniera proficua, ma allo stesso tempo, condurrà
inevitabilmente ad una flessione della domanda di lavoro.
È opportuno fare delle considerazioni sul piano deontologico e riguardo ai principi etici, al fine di
limitare le discriminazioni e al fine di tutelare sempre i diritti e le libertà fondamentali, in ossequio
dei principi di sicurezza, trasparenza, correttezza, imparzialità.

DOCUMENTO INFORMATICO
Fin dagli anni ‘90, numerose norme per definire il «documento informatico».
Es. Legge «Bassanini», 15 marzo 1999, n. 59, art. 15, co. 2: «gli atti, dati e documenti formati dalla
pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle
medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi
e rilevanti a tutti gli effetti di legge».

CAD
● Definizione
Art. 1, comma 1, lett. p) – «documento informatico: il documento elettronico che contiene la
rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti».
● Disciplina
Art. 20 – 23-ter. Numerosi rinvii alle Linee Guida
dell’AgID.

REGOLAMENTO UE N. 910/2014 - «EIDAS»


(Electronic Identification, Authentication and Signature) Electronic IDentification and Trust Services
Regulation
Ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di
identificazione elettronica degli Stati membri, necessari per le transazioni economiche nel mercato
unico europeo.
Art. 20, comma 1-bis: «Il documento informatico soddisfa il requisito della forma scritta e ha
l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro
tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa
identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati
dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e
immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità
all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della
forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle
caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento
informatico sono opponibili ai terzi se apposte in conformità alle Linee guida».
Art. 3, n. 35: «‘documento elettronico’, qualsiasi contenuto conservato in forma elettronica, in
particolare testo o registrazione sonora, visiva o audiovisiva».
Art. 46: «A un documento elettronico non sono negati gli effetti giuridici e l'ammissibilità come prova
in procedimenti giudiziali per il solo motivo della sua forma elettronica».

DPCM 13 NOVEMBRE 2014 («REGOLE TECNICHE»)


Un documento informatico ha le seguenti caratteristiche:
● è identificato in modo univoco e persistente;
● è immodificabile, cioè formato in modo che forma e contenuto non siano alterabili e ne sia
garantita la staticità nella fase di conservazione;
● è prodotto in uno dei formati idonei alla conservazione (cfr. Allegato 2 del D.P.C.M);
● è memorizzato in un sistema di gestione informatica dei documenti o di conservazione la cui
tenuta può anche essere delegata a terzi;
● ha associato almeno un set minimo di metadati.
IMPORTANTE: DEVONO ESSERE INTEGRI E IMMODIFICABILI
LINEE GUIDA AGID 9 SETTEMBRE 2020
«Linee guida sulla formazione, gestione e conservazione dei documenti informatici»
Entrate in vigore il 10 settembre 2020 ma saranno pienamente attuabili a partire dal 7 giugno 2021.
Abrogano i 3 DPCM sul documentale (DPCM 3/12/2013, protocollo- DPCM 3/12/2013 e DPCM
13/11/2014) = necessità di semplificazione.
Sono redatte in forma di capitoli e paragrafi.

TIPOLOGIE DI DOCUMENTI INFORMATICI


→Documento informatico «nativo»
Art. 20 CAD
È un documento redatto tramite appositi strumenti software (programmi di videoscrittura).
→Copia informatica di documento analogico
Art. 22 CAD
È un documento informatico che generiamo e otteniamo in formato PDF dopo aver effettuato la
scansione di un documento cartaceo.

→Duplicati e copie informatiche di documenti informatici


Art. 23-bis CAD
Sono copie informatiche di documenti informatici (come da definizione). Il «duplicato» ha la
medesima sequenza di bit dell’originale e quindi ne è praticamente indistinguibile.

CONSERVAZIONE DI UN DOCUMENTO INFORMATICO


Conservazione: processo di memorizzazione, su idoneo supporto, dei documenti digitali allo scopo
di mantenere l’integrità e l’autenticità nel tempo e di garantire l’accesso, per il periodo prescritto
dalla norma, indipendentemente dall’evolversi del contesto tecnologico.
Problematiche:
1. Deterioramento fisico dei media;
2. Obsolescenza digitale;
3. Scarso utilizzo o mancanza di standard;
4. Protocolli e metodi di conservazione;
5. Sostenibilità digitale.
Fonti normative:
● artt. 67-68 del d.p.r. n. 445/2000 («Disposizioni legislative in materia di documentazione
amministrativa»);
● artt. 29, 34, 43 e 44 del CAD. Nella P.A;
● [D.P.C.M 3 dicembre 2013 («regole tecniche per la conservazione»)] – Linee Guida Agid 10
settembre 2020

FIRMA ELETTRONICA
Art. 3, n. 10, Reg. eIDAS: «dati in forma elettronica, acclusi oppure connessi tramite associazione
logica ad altri dati elettronici e utilizzati dal firmatario per firmare».
Art. 1, lett. q) CAD (abrogato): «l’insieme dei dati in forma elettronica, allegati oppure connessi
tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione
informatica».
È la più semplice ma anche la meno efficace giuridicamente.

TIPOLOGIE DI FIRME ELETTRONICHE


→Firma Elettronica Avanzata
Art. 1, comma 1, lettera q-bis) del CAD, la definiva come «un insieme di dati in forma elettronica
allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario
del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il
firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in
modo da consentire di rilevare se i dati stessi siano stati successivamente modificati».
È la firma che permette al soggetto opponente di avere il controllo diretto ed esclusivo dello
strumento con cui sta effettuando la firma e che al contempo ne garantisca l’immodificabilità.
Esempio: firma grafometrica apposta su tablet in banca o per la sottoscrizione dei contratti
assicurativi, qualora rispetti i criteri di formazione posti dal D.P.C.M. 22 febbraio 2013.
Assicura un maggior livello di affidabilità con riferimento alla riconducibilità al soggetto
sottoscrivente e all’immodificabilità. L’efficacia è equiparata a quella di una firma autografa.
→Firma Elettronica Qualificata
Art. 3, n. 12 Reg. eIDAS: «una firma elettronica avanzata creata da un dispositivo per la creazione
di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche».
Art. 1, lett. r), CAD (abrogato): «un particolare tipo di firma elettronica avanzata che sia basata su
un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma».
È una firma ritenuta particolarmente sicura.

CERTIFICATO DI FIRMA ELETTRONICA


Art. 3, n. 14 Reg. eIDAS: «un attestato elettronico che collega i dati di convalida di una firma
elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona».
CERTIFICATO QUALIFICATO DI FIRMA ELETTRONICA
Art. 3, n. 15 Reg. eIDAS: «un certificato di firma elettronica che è rilasciato da un prestatore di
servizi fiduciari qualificato ed è conforme ai requisiti di cui all'allegato 1».
→Firma digitale
Art. 1, lett. S), CAD: «un particolare tipo di firma qualificata basata su un sistema di chiavi
crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma
elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica,
rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento
informatico o di un insieme di documenti informatici».
Soddisfa i requisiti di autenticità, integrità, non ripudio (salvo querela di falso)
→Certificato di autenticazione
È un certificato presente all’interno del dispositivo di firma rilasciato dall'ente certificatore
autorizzato, e contiene, oltre alle informazioni del suo titolare, anche quelle relative al Certificatore
che lo ha emesso, al periodo di tempo in cui il certificato può essere utilizzato, ecc.
Lo scopo di questo certificato è quello di farsi “riconoscere”, identificare per accedere a siti web (al
posto di user/password) e per utilizzare particolari funzioni presenti all’interno di detti siti.
→Certificato di sottoscrizione
È un certificato presente all'interno del dispositivo di firma, rilasciato dall'ente certificatore
autorizzato, e contiene, oltre alle informazioni del suo titolare, anche quelle relative al Certificatore
che lo ha emesso, al periodo di tempo in cui il certificato può essere utilizzato, ecc. Lo scopo di
questo certificato è di dare il valore della "forma scritta" ai documenti informatici.

EFFICACIA GIURIDICA DELLA FIRMA ELETTRONICA


→Art. 25 Reg. eIDAS
● «A una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come
prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non
soddisfa i requisiti per firme elettroniche qualificate.
● Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa.
● Una firma elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato
membro è riconosciuta quale firma elettronica qualificata in tutti gli altri Stati membri».
→Art. 20, comma 1-bis CAD
«Il documento informatico soddisfa il requisito della forma scritta e ha l'efficacia prevista dall'articolo
2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica
qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione
informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi
dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento
e, in maniera manifesta e inequivoca, la sua riconducibilità all'autore. In tutti gli altri casi, l’idoneità
del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono
liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e
immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se
apposte in conformità alle Linee guida».
→Art. 20, comma 1-ter CAD
«L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare
di firma elettronica, salvo che questi dia prova contraria».
→Art. 2702 Codice Civile – efficacia della scrittura privata
«La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da
chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione,
ovvero se questa è legalmente considerata come riconosciuta».

→Cassazione civile, sez. VI, 06/02/2019, n.3540


Documenti informatici: il messaggio di posta elettronica, c.d. e-mail, privo di firma elettronica non ha
l'efficacia della scrittura privata
In tema di efficacia probatoria dei documenti informatici, il messaggio di posta elettronica (c.d. e-
mail) privo di firma elettronica non ha l'efficacia della scrittura privata prevista dall'art. 2702 c.c.
quanto alla riferibilità al suo autore apparente, attribuita dal d.lgs. n. 82/2005, art. 21, solo al
documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, sicché esso
è liberamente valutabile dal giudice, ai sensi del medesimo decreto, art. 20, in ordine all'idoneità a
soddisfare il requisito della forma scritta, in relazione alle sue caratteristiche oggettive di qualità,
sicurezza, integrità ed immodificabilità.
→Cassazione civile, sez. I, 17/07/2019, n.19155 - Valore probatorio e disconoscimento di sms e
mail nel processo civile
Nel processo civile gli sms e le mail hanno piena efficacia di prova.
Per il disconoscimento di queste comunicazioni colui contro il quale esse sono prodotte deve
dimostrare, con elementi concreti e in maniera circostanziata ed esplicita, la non rispondenza con
la realtà. Per la Corte sia gli sms che le mail hanno lo stesso valore di prova che l’articolo 2712 del
codice civile attribuisce alle riproduzioni informatiche.

EFFICACIA TEMPORALE DELLA FIRMA DIGITALE


La validità della firma digitale non ha durata illimitata.
Art. 24 CAD
Comma 3: «Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al
momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso».
Comma 4-bis: «L’apposizione a un documento informatico di una firma digitale o di un altro tipo di
firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso
equivale a mancata sottoscrizione, salvo che lo stato di sospensione sia stato annullato. La revoca
o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il
revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le
parti interessate».
I documenti informatici firmati digitalmente privi di alcuno dei riferimenti temporali previsti dalla
normativa tecnica, una volta scaduto o revocato il certificato di firma digitale utilizzato per
sottoscriverli, degradano da “originale” validamente sottoscritto a “riproduzione informatica di fatti o
cose”, con l’efficacia di cui all’art.
2712 c.c. («formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono
prodotte non ne disconosce la conformità ai fatti o alle cose medesime»).
→IMPORTANZA DELLA MARCATURA TEMPORAE:
È una particolare operazione di crittografia asimmetrica apposta da una Autorità di Marcatura
Temporale o Time Stamping Authority, che funge da terzo fidato, e che contiene al proprio interno
oltre ai dati della firma anche i dati di ora e giorno di apposizione.
La sua funzione è assicurare che “quel preciso documento”, in tutti i suoi bit e nella sua interezza,
fosse esistente ad una determinata data, né più ne meno di un normale “timbro postale”.
Data e ora indicate dalla marca temporale sono considerate legalmente valide e costituiscono,
dunque, una validazione temporale opponibile a terzi.

POSTA ELETTRONICA CERTIFICATA (PEC)


È un particolare tipo di casella di posta elettronica capace di certificare con valore legale sia la
consegna del messaggio al proprio gestore del servizio PEC sia l’avvenuta consegna nella casella
del destinatario, il tutto con valore legale equivalente a quello di una raccomandata postale con
ricevuta di ritorno.
→ La normativa di riferimento
1) DPR 11 febbraio 2005 N. 68;
2) Decreto 2 novembre 2005;
3) Circolare CNIPA 24 novembre 2005 n. 49;
4) CAD (art. 1, v-bis) e art. 48;
5) Decreto legge 85/2008;
6) Decreto legge 179/2012;
7) Decreto legge 90/2014.
→ Il funzionamento
Affinché un messaggio di PEC abbia pieno valore legale, come quello di una raccomandata con
ricevuta di ritorno, è necessario naturalmente che venga inviato a un’altra casella di PEC: anche
quella del destinatario deve esserlo.
1. Il mittente compone il messaggio collegandosi al proprio gestore e lo predispone per l’invio;
2. Il gestore del mittente controlla le credenziali d’accesso del mittente e le caratteristiche
formali del messaggio;
3. Il gestore invia al mittente una ricevuta di accettazione con le seguenti informazioni: data e
ora dell’invio, mittente, destinatario, oggetto del messaggio;
4. Il messaggio viene "imbustato" in un altro messaggio, chiamato «busta di trasporto», che il
gestore provvede a firmare digitalmente. Questa operazione consente di certificare
ufficialmente l’invio e la consegna del messaggio;
5. Il gestore PEC del destinatario riceve la “busta” e controlla la validità della firma del gestore
del mittente e la validità del messaggio;
6. Se tutti i controlli hanno avuto esito positivo, il gestore del destinatario invia rispettivamente
una ricevuta di presa in carico al gestore del mittente;
7. Il destinatario riceve dal proprio gestore il messaggio nella propria casella di posta;
8. Il gestore del destinatario invia una ricevuta di avvenuta consegna alla casella del mittente;
9. Il processo si conclude anche se il destinatario non ha ancora letto il messaggio di posta.
IL CONTENUTO DELLA PEC SI INTENDE LETTO E, QUINDI, FORMALMENTE CONOSCIUTO
DAL DESTINATARIO, NON APPENA IL MITTENTE RICEVE LA RICEVUTA DI AVVENUTA
CONSEGNA.

→ I soggetti obbligati:
● Professionisti: L’obbligo decorre dal 2009.
● Società: Le nuove società devono dichiarare la casella PEC all’atto dell’iscrizione al
Registro Imprese. Dal novembre 2011, tutte le società devono aver dichiarato la casella
PEC al Registro Imprese.
● Ditte individuali: Le ditte individuali, artigiani compresi, devono dichiarare la PEC quando si
iscrivono nel Registro Imprese. Dalla fine di giugno 2013 tutte le ditte individuali devono
aver comunicato la PEC al Registro Imprese.
● Pubbliche Amministrazioni: Devono tutte essere dotate di PEC con obbligo di
comunicazione entro il 30 novembre 2014 al Registro PP.AA.

LE ORIGINI DEL DIRITTO ALL’OBLIO


Affermazione giurisprudenziale e diritti della personalità
→Identità e personalità
Art. 2 Cost.
La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo, sia nelle
formazioni sociali ove si svolge la sua personalità, e richiede l'adempimento dei doveri inderogabili
di solidarietà politica, economica e sociale.
Art. 3.2 Cost.
E` compito della Repubblica rimuovere gli ostacoli di ordine economico e sociale, che, limitando di
fatto la libertà e l'eguaglianza dei cittadini, impediscono il pieno sviluppo della persona umana e
l'effettiva partecipazione di tutti i lavoratori all'organizzazione politica, economica e sociale del
Paese.

I DIRITTI DELLA PERSONALITÀ


Art. 2 Cost. e 2043 c.c.
1) se l’art. 2 della Costituzione [...] possa, o non, considerarsi come norma a fattispecie
“aperta”, suscettibile cioè di apprestare copertura costituzionale anche ai “diritti” di nuova
emersione;
2) se ai nuovi “valori” emergenti, essenziali allo sviluppo della persona umana, corrispondano
altrettanti “nuovi diritti” ovvero solo nuove manifestazioni, nuove facoltà, di un diritto per
definizione unitario, della personalità;
3) se l’art. 2 della Costituzione abbia contenuto meramente programmatico ovvero (e in che
termini) immediatamente precettivo.
I primi casi riguardavano la narrazione delle vite di personaggi noti
O episodi di cronaca che venivano riproposti dopo decenni sui quotidiani o in trasmissioni
televisive.
Appartiene «alle ragioni e alle regioni del diritto alla riservatezza» ma si caratterizza per la rilevanza
del fattore tempo.
«Reviviscenza» del diritto alla riservatezza.
→Cass. 3679 del 9 aprile 1998
“Non si tratta soltanto di una pacifica applicazione del principio della attualità dell’interesse pubblico
alla informazione, dato che tale interesse non è strettamente collegato all’attualità del fatto
pubblicato, ma permane finché resta o quando ridiventa attuale la sua rilevanza pubblica. Viene
invece in considerazione un nuovo profilo del diritto di riservatezza recentemente definito anche
come diritto all’oblio inteso come giusto interesse di ogni persona a non restare
indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la
reiterata pubblicazione di una notizia in passato legittimamente divulgata”.
Il diritto a rientrare nell’anonimato quando l’interesse pubblico che aveva giustificato la
pubblicazione si è esaurito.
● Divieto di nuove pubblicazioni richiamanti la persona coinvolta ove si sia esaurito l’interesse
pubblico
● Obbligo di cancellazione se, ricevuta la richiesta dell’interessato, non sussistono interessi
prevalenti che giustifichino il mantenimento dell’informazione.
→Cass. civ., ordinanza 19 maggio 2020, n. 9147
Con il venir meno della visione pluralista, il diritto alla riservatezza si emancipa dall'ambito
domestico e, distinguendosi da quello alla reputazione ed all'onore, rispetto al quale presenta
un'estensione maggiore -ben potendosi configurare ipotesi di fatti della vita intima che, pur non
influendo sulla reputazione, devono tuttavia restare riservati -, esso acquista un rilievo pubblico
inteso come proiezione dell'individuo all'esterno, in cui il carattere privato dei fatti e delle idee
rilevano quali espressioni della persona, e in siffatta prospettiva capace di entrare in rapporto
dialettico con l'interesse socialmente apprezzabile dei terzi, in quanto diritto di cronaca a previsione
costituzionale (art. 21 Cost.).
Con il codice della privacy si afferma in tal modo una visione del diritto alla riservatezza che,
connotata da dinamismo, meglio si declina come diritto alla protezione dei dati personali, destinato
ad operare oltre la sfera della vita privata, con garanzia all'individuo dell'autodeterminazione
decisionale e del controllo sulla circolazione dei dati, in una prospettiva che è quella del diritto alla
protezione dell'identità personale nei diversi contesti di vita.
Nei contenuti il diritto all'oblio si distingue dal diritto alla riservatezza rientrando tra i suoi
presupposti sostanziali il fattore tempo diacronicamente letto (Cass. 09/04/1998 n. 3679, con
esplicita prima affermazione sul punto, individuava il diritto all'oblio nel "giusto interesse di ogni
persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla
sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata").
Il diritto all'oblio, a differenza del diritto alla riservatezza, non è volto a precludere la divulgazione di
notizie e fatti appartenenti alla sfera intima della persona e tenuti fino ad allora riservati, ma ad
impedire che fatti, già legittimamente pubblicati, e quindi sottratti al riserbo, possano essere
rievocati nella rilevanza del tempo trascorso.

Il DIRITTO ALL’OBLIO NELL’ERA DIGITALE - Internet, GDPR e il caso Google Spain


- Le nostre identità sono disperse, frammentate e cristallizzate nei dati che possiamo
disseminare e che dicono al mondo chi siamo.
- La regola è la conservazione.
- Un tempo sempre presente.
- Difficoltà di controllo.
- Non solo pubblicazione
- Cancellazione ma visibilità e reperibilità.

DATA PROTECTION – GDPR – REG. 679/2016


Articolo 17 GDPR - Diritto alla cancellazione («diritto all'oblio»)
L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali
che lo riguardano senza ingiustificato ritardo
e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se
sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o
altrimenti trattati;
b) l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6,
paragrafo 1, lettera a), o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro
fondamento giuridico per il trattamento;
c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste
alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al
trattamento ai sensi dell'articolo 21, paragrafo 2;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto
dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società
dell'informazione di cui all'articolo 8, paragrafo 1.

IL DIRITTO ALLA CANCELLAZIONE DEL DATO


Sussiste quando il trattamento:
- è illecito (o sussiste un obbligo di cancellazione)
- era basato solo sul consenso dell’interessato, che chiede ora la cancellazione
- è effettuato per raggiungere una finalità che si è esaurita.

OBBLIGHI INFORMATIVI E GESTIONE DELLE RICHIESTE


- Informazione sull’esistenza del diritto
- Informazione sulle modalità per esercitarlo
- Accertamento dell’identità
- Obbligo di riscontro entro un tempo ragionevole (1-3 mesi)
- Obbligo di motivazione
- Informativa sulla possibilità di proporre reclamo
- Gratuità
- Obbligo di comunicazione agli altri titolari in caso di pubblicazione - Obbligo di notifica ai
destinatari cui sono stati trasmessi i dati.

REGOLAMENTO (UE) 2016/679 – ARTICOLO 17.2


→La notifica ai destinatari cui sono stati trasmessi i dati
Articolo 4 – Definizioni – n. 9
«destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che
riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche
che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine
conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il
trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in
materia di protezione dei dati secondo le finalità del trattamento;
Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1,
a cancellarli. Tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure
ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati
personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi
dati personali.
Considerando 66:
Per rafforzare il «diritto all’oblio» nell'ambiente online, è opportuno che il diritto di cancellazione sia
esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a
informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali
dati personali o copia o riproduzione di detti dati personali. Nel fare ciò, è opportuno che il titolare
del trattamento adotti misure ragionevoli tenendo conto della tecnologia disponibile e dei mezzi a
disposizione del titolare del trattamento, comprese misure tecniche, per informare della richiesta
dell'interessato i titolari del trattamento che trattano i dati personali.
→La de-indicizzazione: IL CASO GOOGLE SPAIN
Mario Coteja Gonzales (uno qualunque prima della sentenza)
Informazione pubblicata da un quotidiano (per adempiere un obbligo di legge) Poi indicizzata dal
motore di ricerca
Riguardante annunci relativi alla vendita all’incanto di alcuni beni immobili a seguito di
pignoramento per crediti previdenziali
Legittima la prima pubblicazione, non l’indicizzazione da parte del motore di ricerca.
E’ considerata una delle sentenze più importanti in materia di diritto all’oblio
Con essa la Corte di Giustizia ha affermato che anche i motori di ricerca devono rispondere del
trattamento dei dati
Anche se si tratta di un trattamento particolare, poiché non sono loro che hanno pubblicato
l’informazione, ma l’hanno solo indicizzata
La pronuncia afferma che anche verso questi soggetti, il titolare del trattamento, colui a cui i dati si
riferiscono, può chiedere la cancellazione dei dati.

LE QUESTIONI APERTE: BILANCIAMENTO, APPLICAZIONE, NON SOLO PRIVACY


Problematiche e questioni aperte
- Mancanza di definizioni condivise.
- Bilanciamento tra contrapposti diritti e interessi
- Applicazione territoriale
- Effettività
- Non solo cancellazione ma «riduzione visibilità»
- Non solo privacy
Il bilanciamento con altri diritti
- Guidelines Article 29 Working Party
- Manuale sul diritto europeo in materia di protezione dei dati
- Provvedimenti del Garante
- Sentenze CEDU
Criteri - Guidelines Article 29 Working Party (WP225)
Sono presenti informazioni personali non necessarie rispetto alla finalità perseguita?
Il soggetto interessato svolge qualche ruolo nella vita pubblica? L’interessato è un personaggio
pubblico?
I dati riguardano aspetti della sua vita lavorativa?
L’interessato è un minore?
L’informazione è accurata? E’ presentata in modo oggettivo?
Le espressioni utilizzate possono essere ritenute hate speech o diffamazione? Se si tratta di
opinioni personali sono rappresentate come tali?
L’informazione compare a seguito di ricerca effettuata mediante il suo nominativo?
→Motivi di accoglimento
- Vittime
- Minori
- Vita sessuale
- Salute
- Ampio lasso temporale trascorso e interesse ormai cessato
- Commenti su un blog di alcun interesse pubblico
- Rilevanza nel solo ambito sociale di riferimento
- Tale da generare un’impressione negativa sproporzionata rispetto al fatto
- Fase politica del ricorrente ormai conclusa
→Motivi di rigetto
- Notizia recente e di pubblico interesse -Vicenda processuale ancora in corso
- Caso di rilevanza e interesse nazionale -Vita professionale di interesse pubblico
- Ruolo pubblico rivestito
- Vicenda strettamente collegata all’attività professionale rilevante per il pubblico interesse
(politica, pubblica amministrazione, editoria, etc.)
→“Fuchsmann”
Boris Fuchsmann (noto imprenditore nel settore dei media) Informazione pubblicata in un articolo
online dal New York Times
Riguardante un’indagine dell’FBI in materia di criminalità organizzata che lo vedeva coinvolto.
Sussiste un interesse pubblico a mantenere la notizia disponibile online.
→“Manni” (C-398/2015)
La Corte rileva, innanzitutto, che la pubblicità del registro delle imprese mira a garantire la certezza
del diritto nelle relazioni tra le società ed i terzi nonché a tutelare, in particolare, gli interessi dei terzi
rispetto alle società per azioni e alle società a responsabilità limitata, dal momento che queste
offrono come unica garanzia il proprio patrimonio sociale.
La Corte ritiene non sproporzionata tale ingerenza nei diritti fondamentali delle persone interessate
(in particolare nel diritto al rispetto della vita privata nonché nel diritto alla tutela dei dati personali,
entrambi garantiti dalla Carta dei diritti fondamentali dell’Unione), in quanto 1) solamente un
numero limitato di dati personali è iscritto nel registro delle imprese e 2) è giustificato che le
persone fisiche che scelgono di prender parte agli scambi economici attraverso una società per
azioni o una società a responsabilità limitata e che offrono come unica garanzia per i terzi il
patrimonio sociale di tale società siano obbligate a rendere pubblici i dati relativi alle loro generalità
e alle loro funzioni in seno alla stessa.
Nondimeno, la Corte non esclude che, in situazioni particolari, decorso un periodo di tempo
sufficientemente lungo dopo lo scioglimento della società di cui trattasi, ragioni preminenti e
legittime, connesse ad un caso concreto allegato dalla persona interessata, possano giustificare, in
via eccezionale, che l’accesso ai dati personali ad essa relativi sia li itato ai terzi che di ostrino un
interesse specifico alla loro consultazione. Una si ile li itazione dell’accesso ai dati personali deve
essere il risultato di una valutazione da compiersi caso per caso.
Spetta a ciascuno Stato membro decidere se intende adottare nel proprio ordinamento giuridico
una simile limitazione all’accesso.
→Caso Venditti – Cass. 6919/2018
Nel 2000 Antonello Venditti veniva ripreso mentre rifiutava in modo secco e perentorio un’intervista.
Tali immagini venivano messe in onda con il seguente commento: “Chissà perché è così nervoso?
Ma a Natale non si dovrebbe essere tutti più buoni?”.
Successivamente, nel 2005, le immagini venivano trasmesse nuovamente all’intero di una
“classifica dei personaggi più scorbutici e antipatici del mondo dello spettacolo” con commento del
seguente tenore: “E chissà, forse V. non è più abituato alle luci della ribalta. Del resto, ormai è
molto tempo che non lo illuminano più”.
Il diritto fondamentale all'oblio può subire una compressione, a favore dell'ugualmente
fondamentale diritto di cronaca, solo in presenza di specifici e determinati presupposti:
1) il contributo arrecato dalla diffusione dell'immagine o della notizia ad un dibattito di interesse
pubblico;
2) l'interesse effettivo ed attuale alla diffusione dell'immagine o della notizia (per ragioni di giustizia,
di polizia o di tutela dei diritti e delle libertà altrui, ovvero per scopi scientifici, didattici o culturali), da
reputarsi mancante in caso di prevalenza di un interesse divulgativo o, peggio, meramente
economico o commerciale del soggetto che diffonde la notizia o l'immagine;
3) l'elevato grado di notorietà del soggetto rappresentato, per la peculiare posizione rivestita nella
vita pubblica e, segnatamente, nella realtà economica o politica del Paese;
4) le modalità impiegate per ottenere e nel dare l'informazione, che deve essere veritiera (poichè
attinta da fonti affidabili, e con un diligente lavoro di ricerca), diffusa con modalità non eccedenti lo
scopo informativo, nell'interesse del pubblico, e scevra da insinuazioni o considerazioni personali,
sì da evidenziare un esclusivo interesse oggettivo alla nuova diffusione;
5) la preventiva informazione circa la pubblicazione o trasmissione della notizia o dell'immagine a
distanza di tempo, in modo da consentire all'interessato il diritto di replica prima della sua
divulgazione al grande pubblico.
In assenza di tali presupposti, la pubblicazione di una informazione concernente una persona
determinata, a distanza di tempo da fatti ed avvenimenti che la riguardano, non può che integrare,
pertanto, la violazione del fondamentale diritto all'oblio, come configurato dalle disposizioni
normative e dai principi giurisprudenziali suesposti.
Tutto ciò premesso, è del tutto evidente che i suindicati parametri - in presenza dei quali soltanto
può legittimamente affermarsi la prevalenza del diritto di cronaca sul diritto all'oblio devono ritenersi
senz'altro assenti nel caso di specie.
→Cass. SU 19681/2019
La corretta premessa dalla quale bisogna muovere è che quando un giornalista pubblica di nuovo,
a distanza di un lungo periodo di tempo, una notizia già pubblicata - la quale, all'epoca, rivestiva un
interesse pubblico - egli non sta esercitando il diritto di cronaca, quanto il diritto alla rievocazione
storica (storiografica) di quei fatti.
Va detto subito, per evitare fraintendimenti, che l'attività storiografica, intesa appunto come
rievocazione di fatti ed eventi che hanno segnato la vita di una collettività, fa parte della storia di un
popolo, ne rappresenta l'anima ed è, perciò, un'attività preziosa. Ma simile rievocazione, a meno
che non riguardi personaggi che hanno rivestito o rivestono tuttora un ruolo pubblico, ovvero fatti
che per il loro stesso concreto svolgersi implichino il richiamo necessario ai nomi dei protagonisti,
deve svolgersi in forma anonima, perché nessuna particolare utilità può
trarre chi fruisce di quell'informazione dalla circostanza che siano individuati in modo preciso coloro
i quali tali atti hanno compiuto.
→Corte di Giustizia UE - Diritto all’oblio e dati relativi a procedimenti penali
Il gestore di un motore di ricerca è quindi tenuto ad accogliere una domanda di deindicizzazione
vertente su link verso pagine Internet nelle quali compaiono informazioni relative a un procedimento
giudiziario di cui è stata oggetto una persona fisica, e, eventualmente, informazioni relative alla
condanna che ne è conseguita, quando dette informazioni si riferiscono ad una fase precedente del
procedimento giudiziario considerato e non corrispondono più alla situazione attuale, nei limiti in cui
si constati che, tenuto conto di tutte le circostanze pertinenti della fattispecie, i diritti fondamentali
della persona interessata prevalgono sui diritti degli utenti di Internet potenzialmente interessati.
Tenuto conto di tutte le circostanze del caso di specie, quali, in particolare:
- la natura e la gravità dell’infrazione di cui trattasi,
- lo svolgimento e l’esito di tale procedura,
- il tempo trascorso,
- il ruolo rivestito da tale persona nella vita pubblica e il suo comportamento in passato,
- l’interesse del pubblico al momento della richiesta,
- il contenuto e la forma della pubblicazione nonché
- le ripercussioni della pubblicazione per tale persona.
È comunque importante aggiungere che, quand’anche il gestore di un motore di ricerca dovesse
constatare che tale ipotesi non ricorre per il fatto che l’inserimento di tale link si rivela strettamente
necessario per conciliare i diritti della persona interessata al rispetto della vita privata e alla
protezione dei dati con la libertà di informazione degli utenti di Internet potenzialmente interessati,
tale gestore è in ogni caso tenuto, al più tardi al momento della richiesta di deindicizzazione, a
sistemare l’elenco dei risultati in modo tale che l’immagine globale che ne risulta per l’utente di
Internet rifletta la situazione giudiziaria attuale, il che necessita, in particolare, che compaiano per
primi, nel suddetto elenco, i link verso pagine web contenenti informazioni a tal proposito.
→Cass. civ., ordinanza 19 maggio 2020, n. 9147
Impugnazione: La sentenza aveva infondatamente posto a carico della testata giornalistica,
soggetto non legittimato a ricevere la relativa condanna, la cancellazione dell'articolo là dove
avrebbe dovuto invece ordinare la deindicizzazione dell'articolo dai motori di ricerca esterni al sito
web del quotidiano.
Per siffatto bilanciamento la persona protagonista della notizia, salvi i limiti di verità di quest'ultima,
non potrà ottenerne la cancellazione dall'archivio di un giornale on-line invocando il diritto ad
essere dimenticata e tanto nell'assolta finalità documentaristica dell'archivio inteso, nei suoi
contenuti, quale declinazione del diritto all'informazione.
La creazione di una memoria collettiva calibrata sugli accadimenti di cronaca e con finalità storico-
sociale non può dirsi snaturata dal carattere digitale del mezzo sicchè, come da taluno espresso
con una immagine acutamente evocativa del concetto, alla eliminazione della notizia dall'archivio
on-line deve riconoscersi a stessa forza che avrebbe l'atto di strappare una pagina di un vecchio
numero di un giornale custodito nell'archivio cartaceo
→Corte di Giustizia UE - Applicazione territoriale della de-indicizzazione
CNIL, Conseil d’État
De-indicizzazione nazionale, europea o globale?
Nome a dominio, indirizzo IP o diverse tecniche di localizzazione?
• De-indicizzazione in materia di protezione dei dati personali su scala europea
• Valutazione delle modalità rimessa al giudice di merito
• Gli Stati membri possono, tuttavia, prevedere applicazioni più ampie sulla base del proprio diritto
nazionale.

Il diritto dell’Unione non prevede, per giunta, strumenti e meccanismi di cooperazione per quanto
riguarda la portata di una deindicizzazione al di fuori dell’Unione.
Il diritto dell’Unione obbliga tuttavia il gestore di un motore di ricerca a effettuare tale
deindicizzazione nelle versioni del suo motore di ricerca corrispondenti a tutti gli Stati membri e ad
adottare misure sufficientemente efficaci per garantire una tutela effettiva dei diritti fondamentali
della persona interessata.
Pertanto, le autorità degli Stati membri restano competenti ad effettuare, conformemente agli
standard nazionali di protezione dei diritti fondamentali, un bilanciamento tra, da un lato, il diritto
della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e,
dall’altro, il diritto alla libertà d’informazione e, al termine di tale bilanciamento, a richiedere, se del
caso, che il gestore di tale motore di ricerca effettui una deindicizzazione su tutte le versioni di
suddetto motore.
Questioni aperte + prospettive future
- Mancanza di definizioni condivise
- Bilanciamento tra contrapposti diritti e interessi
- Effettività
- Non solo cancellazione ma «riduzione visibilità»: Non è solo mera alternativa tra
mantenimento e rimozione
- Non solo privacy: Non è solo riservatezza
- Diritto di cronaca (non solo GDPR)
- Rapporti tra le fonti
- Rapporti tra le Corti
- Applicazione territoriale e sovranità digitale
- Ruolo e poteri delle piattaforme
→Cass. civ., ordinanza 19 maggio 2020, n. 9147
Esigenze di unicità ed organicità di sistema consentono di raccordare gli esiti di fonti e
giurisprudenza comunitaria a quelli interni, il tutto a ricomposizione di un quadro che meglio
consente di comprendere, nella loro acquisita complessità, le ragioni di un sistema in cui
l'informazione si smaterializza, prende altre forme di accesso alla conoscibilità attraverso l'operare
di nuove soggettività, e il diritto all'oblio, ricostruito all'interno di una normativa Europea nettamente
improntata sul trattamento dei dati personali, e già di ispirazione di leggi e testi unici nazionali,
acquisisce nuove declinazioni.
→Informazioni, piattaforme e controllo
1. Su Internet si scrive con l’inchiostro, non a matita, constata un personaggio di un film
americano uscito nel 2010, The Social Network.
2. Infatti, al centro della causa in esame si trova la questione se un host provider che gestisce
una piattaforma di rete sociale in linea possa essere obbligato a far sparire, con l’ausilio di
un metaforico correttore per inchiostro, determinati contenuti messi in rete da utenti di tale
piattaforma.
Szpunar, C-18/18
Le piattaforme, fondamentali per l’innovazione, “organizzano e definiscono l’ecosistema Internet” e
“hanno assunto la funzione di guardiani di Internet, potendo controllare l’accesso alle informazioni,
ai contenuti e alle transazioni online”.
[[Commissione Europea, Comunicazione sulla revisione intermedia dell’attuazione della strategia
per il mercato unico digitale. [Un mercato unico digitale connesso per tutti, «COM(2017) 228»
(2017)]]

Potrebbero piacerti anche