sabato 29 dicembre 2012

Il Garante Privacy detta le regole per l'invio telematico dei dati delle persone alloggiate in strutture ricettive

Con il parere n. 295 del 18 ottobre 2012 il Garante Privacy si è espresso favorevolmente su di uno schema di decreto ministeriale riguardante la comunicazione telematica giornaliera all'Autorità di pubblica sicurezza circa le generalità delle persone alloggiate in strutture ricettive (c.d. schede d'albergo). I gestori, infatti, dovranno comunicare tali dati (quali nome, cognome, sesso, data di nascita, compreso gli estremi del documento di riconoscimento e il numero di giorni di permanenza) alle Questure competenti, entro le 24 dall'arrivo del cliente, mediante un apposito "sistema web oriented esposto su rete internet", con successivo rilascio di apposita ricevuta digitale. Le regole dettate dall'Autorità Garante sono ben definite e consistono nella definizione particolari procedure e misure di sicurezza quali: - richiesta da parte delle strutture ricettive e alberghi di un certificato elettronico per abilitarsi al servizio di trasmissione via web; - utilizzo del fax o della posta elettronica certificata qualora il servizio web sopra indicato non risultasse funzionante per motivi tecnici (in questo caso i dati trasmessi, relativi alle persone alloggiate, dovranno essere cancellati subito dopo l'invio, potendo conservare per 5 anni solo le ricevute di trasmissione); - le informazioni inviate al Centro Elettronico Nazionale della Polizia di Stato (CEN) devono essere logicamente registrate e conservate in modalità separata per ogni Questura; - le informazioni devono essere tenute in linea per soli 15 giorni e possono essere consultate da parte degli agenti e ufficiali della Polizia di Stato solo per finalità di prevenzione, accertamento e repressione dei reati, nonché per la tutela dell'ordine e della sicurezza pubblica; - decorso il periodo sopra indicato, i dati sulle persone alloggiate potranno essere consultati solo dagli ufficiali della Polizia di Stato addetti ai servizi investigativi con profilo di accesso a livello nazionale; - in ogni caso, trascorsi 5 anni dall'invio, tutti i dati presenti nelle schede d'albergo dovranno essere cancellati definitivamente anche dal CEN.

venerdì 28 dicembre 2012

Il Garante Privacy traccia i primi confini dell'Amministrazione aperta: no alla diffusione dei dati sulla salute


Il Garante Privacy si è espresso di recente sulla corretta applicazione dell’art. 18 del c.d. "Decreto Sviluppo 2012" (convertito nella Legge n.134/2012), che impone nuovi obblighi di trasparenza in tema di amministrazione aperta.
Nello specifico, l’Autorità ha infatti vietato la diffusione online dei dati sulla salute dei pazienti ad alcune amministrazioni sanitarie.
La questione prendeva le mosse dall’art. 18 del Codice Privacy che, prevedendo nuove disposizioni in tema di agenda digitale e trasparenza nella Pubblica Amministrazione, secondo le aziende sanitarie avrebbe potuto far sorgere l’obbligo di pubblicare su internet anche i dati dei pazienti che hanno ad esempio ricevuto indennizzi per danni irreversibili, rimborsi per cure di altissima specializzazione, interventi assistenziali o altri contributi legati a patologie mediche certificate.
Il Garante ha precisato che, per quanto riguarda le persone fisiche, l'articolo citato prevede la pubblicazione online solo dei dati di chi riceve "corrispettivi o compensi" dalla Pubblica Amministrazione e che deve in ogni caso essere interpretato alla luce dei principi fondamentali in materia di protezione dei dati personali, cristallizzati in disposizioni comunitarie che vincolano il nostro legislatore.
L’art. 18, dunque, nonostante il tenore letterale della disposizione, non può derogare alle norme del Codice Privacy che vietano ai soggetti pubblici di diffondere i dati idonei a rivelare lo stato della salute di una persona e che le informazioni citate non possono essere pubblicate sui siti web istituzionali degli enti.
L’Autorità Garante, inoltre, ha ricordato che tutte le pubbliche amministrazioni, nel predisporre il proprio sito Internet, devono sempre rispettare le apposite cautele indicate nelle "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", approvate dallo stesso Garante nel 2011.

venerdì 14 dicembre 2012

Per la Cassazione molestare via posta elettronica non è reato


Con la sentenza del 16 novembre 2012, n. 44855 la Cassazione ha ancora una volta riconfermato il consolidato orientamento secondo il quale non può configurare reato di molestie ai sensi dell’art. 660 c.p. l'invio ripetuto di messaggi di posta elettronica, in quanto integrerebbe una condotta diversa dalle fattispecie espressamente indicate dal testo della norma, in virtù del principio di stretta legalità e tassatività della legge penale.
Pertanto, dato che l’art. 660 c.p. contempla solo “il mezzo del telefono” (oltre al luogo pubblico o aperto al pubblico), la Corte ha di nuovo escluso che l’invio continuo di messaggi di posta elettronica possa integrare  il reato di molestie ed ha annullato senza rinvio la sentenza della Corte d’Appello territoriale poiché il fatto non è previsto dalla legge come reato.
In sintesi, la Cassazione ha ritenuto opportuno valorizzare la mancanza di invasività che caratterizzerebbe le comunicazioni e-mail, rispetto a quelle effettuate telefonicamente, come anche quelle via sms.
Tuttavia, la Suprema Corte in tal modo evidenzia il vuoto normativo esistente riguardo a quelle condotte di molestia perpetrate tramite posta elettronica, ma che grazie ai nuovi strumenti tecnologici, come i telefoni di ultima generazione, giungono sul telefono del destinatario, costringendo lo stesso all’interazione continua e persistente che sarebbe ugualmente determinata dalle comunicazioni telefoniche o dagli sms.

venerdì 7 dicembre 2012

Privacy: processo per i dirigenti di Google Italia

Il 4 dicembre è iniziato, in corte d'appello a Milano, il processo di secondo grado a tre dirigenti di Google condannati in primo grado a sei mesi di reclusione per violazione della privacy.  
La vicenda giudiziaria è relativa a un filmato, pubblicato su Internet nel 2006 da quattro studenti di una scuola di Torino utilizzando “Google video”, che aveva come protagonista un minore disabile, affetto dalla sindrome di Down, insultato e picchiato da quattro compagni di scuola. Il video, cliccatissimo nella sezione "video più divertenti", è rimasto on line fino al 7 novembre successivo, prima di essere rimosso. Già dai primi passi della vicenda si è profilata una netta contrapposizione tra i magistrati titolari del fascicolo, secondo i quali il diritto di impresa non deve prevalere sulla privacy e sulla tutela dei diritti della persona, e il colosso del web, secondo cui questa vicenda giudiziaria è un attacco ai princìpi fondamentali di libertà che sono alla base di Internet.
Il giudice milanese, in particolare, ha messo l’accento sulla carenza e inefficacia dell’informazione sulla privacy del motore di ricerca. “L’informativa sulla privacy - scrive infatti nelle motivazioni - era del tutto carente o comunque talmente nascosta nelle condizioni generali di contratto da risultare assolutamente inefficace per i fini previsti dalla legge. In particolare deve ritenersi che il reato nel caso in questione sia stato sicuramente commesso anche all’estero. […]. Non vi è dubbio che per lo meno parte del trattamento dei dati immessi a Torino sia avvenuto fuori dall’Italia, in particolare negli Usa, luogo dove hanno indubitabilmente sede i server di proprietà di Google”.

giovedì 15 novembre 2012

La lotta alla corruzione diventa anche digitale


La legge n. 190/2012, recante Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione, introduce nuove misure per il contrasto di detti fenomeni, anche attraverso la pubblicità dell’attività delle PA sui rispettivi siti istituzionali.
Il comma 14 dell’art. 1 prevede, in effetti, che entro il 15 dicembre di ogni anno il responsabile della prevenzione della corruzione (di cui al comma 7 dello stesso art. 1) pubblichi nel sito web dell’amministrazione una relazione recante i risultati dell’attività svolta e la trasmetta all'organo di indirizzo politico dell’amministrazione.
Al successivo comma 15 dell’art. 1 si stabilisce che, al fine di assicurare i livelli essenziali di trasparenza dell’attività amministrativa, siano pubblicati nei siti web istituzionali delle amministrazioni pubbliche i relativi bilanci e conti  consuntivi,  nonché  i  costi  unitari  di realizzazione delle opere  pubbliche  e  di  produzione  dei  servizi erogati ai cittadini.
Inoltre, alla stregua del comma 16 dell’art. 1, le stesse PA devono assicurare tali livelli essenziali di trasparenza in riferimento ai procedimenti di:
a) autorizzazione o concessione;
b) scelta del contraente per l'affidamento di lavori, forniture e servizi, anche con riferimento alla modalità di selezione  prescelta ai sensi del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n.163;
c) concessione ed erogazione di sovvenzioni, contributi, sussidi, ausili finanziari, nonché  attribuzione  di  vantaggi  economici  di qualunque genere a persone ed enti pubblici e privati;
d) concorsi e prove selettive per l'assunzione del personale e progressioni di carriera di cui all'articolo 24  del  citato  decreto legislativo n.150 del 2009.
Con specifico riferimento ai procedimenti di cui alla lett. b) del comma 16 dell’art. 1, il successivo comma 32 dello stesso articolo precisa che «le  stazioni  appaltanti  sono  in  ogni  caso tenute a pubblicare nei propri siti web istituzionali:  la  struttura proponente; l'oggetto del bando; l'elenco degli operatori invitati  a presentare offerte; l'aggiudicatario; l'importo di aggiudicazione; i tempi di completamento dell'opera, servizio  o  fornitura;  l'importo delle somme liquidate.  Entro il 31  gennaio di ogni anno, tali informazioni, relativamente all'anno precedente, sono  pubblicate  in tabelle  riassuntive  rese  liberamente  scaricabili  in  un  formato digitale standard aperto che consenta di  analizzare  e  rielaborare, anche a fini  statistici,  i  dati  informatici. Le amministrazioni trasmettono in formato digitale tali informazioni all'Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture, che le pubblica nel proprio sito  web  in  una  sezione  liberamente consultabile da tutti i cittadini, catalogate in base alla  tipologia di stazione appaltante  e  per  regione.».
Infine, il comma 35 dell’art. 1 della Legge n. 190/2012 contempla la delega al Governo per l’adozione di un decreto legislativo per il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.

venerdì 2 novembre 2012

Violazione della privacy con la tessera del tifoso



Una recente sentenza emessa dal tribunale civile di Roma ha condannato l’AS Roma a risarcire per danni morali un abbonato versando una somma di 5.000 euro.
Cagione di questo risarcimento sarebbe  il trattamento illegittimo dei suoi dati personali, inseriti nella modulistica necessaria per ottenere la tessera del tifoso.
Il Garante per la Protezione dei dati personali era già intervenuto più volte su questo argomento (v. provvedimenti del 16 giugno 2010, del 10 novembre 2010 e del 12 gennaio 2011) prescrivendo che i tifosi venissero informati in modo più preciso e chiaro sull’uso che viene fatto dei dati personali forniti al momento della sottoscrizione della tessera, e soprattutto potessero scegliere liberamente se permettere o meno che questi dati venissero utilizzati anche a scopo di marketing e pubblicità.
Tra le varie funzioni della tessera del tifoso, infatti, c'è anche quella di permettere l'accesso agli impianti sportivi attraverso i varchi elettronici, e proprio per questo motivo deve contenere i dati personali del possessore ed essere contrassegnata da un codice alfanumerico che la identifica in modo univoco.

lunedì 22 ottobre 2012

Pubblicato in Gazzetta Ufficiale il D.L. Crescita n. 179/2012


Finalmente è entrato in vigore il D.L. Crescita n. 179/2012, approvato dal Consiglio dei Ministri lo scorso 4 ottobre.
L’obiettivo delle misure contemplate nel provvedimento è quello di promuovere la crescita economica, attraverso l’implementazione di infrastrutture e servizi digitali, la nascita e lo sviluppo di startup innovative, l’introduzione di strumenti fiscali volti ad agevolare la realizzazione di grandi opere con capitali privati, a creare le condizioni attrattive necessarie a favorire gli investimenti esteri in Italia, nonché la realizzazione di interventi di liberalizzazione, soprattutto in campo assicurativo.
In particolare, il D.L. n. 179/2012 si concentra sull'attuazione degli obiettivi dell’Agenda digitale, tra cui: la creazione di identità digitali e la diffusione di un documento digitale unico, in sostituzione sia della carta d’identità, sia della tessera sanitaria; la costituzione del domicilio digitale per il cittadino e per le imprese, mediante il quale inviare e ricevere tutte le comunicazioni con la PA; l’istituzione dell’Anagrafe nazionale della popolazione residente (ANPR) e dell’Archivio nazionale georeferenziato delle strade e dei numeri civici (ANSC).
Il testo integrale del Decreto Legge n. 179/2012 è disponibile all’indirizzo http://www.gazzettaufficiale.it/moduli/DL_181012_179.pdf.

venerdì 19 ottobre 2012

Il Garante Privacy approva la procedura di imbarco con le impronte digitali


Con l’obiettivo di snellire le procedure di imbarco, verificando con maggiore celerità l’identità dei passeggeri ai gate, Alitalia intende predisporre il nuovo servizio “fast boarding” per i suoi clienti “Millemiglia”.
Con tale sistema, peraltro già sperimentato da altre compagnie aeree europee, i passeggeri potranno scegliere di farsi rilevare le impronte digitali, le quali verranno criptate in un codice che sarà inserito in un template insieme ai dati identificativi del cliente. Tutti questi dati saranno poi caricati sul microchip di una smart card a radiofrequenza (utilizzabile con una tecnologia Rfid).
Al momento dell'accesso al gate di imbarco, quindi, i passeggeri verranno identificati attraverso un sistema che confronta le loro impronte digitali con i template memorizzati sulle carte elettroniche. In tal modo, non sarà creata alcuna banca dati perché il codice criptato dei dati biometrici rimarrà solo sulla smart card e quindi nell'esclusiva disponibilità dei clienti.
Inoltre, i dati presenti nella smart card verranno protetti con specifiche misure di sicurezza al fine di contenere al minimo i rischi di accesso abusivo alle informazioni contenute.
In ogni caso, tale sistema sarà alternativo e non sostitutivo rispetto a quello di identificazione tradizionale e i passeggeri potranno usufruirne solo dopo aver dato il proprio consenso scritto.
Tuttavia, l'Autorità garante per la protezione dei dati personali ha però prescritto ad Alitalia l'adozione di ulteriori garanzie per la sicurezza dei dati dei clienti.
In particolare, come condizione per l'avvio del sistema, il Garante ha prescritto una serie di misure ulteriori a protezione dei dati dei passeggeri:
  • sulla smart card non dovrà essere riportata alcuna indicazione che renda immediatamente identificabile il passeggero;
  •  l'informativa resa ai clienti dovrà essere integrata indicando chiaramente le finalità che si intendono perseguire con il nuovo sistema;
  • Alitalia dovrà utilizzare i dati biometrici solo nella fase del loro "caricamento" nella carta;
  • la compagnia dovrà adottare idonee misure per inibire immediatamente tutte le funzioni della carta elettronica in caso di furto o smarrimento e dovrà fornire adeguate istruzioni ai passeggeri sulla corretta custodia della carta e sugli adempimenti in caso di perdita.

mercoledì 17 ottobre 2012

Sussite - ai sensi del d.lgs. 231/2001 - la responsabilità amministrativa dell'impresa per violazioni in materia di sicurezza sul lavoro

La recente sentenza n. 40070 del 10 ottobre 2012 della IV Sezione Penale inteviene in materia di responsabilità amministrativa dell’azienda per violazione delle norme a tutela della salute e della sicurezza dei lavoratori. Nel caso di specie, si fà riferimento all’articolo 25-septies del d.lgs. n. 231/2001, così come novellato dall’art. 300 del d.lgs. 81/2008, ovvero ai reati commessi con “violazione delle norme sulla tutela della salute e sicurezza sul lavoro”. In particolare, la Suprema Corte si è espressa sulla rideterminazione del calcolo delle quote quale sanzione amministrativa.

giovedì 20 settembre 2012

Lanciata sul sito del Miur la consultazione sulla Governance di Internet


Sul sito del Miur è stata avviata dal 18 settembre una consultazione pubblica (che durerà fino al primo novembre prossimo) allo scopo di aggiornare e definire il documento italiano sulla Governance del Web che verrà presentato al prossimo Igf (Internet Governance Forum). I cittadini sono chiamati a esprimersi riguardo a cinque categorie principali: principi generali, cittadinanza in rete, consumatori e utenti della rete, produzione e circolazione dei contenuti e sicurezza in rete.
Questo è il link della consultazione: http://discussionepubblica.ideascale.com/

mercoledì 19 settembre 2012

Rimane senza Internet per un periodo prolungato e il giudice le riconosce un risarcimento per danno da stress



Un giudice di pace di Trieste ha riconosciuto a una casalinga, rimasta per colpa di un disservizio della compagnia telefonica 5 mesi senza connessione Internet e un mese e mezzo senza linea telefonica, il risarcimento non solo del danno materiale subìto, ma anche di quello morale causato dallo stress affrontato. L'avvocato della donna si era appellato alla effettiva "disuguaglianza digitale" in cui la sua assistita era stata costretta dal mancato funzionamento del servizio, che aveva impedito a suoi figli di svolgere studi e ricerche on line, minando così il diritto allo studio riconosciuto dalla Costituzione. 
Il giudice di pace ha accolto l’impostazione, giudicando particolarmente grave il danno subìto dalla donna "in un’epoca in cui la comunicazione è fondamentale in ogni aspetto della vita quotidiana".

martedì 11 settembre 2012

Il Garante detta un decalogo per la tutela della privacy a scuola

In vista della prossima riapertura delle scuole il Garante privacy ha emanato nei giorni scorsi un decalogo per professori, studenti e genitori allo scopo di garantire anche nelle attività scolastiche una corretta tutela della privacy, contemplando 10 punti, ovvero 10 momenti e situazioni sensibili che necessitano di particolare attenzione e di un comportamento adeguato da parte di tutti i soggetti coinvolti, dall'uso di cellulari e tablet alle telecamere interne all'istituto, dalla pagelle elettroniche ai temi in classe e gli scrutini:

venerdì 31 agosto 2012

Far pagare il diritto d’autore a Google News: grande attenzione per un disegno di legge tedesco


Approvato in Germania qualche giorno fa un disegno di legge che ha accesso una forte discussione in seno all’UE. Tale legge impone a Google News - e a tutti i motori di ricerca che offrono servizi similari - di pagare il diritto d’autore ai media di appartenenza per le notizie aggregate nelle loro ricerche. Si verrebbe a creare così una nuova forma di diritto d’autore grazie alla quale i media in questione concedono l’uso dei titoli dei loro articoli in licenza. Tale legge sarebbe da applicare, però, esclusivamente a portali di carattere commerciale
In Italia, invece, il disaccordo tra editori e Google News  è per il momento in uno stato di tregua in seguito a un accordo (definitivo?) raggiunto dalle parti: gli editori possono rimuovere o selezionare i contenuti presenti su Google News Italia che informerà gli editori sulla ripartizione dei ricavi provenienti dagli spazi pubblicitari e abolirà il divieto di rilevare i click da parte delle imprese che veicolano pubblicità con la sua piattaforma. 

lunedì 27 agosto 2012

Varato il piano ispettivo del Garante Privacy per i prossimi 6 mesi


Il Garante per la Protezione dei Dati Personali ha recentemente definito e reso noto quale sarà il suo piano ispettivo per la seconda metà del 2012. Gli accertamenti del Garante nei prossimi mesi si concentreranno principalmente su “credito al consumo, nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment), telemarketing tramite call center, ma anche sistemi informativi utilizzati da enti previdenziali e dall'amministrazione finanziaria”. In particolare i controlli saranno finalizzati a valutare le modalità di trattamento dei dati personali dei cittadini sotto vari aspetti: il tipo di informazione che viene fornita loro sull’utilizzo dei dati, i tempi di conservazione, le misure di sicurezza adottate, il consenso e la notifica al Garante.
Per quanto riguarda invece i prime sei mesi dell’anno, l’attenzione del Garante si è diretta soprattutto al settore telefonico, agli enti previdenziali e alle società che gestiscono banche dati in outsourcing. La maggior parte dei procedimenti sanzionatori avviati in seguito ai controlli effettuati negli scorsi mesi sono stati causati da “omessa informativa, trattamento illecito dei dati, mancato rispetto delle norme in materia di telemarketing, mancata adozione di misure di sicurezza, inosservanza dei provvedimenti dell'Autorità”.

mercoledì 18 luglio 2012

Tratto dalla serie unica “I peccati originali digitali”: una vita da ca-phone…per una firma digitale a prova di apprr!


Sono in aereo (tanto per cambiare) e li osservo da lontano. Sono gli Appricotti, un esercito ordinato e dai comportamenti ormai consueti: guardano il loro ca-phone sino a un minuto prima di alzarsi in volo e accendono il loro i-pac (sempre rigorosamente in pugno) un secondo dopo essere atterrati.
Da quel momento non lo spengono più e iniziano in maniera incessante e impetuosa i movimenti con la mano: aprono apprr, le chiudono, le riaprono, si guardano intorno orgogliosi, guardano foto, le richiudono, guardano la posta, la chiudono, aprono un gioco, lo chiudono. Imperscrutabili nel loro piacere fai da te.
Anche in fila per scendere dall’aereo i gesti della mano continuano nevrotici: la vita da ca-phone non ha sosta.
Imperturbabili nella loro identità digitale all’ultima moda e in una sorta di lobotomizzata esistenza reale, si guardano intorno per trovare compagni di viaggio che possano condividere una apprr. Perché solo una apprr regala gocce di felicità nel nuovo mondo dell’Appricott, dove tutto è differente, tutto è bello, tutto è indispensabile. Tocca l’Albicocca e sarai felice è lo slogan dello schizzinoso mondo del “Think Different”.
Eccoli allora in treno, in metro, per strada alla ricerca assoluta e incessante dell’ultima apprr. Per rendere una foto più bella, per vedere che tempo fa, per far ridere il bebè al seguito, non si può non avere l’ultima apprr e condividerla con aria ammiccante verso chi solo può comprenderne l’assoluta diversità: chi ha un ca-phone, chi ha sempre una mano sull’i-pac e non può fare a meno dell’i-pork per ascoltare la musica.
E poi entrare nell’elegantissimo negozio dell’Appricott non ha prezzo. Tutto è bellissimo, luccicante e pronto all’indispensabile uso e tutti ne vanno pazzi. L’usabilità distinta e raffinata di ogni pezzo di Albicocca nel suo pacco che profuma non ha prezzo. E allora si entra e si spende con il sorriso. Perché si compra il differente e l’unico piacere.
E chi se ne frega se adesso la situazione è addirittura peggiore di quanto faceva (e fa) l’odiosissima Macrostofft, se i software sono confezionati e pronti per l’uso, ma chiusissimi e se si paga ogni cosa a caro prezzo, anche un pensiero lussurioso (ma quanto è bello quel pensiero inserito in un’apprr!).
Tutto è in rete, sulle nuvole sicurissime dell’Albicocca Assoluta: tutto viene garantito nella sua semplicità e usabilità, tutto è differente e bello e chiuso a chiave. E tutti ne sono innamorati: uomini, donne e bambini …e anche il mondo degli informatici ne è stregato! Nel Mondo dell’Appricott “non si perde neanche un bambino” (direbbe oggi Lucio Dalla nella sua bella canzone “Disperato Erotico Stomp”!)…peccato che se c’è qualcosa che non va nel proprio ca-phone anche l’esperto informatico (compreso quello che viene a riparare i pc del mio studio!) senza farsi tanti problemi o porsi inutili interrogativi si mette in fila a chiedere assistenza, perché lì, sull’i-pac non può mettere mani! Tutto è bello, pronto e servito, ma guai a chiedere gli ingredienti del cialis che si ingurgita! Ma l’Appricotto è tranquillo: tutto funziona così per il suo bene e per la sua sicurezza e per garantire un futuro più bello, elegante e alla moda a tutta la nostra tecnologia!
Eccolo qui il popolo che volò un giorno sul nido del cuculo e che non pone domande al suo Meraviglioso Mondo dell’Albicocca. Lui si limita ossequioso ad eseguire ciò che l’i-pac e il ca-phone mettono a completa disposizione, perché tutto lì vive di anestetizzata magia.
***
Ma che attinenza ha tutto questo surreale (e ovviamente immaginario) scenario con il mondo del diritto?!? Beh… mettendo da parte le ovvie riflessioni sull’incredibile percorso che un Impero Informatico è riuscito a sviluppare in pochi anni grazie ad oculate azioni di marketing e comunicazione e alla genialità indiscutibile di Steve Jobs, il quale ha pianificato la sua egemonia basandosi su un “pensiero differente” che ormai oggi non distingue più, ma è  massificato a livello globale e, quindi, è maggioranza e “la maggioranza sta come una malattia, come una sfortuna, come un'anestesia. come un'abitudine, per chi viaggia in direzione ostinata e contraria” (da Smisurata Preghiera di Fabrizio De Andrè). E senza dimenticare le pesantissime parole di Richard Stallman quando ha definito Jobs “pioniere del computer come una prigione cool, concepita per privare gli stupidi della loro libertà!” A me quello che si è riusciti a sviluppare in pochi anni, combinando usabilità e capacità di comunicazione, fa pensare alla firma digitale e ai suoi limiti! Si parla a vanvera dal 1997 di firma digitale e di un suo necessario utilizzo, per non parlare di CNS e CIE e tutto il resto e ancora tutti i cittadini digitali ne ignorano l’esistenza e ne fanno beatamente a meno!
Finalmente una legge delega di un paio di anni fa (la Legge 69/2009) aveva sollecitato il nostro Governo a modificare la normativa sulla firma digitale contenuta nel Codice dell’amministrazione digitale al fine “di semplificarne l'adozione e l'uso da parte della pubblica amministrazione, dei cittadini e delle imprese”. Parolina magica: USABILITÀ anche per la firma digitale!
E il Governo Italiano che ha fatto con il D. Lgs. 2010/235? Non ha cambiato nulla per la firma digitale e si è inventato un’altra firma: la firma elettronica avanzata! E col diritto così siamo alla frutta (assortita di mele e albicocche)!
E allora, caro legislatore, “ti scrivo, così mi distraggo un po” e da quando sei letteralmente partito “c'è una grossa novità: l'anno vecchio è finito ormai, ma qualcosa ancora qui non va”. E allora mi permetto di darti un consiglio per l’anno che verrà: "La firma digitale falla fare a Mr Appricott e e almeno tutto il Mondo dell'albicocca la utilizzerà!"

giovedì 12 luglio 2012

Testo unico bipartisan per l'Agenda Digitale

Il comitato ristretto della Commissione Trasporti e telecomunicazioni della Camera ha approvato il testo unico bipartisan sui servizi elettronici e digitali, un disegno di legge che contiene le proposte di Pd-Udc, Pdl e Lega relative allo sviluppo tecnologico del Paese e all’attuazione dell’Agenda Digitale.
I tre punti principali del testo, che deve ancora essere approvato definitivamente, sono quelli di favorire la digitalizzazione della pubblica amministrazione, trovare i fondi per le infrastrutture di settore e sostenere le start-up legate all’innovazione.
Gli strumenti operativi proposti dal testo sono:
  • incentivi del Governo per lo sviluppo dei servizi digitali e la digitalizzazione della PA, da attuarsi attraverso l’utilizzo di formati aperti, software libero e protocolli aperti;
  • esenzioni fiscali a favore di Province e Comuni per la realizzazione di impianti di comunicazione elettronica in fibra ottica, prevedendo inoltre l’istituzione di un Catasto comunale per le infrastrutture di questo tipo già esistenti;

  • incentivi a sostegno delle start-up e creazione di un 'Fondo per l'Italia' da aprire alla partecipazione di soggetti sia pubblici che privati, con una dotazione iniziale di 30 milioni di euro.

mercoledì 4 luglio 2012

Liceità della vendita di licenze usate


La Corte di Giustizia dell’Unione Europea in seguito a domanda di pronuncia pregiudiziale da parte del Bundesgerichtshof tedesco, in qualità di giudice del rinvio, ha stabilito che il principio di esaurimento del diritto di distribuzione sulla singola copia del software - ai sensi dell’art. 4 paragrafo 2 della direttiva 2009/24 - operi anche con riferimento alla copia acquistata e scaricata tramite download.
Veniamo al caso in questione, che riguarda una controversia tra Oracle e UsedSoft. Oracle, titolare dei diritti esclusivi di utilizzazione (riconosciuti dal diritto d’autore) dei programmi per elaboratore che sviluppa, distribuisce tali programmi tramite download dal proprio sito Internet. Questa modalità di distribuzione implica che il cliente, attraverso il download, acquisisca il diritto di utilizzazione dei programmi mediante contratto di licenza d’uso.
La UsedSoft, invece, commercializza licenze usate relative a programmi per elaboratore e, in particolare, licenze di utilizzazione dei programmi della Oracle oggetto della causa principale.
Al riguardo, la Corte ha affermato che resta irrilevante, in una fattispecie come quella oggetto della causa principale, il fatto che la copia del programma per elaboratore venga messa a disposizione del cliente da parte del titolare dei relativi diritti per mezzo di download dal sito Internet di quest’ultimo ovvero per mezzo di un supporto informatico tangibile quale un CD-ROM o un DVD in quanto, in entrambi i casi, si esaurisce il diritto di distribuzione - e di conseguenza il diritto di proprietà - sulla singola copia del software da parte del titolare del diritto. Partendo da tale premessa, la Corte arriva a considerare pienamente lecita l’attività di commercializzazione di licenze Oracle usate da parte della UsedSoft, specificando, però, che lo stesso acquirente iniziale deve rendere inutilizzabile la propria copia al momento della rivendita, al fine di evitare la violazione del diritto esclusivo di riproduzione di un software spettante all’autore del medesimo.
Se ad oggi si è ritenuto certamente possibile rivendere il proprio DVD o CD-ROM contenente il software senza violare il diritto d'autore, ora è stato palesato che non costituisce violazione del diritto d’autore neanche rivendere il “download del software”.

Giudice americano obbliga Twitter a fornire la password di un indagato


A New York un giudice ha imposto a Twitter di fornire la password di un attivista del movimento "Occupy" indagato per aver partecipato a una manifestazione non autorizzata, con la motivazione che l’accesso ai tweet è consentito e lecito, in quanto scrivendo un tweet si è ben coscienti di diffondere pubblicamente un’informazione o un’opinione (che quindi non si intende mantenere riservata) con tutte le conseguenze che possono seguire. Il caso desta particolare attenzione perché potrebbe fare giurisprudenza. Il rappresentante legale del social network ha dichiarato che richieste di questo tipo da parte delle autorità stanno diventando sempre più frequenti, soprattutto negli Stati Uniti.

martedì 3 luglio 2012

Maggiore trasparenza delle PA con l'art.18 del Decreto Sviluppo


Nel “Decreto Sviluppo” appena pubblicato in Gazzetta Ufficiale (Decreto Legge n. 22 giugno 2012, n. 83) compaiono alcune disposizioni rilevanti circa la digitalizzazione delle PA e, in particolare, delle interessanti novità su trasparenza e Open Data. All’art. 18 (“Amministrazione aperta”) si legge, infatti, che tutte le PA  devono pubblicare in rete la “concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese e l’attribuzione dei corrispettivi e dei compensi a persone, professionisti, imprese ed enti privati e comunque di vantaggi economici di qualunque genere di cui all’articolo 12 della legge 7 agosto 1990, n. 241 ad enti pubblici e privati”. Questa disposizione, che recepisce alcuni principi dell’Open Data, ha lo scopo di rendere meglio note e consultabili al cittadino le informazioni sulla spesa pubblica e i criteri di assegnazione di denaro da parte delle PA, anche in un’ottica di contrasto alla corruzione. Per le pubbliche amministrazioni - le quali avranno 6 mesi per adeguarsi a queste disposizioni utilizzando le “risorse umane, finanziarie e strumentali disponibili a legislazione vigente”, senza quindi nuovi o maggiori oneri a carico della finanza pubblica - sono stati anche definiti i criteri precisi di pubblicazione di tali informazioni sui relativi siti istituzionali, tutti criteri ispirati alla facilità di reperimento e consultazione da parte del cittadino. La PA dovrà dare pubblicità ai seguenti dati: “a) il nome  dell'impresa  o  altro  soggetto beneficiario ed i suoi dati fiscali; b) l'importo; c) la norma  o  il titolo a base dell'attribuzione; d)  l'ufficio  e  il  funzionario  o dirigente responsabile del relativo procedimento  amministrativo;  e)la modalità seguita per l'individuazione  del  beneficiario;  f)  il link al progetto selezionato, al curriculum del soggetto  incaricato, nonché al contratto e  capitolato  della  prestazione,  fornitura  o servizio”, facendo in modo che le informazioni siano “riportate, con  link  ben visibile nella homepage del sito, nell'ambito dei dati della  sezione «Trasparenza,  valutazione  e  merito»  di  cui  al  citato   decreto legislativo n. 150  del  2009,  che  devono  essere  resi  di  facile consultazione,  accessibili  ai  motori  di  ricerca  ed  in  formato tabellare aperto che ne consente l'esportazione, il trattamento e  il riuso ai sensi dell'articolo 24 del  decreto  legislativo  30  giugno 2003, n. 196”.

venerdì 29 giugno 2012

Aspettative di vita di un link


Qual è la vita media di un link sul web? Dopo quanto, nel veloce mondo di Internet, esso smette di essere attivo e di richiamare una pagina o un documento? Ha provato a dare risposta a questo interessante quesito il gruppo di ricerca americano Chesapeake Digital Preservation Group, che ha condotto a tal riguardo uno studio, durato cinque anni, sugli archivi web di quattro importanti biblioteche - quelle universitarie di Georgetown Law e la Harvard Law School Libraries e quelle legali del Maryland e della Virginia. Dai risultati si è evinto che già dopo un anno dalla loro messa on line i link iniziano, progressivamente, a disattivarsi, segno evidente di quanto siano veloci i tempi del web. 

PC aziendale sotto sequestro se l'utilizzatore è sospettato di affari illeciti

Con la sentenza n° 24561/2012 la Corte di Cassazione ha sancito che è legittimo il sequestro del PC aziendale in uso alla persona sospettata di affari illeciti; tale misura, infatti, sarebbe giustificata dall'utilità dei dati contenuti e archiviati nella macchina, al di là sè inerenti o meno con il reato perseguito dall'Autorità Giudiziaria. Resta da capire se siano state effettivamente rispettate o meno tutte le regole in materia di computer forensics nell'ambito del sequestro dei PC e nell'acquisizione delle informazioni in essi contenute, soprattutto perché il rischio potrebbe essere quello dell'inutilizzabilità di tali prove nel corso del giudizio.

lunedì 25 giugno 2012

L’inserimento della PEC nell’atto di parte evita la domiciliazione presso la cancelleria


Come conciliare la disciplina sulla posta elettronica certificata e un Regio decreto del 1934?
Entrambe le normative sono state oggetto della sentenza delle Sezioni Unite Civili n. 10143/2012 della Corte di Cassazione, che ha risolto il contrasto giurisprudenziale in ordine all’interpretazione del riferimento topografico relativo alla circoscrizione del Tribunale, contenuto all’art. 82 del R.d. n. 37 del 1934.
Detta disposizione, tutt’ora vigente, stabilisce che “i procuratori che esercitino il proprio ufficio in un giudizio fuori dalla circoscrizione del Tribunale al quale sono assegnati, devono, all’atto di costituzione nel giudizio stesso, eleggere domicilio nel luogo dove ha sede l’autorità giudiziaria presso la quale il giudizio è in corso.
In mancanza della elezione di domicilio, questo si intende eletto presso la cancelleria della stessa autorità giudiziaria”.
Sul punto le Sezioni Unite, adottando la tesi tradizionale, hanno statuito che la “circoscrizione del tribunale” identifica non l’autorità innanzi alla quale è in corso il giudizio, bensì l’albo professionale al quale è iscritto l’avvocato, tenuto sulla base della circoscrizione di ciascun tribunale e non del distretto di Corte d’appello.
Ma fin qui niente affatto sembrerebbe rilevare, in tale pronuncia, la disciplina della posta elettronica certificata.
L’analisi della Cassazione, però, ha accolto il disagio espresso dal diverso indirizzo giurisprudenziale nel continuare ad applicare, con l’entrata in vigore delle nuove norme sulle notificazioni a mezzo posta elettronica certificata, una disposizione processuale così risalente nel tempo e nei medesimi termini in cui era stata interpretata sin ora.
La Corte, dunque, ha adottato un’interpretazione adeguatrice in ragione del mutato quadro normativo in tema di notificazioni.
In particolare, con le novelle apportate agli artt. 125 e 366 c.p.c. dalla Legge n. 183/2011 è stato introdotto l’obbligo di indicare negli atti di parte (citazione, ricorso, comparsa, controricorso precetto) l’indirizzo di posta elettronica certificata che gli avvocati comunicano agli Ordini professionali di appartenenza, consentendo in tal modo una modalità semplificata di notificazione (nelle modalità prescritte all’art. 149 bis c.p.c.).
Esigenze di coerenza sistematica e di interpretazione costituzionalmente orientata inducono quindi a prediligere una diversa interpretazione dell’art. 82 del Regio decreto del 1934: la mancata osservanza dell’onere di elezione di domicilio da parte di un avvocato che eserciti il proprio ufficio in un giudizio instaurato fuori dalla circoscrizione del tribunale al quale è assegnato determina la domiciliazione ex lege presso la cancelleria dell’autorità giudiziaria innanzi alla quale è in corso il giudizio, ma solo se lo stesso difensore, non adempiendo all’obbligo prescritto dall’art. 125 c.p.c., abbia omesso di indicare il proprio indirizzo pec comunicato all’Ordine di appartenenza.
Peraltro, occorre rilevare che diversamente si determinerebbe un’irragionevole differenziazione poiché, ai sensi dell’art. 366 c.p.c., come novellato dalla Legge n. 183/2011, l’indicazione dell’indirizzo pec nel ricorso nel giudizio di Cassazione già esclude la domiciliazione ex lege presso la cancelleria.
Inoltre, le Sezioni Unite richiamano, in tale pronuncia, le considerazioni già svolte in tema di notificazioni all’opponente dalla Corte Costituzionale nella sentenza n. 365/2010. La Consulta in quella sede evidenziava che le recenti modifiche al quadro normativo rivelavano “un favor del legislatore per modalità semplificate di notificazione, divenute possibili grazie alla diffusione delle comunicazioni elettroniche. Sia lo sviluppo tecnologico e la crescente diffusione di nuove forme di comunicazione, sia l’evoluzione del quadro legislativo, hanno reso irragionevole l’effetto discriminatorio determinato dalla normativa censurata, che contempla il deposito presso la cancelleria quale unico modo per effettuare notificazioni all’opponente che non abbia dichiarato residenza o eletto domicilio nel Comune sede del giudice adito nè abbia indicato un suo procuratore”.
Appare fondamentale evidenziare, inoltre, che in tema di prospective overruling la Cassazione ha precisato che le norme introdotte dalla Legge n. 183/2011 sono applicabili dal 1° febbraio 2012.

martedì 19 giugno 2012

La PEC diventa europea

La PEC potrebbe essere estesa a tutti gli stati dell’UE. Lo prevede una proposta di regolamento discussa in Commissione Europea e che ora dovrà passare in Consiglio e in Parlamento per vederne l’applicazione pratica in un paio d’anni.
I vantaggi derivanti da questa iniziativa sono immediatamente visibili se si considerano tutte le transazioni elettroniche che potrebbero agevolmente scaturire tra aziende, imprese e cittadini. Vantaggi che potrebbero soddisfare il famoso principio della libera circolazione delle persone e l’abolizione dei controlli alle frontiere interne creando un mercato interno che non ammette ostacoli al movimento delle persone.
Estendendo la PEC oltre confine si soddisfa il principio prima menzionato perché si andrebbero ad eliminare gli ostacoli anche alla libera circolazione dei documenti, agevolando la partecipazione delle imprese ad appalti pubblici online in UE, degli imprenditori che decidono di investire oltre confine e dei singoli cittadini che intendono accedere a tutta una serie di documenti, compresi quelli medici.
Inoltre, la normativa italiana prevede l’obbligo per le imprese costituite in forma societaria di indicare il proprio indirizzo di posta elettronica certificata nelle domanda di iscrizione al registro delle imprese, ai professionisti iscritti ad albi ed elenchi istituiti con legge dello Stato di comunicare ai rispettivi ordini o collegi il proprio indirizzo di PEC e alle Pubbliche Amministrazioni di istituire un proprio indirizzo di PEC per ciascun Registro di Protocollo[1], (D. L. 185/2008, art.16, comma 6-7-8).
L’obbligo di dotarsi di PEC impone ai soggetti summenzionati di utilizzare un sistema alternativo per comunicare in Europa, l’adozione dei certificati S/MIME, interoperabili con qualunque sistema e disponibili, da anni, in ambito internazionale.
S/MIME (Secure Multipurpose Internet Mail Extensions) è uno standard per la crittografia a chiave pubblica e per la firma dei messaggi di posta elettronica che si inserisce all'interno delle specifiche di MIME.
Rispetto alla PEC, l’impiego di un certificato S/MIME permette, ad esempio, di certificare l’intero contenuto del messaggio che si invia e consente di inviare informazioni a qualunque tipo di indirizzo e-mail.
Il riconoscimento, a livello europeo, della PEC semplificherebbe la vita a imprese e cittadini, ammesso che gli Stati membri decidano di aderire al principio dell’accettazione reciproca.
 
[1] Il decreto legge 185/2008 contiene rilevanti modifiche al "Codice dell'Amministrazione Digitale"

(D.Lgs. n.82/2005) ed al "Regolamento per l'utilizzo della Posta Elettronica Certificata" (D.P.R.

n.68/2005).


Facebook: l’azienda condannata alla beneficienza per problemi con la privacy



Facebook è stata condannata da un giudice distrettuale californiano a versare 10 milioni di dollari per azioni benefiche, come soluzione di un contenzioso circa una presunta violazione privacy. Cinque iscritti al social network avevano infatti avviato un'azione legale contro Facebook per aver violato la privacy dei loro dati personali (foto, nomi) utilizzando in alcuni messaggi di advertising il loro “mi piace” senza dargli in alcun modo la possibilità di opporsi a questo utilizzo o di venire per esso retribuiti.
Tra l’altro Facebook ha lanciato proprio in questi giorni un referendum virtuale in materia di privacy (scelta fra la vecchia e una nuova DDR: dichiarazione dei diritti e delle responsabilità), gestione dei dati degli utenti e funzionamento della Timeline, ma il quorum dei votanti (30%) non è stato raggiunto. Secondo il parere di molti il referendum è stato poco pubblicizzato e strutturato in maniera volutamente macchinosa per scoraggiare il voto e fare in modo che questa iniziativa (apparentemente molto democratica) avesse un valore puramente consultivo e non "legislativo" e vincolante. Come dire: le decisioni sul trattamento dei dati degli utenti continueranno a essere prese nella stanza dei bottoni. 

martedì 12 giugno 2012

Pubblicazione del progetto di fusione e scissione sul sito internet delle società


Il 7 giugno 2012 il Consiglio dei Ministri ha approvato la bozza definitiva di decreto legislativo che recepisce la direttiva 2009/109/CE. 
Tale direttiva, identificato il settore del diritto societario come settore fonte di numerosi e onerosi obblighi di informazione a carico delle società, è intervenuta al fine di ridurre, laddove possibile, gli oneri amministrativi gravanti sulle società all’interno della comunità, anche al fine di accrescere la loro competitività.  
La nuova disciplina, sulla base di quanto si legge nello schema di decreto legislativo recante attuazione della direttiva suddetta reperito sul sito ufficiale del Senato della Repubblica, introdurrà la possibilità di pubblicare il progetto di fusione, o quello di scissione, nel sito internet delle società interessate, in alternativa al deposito presso il registro imprese e in alternativa al deposito presso la sede sociale. 
Il decreto legislativo dovrebbe, inoltre, prevedere che le copie dei documenti depositati presso la sede sociale possano essere trasmesse telematicamente ai soci, e che la società non sarà tenuta a fornire tali copie qualora i documenti siano già disponibili sul sito internet e se ne possa effettuare liberamente il download.
L’attuale disciplina relativa a fusioni e a scissioni prevede che:
- dalla data di iscrizione del progetto nel registro delle imprese alla data dell’assemblea che decide sulla fusione o scissione debbano intercorrere almeno trenta giorni e che questo termine è rinunciabile solo con il consenso unanime dei soci;
- il progetto e gli altri documenti previsti dalla legge devono rimanere depositati in copia presso la sede sociale durante i trenta giorni che precedono la decisione in ordine alla fusione, salvo che i soci non vi rinuncino con il consenso unanime, e finché la fusione (o scissione) non sia decisa.   
Questo sistema, improntato sul materiale deposito dei documenti presso registro imprese e sede sociale, determina certezza della data a partire dalla quale decorrono i trenta giorni previsti dalla legge.
Ora, ponendo in evidenza il quarto considerando della direttiva ove si legge che “[…] Qualora sussista la possibilità di usare i siti web della società o altri siti web per la pubblicazione dei progetti di fusione e/o di scissione e di altri documenti che devono essere messi a disposizione degli azionisti e dei creditori nel procedimento, dovrebbero essere soddisfatte le garanzie connesse con la sicurezza del sito web e l’autenticità dei documenti”, sembra necessario capire come si porranno le nuove previsioni normative, legate alla semplificazione e alla riduzione dei costi, rispetto all’esigenza di avere una data certa di pubblicazione sul sito internet e a quella di garantire ai soci l’autenticità dei documenti scaricati dal sito.
Inoltre, la mancanza di un censimento dei siti internet delle società presso il registro delle imprese potrebbe creare difficoltà nell’accessibilità delle informazioni.

lunedì 11 giugno 2012

Illecito trattamento dei dati biometrici in una palestra

Un interessante provvedimento del Garante Privacy del 29 marzo u.s. ha ribadito ancora una volta come l’utilizzo dei dati biometrici possa essere giustificato solo nel rispetto del principio di necessità, derivante da situazioni di pericolo concreto e rischi per persone o cose. Nel caso specifico, al momento dell’iscrizione, una struttura sportiva rilevava l’impronta digitale degli utenti mediante lettore ottico/scanner e l’associava ai rispettivi dati personali. Attraverso questo sistema la palestra non rilasciava tessere o schede per l’accesso alla struttura. In seguito alla segnalazione di un frequentatore della palestra stessa, il Garante Privacy è intervenuto ed ha accertato che tali dati biometrici erano illecitamente trattati. Innanzi tutto il trattamento non era stato correttamente notificato al Garante Privacy e l’uso dei dati biometrici rilevati non risultava giustificato dalle finalità e dal contesto. L’accesso in palestra, infatti, non è un’operazione connotata da un grado di rischio, per beni o persone, tale da giustificare un accertamento così rigido dell’identità dei soggetti legittimati all’ingresso. Lo specifico trattamento risulta, inoltre, sproporzionato rispetto al bisogno di regolare e controllare l’accesso alla struttura.


Il Garante Privacy fa chiarezza sulla pubblicazione dell’informativa di un laboratorio radiologico

 Con il provvedimento n.104 del 15 marzo 2012 il Garante della privacy ha imposto allo Studio Radiologico Essepi s.a.s. di Savona di cambiare il modello di informativa e di consenso utilizzato nei rapporti con i loro pazienti.
In particolare, è stato segnalato dal Codacons che nell’informativa utilizzata dalla predetta Società è prevista la comunicazione dei dati raccolti a “società di assicurazione, fondi assistenziali e previdenziali privati o pubblici; banche ed istituti di credito; professionisti e consulenti; società operanti nei settori dei trasporti, spedizioni e comunicazioni; SOGEI spa”.
Nel modello fornito è inoltre precisato che "il conferimento dei dati è obbligatorio per tutto quanto è inerente agli obblighi legali e contrattuali e pertanto l'eventuale rifiuto a fornirli ovvero l'eventuale rifiuto al trattamento potrà determinare l'impossibilità (…) a dar corso ai servizi da voi richiesti". In calce al modello di informativa fornito dalla Società è prevista un'unica manifestazione del consenso dell'interessato "al trattamento ed alla comunicazione dei propri dati per le finalità e nei limiti dell'informativa". Ed è proprio qui che si riscontra la non conformità alla normativa in materia di protezione di dati personali.
Secondo quanto stabilito dall’art.13 comma 1, lett. b) e d) del Codice, l’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa la natura obbligatoria o facoltativa del conferimento dei dati e i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi.
Nella fattispecie il garante ha ritenuto illegittima l’informativa e il relativo consenso in quanto l’organismo sanitario privato deve fornire ai propri pazienti, prima della raccolta dei loro dati personali, un’informativa in cui siano indicate in modo analitico le finalità perseguite, distinguendo tra quelle di cura della salute e amministrative a queste strettamente correlate, dalle altre finalità eventualmente perseguite (art.13, comma 1, lett. a) del Codice).
Inoltre, secondo quanto stabilito dall’art.7, comma 4, lettera b) del suddetto Codice, l’interessato ha diritto di opporsi, in tutto o in parte, al trattamento dei dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, senza rinunciare alla fruizione della prestazione medica.

mercoledì 6 giugno 2012

Lo schifo nelle nomine Agcom e Privacy: la competenza non è argomento che interessa alla politica

Non si può utilizzare una parola diversa: è veramente immondizia quanto sta succedendo nella politica italiana.
Il paese affonda e invece di dare un segnale di cambiamento i nostri politici continuano ad interessarsi di pura gestione e spartizione del potere anche in materie delicate come concorrenza e privacy. E per di più con l'aggravante di prendere in giro persone serie come Guido Scorza, Fulvio Sarzana, Raffaele Zallone o Luca Bolognini (e tanti altri) che, fidandosi di bugiarde rassicurazioni, avevano presentato i loro Cv per essere valutati come candidati (finalmente) di qualità, adatti a ricoprire tali importanti e complessi incarichi.
Invece quei Cv sono stati dematerializzati (ammesso che siano mai stati stampati da qualcuno) e probabilmente utilizzati come utile carta igienica per i lussuosi gabinetti del Parlamento.
Ogni componente appena eletto è frutto di scelte partitocratiche e siederà lì, non per propri meriti, ma per le logiche flautolente di una Repubblica (ammesso che si possa ancora definire tale) in declino.
E' uno schifo e non si possono usare altri termini.

Per avere qualche raccapricciante particolare in più e conoscere i nuovi eletti che dovrebbero rappresentare le Authority italiane consiglio la lettura di questo articolo


venerdì 1 giugno 2012

Ok del Ministero del Lavoro alla busta paga via web


Con la risposta all’interpello n. 13 del 30 maggio 2012, il Ministero del Lavoro ha espresso parere positivo circa la possibilità di consegnare il documento relativo ai prospetti paga anche tramite posta elettronica non certificata.
Già in precedenza lo stesso Ministero, con l’interpello n. 1/2008, si era pronunciato favorevolmente riguardo l’assolvimento degli obblighi di cui agli artt. 1 e 3, L. n. 4/1953, mediante messaggio inviato a mezzo Pec, alla luce sia del mancato espresso richiamo alla forma cartacea nel citato art. 1, sia della necessità di adeguamento dell’azione amministrativa alle disposizioni contenute nel D.Lgs. n. 82/2005 (Codice dell’Amministrazione Digitale).
L’assolvimento degli obblighi ex artt. 1 e 3, della L. n. 4/1953, da parte di un datore di lavoro privato è dunque possibile, oltre che tramite posta elettronica certificata, anche attraverso sito web dotato di un’area riservata con accesso consentito al proprio personale, mediante password individuale e a condizione che sia garantita al dipendente la possibilità di entrare nella disponibilità del prospetto e di poterlo materializzare.
In ogni caso, per garantire la verifica immediata da parte del lavoratore o comunque gli eventuali accertamenti dell’organo di vigilanza, appare peraltro necessario che della collocazione mensile dei prospetti di paga risulti traccia nello stesso sito.

Semplificazioni per il rilascio di autorizzazioni all’installazione di impianti audiovisivi sui luoghi di lavoro: stop alle ispezioni

Con una circolare del 16 aprile 2012, il Ministero del Lavoro, con il dichiarato intento di impegnare il proprio personale unicamente alla ricerca e alla lotta al lavoro nero, ha di fatto eliminato il sopralluogo preventivo nelle aziende che chiedono alla Direzione Provinciale del Lavoro l’autorizzazione per installare sistemi di videosorveglianza. Ciò, naturalmente, a condizione che l’installazione di tali impianti avvenga nel rispetto dello Statuto dei Lavoratori e delle prescrizioni contenute nel d.lgs. 196/2003. Il numero crescente di richieste pervenute in questi ultimi anni alle DPL, finalizzate per lo più alla prevenzione di fenomeni legati alla criminalità, e le evidenti difficoltà degli ispettori nel procedere tempestivamente agli accertamenti, infatti, hanno indotto il Ministero a prendere questa importante decisione, che avrà certamente dei risvolti in sede di interpretazione e coordinamento con quanto già da tempo stabilito dal Garante Privacy in materia di videosorveglianza. Se da una parte, infatti, si potrebbe pensare a una liberalizzazione dell’utilizzo delle videocamere aziendali, dall’altra l’Autorità Garante, nei confronti delle singole aziende ispezionate, continua a prescrivere con i suoi provvedimenti il raggiungimento di un accordo con i sindacati o, in alternativa, l’obbligatorietà dell’istanza alla DPL (con relativa autorizzazione) quali condizioni di liceità del trattamento per l’utilizzo di impianti di videosorveglianza all’interno dei contesti aziendali. Nella circolare, tuttavia, vengono citate solo alcune attività commerciali (come tabaccherie, ricevitorie, oreficerie, edicole, distributori di carburante, etc.) che presentano forti rischi per la sicurezza dei lavoratori e che giustificherebbero l’installazione di un impianto di videosorveglianza anche in assenza di un accertamento tecnico preventivo dello stato dei luoghi da parte della DPL, perché ininfluente ai fini del rilascio dell’autorizzazione; è certo, comunque, che in questi casi farà fede la documentazione inviata dal datore di lavoro (contenente le caratteristiche tecniche del sistema di videosorveglianza, la planimetria dei locali, il numero di telecamere e il loro posizionamento) e il rispetto del provvedimento generale del 8 aprile 2010 emanato dall’Autorità Garante Privacy. Nella Circolare si citano a titolo esemplificativo le seguenti prescizioni: 1) il rispetto della disciplina dettata dal D.Lgs. n. 196/03 recante il Codice in materia di protezione dei dati personali e dai successivi provvedimenti del Garante per la protezione dei dati personali, in particolare il Provvedimento generale dell’8 aprile 2010 sulla videosorveglianza; 2) il rispetto di tutta la normativa in materia di raccolta e conservazione delle immagini; 3) prima della messa in funzione dell’impianto l’azienda dovrà dare apposita informativa scritta al personale dipendente in merito all’attivazione dello stesso, al posizionamento delle telecamere e alle modalità di funzionamento e dovrà informare i clienti con appositi cartelli; 4) l’impianto, che registrerà solo le immagini indispensabili, sarà costituito da telecamere orientate verso le aree maggiormente esposte ai rischi di furto e danneggiamento (limitando l’angolo delle riprese ed evitando, quando non indispensabili, immagini dettagliate), l’eventuale ripresa di dipendenti avverrà esclusivamente in via incidentale e con criteri di occasionalità; 5) all’impianto non potrà essere apportata alcuna modifica e non potrà essere aggiunta alcuna ulteriore apparecchiatura al sistema da installare, se non in conformità al dettato dell’art. 4 della L. n. 300/1970 e previa relativa comunicazione alla DPL; 6) le immagini registrate non potranno in nessun caso essere utilizzate per eventuali accertamenti sull’obbligo di diligenza da parte dei lavoratori, né per l’adozione di provvedimenti disciplinari; 7) in occasione di ciascun accesso alle immagini (che di norma dovrebbe avvenire solo nelle ipotesi di verificazione di atti criminosi o di eventi dannosi), l’azienda dovrà darne tempestiva informazione ai lavoratori occupati; 8 ) i lavoratori potranno verificare periodicamente il corretto utilizzo dell’impianto. Restano, tuttavia, alcune questioni a cui la citata circolare del Ministero del Lavoro omette di dare risposta: - Cosa fare nei casi di esercizi commerciali diversi da quelli citati nella circolare? - Come si deve operare se in azienda non vi sono rappresentanze sindacali? - Può valere anche in altri contesti la “presunzione di ammissibilità” delle domande? Sicuramente le aziende dovranno prestare la massima attenzione in fase di presentazione della domanda e della relativa documentazione, valutando in modo corretto il proprio e specifico caso al fine di verificare se si possa rientrare in tali semplificazioni. Ricordiamo, infatti, che il Garante Privacy non è quasi mai permissivo in circostanze che prevedono l’utilizzo di sistemi potenzialmente invasivi e pericolosi per la riservatezza del lavoratore (e gli ultimi provvedimenti in materia lo dimostrano chiaramente). Ciò detto, il risultato è sempre lo stesso: ci troviamo di fronte al solito scontro tra semplificazione, da una parte, e imposizioni di rigorose misure di sicurezza, dall’altra.

mercoledì 30 maggio 2012

Il point and click non è idoneo a integrare la specifica approvazione per iscritto delle condizioni generali di contratto


Con la sentenza n. 68 del 2011, il Tribunale di Catanzaro si è pronunciato sulla validità della sottoscrizione nei contratti di e-commerce mediante il tasto virtuale di accettazione (in modalità c.d. point and click).
Sul punto, il Giudice ha affermato che il consenso manifestato attraverso il pulsante negoziale virtuale è idoneo a perfezionare la conclusione del contratto (per il principio di libertà delle forme), tuttavia la stessa modalità di accettazione non integra il requisito della specifica approvazione per iscritto da parte del consumatore delle clausole vessatorie, richiesta ai fini dell’efficacia delle condizioni generali del contratto dall’art. 1341 c.c. Ciò significa che, secondo quanto sostenuto dal Tribunale di Catanzaro, affinché le clausole delle condizioni generali del contratto non siano inefficaci devono essere sottoscritte mediante firma digitale, poiché la semplice sottoscrizione via web in modalità point and click non sarebbe idonea ad integrare la forma scritta richiesta dalla legge.
All’esito di tale iter argomentativo, tuttavia, lo stesso Giudice, probabilmente per mitigare i potenziali effetti di tale statuizione sulla certezza dei rapporti giuridici di natura commerciale perfezionati mediante il pulsante negoziale virtuale, ha aggiunto che nei contratti telematici la conoscibilità delle condizioni generali può ritenersi raggiunta anche quando le stesse non siano riportate nel testo contrattuale, ma siano contenute in diverse schermate del sito o pagine di secondo livello accessibili tramite il relativo collegamento elettronico, purché ne venga dato adeguato risalto.

mercoledì 23 maggio 2012

FORUM PA 2012: Agenda Digitale, semplificazione e sviluppo


Si è di recente svolto a Roma il convegno di ForumPA (16-19 Maggio) che ha incentrato quest’anno la sua attenzione su Agenda Digitale, Semplificazione e Sviluppo dell’Open Government. L’incontro tra Enti pubblici, imprese e operatori ICT che si tiene annualmente ha l’obiettivo di promuovere nuove politiche di digitalizzazione della “macchina amministrativa”.
A tal riguardo l’Agenda Digitale si configura come una strategia che prevede una serie di interventi normativi (pacchetto decreti digItalia) e progetti operativi mediante l’istituzione della cabina di regia organizzata in sei gruppi di lavoro, suddivisi in base ai principali obiettivi da raggiungere entro il 2020, secondo quanto previsto nel 2010 dalla Commissione europea “Europa 2020 per una crescita intelligente, sostenibile e inclusiva”. 
Le iniziative coordinate dalla cabina di regia riguardano soprattutto: 
1) Banda larga e ultra-larga. Per “banda larga” si intende il sistema di connessione che permette di inviare informazioni a una velocità che varia dai 2 ai 20 Mbps (megabit per secon-do). La “banda ultra-larga”, invece, viaggia a velocità superiore;
2) Smart communities/Cities. Le città “smart” sono spazi urbani entro i quali le comunità residenti possono incontrarsi, scambiare opinioni, discutere di problemi comuni, avvalendosi di tecnologie all’avanguardia;
3) Open data. L’open data (letteralmente “dati aperti”) è un nuovo approccio alla gestione dei dati e delle informazioni in possesso delle istituzioni pubbliche, interamente gestito attraverso le tecnologie telematiche;
4) Cloud Computing. La “nuvola di dati” è una delle novità più importanti delle evoluzioni tecnologiche. Questo processo permette la maggiore interoperabilità dei dati;
5) E-government. Con l’Agenda Digitale si creano nuovi incentivi per l’utilizzo delle tecnologie digitali nei processi amministrativi per fornire servizi ai cittadini.
Si evince che uno degli elementi cardine nella definizione del quadro strategico riguarda l’evoluzione tecnologica in atto (web 2.0, cloud computing, servizi in mobilità), considerata la vera spinta alla crescita del sistema-Paese. Sono soprattutto tre i fattori di cambiamento:
- progresso tecnologico;
- evoluzione della domanda dell’utenza verso servizi online;
- trasformazione della pubblica amministrazione in base ai principi di trasparenza, efficienza, accountability e misurazione dei risultati conseguiti.

venerdì 18 maggio 2012

Cloud computing nelle PA: le raccomandazioni di DigitPa



Il 9 maggio 2012 il Comitato direttivo di DigitPA ha deliberato lo schema di documento "Raccomandazioni e proposte sull'utilizzo del cloud computing nella Pubblica Amministrazione", predisposto grazie al lavoro di un folto gruppo multidisciplinare di esperti che operano nelle pubbliche amministrazioni, nelle aziende e in altri organismi attivi nel settore privato.

Il documento è a disposizione per una consultazione pubblica online che terminerà il 17 giugno. Per partecipare si possono inviare contributi e commenti all'indirizzo cloudcomputing@digitpa.gov.it.

giovedì 17 maggio 2012

Il dominio .eu può essere acquisito solo da aziende europee


Un consulente legale della Corte di Giustizia Europea, chiamato a pronunciarsi su un contenzioso relativo a un dominio .eu, ha stabilito che questa tipologia di domini può essere assegnata solo ad aziende residenti nella UE. Il contenzioso in questione coinvolgeva la Walsh Optical, un’azienda statunitense di occhiali proprietaria in Belgio, Olanda e Lussemburgo del trademark “Lensworld” che, per potersi accaparrare il relativo dominio lensworld.eu, l’ha fatto acquisire dalla società di consulenza belga Bureau Gevers.
Un rivenditore di occhiali belga che ha provato a registrare il medesimo dominio si è accorto dell’iniziativa dell’azienda americana e il caso è finito, così, davanti alla Corte di Giustizia di Bruxelles. 
Il consulente legale ha stabilito che solo le aziende e le organizzazioni con base nell'Unione Europea possono richiedere un dominio .eu, poiché il TLD europeo è pensato per "creare un nesso chiaramente identificabile con la UE, con il quadro normativo di quest'ultima e con il mercato europeo".

martedì 15 maggio 2012

Pubblicato il parere del Garante europeo sulle proposte ADR e ODR


Lo scorso 11 maggio è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il parere del Garante europeo della protezione dei dati circa due proposte legislative avanzate nel novembre 2011 dalla Commissione europea e riguardanti la risoluzione alternativa delle controversie: nello specifico la proposta ADR (Alternative Dispute Resolution) relativa alla risoluzione alternativa delle controversie dei consumatori e la proposta ODR (Online Dispute Resolution) riguardante la risoluzione delle controversie online dei consumatori.
La risoluzione alternativa delle controversie ha il vantaggio di essere in genere più veloce e meno costosa di un normale procedimento giudiziario: da qui il tentativo di rafforzarne l’utilizzo in ambito europeo. In particolare con la proposta ADR si vuole ottenere che in tutti gli Stati membri vengano istituiti degli organismi responsabili della risoluzione alternativa di controversie transfrontaliere sorte tra consumatori dell’Unione per la vendita di beni o la fornitura di servizi. Con la proposta ODR, invece, ci si propone di creare una piattaforma online che gestisca in modo centralizzato i dati personali relativi alle controversie e che verrà utilizzata da quanti desiderano presentare reclami su operazioni transfrontaliere online all’organismo ADR di competenza. Il Garante si è espresso positivamente apprezzando che i principi relativi alla protezione dei dati (in particolare quelli riguardanti le misure di sicurezza, i limiti di accesso, finalità e conservazione dei dati) siano stati inclusi nelle proposte citate fin nella fase iniziale della loro redazione. 
Non di meno il Garante ha proposto alcune raccomandazioni da seguire per assicurare un corretto trattamento dei dati personali coinvolti che riguardano tra le altre cose, il ruolo dei responsabili del trattamento dei dati (a quale responsabile del trattamento dei dati gli interessati devono rivolgersi per le richieste di accesso, rettifica, blocco e cancellazione, o in caso di violazioni specifiche delle norme di protezione dei dati?), le limitazione dell’accesso  e il periodo di conservazione dei dati (ogni assistente ODR dovrebbe avere accesso esclusivamente ai dati necessari all’adempimento dei propri obblighi; l’archiviazione dei dati dovrebbe essere consentita “soltanto per il tempo necessario alla composizione della controversia e all’esercizio del diritto di accesso ai dati da parte degli interessati” prevedendone l’automatica soppressione passati 6 mesi dalla risoluzione della controversia).