Articoli

Direttiva PSD2: l’autenticazione forte diventa d’obbligo

Avv. Vincenzo Colarocco

La Direttiva (UE) 2015/2366 del Parlamento e del Consiglio Europeo del 25 novembre 2015, entrata in vigore il 13 gennaio 2018, relativa ai servizi di pagamento nel mercato interno, meglio nota come Payment Services Directive 2 (PSD2) ha introdotto sostanziali novità nell’ambito dell’autenticazione del cliente di prestatori di servizi di pagamento.

A partire dal 14 settembre 2019 p.v., infatti, tutti gli Istituti Bancari operanti nel mercato Europeo dovranno adeguare le misure di autenticazione con l’obiettivo di aumentare la sicurezza online degli utenti. Più precisamente, viene introdotta la “Strong Customer Authentication” (nota anche come “Autenticazione Forte”) definita come “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”. Questo sistema di sicurezza aggiuntivo permette di identificare e autenticare in maniera univoca il cliente, riducendo i rischi legati all’accesso ai propri conti online e all’esecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati. Pertanto, anche le piattaforme e-commerce dovranno implementare le proprie procedure di pagamento con sistemi di autenticazione innovativi quando il pagatore ad esempio, i) accede al suo conto di pagamento online; ii) avvia un’operazione di pagamento elettronico e/o iii) compie un’azione, attraverso un mezzo di comunicazione a distanza, che può comportare un rischio di frode nei pagamenti o qualsiasi altro uso fraudolento.

La Commissione Europea adotta la decisione di adeguatezza relativa al Giappone

Avv. Vincenzo Colarocco

Il GDPR prevede regole specifiche per consentire trasferimenti di dati personali verso Paesi terzi ed organizzazioni internazionali, estranei all’ambito di applicazione del Regolamento. In particolare, l’art. 45 disciplina l’ipotesi di trasferimento dei dati effettuati sulla base di una decisione di adeguatezza.

Il 23 gennaio 2019 la Commissione europea ha adottato la decisione di adeguatezza relativa al Giappone, così consentendo la libera circolazione dei dati personali tra le due economie sulla base di solide garanzie di protezione senza la necessità di autorizzazioni specifiche. L’adozione della decisione costituisce l’ultima fase della procedura avviata nel settembre 2018 e fa parte della strategia dell’UE nel settore della protezione e dei flussi internazionali di dati, già annunciata nel gennaio 2017 con la comunicazione della Commissione sullo scambio e la protezione dei dati personali in un mondo globalizzato.

Com’è stato sostenuto da Věra Jourová, Commissaria responsabile per la Giustizia, i consumatori e la parità di genere: “Questa decisione di adeguatezza crea il più grande spazio al mondo di circolazione sicura dei dati. I cittadini europei i cui dati personali saranno trasferiti in Giappone beneficeranno di una protezione forte delle informazioni relative alla vita privata. Investire nella tutela della vita privata paga: questo accordo costituirà un modello per futuri partenariati in questo settore fondamentale e contribuirà alla definizione di standard di livello mondiale”.

Già prima dell’adozione della decisione, il Giappone aveva cominciato a predisporre, nel proprio ordinamento, un sistema di norme integrative volto a riconoscere un quadro in materia di protezione dei dati analogo a quello adottato dall’Ue. In particolare, nel 2003 sono state promulgate la legge sulla protezione delle informazioni personali (APPI); la legge sulla protezione delle informazioni personali detenute da organi amministrativi (APPIHAO); la legge sulla protezione delle informazioni personali detenute da agenzie amministrative registrate (APPI-IAA).

La Commissione, tenendo conto del parere precedentemente espresso dal Comitato europeo per la protezione dei dati, ha ritenuto che il Giappone garantisca un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea a operatori economici che gestiscono informazioni personali in Giappone. La legge nazionale giapponese è stata specificamente integrata dalle norme di cui all’allegato I, nonché dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali che figurano nell’allegato II.

Al fine di consentire alla Commissione il monitoraggio costatante della corretta applicazione del quadro giuridico su cui si basa la decisione e per verificare se il Giappone continui o meno a garantire un livello adeguato di protezione, tra due anni sarà effettuato un primo riesame congiunto di rivalutazione del quadro normativo. I rappresentanti del Comitato europeo per la protezione dei dati parteciperanno al riesame per quanto riguarda l’accesso ai dati per motivi di contrasto o di sicurezza nazionale. Successivamente, il riesame avrà luogo almeno ogni quattro anni.

Il Cybersecurity Act e il nuovo quadro europeo per la sicurezza dei dati personali

Avv. Vincenzo Colarocco

Lo scorso 7 giugno 2019 è stato pubblicato in Gazzetta Ufficiale il Cybersecurity Act, un Regolamento UE volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali. Il 27 giugno, il testo entrerà formalmente in vigore e trattandosi di un Regolamento, sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanta riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che si propone di rafforzare la resilienza dell’Unione agli attacchi informatici, creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e accrescere la fiducia dei consumatori nelle tecnologie digitali. Esso si compone di due parti nelle quali, da un lato, viene specificato il ruolo e il mandato dell’ENISA (European Network and Information Security Agency),  dall’altro, viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali. Ebbene, se fino ad oggi il ruolo dell’ENISA è stato principalmente quello di coadiuvare da un punto di vista tecnico gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi con l’obbiettivo di rafforzare le capacità di prevenzione e reazione agli incidenti informatici, il nuovo Regolamento intende ulteriormente rafforzare tale ruolo, garantendo un mandato permanente e consentendo di svolgere non solo compiti di consulenza tecnica, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. Nell’ottica del Cybersecurity Act il rafforzamento del ruolo dell’ENISA è strumentale all’adozione di un quadro complessivo di regole in grado di disciplinare gli schemi europei di certificazione della sicurezza informatica. A rigore è bene precisare che il Regolamento non istituisce schemi di certificazione direttamente operativi, creando piuttosto una “cornice” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali (e.g. dispositivi medici, sistemi di controllo industriali, veicoli automatizzati), validi e riconosciuti in tutti gli Stati membri. Tali schemi europei di certificazione saranno predisposti, in prima battuta, dall’ENISA e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione.

Regolamento Privacy UE: reclami, ricorsi e azioni per il risarcimento del danno

Avv. Flaviano Sanzari

Rispetto alla disciplina del Codice Privacy (D.Lgs. 196/2003), il nuovo Regolamento UE 2016/679 reca alcune novità anche in materia di reclami, ricorsi e azioni esperibili in ipotesi di trattamento di dati non conforme alla legge. In particolare, (1.) sono ora assenti gli strumenti della segnalazione e del ricorso amministrativo all’autorità di controllo (Garante), (2.) vi è dissociazione tra autorità adita e autorità decidente nell’ipotesi di attività di trattamento transfrontaliere per quanto riguarda l’istituto del reclamo e, per finire, (3.) vi è la previsione che il titolare (e/o il responsabile) sarà tenuto a risarcire il danno se non dimostra che esso non gli è “in alcun modo” imputabile.

  1. Il Titolo I (“Tutela amministrativa e giurisdizionale”) della Parte III (“Tutela dell’interessato e sanzioni”) del Codice Privacy, con gli articoli da 141 a 152, disciplina gli strumenti:

– del reclamo circostanziato al Garante (per rappresentare una violazione della normativa ‘privacy’);

– della segnalazione al medesimo (quando non è possibile presentare un reclamo circostanziato ed al fine di sollecitare un controllo da parte del Garante sul rispetto della disciplina);

– del ricorso, da presentare al Garante o dinanzi alla competente Autorità giurisdizionale al fine di ottenere quanto riconosciuto dall’art. 7.

Sono invariabilmente strumenti a disposizione degli interessati, cioè delle persone cui sono riferiti i dati oggetto dei trattamenti.

Poi, è prevista l’ipotesi in cui un provvedimento del Garante accolga o rigetti il ricorso di cui sopra: in tal caso, tanto l’interessato quanto il titolare del trattamento avranno il diritto di proporre opposizione, con ricorso al competente tribunale ex art. 152. Per l’art. 152, anzi, “tutte le controversie che riguardano, comunque, l’applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, nonché le controversie previste dall’articolo 10, comma 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, sono attribuite all’autorità giudiziaria ordinaria” (per inciso, il comma 5 dell’art. 10 della L. 121/1981 così recita: “Chiunque viene a conoscenza dell’esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, può chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l’integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi”).

Il Regolamento 2016/679, invece, al Capo VIII (“Mezzi di ricorso, responsabilità e sanzioni”), dedica 6 disposizioni alla materia – artt. dal 77 all’82 – dando vita agli strumenti del:

– reclamo (art. 77) e del

– ricorso giurisdizionale nei confronti dell’autorità di controllo (art. 78) e nei confronti del titolare e/o del responsabile del trattamento (art. 79).

Seguono la disciplina della rappresentanza degli interessati (art. 80) e quella dell’ipotesi in cui, essendo le norme del Regolamento valide in tutta l’UE, più azioni giurisdizionali aventi il medesimo oggetto siano (state) azionate in differenti Paesi (art. 81).

Infine, l’art. 82 disciplina la fattispecie dell’azione risarcitoria, a fronte di un danno (anche immateriale) cagionato mediante una violazione della disciplina sul trattamento dei dati personali.

Il Regolamento, quindi, conferma lo strumento del reclamo, ma perde – almeno, così appare – la segnalazione e il ricorso all’autorità di controllo.

Tuttavia, nulla sembra ostare ad una permanenza degli istituti del Codice Privacy, se non c’è contrasto con la disciplina del Regolamento. Il quale, oltretutto, con l’art. 77 fa “salvo ogni altro ricorso amministrativo o giurisdizionale” da parte dell’interessato che “ritenga che il trattamento che lo riguarda violi il presente regolamento.” E’ probabile che il legislatore (italiano) vorrà intervenire a formalizzare un assetto che individui inequivocamente gli strumenti a disposizione dell’interessato in via amministrativa. Per il resto, il reclamo previsto dal Regolamento non differisce nella sostanza da quello del Codice Privacy. L’attributo “circostanziato”, che caratterizza il reclamo “italiano”, pare dovuto all’esigenza di differenziarlo rispetto alla segnalazione.

  1. L’art. 77 individua l’autorità di controllo presso cui il reclamo deve essere presentato, ossia quella dello Stato UE in cui l’interessato “risiede abitualmente”, ovvero “lavora”. In alternativa, è possibile rivolgersi a quella dello Stato in cui la presunta violazione ha avuto luogo.

Nel caso di trattamenti transfrontalieri, la vicenda può complicarsi, potendo succedere che l’autorità di controllo adita (dall’interessato) non corrisponda a quella (evidentemente, di altro Stato membro) chiamata a decidere sul reclamo.

In base all’art. 56, par. 1, “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare (…) è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri”. Se, però (par. 2), l’eventuale violazione “riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”, l’autorità di controllo adita può dirsi competente per assumere la decisione, anche se sarà comunque l’autorità di controllo capofila (par. 3) – una volta informata – a dire l’ultima parola sul punto.

Due sono le possibili decisioni:

– l’autorità capofila decide di non trattare il caso e allora vi provvederà l’autorità adita, ma “conformemente agli articoli 61 e 62”, che disciplinano, rispettivamente, le fattispecie di “assistenza reciproca” e di “operazioni congiunte delle autorità di controllo”;

– l’autorità capofila decide di trattare il caso e, per conseguenza, l’autorità adita (par. 4) potrà presentarle un progetto di decisione, che la prima valuterà, tenendola “nella massima considerazione”. La procedura di riferimento è dettata dall’art. 60, che, al par. 7, stabilisce che la decisione viene adottata dall’autorità capofila, la quale a sua volta provvede a notificarla al titolare, ad informarne le autorità di controllo interessate e il comitato europeo per la protezione dei dati. Spetta, quindi, all’autorità di controllo presso cui il reclamo è stato proposto la comunicazione della decisione al reclamante.

  1. Specifica trattazione, all’interno del Regolamento, nella parte riguardante la tutela giurisdizionale, è dedicata all’azione di risarcimento del danno, “causato da una violazione del presente regolamento”.

I soggetti convenuti sono il titolare e/o il responsabile, eventualmente anche in solido per l’intero ammontare del danno (art. 82.4), ove la responsabilità pertenga al medesimo danno cagionato. Stessa solidarietà, alla medesima condizione, può riguardare più titolari del trattamento.

L’esonero dalla responsabilità è legato alla dimostrazione (verosimilmente, una autentica probatio diabolica) da parte del titolare e/o responsabile che “l’evento dannoso non gli è in alcun modo imputabile.” Il meccanismo è quello dell’inversione dell’onere della prova, per cui in mancanza di tale dimostrazione una responsabilità sarà comunque accertata in capo a detti soggetti.

Interessante è la previsione di cui all’art. 80, che al par. 1 riconosce il diritto dell’interessato di dare mandato, per essere rappresentato in giudizio, ad un organismo, ad un’organizzazione, ad un’associazione senza scopo di lucro, debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore “privacy”. Questi soggetti hanno la possibilità di proporre non solo le azioni sin qui viste, ma anche – ove previsto dal diritto interno dello Stato membro – di rivolgersi al giudice per la richiesta di risarcimento del danno.

Chiude la disposizione il par. 2, che riconosce ai soggetti sopra richiamati il diritto di proporre reclamo e di presentare ricorsi giurisdizionali anche laddove non abbiano ricevuto mandato dagli interessati, ma pur sempre per tutelare la posizione di costoro a fronte di violazioni del Regolamento nello svolgimento di attività di trattamento dei dati.