Articoli

Il Responsabile della Transizione digitale: la nomina è urgente

Avv. Vincenzo Colarocco

Il Decreto Legislativo n. 179/2016 ha modificato il Codice dell’Amministrazione Digitale (in seguito “CAD”) obbligando tutte le pubbliche amministrazioni all’individuazione di un ufficio cui affidare la transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale (e-government) e aperta (open government), di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità.

Premesso che per transizione digitale si intende il processo di passaggio da una società industriale verso una società dell’informazione con l’introduzione di nuovi modelli istituzionali, organizzativi di servizio, trasparenti e semplificati in rete; lo svolgimento di tale compito è stato affidato al “Responsabile alla transizione digitale”.

Questo è un funzionario che, dotato di specifiche competenze (tecnologiche, manageriali e informatiche), indica il percorso da seguire per indirizzare la macchina amministrativa ad intraprendere delle azioni verso la digitalizzazione (si veda l’elenco, non esaustivo, all’art. 17 del CAD), fungendo da trait d’union tra la pubblica amministrazione, l’Agenzia per l’Italia digitale ed il Governo italiano.

L’importanza della descritta introduzione è stata altresì sottolineata dalla recentissima circolare –adottata l’1 ottobre 2018- con cui il Ministro per la Pubblica Amministrazione Giulia Bongiorno ha sollecitato tutte le amministrazione pubbliche ad individuare al loro interno un Responsabile per la Transizione al Digitale (RTD), come previsto dall’art. 17 del CAD, ribadendo l’importanza di una corretta attuazione della riforma al fine di compiere decisivi passi avanti verso la “crescita digitale dell’Italia” e la “trasformazione digitale della pubblica amministrazione”.

Tribunale di Torino: il falso profilo Facebook “aggrava” la fattispecie di stalking

Avv. Vincenzo Colarocco

Il GIP del Tribunale di Torino, con una sentenza di giugno 2018, ha affrontato una questione quanto mai attuale: il dilagante fenomeno dello stalking via web.

Il caso in questione riguarda un uomo il quale, maturata una certa ossessione per una ragazza, arriva a creare un di lei falso profilo su Facebook, corredandolo di foto di una donna rassomigliante la malcapitata, al fine di inviare richieste di amicizia ad amici e conoscenti della ragazza simulando, in questo modo, una relazione sentimentale con la stessa. Invero, l’autore del profilo era già stato ammonito dal giudice per le molestie commesse contro la vittima: da tempo, infatti, sempre mediante l’utilizzo di social network o di comunicazioni via mail, la asfissiava con messaggi amorosi non graditi in alternanza ad altri minacciosi ed offensivi.

Una persecuzione in piena regola dunque, emersa con chiarezza dalle risultanze delle attività investigative compiute dalla polizia postale a seguito della denuncia-querela sporta dalla persona offesa, conclusasi per l’uomo con la condanna alla pena di quattro mesi di reclusione per “Atti persecutoriex art. 612 bis del codice penale, fattispecie aggravata dall’uso di strumenti informatici e telematici.

A qualificare il comportamento criminoso come stalking ci sono diversi elementi, su tutti la reiterazione delle azioni e le conseguenze delle condotte contestate. Per dirsi integrata tale fattispecie di reato è necessario infatti che vengano posti in essere più atti molesti o minacciosi e che la condotta risulti tale da procurare alla vittima «un persistente stato di ansia ed agitazione» ed il «timore di subire atti lesivi della sua incolumità personale, con conseguente alterazione delle proprie abitudini di vita» (Cass. pen. Sez. V, 04/04/2013, n. 27798).

Ad aggravare la posizione del reo, poi, l’uso del social e l’aver protratto le attività delittuose per un periodo di tempo apprezzabile tanto da incidere sulla vita lavorativa, relazionale e affettiva della donna, costretta a stravolgere le proprie abitudini per fuggire a quell’accanimento.

Ecco le modalità per la definizione agevolata delle violazioni privacy.

Avv. Vincenzo Colarocco

Tra le novità introdotte dal Decreto Legislativo n. 101 del 10 agosto 2018 (G.U. n. 205 del 4 settembre 2018) vi è anche la possibilità di “Definizione agevolata delle violazioni in materia di protezione dei dati personali”, tema oggetto di interessanti FAQ recentemente pubblicate dal Garante per la protezione dei dati personali.

La detta previsione, inserita all’interno delle norme transitorie, ammette il pagamento in misura ridotta di una somma pari a due quinti del minimo edittale nell’ambito dei procedimenti che, alla data del 21 marzo 2018, non risultino ancora definiti con l’adozione dell’ordinanza-ingiunzione.

I soggetti che possono usufruire della definizione agevolata sono i contravventori che abbiano ricevuto, entro la data del 25 maggio 2018 (e non più tardi), o un atto di contestazione immediata di cui all’art. 14 della L. 689/1981, ovvero l’atto di contestazione della violazione.

Il termine per poter procedere al pagamento –la cui entità dipende dalla tipologia di violazione contestata- è di 90 giorni dall’entrata in vigore del decreto (19 settembre 2018), pertanto il termine ultimo entro il quale effettuare il pagamento è il 18 dicembre 2018.

Nel caso in cui la contestazione contenga più violazioni e il contravventore abbia intenzione di definire in via agevolata solo alcune di esse, questi dovrà inserire nella causale le violazioni per cui è effettuato il versamento. Non è obbligatorio fornire al Garante la prova del pagamento effettuato, tuttavia è consigliabile comunicare il versamento o trasmetterne copia all’indirizzo di posta elettronica “protocollo@pec.gpdp.it”.

Le somme derivanti dalla definizione agevolata dei procedimenti sanzionatori saranno assegnate al bilancio dello Stato e saranno poi riassegnate, in misura del 50%, al fondo destinato a coprire le spese del Garante per essere destinati alle specifiche attività di sensibilizzazione e di ispezione.

Facebook: attacco a 50 milioni di profili

Avv. Vincenzo Colarocco

E’ il venerdì sera del 28 settembre 2018 quando il noto social network diffonde la notizia della più grande violazione di dati mai subita: grazie ad una serie di falle del sistema, degli hacker sono entrati in possesso delle informazioni che facevano capo a circa cinquanta milioni di profili.

Nel dettaglio, pare che all’origine della sottrazione ci fossero tre bug nascosti in grado di rendere vulnerabile agli attacchi informatici la funzione c.d. “Visualizza come”. Tale funzione, introdotta nel luglio del 2017, consente all’utente di visualizzare in che maniera il proprio profilo appare all’esterno ed opera mediante generazione di un codice di accesso che permette di effettuare il login al social network senza inserire la password. Allo stato, per evitare che il crimine continui ad essere perpetrato, l’azienda ha disattivato tale funzione, tuttavia, non è ancora possibile definire con certezza quali informazioni siano state rubate.

Quel che è certo è che al momento il rischio è alto; pare che i dati siano acquistabili sul dark web tramite bitcoin ed abbiano un valore compreso tra i 3 e 12 dollari per singolo dato, che potrebbero esser utilizzati per commettere illeciti a danni degli interessati.

Data breach: sanzione record per Uber

Avv. Vincenzo Colarocco

Non si sono lasciate certo attendere le inevitabili conseguenze per l’omessa denuncia dell’ingente breach di dati subito dalla società statunitense nell’ottobre 2016.

In quella circostanza, infatti, Uber aveva subito un attacco hacker ai danni dei propri sistemi di cyber-sicurezza, con la conseguente sottrazione di dati relativi a 57 milioni di passeggeri (25 milioni dei quali negli USA) e 7 milioni di autisti. La società, però, con l’intento di coprire la descritta sottrazione, preferì trattare con gli hacker – arrivando a versare 100 mila dollari nelle casse dei pirati informatici – piuttosto che rivelare l’accaduto agli organi competenti come normativamente prescritto.

Una volta emersi gli avvenimenti, alla società non è rimasta altra via che ammettere le proprie responsabilità e raggiungere un patteggiamento nei 50 Stati americani e nel District of Columbia, in forza del quale verserà la cifra record di 148 milioni di dollari per aver intenzionalmente occultato una sottrazione di dati di una così vasta portata.

Secondo l’accordo stipulato, Uber sarà tenuta ad ulteriori adempimenti: dovrà adottare migliori metodi per la notifica -agli interessati coinvolti e alle competenti autorità- delle violazioni derivanti da attacchi hacker; appronterà un programma per garantire l’integrità aziendale mediante il quale gli stessi dipendenti potranno comunicare errori umani; assumerà nell’organico aziendale una figura terza ed imparziale con compiti di valutazione delle pratiche per la sicurezza informatica dell’azienda

Corte di Giustizia Europea: si all’accesso ai dati personali conservati dai fornitori di servizi di comunicazione elettronica

Avv. Vincenzo Colarocco

Con sentenza del 2 ottobre 2018 (Caso C-207/16), la Corte di Giustizia Europea, disimpegnandosi in una complessa attività di bilanciamento tra diritti primari che fanno capo alle persone fisiche e all’obbligatorietà dell’azione penale, ha fatto luce sulle ipotesi di compressione del diritto alla riservatezza a fronte della necessaria attività investigativa circa specifiche fattispecie di reato. Se da un lato, infatti, l’accesso ai dati identificativi (ad esempio il cognome, il nome e, se del caso, l’indirizzo) comporta un’ingerenza nei diritti fondamentali di chi ne è titolare, dall’altro – come chiarito dalla Corte- tale interferenza non potrebbe subire limitazioni stante l’esigenza di prevenzione, ricerca, accertamento e perseguimento dei reati.

In particolare, nel caso in esame, in seguito ad una rapina con sottrazione di un portafoglio e di un telefono cellulare, la polizia giudiziaria spagnola aveva chiesto al giudice istruttore competente di potere avere accesso ai dati indentificativi degli utenti contattati dal telefono rubato. Detta richiesta veniva però rigettata con la motivazione che i fatti all’origine dell’indagine penale non avrebbero integrato gli estremi di un reato “grave”. Il competente giudice superiore, l’Audiencia Provincial de Tarragona, dato atto della sussistenza nell’ordinamento spagnolo di due criteri alternativi per determinare il livello di gravità di un reato rispetto al quale siano autorizzate la conservazione e la comunicazione dei dati personali, ha sottoposto la questione sulla fissazione della soglia di gravità dei reati alla Corte di Giustizia. La Corte ha dunque osservato che gli obiettivi di prevenzione, ricerca, accertamento e perseguimento dei reati, come formulati nella vigente disciplina comunitaria, non si concreterebbero nella sola lotta ai reati gravi, ma, in termini più ampi, nei «reati» in generale. Per tali ragioni l’intromissione nella sfera giuridica altrui, conseguente all’accesso a tali dati, è giustificata dai suesposti obiettivi, senza che sia necessario trovare nella gravità del crimine la condizione per procedere.

Registro dei trattamenti: le nuove istruzioni del garante

Avv. Vincenzo Colarocco

Ai sensi dell’art. 30 del Regolamento (EU) n. 679/2016 “GDPR”: “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. Il registro non è altro che un documento scritto (predisposto anche in formato elettronico) da esibire su richiesta al Garante e contenente tutte le informazioni che vengono individuate dal citato articolo 30, relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista. Tale obbligo normativo è evidentemente orientato al perseguimento del principio dell’accountability, in forza del quale il titolare del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato risulti conforme allo stesso GDPR.

Proprio in materia di “registro delle attività di trattamento” è di recente intervento il Garante Privacy mediante la pubblicazione di alcune interessanti FAQ volte a:

–          fornire una definizione del registro;

–          individuare i soggetti tenuti alla compilazione dello stesso;

–          indicare le informazioni che ne costituiscono la parte essenziale e le eventuali informazioni facoltative;

–          prescrivere le modalità di conservazione e di aggiornamento del registro;

–          evidenziare le particolarità caratterizzanti il “registro del responsabile”.

In calce alle descritte FAQ, inoltre,si possono rinvenire dei “Modelli di registro semplificato delle attività di trattamento” (sia del titolare che del responsabile) utilizzabili dalle PMI.

Regolamento privacy, per il DPO competenze specifiche, non attestati formali

Avv. Flaviano Sanzari

Le pubbliche amministrazioni, così come i soggetti privati, dovranno individuare il Responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 –  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

L’Ufficio del Garante, in particolare, ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali.

Ad esempio, gli esperti individuati dalle aziende ospedaliere, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici), dovranno preferibilmente vantare una specifica esperienza al riguardo ed assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina, ma non equivalgono ad una “abilitazione” allo svolgimento del ruolo del DPO. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnare.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.