Il Responsabile della Transizione digitale: la nomina è urgente

Avv. Vincenzo Colarocco

Il Decreto Legislativo n. 179/2016 ha modificato il Codice dell’Amministrazione Digitale (in seguito “CAD”) obbligando tutte le pubbliche amministrazioni all’individuazione di un ufficio cui affidare la transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale (e-government) e aperta (open government), di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità.

Premesso che per transizione digitale si intende il processo di passaggio da una società industriale verso una società dell’informazione con l’introduzione di nuovi modelli istituzionali, organizzativi di servizio, trasparenti e semplificati in rete; lo svolgimento di tale compito è stato affidato al “Responsabile alla transizione digitale”.

Questo è un funzionario che, dotato di specifiche competenze (tecnologiche, manageriali e informatiche), indica il percorso da seguire per indirizzare la macchina amministrativa ad intraprendere delle azioni verso la digitalizzazione (si veda l’elenco, non esaustivo, all’art. 17 del CAD), fungendo da trait d’union tra la pubblica amministrazione, l’Agenzia per l’Italia digitale ed il Governo italiano.

L’importanza della descritta introduzione è stata altresì sottolineata dalla recentissima circolare –adottata l’1 ottobre 2018- con cui il Ministro per la Pubblica Amministrazione Giulia Bongiorno ha sollecitato tutte le amministrazione pubbliche ad individuare al loro interno un Responsabile per la Transizione al Digitale (RTD), come previsto dall’art. 17 del CAD, ribadendo l’importanza di una corretta attuazione della riforma al fine di compiere decisivi passi avanti verso la “crescita digitale dell’Italia” e la “trasformazione digitale della pubblica amministrazione”.

Tribunale di Torino: il falso profilo Facebook “aggrava” la fattispecie di stalking

Avv. Vincenzo Colarocco

Il GIP del Tribunale di Torino, con una sentenza di giugno 2018, ha affrontato una questione quanto mai attuale: il dilagante fenomeno dello stalking via web.

Il caso in questione riguarda un uomo il quale, maturata una certa ossessione per una ragazza, arriva a creare un di lei falso profilo su Facebook, corredandolo di foto di una donna rassomigliante la malcapitata, al fine di inviare richieste di amicizia ad amici e conoscenti della ragazza simulando, in questo modo, una relazione sentimentale con la stessa. Invero, l’autore del profilo era già stato ammonito dal giudice per le molestie commesse contro la vittima: da tempo, infatti, sempre mediante l’utilizzo di social network o di comunicazioni via mail, la asfissiava con messaggi amorosi non graditi in alternanza ad altri minacciosi ed offensivi.

Una persecuzione in piena regola dunque, emersa con chiarezza dalle risultanze delle attività investigative compiute dalla polizia postale a seguito della denuncia-querela sporta dalla persona offesa, conclusasi per l’uomo con la condanna alla pena di quattro mesi di reclusione per “Atti persecutoriex art. 612 bis del codice penale, fattispecie aggravata dall’uso di strumenti informatici e telematici.

A qualificare il comportamento criminoso come stalking ci sono diversi elementi, su tutti la reiterazione delle azioni e le conseguenze delle condotte contestate. Per dirsi integrata tale fattispecie di reato è necessario infatti che vengano posti in essere più atti molesti o minacciosi e che la condotta risulti tale da procurare alla vittima «un persistente stato di ansia ed agitazione» ed il «timore di subire atti lesivi della sua incolumità personale, con conseguente alterazione delle proprie abitudini di vita» (Cass. pen. Sez. V, 04/04/2013, n. 27798).

Ad aggravare la posizione del reo, poi, l’uso del social e l’aver protratto le attività delittuose per un periodo di tempo apprezzabile tanto da incidere sulla vita lavorativa, relazionale e affettiva della donna, costretta a stravolgere le proprie abitudini per fuggire a quell’accanimento.

Ecco le modalità per la definizione agevolata delle violazioni privacy.

Avv. Vincenzo Colarocco

Tra le novità introdotte dal Decreto Legislativo n. 101 del 10 agosto 2018 (G.U. n. 205 del 4 settembre 2018) vi è anche la possibilità di “Definizione agevolata delle violazioni in materia di protezione dei dati personali”, tema oggetto di interessanti FAQ recentemente pubblicate dal Garante per la protezione dei dati personali.

La detta previsione, inserita all’interno delle norme transitorie, ammette il pagamento in misura ridotta di una somma pari a due quinti del minimo edittale nell’ambito dei procedimenti che, alla data del 21 marzo 2018, non risultino ancora definiti con l’adozione dell’ordinanza-ingiunzione.

I soggetti che possono usufruire della definizione agevolata sono i contravventori che abbiano ricevuto, entro la data del 25 maggio 2018 (e non più tardi), o un atto di contestazione immediata di cui all’art. 14 della L. 689/1981, ovvero l’atto di contestazione della violazione.

Il termine per poter procedere al pagamento –la cui entità dipende dalla tipologia di violazione contestata- è di 90 giorni dall’entrata in vigore del decreto (19 settembre 2018), pertanto il termine ultimo entro il quale effettuare il pagamento è il 18 dicembre 2018.

Nel caso in cui la contestazione contenga più violazioni e il contravventore abbia intenzione di definire in via agevolata solo alcune di esse, questi dovrà inserire nella causale le violazioni per cui è effettuato il versamento. Non è obbligatorio fornire al Garante la prova del pagamento effettuato, tuttavia è consigliabile comunicare il versamento o trasmetterne copia all’indirizzo di posta elettronica “protocollo@pec.gpdp.it”.

Le somme derivanti dalla definizione agevolata dei procedimenti sanzionatori saranno assegnate al bilancio dello Stato e saranno poi riassegnate, in misura del 50%, al fondo destinato a coprire le spese del Garante per essere destinati alle specifiche attività di sensibilizzazione e di ispezione.

Facebook: attacco a 50 milioni di profili

Avv. Vincenzo Colarocco

E’ il venerdì sera del 28 settembre 2018 quando il noto social network diffonde la notizia della più grande violazione di dati mai subita: grazie ad una serie di falle del sistema, degli hacker sono entrati in possesso delle informazioni che facevano capo a circa cinquanta milioni di profili.

Nel dettaglio, pare che all’origine della sottrazione ci fossero tre bug nascosti in grado di rendere vulnerabile agli attacchi informatici la funzione c.d. “Visualizza come”. Tale funzione, introdotta nel luglio del 2017, consente all’utente di visualizzare in che maniera il proprio profilo appare all’esterno ed opera mediante generazione di un codice di accesso che permette di effettuare il login al social network senza inserire la password. Allo stato, per evitare che il crimine continui ad essere perpetrato, l’azienda ha disattivato tale funzione, tuttavia, non è ancora possibile definire con certezza quali informazioni siano state rubate.

Quel che è certo è che al momento il rischio è alto; pare che i dati siano acquistabili sul dark web tramite bitcoin ed abbiano un valore compreso tra i 3 e 12 dollari per singolo dato, che potrebbero esser utilizzati per commettere illeciti a danni degli interessati.

Data breach: sanzione record per Uber

Avv. Vincenzo Colarocco

Non si sono lasciate certo attendere le inevitabili conseguenze per l’omessa denuncia dell’ingente breach di dati subito dalla società statunitense nell’ottobre 2016.

In quella circostanza, infatti, Uber aveva subito un attacco hacker ai danni dei propri sistemi di cyber-sicurezza, con la conseguente sottrazione di dati relativi a 57 milioni di passeggeri (25 milioni dei quali negli USA) e 7 milioni di autisti. La società, però, con l’intento di coprire la descritta sottrazione, preferì trattare con gli hacker – arrivando a versare 100 mila dollari nelle casse dei pirati informatici – piuttosto che rivelare l’accaduto agli organi competenti come normativamente prescritto.

Una volta emersi gli avvenimenti, alla società non è rimasta altra via che ammettere le proprie responsabilità e raggiungere un patteggiamento nei 50 Stati americani e nel District of Columbia, in forza del quale verserà la cifra record di 148 milioni di dollari per aver intenzionalmente occultato una sottrazione di dati di una così vasta portata.

Secondo l’accordo stipulato, Uber sarà tenuta ad ulteriori adempimenti: dovrà adottare migliori metodi per la notifica -agli interessati coinvolti e alle competenti autorità- delle violazioni derivanti da attacchi hacker; appronterà un programma per garantire l’integrità aziendale mediante il quale gli stessi dipendenti potranno comunicare errori umani; assumerà nell’organico aziendale una figura terza ed imparziale con compiti di valutazione delle pratiche per la sicurezza informatica dell’azienda

Corte di Giustizia Europea: si all’accesso ai dati personali conservati dai fornitori di servizi di comunicazione elettronica

Avv. Vincenzo Colarocco

Con sentenza del 2 ottobre 2018 (Caso C-207/16), la Corte di Giustizia Europea, disimpegnandosi in una complessa attività di bilanciamento tra diritti primari che fanno capo alle persone fisiche e all’obbligatorietà dell’azione penale, ha fatto luce sulle ipotesi di compressione del diritto alla riservatezza a fronte della necessaria attività investigativa circa specifiche fattispecie di reato. Se da un lato, infatti, l’accesso ai dati identificativi (ad esempio il cognome, il nome e, se del caso, l’indirizzo) comporta un’ingerenza nei diritti fondamentali di chi ne è titolare, dall’altro – come chiarito dalla Corte- tale interferenza non potrebbe subire limitazioni stante l’esigenza di prevenzione, ricerca, accertamento e perseguimento dei reati.

In particolare, nel caso in esame, in seguito ad una rapina con sottrazione di un portafoglio e di un telefono cellulare, la polizia giudiziaria spagnola aveva chiesto al giudice istruttore competente di potere avere accesso ai dati indentificativi degli utenti contattati dal telefono rubato. Detta richiesta veniva però rigettata con la motivazione che i fatti all’origine dell’indagine penale non avrebbero integrato gli estremi di un reato “grave”. Il competente giudice superiore, l’Audiencia Provincial de Tarragona, dato atto della sussistenza nell’ordinamento spagnolo di due criteri alternativi per determinare il livello di gravità di un reato rispetto al quale siano autorizzate la conservazione e la comunicazione dei dati personali, ha sottoposto la questione sulla fissazione della soglia di gravità dei reati alla Corte di Giustizia. La Corte ha dunque osservato che gli obiettivi di prevenzione, ricerca, accertamento e perseguimento dei reati, come formulati nella vigente disciplina comunitaria, non si concreterebbero nella sola lotta ai reati gravi, ma, in termini più ampi, nei «reati» in generale. Per tali ragioni l’intromissione nella sfera giuridica altrui, conseguente all’accesso a tali dati, è giustificata dai suesposti obiettivi, senza che sia necessario trovare nella gravità del crimine la condizione per procedere.

Registro dei trattamenti: le nuove istruzioni del garante

Avv. Vincenzo Colarocco

Ai sensi dell’art. 30 del Regolamento (EU) n. 679/2016 “GDPR”: “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. Il registro non è altro che un documento scritto (predisposto anche in formato elettronico) da esibire su richiesta al Garante e contenente tutte le informazioni che vengono individuate dal citato articolo 30, relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista. Tale obbligo normativo è evidentemente orientato al perseguimento del principio dell’accountability, in forza del quale il titolare del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato risulti conforme allo stesso GDPR.

Proprio in materia di “registro delle attività di trattamento” è di recente intervento il Garante Privacy mediante la pubblicazione di alcune interessanti FAQ volte a:

–          fornire una definizione del registro;

–          individuare i soggetti tenuti alla compilazione dello stesso;

–          indicare le informazioni che ne costituiscono la parte essenziale e le eventuali informazioni facoltative;

–          prescrivere le modalità di conservazione e di aggiornamento del registro;

–          evidenziare le particolarità caratterizzanti il “registro del responsabile”.

In calce alle descritte FAQ, inoltre,si possono rinvenire dei “Modelli di registro semplificato delle attività di trattamento” (sia del titolare che del responsabile) utilizzabili dalle PMI.

Non c’è plagio se manca la trasposizione nell’opera successiva del nucleo individualizzante che caratterizza l’opera originale

Avv. Alessandro La Rosa

Con sentenza n. 12348 del 15 giugno u.s., il Tribunale civile di Roma si è espresso sull’ipotesi di plagio-contraffazione del progetto “Ti voglio bene” ideato da Mangini e Ferrero da parte del film “Un boss in salotto” prodotto da Cattleya.

Come noto, l’art. 2575 c.c. e la Legge sul diritto d’autore fanno riferimento ad opere dell’ingegno destinate a essere rappresentate, qualunque sia “il modo o la forma di espressione. Pertanto, l’esclusiva riconosciuta dal diritto d’autore riguarda l’opera in quanto rappresentazione ed espressione di idee, sentimenti, conoscenze, realtà, e non il contenuto o l’idea sottostante all’opera: la protezione cade esclusivamente sulla forma rappresentata, è solo a questa che deve farsi riferimento, non al contenuto o all’idea.

Come osservato da recente giurisprudenza di merito “le idee, anche se uguali, possono essere diversamente rappresentate e attuate e non sono di per sé oggetto di protezione con il diritto autoriale … La tutela della sola forma espressiva, e non dell’idea e del contenuto, rappresenta il punto cardine nel bilanciamento tra interesse individuale all’esclusiva dell’opera e interesse generale alla diffusione delle conoscenze” (cfr. Tribunale Milano, Sez. spec. Impresa, 25.7.2017)

È ormai pacifico che “prima ancora di verificare se un’opera possa costituire plagio di un’altra, il giudice del merito deve verificare se quest’ultima abbia o meno i requisiti per beneficiare della protezione richiesta, e ciò sia sotto il profilo della compiutezza espressiva, sia sotto il profilo della novità” (Cass. Civ., sez. I, 28.11.2011, n. 25173; Cass. Civ., Sez. I, 23.11.2005, n. 24594).

Il carattere creativo non implica la novità assoluta dell’opera tutelata, bensì è espressione e manifestazione del modo personale dell’autore di rappresentare la realtà. Il concetto giuridico di creatività non coincide con quello di originalità e novità assoluta, riferendosi, invece, alla personale e individuale espressione di un’oggettività, di modo che un’opera dell’ingegno riceve protezione a condizione che sia riscontrabile in essa un atto creativo, pur minimo, suscettibile di manifestazione nel mondo esteriore, purché formulate ed organizzate in modo personale ed autonomo rispetto alle precedenti.

Quanto all’ipotesi del plagio, esso si realizza concretamente nell’appropriazione degli elementi creativi dell’opera altrui -cosicché laddove non possa riscontrarsi alcun apporto creativo deve essere esclusa in radice qualsivoglia forma di plagio- essendo del tutto insufficiente la collocazione, nell’opera successivamente realizzata, di una o più idee presenti in quella precedentemente eseguita, con cui la prima viene messa a confronto. Al contrario, occorre che si possa cogliere una vera e propria trasposizione nell’opera successiva del nucleo individualizzante che caratterizza come originale l’opera di cui si assume la contraffazione.

Nello stesso senso è stato precisato che “il plagio consiste nell’appropriazione degli elementi creativi dell’opera altrui, non essendo sufficiente che una o più idee presenti in uno dei testi messi a confronto trovino collocazione anche nell’altro, ma occorrendo che si possa cogliere una vera e propria trasposizione, nell’opera letteraria successiva, del nucleo individualizzante che caratterizza come originale il volume di cui si assume la contraffazione” (cfr. Trib. Bologna, 9.2.2006): è stato escluso il plagio di un’opera cinematografica allorché la nuova opera si fondi si sullo stesso schema narrativo o idea ispiratrice, ma si differenzi negli elementi essenziali che ne caratterizzano la forma espressiva.

Pertanto, per ravvisare una condotta plagiaria è necessario che l’idea che trova sviluppo nell’opera sia la medesima, che ne sia omologo il modo concreto di realizzazione, che le opere presentino nei loro elementi essenziali sostanziali somiglianze e che l’autore del plagio si sia appropriato degli elementi creativi dell’opera altrui, ricalcando in modo pedissequo quanto da altri ideato ed espresso in forma determinata.

Oggi è quindi pacifico che il carattere creativo non implica la novità assoluta dell’opera tutelata dal diritto d’autore, ma è espressione e manifestazione del modo personale dell’autore di rappresentare la realtà.

Direttiva Copyright: i discussi articoli 11 e 13 nel testo votato al Parlamento Europeo

Avv. Alessandro La Rosa

Il 12 settembre u.s. il Parlamento Europeo ha approvato la discussa Direttiva Copyright con 438 voti a favore, 226 contrari e 39 astensioni. La versione attuale prevede diverse modifiche rispetto al testo che era stato rinviato a luglio, non trattandosi in ogni caso del testo finale, che verrà definito solo al termine dei negoziati tra Parlamento, Consiglio e Commissione Europea.

Gli articoli 11 e 13, impropriamente ribattezzati in ambito giornalistico “tassa sui link” e “bavaglio al web“, sono stati modificati dal Parlamento Europeo sulla base delle proposte del relatore Axel Voss.

L’art. 11 impone agli Stati Membri di assicurare agli editori una remunerazione «equa e proporzionata» a fronte dello sfruttamento commerciale on line delle proprie opere editoriali da parte dei “prestatori di servizi della società dell’informazione” con ciò permettendo agli editori -e, indirettamente, anche agli autori- di ottenere un adeguato riconoscimento economico per lo sfruttamento commerciale del proprio lavoro e dei propri investimenti, attribuendo loro maggior potere contrattuale nei confronti delle content sharing platforms.

Nella definizione di “prestatori di servizi di condivisione di contenuti online” la direttiva ha voluto escludere le microimprese e le piccole imprese, le quali pertanto non saranno oggetto delle norme citate. Allo stesso modo sono esclusi “Wikipedia”, gli “Open Source” e i meme, come le parodie.

La norma introduce le basi per far sì che la ricchezza creata dagli editori e dagli autori cessi di essere a vantaggio esclusivo delle grandi piattaforme di condivisione, ma venga “proporzionalmente” condivisa con gli editori, senza i quali non esisterebbero gli stessi contenuti.

Il paragrafo 1-bis esclude espressamente dal proprio ambito di operatività l’uso lecito dei contenuti da parte dei privati che non perseguono scopi di lucro, pertanto i diritti previsti dall’art. 11 “non impediscono l’uso legittimo privato e non commerciale delle pubblicazioni di carattere giornalistico da parte di singoli utenti”.

Non è prevista una “tassa sui link” in quanto gli stessi, definiti quali “semplici collegamenti ipertestuali accompagnati da singole parole” si potranno condividere liberamente, mentre le piattaforme dovranno pagare i diritti per i collegamenti contenenti immagini e parti di testo, i cd. snippet.

L’articolo 13, non contiene affatto, nella versione votata il 12 settembre, alcun riferimento all’obbligo di utilizzo di filtri preventivi. Semplicemente la norma prevede che i “prestatori di servizi di condivisione di contenuti online” concludano accordi di licenza “equi e adeguati” con i titolari dei diritti, poiché le piattaforme svolgono un atto di comunicazione al pubblico, in un’ottica di cooperazione tra piattaforme e titolari dei diritti d’autore.

Le content sharing platforms dovranno porre in essere dei meccanismi rapidi di reclamo, gestiti da persone fisiche, non algoritmi, per presentare ricorso contro un’eventuale ingiusta eliminazione di un contenuto.

 

Direttiva copyright: arrivano conferme dalla Corte di Giustizia

Avv. Alessandro La Rosa

Come noto, il 12 settembre scorso il Parlamento Europeo ha adottato il testo della Proposta di Direttiva sul diritto d’autore nel mercato unico digitale, apportando degli emendamenti al testo precedentemente proposto dalla Commissione UE. Il nuovo testo normativo segna un’importante presa di posizione del legislatore europeo quanto alla volontà di responsabilizzare i gestori di piattaforme di condivisione di contenuti online (es. YouTube, Vimeo) circa la messa a disposizione del pubblico di opere protette dal diritto d’autore senza l’autorizzazione dei rispettivi titolari.

Nello specifico, il Parlamento Europeo chiarisce in via definitiva che la fornitura di servizi che consistono nella memorizzazione (hosting) e nella messa a disposizione del pubblico di contenuti protetti, costituisce un atto di comunicazione al pubblico ex art. 3 della Direttiva 2001/29/CE (Sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione), che quindi non può beneficiare dell’esenzione di responsabilità di cui all’art. 14 della Direttiva 2000/31/CE (Sul commercio elettronico).

Ne segue che ogni atto di messa a disposizione del pubblico di opere protette necessita della preventiva autorizzazione del titolare dei diritti e, quindi, di un accordo di licenza con i gestori della piattaforma online. In assenza di tale concessione si è in presenza di una violazione dei diritti esclusivi di comunicazione al pubblico e, pertanto, sussistono i presupposti per riconoscere la responsabilità del gestore della piattaforma online. Come da considerando 38 del testo in esame: “I prestatori di servizi di condivisione di contenuti online effettuano un atto di comunicazione al pubblico e sono pertanto responsabili del loro contenuto e dovrebbero quindi concludere accordi di licenza equi e appropriati con i titolari dei diritti.

In piena sintonia con il nuovo testo normativo, è intervenuta la Corte di Giustizia Europea che, con una recentissima sentenza del 7 agosto 2018 (Causa C521/17 – Coöperatieve Vereniging SNB-REACT U.A. contro Deepak Mehta), ha confermato che le limitazioni di responsabilità di cui agli articoli 12-14 della Direttiva 2000/31/CE, sono applicabili solo se i servizi prestati dai fornitori dei servizi della società dell’informazione rientrano tra quelli espressamente previsti da tali norme ed esclusivamente ove ricorrano le specifiche condizioni ivi stabilite: non può beneficiarne il fornitore che svolge un “ruolo attivo” nell’ottimizzazione delle informazioni offerte.

In particolare, la Corte ha stabilito che le norme sopra richiamate devono essere interpretate nel senso che “le limitazioni di responsabilità sono applicabili al prestatore di un servizio … purché l’attività di tale prestatore sia di ordine meramente tecnico, automatico e passivo, con la conseguenza che detto prestatore non conosce né controlla le informazioni trasmesse o memorizzate dai suoi clienti, ed egli non svolga un ruolo attivo, permettendo a questi ultimi di ottimizzare la loro attività di vendita online”.

E’ indubbio che il legislatore europeo ed il Giudice europeo continuino a confermare la natura eccezionale del regime di esenzione di responsabilità della direttiva e-commerce (artt. 12-14) e che al contrario ribadiscano la necessità di garantire efficacemente la natura esclusiva dei diritti autorali in presenza di atti di comunicazione al pubblico, anche se realizzati da operatori come le video sharing platforms.