Privacy ed attività del Garante: luci ed ombre

Recentemente il presidente dell’Autorità Garante per la protezione dei dati personali Francesco Pizzetti ha presentato la relazione sull'attività 2008 della stessa Autorità che si è contraddistinta per degli spunti interessanti, ma anche per alcuni aspetti sicuramente meno edificanti. Insomma come sempre luci ed anche ombre quasi a non voler smentire il famoso principio taoista secondo il quale non ci può essere il bene senza il male.
Giusti e da condividere ampiamente il richiamo al ministro Brunetta che con la sua operazione trasparenza dimentica che esistono dei limiti da rispettare al di là poi dell’effettiva riuscita di tale operazione. Degna di essere menzionata anche la legittima preoccupazione dell’Autorità in ambito sicurezza con l’avvento delle ronde e la sempre più dilagante invasione di telecamere che raramente hanno un’effettiva giustificazione.
Non condivido invece la posizione dell’Autorità in merito alla legge sulle intercettazioni. Il Garante sembra troppo spesso dimenticare di essere un’Autorità indipendente e riserva un trattamento di riguardo ad una legge che è stata sempre presentata come un baluardo per la difesa della privacy, ma che con quest’ultima in effetti ha poco a che fare. Esistono già tutti gli strumenti normativi e tecnologici per difendere la privacy dei cittadini e non c’è affatto bisogno di un nuovo provvedimento. Quello che conta, ed il garante dovrebbe sottolinearlo a chiare lettere, è il rispetto delle norme e delle regole già esistenti da parte sia dei magistrati che dei giornalisti. Quest’ultima categoria spesso è chiamata al delicato compito di effettuare in prima battuta il bilanciamento tra il diritto all’informazione, le esigenze di giustizia e la tutela della privacy, ma il pericolo è che spesso anziché il diritto all’informazione venga privilegiato l’interesse, non altrettanto nobile e tutelato, al c.d. gossip ovvero, il che è ancor peggio, alla piu’ crudele curiosità legata alle miserie altrui, soprattutto se l’altro è un personaggio pubblico.
Devo riconoscere che non è chiara la posizione del Garante nemmeno riguardo ad Internet ed ai social network. Il continuo riferimento a regole comuni e condivise in materia rappresenta un modo un pò troppo generico e superficiale di affrontare un problema che è molto sentito e che va approfondito in modo deciso. Questa è l’era di facebook che con i suoi pregi e difetti ha catalizzato l’attenzione di utenti ed operatori, bisogna scendere in campo e dare consigli pratici su come utilizzare questi strumenti senza demonizzarli o al contrario sottovalutarli.

Prorogati i termini per l’adempimento delle prescrizioni sull’amministratore di sistema

L’Autorità Garante per la protezione dei dati personali con provvedimento del 25 giugno 2009 ha prorogato per l’ennesima volta al 15 dicembre 2009 i termini per l’adempimento delle prescrizioni di cui al provvedimento generale del 27 novembre 2008 ma cosa ancor più importante ha introdotto alcune importanti modifiche.
Le modifiche del provvedimento del 27 novembre 2008 assumono una particolare rilevanza proprio dal punto di vista operativo.
Difatti in primo luogo viene meno l’obbligo di inserire il nominativo dell’amministratore di sistema nel documento programmatico sulla sicurezza. Basterà realizzare un semplice documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante, dove verrà indicato l’amministratore di sistema.
In secondo luogo sia per i servizi di outsourcing che per la verifica delle attività si affianca alla previsione del titolare del trattamento quella del responsabile del trattamento che può sostituirsi al titolare anche in questa specifica attività. In particolare si chiarisce che il titolare del trattamento può nell’ambito della designazione del responsabile ai sensi dell’art. 29 del Codice attribuire allo stesso queste specifiche mansioni correlate all’attività dell’amministratore di sistema.
Sinceramente comprendo poco l’opportunità della prima modifica. Anche se è chiaro l’intento del Garante di tener ben distinta la figura dell’amministratore di sistema dalle altre figure soggettive previste dal Codice, sarebbe stato più logico e rispondente ad esigenze di completezza ed organicità prevedere almeno l’inserimento del nominativo dell’amministratore di sistema nel DPS.
Da condividere invece la seconda modifica che puntualizza maggiormente le specifiche funzioni del responsabile del trattamento, qualora non venga identificato nello stesso amministratore di sistema.

legge n. 69/2009: il testo del provvedimento

All'indirizzo www.micheleiaselli.it/legge692009.pdf trovate il testo della legge con evidenziato in grassetto le disposizioni che hanno per oggetto le nuove tecnologie.

Pubblicata la legge n. 69 del 18 giugno 2009: una nuova sfida per il settore delle nuove tecnologie

E’ stata pubblicata sulla Gazzetta Ufficiale del 19 giugno 2009 n. 140, supplemento ordinario n. 95, la legge n. 69 del 18 giugno 2009: "Disposizioni per lo sviluppo economico, la semplificazione, la competitività nonché in materia di processo civile". La legge contiene anche diverse norme che disciplinano il settore specifico delle nuove tecnologie.
Innanzitutto vengono destinate più risorse per la banda larga e per l’eliminazione del digital divide.
E’ previsto il riordino, trasformazione, fusione o soppressione del CNIPA.
I siti istituzionali della P.A. assumono una maggiore rilevanza ed assolvono anche funzioni di pubblicità legale.
Viene conferita una delega al Governo per la modifica del Codice dell’Amministrazione Digitale.
Sono previste modifiche anche al DPR n. 68/2005 per garantire l’interoperabilità della PEC.
Vengono previsti anche strumenti alternativi alla stessa PEC.
Si incoraggia l’uso del voip.
Ed infine è previsto il rilascio della Carta Nazionale dei Servizi anche a chi è in possesso della Carta d’Identità Elettronica.
Purtroppo come è ormai consuetudine dell’attuale politica in tema di nuove tecnologie molti di questi provvedimenti sono del tutto inutili: l’interoperabilità della PEC ad esempio è un problema che va affrontato tecnicamente e non certo dal punto di vista normativo.
La previsione di strumenti alternativi alla PEC è destinata a rimanere lettera morta visto che già si stanno approntando le gare per l’introduzione della stessa PEC.
Per quali servizi viene poi rilasciata la CNS?
Le modifiche del CAD sono poi tutte da scoprire, ma la parte più dubbia è rappresentata dall’introduzione di sanzioni a carico degli enti pubblici in caso di inadempienza. Purtroppo le nuove tecnologie non possono essere imposte, ma vanno innanzitutto comprese e recepite dagli uffici pubblici, altrimenti il risultato sarà il blocco totale della macchina pubblica.

Commentario del Codice privacy on line

Sempre nell’ottica di essere utile per chi opera nel campo delle nuove tecnologie e della privacy e di condividere i propri studi in materia ho deciso di mettere a disposizione di tutti un commentario del Codice per la protezione dei dati personali redatto dal sottoscritto, articolo per articolo, all’indirizzo www.micheleiaselli.it/commentoprivacy.pdf.

Buona lettura!!!!

Francia: la connessione ad Internet è un diritto fondamentale, vanificata la legge contro il peer to peer

Grande notizia dalla Francia che finalmente dopo tanti duri colpi inferti alla Rete lancia un importante segnale a favore della libertà di Internet. Difatti, il Consiglio Costituzionale francese ha stabilito che la connessione a Internet è un diritto fondamentale del cittadino e che quindi nessuna autorità può alienarlo.
Di conseguenza, la recente legge anti file-sharing (Hadopi) che obbligava i provider a sospendere il contratto di accesso a internet agli utenti colti, per tre volte, a scambiare file pirata, perde la sua originale efficacia. A questo punto l'autorità preposta a questi controlli potrà solo avvisare l'utente, scrivendogli che è stato scoperto; non potrà più togliergli l'accesso a Internet.
Il Consiglio ha deciso sulla base della dichiarazione dei diritti dell'uomo del 1789, che protegge la libertà di espressione.
Tale decisione segna un’epoca, difatti è la prima volta che un'autorità stabilisce in modo inequivocabile che l'accesso a Internet fa parte dei diritti fondamentali di espressione. Resta da vedere adesso come si comporteranno gli altri paesi nei confronti di questo eterno conflitto tra diritti degli utenti e tutela del copyright ed ovviamente il nostro pensiero è rivolto principalmente all’Italia.
Ma l’organo costituzionale francese ha deciso anche sulla base di un altro principio (peraltro valido anche in Italia) e cioè quello della presunzione d'innocenza dell'utente (il titolare dell'abbonamento internet). L'Hadopi invece, togliendogli la connessione, lo presumeva colpevole prima di un effettivo processo.
Ora alla luce dell’esperienza francese viene spontaneo lanciare un invito al nostro Governo: volevate seguire il modello transalpino? Ebbene fatelo, ma fino in fondo.

ECL 2009: i giuristi informatici per l’Abruzzo

Nei giorni 19 e 20 giugno 2009 le spaziose e accoglienti aule dell’Università degli Studi “G. d’Annunzio” di Chieti-Pescara ospiteranno decine di giuristi informatici, tecnici, investigatori, magistrati, avvocati e agenti delle Forze dell’Ordine giunti da ogni Regione per illustrare lo stato dell’arte dell’informatica giuridica, del diritto delle nuove tecnologie, della computer forensics e delle investigazioni digitali in Italia. Accanto a sessioni di studio all’avanguardia su temi quali la privacy, la sicurezza, il diritto d’autore, i computer crimes, l’informatica nel settore pubblico e le tecnologie ad uso del professionista del diritto, vi saranno seminari in laboratorio e incontri tematici più strettamente correlati alla tragedia che ha colpito l’Abruzzo e volti ad illustrare le modalità migliori per il recupero dei dati e dei supporti danneggiati, i rapporti tra i diritti umani e la tecnologia, l’importanza dell’informatica nelle situazioni di crisi e di emergenza. Il percorso formativo si sdoppierà in due sessioni parallele di tre mezze giornate cadauna: una serie di sessioni è pensata per i professionisti di formazione o interessi civilistici e pubblicistici, un’altra è dedicata a coloro che sono più interessati agli argomenti penalistici e investigativi.
La partecipazione all’evento è gratuita previa registrazione sul sito http://donaunnetbook.org .
Nel caso l’iscritto volesse contribuire congiuntamente ai giuristi informatici alla ricostruzione dei laboratori e dei locali dell’Università e alla connettività della Casa dello Studente e supportare l’evento, si domanda un bonifico di almeno Euro 50 per partecipante da effettuarsi sul seguente conto:
Nome del conto: Università degli Studi dell’Aquila - IBAN: IT 80 T 03002 03601 000400240569 -
Codice swift: BROMITR1A20 con la seguente causale: “contributo giuristi informatici italiani per ricostruzione informatica”.
Una volta effettuato il versamento, si prega di comunicarlo all’organizzazione dell’evento ( g.ziccardi@tin.it ).

Amministratore di sistema: una scheda riepilogativa e corsi di qualificazione.

Entro il 30 giugno 2009 è obbligatoria la nomina dell’amministratore di sistema come prescritto dal provvedimento del Garante della Privacy datato 27 novembre 2008.
Ho predisposto un breve documento che chiarisce alcuni dubbi sorti su tale figura e propone un semplice atto di nomina. Il documento si può scaricare all’indirizzo www.micheleiaselli.it/SchedaAdS.pdf.

Il Centro Studi Giuridico Polibio.it ha organizzato specifici corsi per chiarire i termini del provvedimento e qualificare tale figura professionale. I corsi si svolgeranno in 2 giornate di 3 ore (6h) il martedì dalle ore 17.00 alle ore 20.00 date: 1° corso 9 e 11 giugno – 2° corso 16 e 18 giugno – 3° corso 23 e 25 giugno - 4° corso 30 giugno e 2 luglio – 5° corso 7 e 9 luglio – 6° corso 14 e 16 luglio.

Obama dichiara guerra al cybercrimine

Il presidente degli Stati Uniti Barack Obama ha annunciato che nominerà uno "zar" incaricato di coordinare le attività del governo per combattere il cosiddetto "cybercrimine" e che farà parte dello staff della Casa Bianca.
"Il cyberspazio è reale, e reali sono i rischi che provengono da esso", ha detto ieri Obama in un discorso in cui ha parlato delle minacce alla rete infrastrutturale della nazione da parte del crimine organizzato, dello spionaggio industriale e dell'intelligence di altri paesi.
Il presidente ha detto che nominerà un funzionario per coordinare le politiche di cybersicurezza nel governo e organizzare la risposta a ogni eventuale grave cyber-attacco.
Obama ha detto che la sua amministrazione non detterà gli standard per la cybersicurezza per le aziende private, ma rafforzerà la partnership pubblico-privato e investirà nella ricerca per sviluppare migliori modi di garantire la sicurezza dell'infrastruttura informativa.
Il presidente americano conferma la sua forte sensibilità per le problematiche di carattere informatico che negli ultimi tempi stanno preoccupando non poco i vertici della Casa Bianca.
Oggi come oggi tutti i servizi, anche e principalmente quelli fondamentali come traffico, elettricità, trasporti, banche, poste sono informatizzati e le conseguenze di un cyber attacco sarebbero disastrose. Ecco perché Obama ha ritenuto opportuno correre immediatamente ai ripari.
Nell’attuale era tecnologica è necessario disporre di un’intelligence che possa operare a livello informatico in chiave preventiva monitorando continuamente i sistemi. Il settore pubblico deve fare da modello, ma è necessario che anche il settore privato si adegui immediatamente a prescindere dai costi, dato che il rischio è troppo elevato.

PEC o non PEC: questo è il problema

Il dubbio amletico deriva da una attività legislativa sul tema della PEC senza precedenti: ben tre provvedimenti in quattro mesi sono tra i motivi principali del convegno organizzato da Cittadini di Internet il 23 Giugno ore 14:00 a Roma piazza Montecitorio 123/a presso l’auditorium del Garante della Privacy.

Si cercherà di dare risposta ai mille dubbi che vengono a tutti gli Italiani, in special modo con l’approvazione del DPCM del 6 Maggio dove Brunetta regala la PEC a tutti gli Italiani: un’operazione calcolata in oltre un milione di Euro in un momento non proprio florido dell’economia nazionale.

Ci saranno esperti e giuristi, con la speranza di avere anche una rappresentanza della pubblica amministrazione, regolarmente invitata, a spiegare la problematica abbondantemente discussa ma non approfondita dai media.

Dare una risposta a potenziali oltre 30 milioni di Italiani penso sia doveroso, dice Massimo Penco, presidente di Cittadini di Internet. “Una svolta epocale come questa, unica in Europa e nel mondo penso sia degna di considerazioni e spiegazioni, anche perché è recente la notizia dell’approvazione da parte del Senato delle modifiche ed aggiunte all’art 16 e 16bis della legge n. 2/2009, in pieno contrasto con il DPCM appena approvato con la fatidica frase “al comma 5, primo periodo, sono aggiunte, infine, le seguenti parole: «o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell’invio e della ricezione delle comunicazioni e l’integrità del contenuto delle stesse, garantendo l’interoperabilità con analoghi sistemi internazionali». Viene in pratica reintrodotta la modifica al DL 185 e cioè l’alternativa alla PEC ed un tale accavallarsi di norme rendono qualsiasi buona volontà di semplificazione in una confusione assoluta.

Dal canto nostro, continua il presidente, non facciamo altro che continuare ad inviare alla commissione Europea via via che si susseguono le norme approvate in Italia che seguono la denuncia presentata ad Aprile dello scorso anno con la speranza che un loro provvedimento riesca non so in quale modo a dipanare la matassa. Per maggiori informazioni http://www.cittadininternet.org/.

Limiti all'utilizzo personale di Internet e della posta elettronica da parte dei dipendenti pubblici

Con direttiva in attesa di registrazione da parte della Corte dei Conti il Dipartimento della Funzione pubblica regola l'utilizzo di internet e della posta elettronica sui posti di lavoro.
E' fatto divieto (tranne alcune eccezioni) di uso privato delle attrezzature e degli strumenti messi a disposizione dalle pubbliche amministrazioni.
Nel controllo i datori di lavoro (nel caso, i dirigenti) devono adottare le misure necessarie e garantire la sicurezza, la disponibilità e l’integrità dei servizi informativi.
Il dipendente è tenuto non solo ad evitare l’uso improprio delle attrezzature di cui dispone ma altresì ad impedire l'uso indebito da parte di altri.
Le Amministrazioni dovranno dotarsi di software idonei ad impedire l'accesso a siti internet aventi contenuti e/o finalità vietati dalla legge. Inoltre, l'Amministrazione potrà adottare una o più delle misure riportate di seguito:
- individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa;

- configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni - reputate inconferenti con l'attività lavorativa quali l'upload o l'accesso a determinati siti (inseriti in una sorta di black list-) e/o il download di file o software aventi particolari caratteristiche (dimensionali o di tipologia di dato);

- trattamento di dati in forma anonima o tale da precludere l'immediata identificazione di utenti mediante loro opportune aggregazioni (ad es., con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori);

- eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza.
Alla base di tutto è necessario e questo la direttiva lo sottolinea che l’amministrazione adotti un disciplinare interno adeguatamente pubblicizzato ed idonee misure organizzative.
Per la posta elettronica la direttiva, al fine di contemperare le esigenze di corretto svolgimento della vita lavorativa e di prevenzione di inutili intrusioni nella sfera personale dei lavoratori e di violazioni della segretezza della corrispondenza, ritiene opportuno che le Amministrazioni esplicitino regole e strumenti per l'utilizzo.
Ma la direttiva non è solo limitativa, ma anche molto garantista. Difatti sottolinea la necessità che le amministrazioni rispettino il principio di proporzionalità e quindi non eccedano nelle attività di controllo con relative limitazioni di libertà e diritti individuali. Inoltre richiede, in caso di controlli, il rispetto delle procedure di informazione e/o consultazione delle rappresentanze dei lavoratori. Infine richiede la preventiva informazione dei lavoratori circa l’esistenza di dispositivi di controllo atti a raccogliere i dati personali.
L'utilizzo di internet per svolgere attività che non rientrano tra i compiti istituzionali potrebbe essere consentito ai dipendenti per assolvere incombenze amministrative e burocratiche senza allontanarsi dal luogo di lavoro.

Un e-book on line sulla privacy

Ho deciso di rendere disponibile on line all’indirizzo www.micheleiaselli.it/e-bookprivacy.pdf un mio e-book sulla privacy dal titolo “I principi informatori del Codice della Privacy fra teoria e pratica”.
Si tratta di un libro di facile lettura che insegna a leggere il Codice per la protezione dei dati personali con un occhio particolare a diversi aspetti pratici della materia.
Buona lettura!!

Pronto il DPCM sulla PEC: come finirà questa telenovela?

E’ stata acquisita l'intesa della Conferenza Unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281 sullo schema di decreto del Presidente del Consiglio dei Ministri recante le modalità di attivazione, di rilascio e di uso della casella di posta elettronica certificata ai cittadini, ai sensi dell'articolo 16 bis, del decreto legge 29 novembre 2008, n. 185.
A questo punto, quindi, diventerà ufficiale a breve il D.P.C.M. il quale prevede che al cittadino che ne fa richiesta la Presidenza del Consiglio dei ministri-Dipartimento per l'innovazione e le tecnologie, direttamente o tramite l'affidatario del servizio, assegna un indirizzo di PEC. L'attivazione della PEC e le comunicazioni che transitano per la predetta casella di PEC sono senza oneri per il cittadino. Inoltre vengono definite le modalità di richiesta, di attivazione, di utilizzo e di recesso dal servizio di PEC.
Lo stesso decreto ribadisce che tutte le pubbliche amministrazioni istituiscono una casella di PEC per ogni registro di protocollo e ne danno comunicazione al CNIPA che provvede alla pubblicazione in rete consultabile per via telematica. Le stesse amministrazioni rendono disponibili sul loro sito istituzionale, per ciascun procedimento, ogni tipo di informazione idonea a consentire l'inoltro di istanze da parte dei cittadini titolari di PEC, inclusi i tempi previsti per 1'espletamento della procedura.
Le pubbliche amministrazioni devono accettare le istanze dei cittadini inviate tramite PEC nel rispetto dell'articolo 65, comma 1, lettera c), del decreto legislativo n. 82 del 2005. L'invio tramite PEC costituisce sottoscrizione elettronica ai sensi dell'articolo 21, comma 1, del decreto legislativo n. 82 del 2005 e le pubbliche amministrazioni richiedono la sottoscrizione mediante firma digitale ai sensi dell'articolo 65, comma 2, del d.lgs. n. 82/05.
Quella della Posta Elettronica Certificata è una tipica infelice bagarre normativa che è diventata ormai una consuetudine nel nostro Paese. Un Decreto del Presidente della Repubblica, un Decreto legislativo (il Codice dell’Amministrazione digitale), un Decreto Ministeriale sulle regole tecniche, un D.L. poi convertito in legge ed infine un D.P.C.M. (per non parlare poi di tanti altri provvedimenti di contorno) sono stati emanati per disciplinare la PEC che a dispetto di tutte queste disposizioni ancora non si afferma nel nostro paese. Come mai?
E’ il solito problema: non bastano i provvedimenti normativi per introdurre strumenti che tra l’altro hanno la pretesa di modificare radicalmente il sistema delle comunicazioni tra cittadino e P.A. Strumenti che presentano indubbie difficoltà di carattere tecnico proprio perché strettamente collegati alle nuove tecnologie.
Bisogna avere innanzitutto le idee chiare, approfondire determinati concetti e questioni di natura tecnica, preparare la P.A. e la cittadinanza al cambiamento e legiferare con chiarezza prevedendo sin dall’inizio i vari passaggi che devono portare all’introduzione della PEC.
Solo così, caro Brunetta si può essere efficienti………………

Nasce in Italia il Centro anticrimini informatici per la protezione di infrastrutture critiche

Entro l'estate sarà finalmente inaugurato lo Cnaipic, il Centro anticrimini informatici per la protezione di infrastrutture critiche, la struttura nazionale pensata per proteggere dai cyber crimini tutte le reti e i servizi informatici che erogano servizi essenziali per la nazione. Il Centro sarà gestito dalla Polizia postale e delle Comunicazioni, e avrà sede a Roma, vicino a Cinecittà.
Le attività del centro, consisteranno nel fornire servizi di intelligence alle infrastrutture reputate di importanza nazionali, attraverso il monitoraggio dei siti, e la raccolta e analisi dei dati. L'obiettivo è essere presenti 24 ore su 24, 7 giorni su 7, per portare aiuto a queste infrastrutture in caso di attacchi.
Attacchi che possono avere effetti devastanti. Oggi, infatti, i servizi essenziali - come acqua, luce gas, trasporto su strada, rotaia e aereo - sono erogati attraverso reti telematiche. E un attacco informatico, di matrice criminale o terroristica, diretto a colpire un singolo nodo della rete infrastrutturale, potenzialmente è in grado di azzerare l'intero sistema paese.
Il nostro paese in questo modo si è adeguato ad altri paesi europei come la Germania che ha creato una vera e propria unità operativa di soldati supertecnologici.
Purtroppo oggi l’informatica e la telematica rivestono un ruolo di primo piano in tutti i servizi pubblici e privati e noi stessi ci rendiamo conto della scomoda dipendenza quando ad esempio si bloccano i terminali in banca o alle poste. Figuriamoci poi quando i servizi sono vitali per il nostro paese.
In realtà, però, sappiamo bene che un primo intervento nel caso si verifichino danni rilevanti a sistemi tecnologici deve essere gestito dallo stesso ente responsabile che deve aver attuato un piano di disaster recovery che ha proprio l’obiettivo di far fronte a queste emergenze ed affrontare immediatamente nella maniera migliore la situazione critica.

Colpo d’acceleratore alla digitalizzazione della giustizia: un difficile tentativo

La digitalizzazione della giustizia, già prevista per delega nel ddl Alfano sull’accelerazione del processo penale che il Consiglio dei ministri ha varato lo scorso febbraio, è stata ora anticipata e inserita nel decreto effettuato “ad hoc” per l’emergenza terremoto.Parte di quelle norme, infatti, sono state stralciate e aggiunte, con un emendamento del Governo, e sono state fatte rientrare nelle misure urgenti disposte dal decreto legge per l’Abruzzo.La notifica degli atti, sia nel penale che nel civile, sarà concordata tra il dicastero di Via Arenula e 1’Avvocatura generale dello Stato, il Consiglio nazionale forense, e i Consigli dell’ordine degli avvocati interessati dalla rivoluzione “on line”.
L’idea di spingere il piede sull’acceleratore - spiegano al ministero della Giustizia - è venuta dopo aver fatto il punto su come venire incontro alle esigenze di magistrati e avvocati dell’ Aquila rimasti senza uffici e stampanti, alle prese con immensi archivi cartacei che erano rimasti sepolti sotto le macerie.
Questi vecchi fascicoli saranno digitalizzati gratuitamente da Poste italiane, mentre i nuovi atti partiranno già scannerizzati dai computer di avvocati e magistrati, attraverso caselle di posta elettronica certificata. Su questo punto pare che ci sia già un’intesa di massima con l’Ordine degli avvocati dell’Aquila.
Purtroppo siamo alle solite, come si può concepire di accelerare in tempi così brevi una procedura che da anni è in corso e stenta a decollare? Ancora una volta ci troveremo di fronte ad un provvedimento che, se approvato, rimarrà lettera morta perché una legge non può modificare la mentalità delle persone né risolvere all’istante problemi di carattere tecnico che da tempo sono all’esame degli operatori.

Peer to peer: la Francia purtroppo ha deciso. L’Italia cosa farà?

Il parlamento francese ha approvato la legge che va sotto l’acronimo Hadopi. Pur se con una maggioranza inferiore a quella prevista, perché almeno 44 deputati tra quelli che sostengono il governo non l’hanno votata, la legge più discussa degli ultimi tempi è passata con 296 voti a favore contro 233.
Hadopi sta per Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet. Si tratta cioè di una autorità indipendente che viene istituita e che, una volta individuato l’utente che “scarica” illegalmente opere dell’ingegno, lo farà oggetto di un’azione in tre tempi: 1) una comunicazione via mail, in cui si rende noto che il comportamento dell’utente è stato individuato e lo si invita a cessarlo; 2) una lettera raccomandata che ripete in modo definitivo l’ingiunzione; 3) la disconnessione dalla rete internet. A questa sanzione si aggiungerà poi quella amministrativa. Per giunta l’abbonato colpito dovrà pagare il canone al provider per tutto il tempo di durata della sanzione, cioè anche mentre non usa la rete perché è stato privato dell’accesso.
Non riesco a comprendere come un paese civile come la Francia possa concepire una simile stortura giuridica, che oltre ad essere lontana da qualsiasi principi giuridico degno di questo nome per i motivi che ho già esposto a suo tempo (http://micheleiaselli.blogspot.com/2009/01/il-medio-evo-italiano-del-diritto.html), viola fondamentali diritti di carattere generale: innanzitutto il sacrosanto diritto di ogni cittadino di consultare una rete pubblica come Internet che non si sostanzia solamente nel peer to peer, in questo caso si mettono in pericolo valori di rilevanza costituzionale presenti nella legislazione di tutti i paesi europei (vogliamo diventare come la Cina?); inoltre il diritto alla privacy viene completamente messo da parte in quanto l’individuazione dell’utente secondo il sistema introdotto dalla legge francese comporta inevitabilmente accertamenti in violazione della normativa sulla privacy.
Adesso dobbiamo guardare con viva preoccupazione ai lavori del nostro comitato interministeriale che ha già lasciato intravedere più volte un’ assurda ed inconcepibile simpatia per il sistema francese.

Nasce sul web il primo TG giuridico italiano: TG Videodiritto

Mercoledì 13 Maggio è nato TG Videodiritto, il primo telegiornale italiano interamente dedicato al diritto, diretto dall'Avv. Alessandro Buralli, fondatore di Altalex.
TG Videodiritto è trasmesso su www.videodiritto.it, il primo portale video italiano dedicato all'informazione nelle materie giuridiche, edito dalla Web Agency Bluefactor http://www.bluefactor.it/ al fine di portare anche nel mondo del diritto gli strumenti che stanno rivoluzionando il mondo della comunicazione.
Registrandosi gratuitamente a http://www.videodiritto.it/, gli avvocati, i magistrati e gli altri operatori del diritto possono inviare i loro video-interventi, commentare e votare i video già presenti, stringere nuove relazioni professionali e partecipare alle altre attività dellacommunity. Videodiritto.it è il primo passo di un progetto ambizioso: la costruzione di una TV giuridica creata da giuristi. Con Videodiritto nasce un nuovo modo di vedere il diritto.
Bella idea di Alessandro che ha creato uno strumento all’insegna del web 2.0 dei giuristi e per i giuristi, senza tener conto della rilevanza che la materia giuridica riveste in tutti i settori della nostra società.
Complimenti Alessandro!!!

Ma la Posta Elettronica Certificata è davvero affidabile?

Durante una recente conferenza stampa a Palazzo Chigi il ministro per la PA e Innovazione, Renato Brunetta ha annunciato che da settembre la posta elettronica certificata sarà a disposizione di imprese e cittadini. Lo stesso Ministro ha annunciato che gli uffici ministeriali stanno già lavorando ad un’apposita gara.
Dopo l’estate, quindi, cittadini e imprese potranno usare la Pec per dialogare con le amministrazioni, pretendendo una risposta per via telematica nei tempi previsti. Se questo non avverrà gli utenti potranno utilizzare la class action la cui regolamentazione è inserita nel decreto delegato che verrà presentato quanto prima al Consiglio dei Ministri. I primi comparti a partire con l’uso della e-mail certificata saranno Sanità e Giustizia.
Accanto però a questi annunci del Ministro ci sono molti studiosi e giuristi che nutrono non poche perplessità sulla validità tecnica e di conseguenza giuridica di tale strumento che, anche se enfaticamente annunciato sin dall’inizio come versione elettronica della raccomandata con avviso di ricevimento, non sembra invece garantire in maniera assoluta la reale paternità ed integrità del messaggio inviato per l’esistenza di delicati problemi di compatibilità ed interoperabilità.
Molto più facile, quindi, adottare altri sistemi ed in effetti lo stesso legislatore sembra nutrire dei dubbi quando in sede di conversione del famoso decreto legge anticrisi e cioè il DL 185/08 ha apportato delle modifiche importanti all’art. 16 dove veniva introdotta l’obbligatorietà per professionisti ed imprese della posta elettronica certificata. Difatti, nella nuova versione, per entrambe le categorie, non si parla più solo di indirizzo di posta elettronica certificata, ma anche di “analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrità del contenuto delle stesse, garantendo l'interoperabilità con analoghi sistemi internazionali.

Facebook sotto accusa: troppo semplice il furto d’identità

E’ alla ribalta della cronaca la prima inchiesta che coinvolge il social network più famoso della rete, Facebook. Si tratta molto probabilmente di una «vendetta» di uno studente nei confronti di uno dei più stimati docenti del Politecnico di Torino. A sua insaputa il professore era stato infatti iscritto a Facebook con un profilo a dir poco sorprendente: accanto ad alcune reali informazioni (la facoltà in cui insegna, la passione per l´ideazione di strumenti per lo switching, alimentatori a commutazione) tra i suoi interessi compariva una delle peggiori perversioni: la coprofagia.
E’ stato lo stesso professore a scoprire questo scherzo infamante ed immediatamente ha denunciato quanto stava accadendo sulle pagine web alla Procura della Repubblica di Torino.
L’inchiesta giudiziaria inevitabilmente si è trovata subito di fronte alle prime difficoltà connesse alle caratteristiche della Rete perché il sito di Facebook è registrato a Palo Alto in California. L´autore del falso profilo si è tra l´altro iscritto sul sito utilizzando una e-mail di Hotmail, che è anch´esso un sito estero. Quindi soliti problemi di competenza e giurisdizione che ormai su Internet sono diffusissimi.
Ma la vera preoccupazione è un’altra: difatti l’inesistenza di controlli rigidi all’atto dell’iscrizione su Facebook rende particolarmente facile il furto d’identità che può cagionare danni notevoli all’immagine di stimati professionisti.
Le attuali cautele adottate dai gestori del social network sono del tutto insufficienti ed è un vero peccato che un’applicazione estremamente utile del web 2.0 a causa di evitabili leggerezze degli stessi responsabili del sito rischi provvedimenti pesanti di censura in considerazione del fatto che problemi di furti d’identità si stanno verificando un pò dappertutto e già a livello di Commissione Europea si sta ponendo particolare attenzione al fenomeno segnalato a suo tempo dagli stessi Garanti Europei.

I rapporti fra il diritto d’autore e le nuove tecnologie: un manuale on line

Spesso si sente parlare di nuova dimensione del diritto d’autore con l’avvento delle nuove tecnologie, di violazioni dello stesso diritto in Rete, di file sharing, di pirateria multimediale e con la diffusione del web 2.0 con particolare riferimento ai social network, questa materia è diventata particolarmente attuale.
Le norme esistenti in materia sia nazionali che internazionali e gli stessi concetti che ne sono alla base e che spesso hanno una componente fortemente tecnologica non sono sempre molto chiari, per cui ho predisposto un piccolo manuale che si può scaricare all’indirizzo www.micheleiaselli.it/autoreict.pdf.

DDL 1447: proposta di modifica dell’articolo 1341 del Codice Civile per favorire l’e-commerce

Il 5 marzo scorso, il senatore Enrico Musso ha presentato un disegno di legge che promette di favorire lo sviluppo dell’e-commerce.
Il ddl Musso – composto da un solo articolo - prevede una modifica dell’art. 1341 del Codice Civile, in modo che le clausole contrattuali richiedenti approvazione specifica possano essere approvate non necessariamente in forma scritta, ma anche con altre modalità di manifestazione del consenso che garantiscano l’esistenza dei medesimi requisiti di conoscenza. In questo modo è possibile riconoscere pieno valore legale ai contratti stipulati attraverso la rete internet, in modo da consentire l’acquisto e la vendita on line, senza la necessità di apporre una firma su un contratto cartaceo, né di utilizzare la cosiddetta firma digitale, che stenta ancora a diffondersi.
Con tale modifica quindi si tenta di risolvere uno dei più grossi problemi dell’e-commerce che insieme al rischio connesso ai pagamenti on line rappresenta uno degli ostacoli maggiori alla diffusione del commercio elettronico.
Purtroppo siamo di fronte ad uno degli ennesimi tentativi maldestri di legiferare in un settore di interesse delle nuove tecnologie. Il classico sistema di manifestazione del consenso tipico di tutti i portali di e-commerce del point and click presenta inconfutabili elementi di incertezza legati all’indeterminatezza della procedura (chi c’è dall’altra parte?) aggravati, tra l’altro, dalla necessità dell’ulteriore consenso per le clausole vessatorie, che non possono di certo essere risolti per legge. Legge che come sempre è scritta in modo talmente generico da lasciare adito alle più ampie interpretazioni.
Perché, quindi, sforzarsi di trovare una soluzione incoerente e fuori da qualsiasi logica giuridica invece di favorire quella che è la soluzione al passo con i tempi e cioè la firma digitale?
Del resto il DDL 1082, già approvato dal Senato il 4 marzo scorso, nelle proposte di modifica al Codice dell’Amministrazione Digitale contenute nell’art. 33 prevede al punto e) la semplificazione della normativa in materia di firma digitale al fine di agevolare l’adozione e l’uso da parte della pubblica amministrazione, dei cittadini e delle imprese, garantendo livelli di sicurezza non inferiori agli attuali.

Una giornata di studio su sicurezza informatica e computer forensics

Venerdì 5 giugno 2009 dalle ore 14.30 alle ore 18.30 si terrà a Napoli presso la sala Polibio (Istituto La Salle) una giornata interamente dedicata alla sicurezza informatica ed alla computer forensics.
La giornata di approfondimento è organizzata dal Centro Studi Giuridici Polibio.it e vedrà come relatori due dei maggiori esperti della materia: Raoul Chiesa e Andrea Ghirardini.
Il programma è il seguente:
14.30 Apertura dei lavori ed introduzione
(Michele Iaselli, Centro Studi Giuridici Polibio.it)
14.45 Sicurezza delle Informazioni, Hackers e Criminal Profiling: i punti di contatto in un mondo non semplice da comprendere ed analizzare
(Raoul Chiesa, @ Mediaservice.net Srl, Consulente in tema di Cybercrime per le Nazioni Unite presso l’UNICRI, United Nations Interregional Crime & Justisce Research Institute), Comitato Direttivo CLUSIT (Associazione Italiana per la Sicurezza Informatica)
15.45 Coffee Break
16.00 Introduzione alla Computer Forensics
(Andrea Ghirardini, @ PSS.net Srl, IISFA Board of Directors, Information Forensics Lab)
17.00 Computer Forensics: analisi di casi reali
(Andrea Ghirardini, @ PSS.net Srl, IISFA Board of Directors, Information Forensics Lab)
18.00 Domande e Risposte, approfondimenti con il pubblico
18.30 Fine lavori
Per maggiori approfondimenti ed iscrizioni collegarsi a http://www.polibio.it/.

Vita da provider: una strana sorte verso la fine della libertà della Rete

Fino a poco tempo fa sembravano le povere vittime di un sistema che con la banale scusa di regolamentare Internet finiva per responsabilizzarli e farli diventare dei veri e propri poliziotti del web con pesanti ripercussioni sulla loro credibilità e solidità economica, adesso sembra che si vogliano prendere una rivincita e rischiano di diventare i padroni incontrastati del web.
Cosa sta succedendo?
I protagonisti sono loro i provider e sembrano essere i primi destinatari di quella direttiva europea in fase di approvazione molto contestata denominata "Telecoms Package".
Tale direttiva concede ai gestori telefonici il potere di modificare le condizioni che regolano l’uso delle applicazioni più comuni del web come Facebook oppure Skype rendendo gli stessi gestori arbitri della Rete con tutte le relative conseguenze. Se vogliamo ad esempio tener conto dei meccanismi della legge di mercato già immagino Facebook o Skype oggetto delle più originali offerte economiche di gestori che magari garantiscono un accesso agevolato a tali applicazioni o comunque più vantaggioso.
Effettivamente un simile sistema rischia di capovolgere i valori della Rete e far diventare la stessa terreno delle più ampie ed insopportabili discriminazioni con finalità di carattere concorrenziale.
Attenzione perché questo potrà essere il primo passo verso la fine della neutralità ed ancor di più della libertà della Rete.

Privacy e corrispondenza: caso controverso deciso dal Tribunale di Milano

Recentemente è stata diffusa la notizia di una sentenza della terza sezione penale del tribunale di Milano che ha assolto con formula piena un marito che aveva letto le e-mail della moglie. L'uomo aveva scoperto dalla corrispondenza segreta che la donna aveva un relazione omosessuale. Di qui la richiesta di separazione a cui la donna aveva risposto con una citazione in tribunale per violazione della privacy. Richiesta respinta dai giudici.
Dopo la scoperta della mail, il marito ha cercato una soluzione consensuale, rivolgendosi fra l'altro insieme alla moglie ad uno psichiatra in vista di un ricorso alla Sacra Rota per annullare il matrimonio non consumato.
Nella relazione dello psichiatra, però, erano presenti riferimenti all'omosessualità della donna che ha deciso di denunciare il coniuge per violazione della privacy. Il tribunale ha assolto con formula piena sia il marito - ed anche lo psichiatra - a cui veniva contestata la violazione della privacy e la ricettazione della mail.
Non sono in possesso della sentenza e quindi non sono a conoscenza dei particolari, ma questa decisione mi lascia molto perplesso. Non tanto per la violazione della privacy connessa alla relazione dello psichiatra, in quanto in quel caso effettivamente il professionista svolge la propria attività professionale e la relazione rimane comunque un atto riservato e non certo pubblico. Il vero problema sta proprio nella legittimità del comportamento del marito, che, anche se effettivamente tradito, non poteva leggere l’e-mail della moglie. Difatti, come più volte ribadito dallo stesso Garante i messaggi scambiati per via informatica o telematica (quindi e-mail o messaggi inviati tramite mailing-list, newsgroup, chat, ecc.) sono tutelati come tutta la corrispondenza dall’articolo 15 della Costituzione che non lascia adito a dubbi sancendo l’ inviolabilità della libertà e segretezza della corrispondenza.

Un libro sui sistemi esperti legali: ora è disponibile on line

A seguito di numerose richieste che ho ricevuto nel tempo, ho deciso di rendere disponibile su questo blog un mio piccolo lavoro dedicato ai sistemi esperti legali.
L’Intelligenza Artificiale (I. A.) rappresenta senz’altro uno dei settori più affascinanti ed interessanti dell’informatica. Molti studiosi hanno effettuato e continuano ad effettuare ricerche nel campo della simulazione del ragionamento umano tramite il computer e nonostante la notevole complessità degli studi hanno raggiunto traguardi importanti in diversi settori.
Con questo piccolo libro, che venne pubblicato anni fa dalla casa editrice Simone e che adesso è fuori commercio, l’intento era quello di illustrare il punto della situazione in un campo ancora più specifico dell’ I. A. cioè quello giuridico.
Diverse sono le applicazioni di I. A. nel mondo del diritto e tutte sfociano nella realizzazione di determinati programmi che sebbene ancora in una fase prototipale vengono definiti sistemi esperti legali proprio per meglio specificare la loro particolarità.
L’opera, devo dire, è ancora molto attuale perché con essa ho cercato di spiegare in maniera comprensibile i principi che sono alla base delle applicazioni di I. A. in campo giuridico e di illustrare i principali usi dei sistemi esperti legali (S.E.L.): applicazione automatica della legge, redazione di testi legislativi (legimatica), ricerca di informazioni giuridiche, produzione automatica di documenti, programmazione e gestione di attività, apprendimento del diritto.
Si può scaricare all’indirizzo www.micheleiaselli.it/SEL.pdf.

La sanità elettronica ed i difficili rapporti con la privacy

La c.d. "Sanità elettronica“, divenuta oggi particolarmente attuale in quanto inserita tra gli obiettivi principali del piano di e-gov 2012, consente di rendere più efficiente e di qualità le prestazioni del Servizio Sanitario Nazionale, partendo dalla prevenzione e dalla cartella sanitaria elettronica, ma andando anche ad incidere sull'economicità della spesa.
L’obiettivo principale rimane quello di costruire nei prossimi anni un moderno sistema sanitario in rete tra tutti i soggetti ed i cittadini, in grado di modificare concretamente il funzionamento della sanità pubblica.
Si punterà ad intervenire su più fronti ed in particolare sulla prevenzione attiva con un sistema integrato che consente un "ruolo attivo" nell'azione di prevenzione dei soggetti preposti; sulle prenotazioni on line integrate a livello nazionale per consentire al cittadino una scelta consapevole dell'offerta di prestazioni sanitarie; sui dati elettronici relativi alla storia sanitaria dei pazienti per la condivisione dei dati del cittadino, con particolare riferimento ai pazienti affetti da patologie croniche; ed infine sulla telemedicina con un sistema in grado di avvicinare l'erogazione di Servizi sanitari specialistici ai soggetti territoriali che hanno in carico il paziente (deospedalizzazione).
Naturalmente nonostante l'importanza e l'utilità del progetto sulla sanità elettronica, tenuto conto della massiccia introduzione delle nuove tecnologie in un campo estremamente delicato dove vi è prevalenza di dati sensibili come quelli sanitari, bisognerà rispettare al massimo i principi contenuti nel codice in materia di protezione dei dati personali e le prescrizioni che sicuramente il Garante imporrà ai fini dell'adozione del progetto.
In particolare il Garante per la protezione dei dati personali, in attuazione di quanto previsto dal progetto di e-gov 2012, ha predisposto in data 5 marzo 2009 un documento denominato “Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario” ed ha avviato una consultazione pubblica al fine di ricevere osservazioni e commenti entro il 31 maggio 2009 da parte di tutti gli operatori interessati.
Per coloro che sono interessanti a questa problematica è possibile scaricare all’indirizzo www.micheleiaselli.it/e-health.pdf le slides che ho presentato al workshop tenutosi nell’ambito della conferenza e-healthcare del 21 aprile 2009 organizzata a Roma da edisef.

Caso Pirate Bay: sconfitte la giustizia e la Rete

Quattro responsabili di Pirate Bay, uno dei maggiori siti di scambio di file via internet al mondo, sono stati condannati in primo grado in Svezia a un anno di prigione per complicità nella violazione di diritti d'autore.
Il tribunale, accogliendo la richiesta dell'accusa, pronunciata il 2 marzo scorso - ha condannato il sito a versare 30 milioni di corone (2,7 milioni di euro) di danni e interessi all'industria del disco, del cinema e dei videogiochi. I colossi dell'entertainment, dalla Sony alla Warner Bros, avevano chiesto 117 milioni di corone (106 milioni di euro) di risarcimento e interessi per le perdite causate dalle decine di milioni di download illegali tramite il sito.
Il meccanismo attraverso cui avveniva la violazione è quello solito del file sharing per cui The Pirate Bay, pur non detenendo direttamente i file protetti da diritto d'autore, mette in collegamento gli utenti permettendo loro di scambiarsi i file immessi nel circuito dagli stessi utenti. Ciò avviene attraverso la popolare tecnologia dei BitTorrent che consente di scambiarsi i file.
L’aspetto preoccupante e la Svezia non è la prima volta che si impone alla ribalta con queste decisioni giurisprudenziali, è che in questo modo si mettono sotto processo la Rete e gli strumenti della Rete. La tecnologia che sta alla base del file sharing non è di certo vietata né può esserlo, poiché lo scambio di dati ed informazioni on line non solo è consentito, ma rappresenta uno dei principali vantaggi della rete e se ci pensiamo è uno degli obiettivi principali di molti programmi governativi come l’e-government.
In cosa allora si sostanzia tale complicità nella violazione dei diritti d’autore? Sarà interessante scoprirlo dopo una attenta lettura della sentenza, ma già immagino che si potranno accusare i responsabili di una qualche forma di omesso controllo e qui ovviamente si apre una vastissima problematica, affrontata anche nel nostro paese, sugli obblighi di vigilanza dei providers che rischia di diventare estremamente pericolosa poiché può determinare la fine di Internet.
Come è possibile controllare il comportamento di milioni di utenti che si scambiano files on line? Come è possibile individuare l’utente responsabile che per primo ha immesso nel circuito il file incriminato? Quali possono essere gli elementi di prova? Come possono essere poste in essere tecniche di filtraggio dei contenuti? Sono tutti questi interrogativi dalla risposta pressoché impossibile, ma che evidentemente il tribunale svedese non si è posto.
Resta il fatto che in questo modo ci si allontana sempre di più dalla regolamentazione della Rete e si passa alla demonizzazione della stessa al fine di compiacere lobbies estremamente influenti.

Countdown per la prima edizione della Conferenza e-HealthCare

La prima edizione della Conferenza e-HealthCare è pronta ad aprire i battenti a Roma, mercoledì 21 aprile 2009 presso il Crowne Plaza St. Peter`s (Via Aurelia Antica, 415).
L’evento, organizzato da edisef, casa editrice focalizzata in periodici specializzati, portali informativi, eventi e conferenze professionali, rappresenta l’importante occasione per dedicare l’attenzione ai temi dell’innovazione della tecnologia nell’ambito sanitario attuale, attraverso l’analisi e la valutazione della situazione odierna della Sanità elettronica nazionale.
La manifestazione si svolgerà con il patrocinio di cinque celebri realtà operative nell’ambito della Sanità e dell’ICT, quali AIIC, Associazione Italiana Ingegneri Clinici, l’Università Campus Bio-Medico di Roma e S.I.I.M.M., Società Italiana di Informatica Multimediale in Medicina, attive nel settore sanitario, insieme ad Assintel, Associazione nazionale di riferimento delle imprese ICT ed il Centro di Ricerca dell’Università La Sapienza di Roma Cattid legate all’ambito tecnologico.
Alla Conferenza saranno presenti relatori di elevato profilo, provenienti dal mondo istituzionale e dal settore IT. Inoltre, sono previsti, durante la giornata, workshop di esperti del settore che analizzeranno numerose tematiche, quali, ad esempio, gli aspetti dedicati al modello di business per l’e-Health, la protezione digitale dei dati personali, l'evoluzione del settore sanitario e le sfide per la sicurezza.
Anche l’ANDIP sarà presente alla conferenza con un workshop dedicato alle principali prescrizioni e problematiche in materia di privacy nel delicato settore dell’e-health. Per iscriversi alla conferenza http://www.forumhealthcare.it/conferenza-registrazione.asp

Evoluzione tecnologica: la Commissione europea interviene a tutela della privacy

Anche la Commissione europea ed in particolare Viviane Reding, il commissario responsabile delle telecomunicazioni prende posizione contro i pericoli che la Rete e le nuove tecnologie possono arrecare alla privacy delle persone e sulle pagine del suo sito personale affronta il tema della tutela delle informazioni personali nell'era digitale.
Oggetto principale del suo attacco sono ovviamente i social network, Facebook in testa, ma per la verità la Reding non risparmia anche altre tecnologie evolute come i RFID confermando con ciò le preoccupazioni già espresse a suo tempo dai Garanti europei e dal nostro Garante.
E’ un pò la vecchia e mai sopita contrapposizione tra privacy e nuove tecnologie che invece di essere superata o quanto meno tollerata nell’interesse di tutti magari trovando un giusto equilibrio, si ripropone periodicamente e divide giuristi ed operatori.
Talvolta la necessità di tutelare la privacy dei cittadini si rivela davvero eccessiva e rischia di bloccare il progresso tecnologico per mere posizioni di principio, ma altre volte la tutela della riservatezza degli individui assume un valore davvero preminente e l’uso sconsiderato delle nuove tecnologie può causare danni inimmaginabili. Ecco perché la Reding ha avvertito che l'Unione europea agirà contro gli stati membri che non applicheranno le regole per assicurare la privacy e per garantire che i cittadini possano dare il loro parere prima del trattamento dei loro dati personali. Tre le tecnologie e le applicazioni commerciali più a rischio: i social network, la pubblicità comportamentale e i sistemi di autentificazione automatica RFID.
Resta solo un atroce dubbio: tale atteggiamento rigoroso sarà sempre presente o si arenerà in presenza di ragguardevoli investimenti economici?

Un nuovo raggiro dalla Germania (2)

In merito a quanto ho scritto più di un mese fa sul post all’indirizzo http://micheleiaselli.blogspot.com/2009/02/un-nuovo-raggiro-dalla-germania.html ritengo necessario tornare sull’argomento, perché ho ricevuto diversi messaggi di titolari di ditte truffati dalla DAD che non sanno come comportarsi.
Considerata la rilevanza del raggiro che vede numerose vittime e ritenuto che in questo caso sono configurabili diversi profili di illegittimità dalla violazione della privacy fino alla violazione del codice del consumo per l’insufficiente ed equivoca informativa, ho pensato che la soluzione migliore fosse quella di interessare un’associazione di consumatori che potrà così valutare l’azione migliore da porre in essere con l’apporto dell’ANDIP di cui sono il presidente.
Al fine però di dare delle giuste indicazioni alla stessa associazione ho necessità di sapere quante sono le persone interessate ad agire nei confronti della società tedesca, per cui chiedo a tutti di scrivermi (l’indirizzo è info@micheleiaselli.it). Non prometto nulla, ma cercherò di fare il possibile per fare chiarezza su questa brutta storia ed appena avrò notizie aggiornate provvederò ad informare tutti gli interessati.

E-gov 2012? Sarà un’impresa!!!

Sono due giorni che sto cercando disperatamente di pagare on line il bollo auto peraltro già scaduto. Mi iscrivo al sito poste.it e dopo aver compilato il bollettino, mi vedo respinto il pagamento con carta di credito senza alcuna spiegazione plausibile, utilizzo un’altra carta di credito con uguale infausto risultato.
Provo a telefonare al numero verde: le linee sono intasate non è possibile parlare con nessuno. Ma che bel numero verde!!!
Allora provo pagare sul sito dell’Aci con il bel servizio bollonet. Purtroppo scopro che la Regione Campania, come altre Regioni, non ha aderito alla convenzione per cui non è possibile usufruire del servizio. Disperato vedo se la Regione Campania ha previsto un servizio per il pagamento del bollo on line. Niente da fare la Regione introita solo i soldi.
Cerco altri portali, ma trovo solo servizi per calcolare il bollo on line, come quello dell’Agenzia delle Entrate, senza possibilità di pagare.
Ma egregio Ministro Brunetta non è vero che l’originario piano di e-government risalente al 2000 prevedeva che le pubbliche amministrazioni dovevano offrire servizi on line ai cittadini? Basta con le code agli sportelli!! Si gridava. Oppure non è forse vero che il Codice dell’Amministrazione digitale prevede un diritto dei cittadini ad ottenere dagli enti pubblici l’uso delle nuove tecnologie ed un corrispondente obbligo di questi ultimi?
Ebbene caro Ministro qui bisogna rimboccarsi le mani, perché siamo ancora a zero e non vedo come in poco tempo si possa rivoluzionare un sistema che fa acqua da tutte le parti.

Un modello di autocertificazione in materia di privacy

Come è noto l'art. 29, comma 1, D.L. 25 giugno 2008, n. 112, come modificato dalla relativa legge di conversione ha introdotto il comma 1-bis dell’art. 34 del Codice della protezione dei dati personali il quale prevede che per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, ha emanato il 27 novembre 2008 un proprio provvedimento, che prevede modalità semplificate di applicazione del disciplinare tecnico di cui all’Allegato B) in ordine all’adozione delle misure minime di cui al comma 1 dell’art. 34 del Codice.
Ho pensato di rendere disponibile un modello di autocertificazione ai sensi di questa disposizione all’indirizzo www.micheleiaselli.it/autocertificazione.pdf, anche se sento il dovere di avvisare tutti gli operatori che i pericoli di una simile autocertificazione sono comunque molto insidiosi. Di conseguenza suggerisco di esaminare bene l’organizzazione della propria attività prima di optare per questa forma di semplificazione, poiché in caso di dichiarazione mendaci le conseguenze penali sono inevitabili.

Anche le banche dati dei giornali on line devono rispettare la privacy

Il Garante per la protezione dei dati personali ha individuato alcune modalità tecniche che gli editori devono adottare per evitare che i motori di ricerca estraggano in automatico dagli archivi dei giornali tutti i dati personali che vi sono contenuti, anche quelli non più attuali o incompleti che possano ledere la riservatezza delle persone.
L'Autorità è intervenuta a seguito di alcuni ricorsi presentati nei confronti di un editore che ha reso recentemente fruibile ai più comuni motori di ricerca parte dell'archivio storico del proprio quotidiano. I ricorrenti lamentavano il fatto che, digitando il proprio nome su di un comune motore di ricerca, ottenevano come risultato notizie pubblicate anche quindici anni prima. In un caso, il ricorrente era stato completamente assolto dai reati citati nell'articolo, ma ciò non emergeva dai risultati della ricerca. In altri casi, gli interessati, pur avendo negli anni cambiato vita e avviato una diversa attività professionale, continuavano ad essere associati a vicende ormai lontane.
L'Autorità non ha accolto l'istanza degli interessati di far cancellare o modificare i dati in questione dall'archivio on-line del quotidiano, ma ha ritenuto legittima, in considerazione della specificità dei casi, la loro richiesta di veder tutelata la propria attuale identità. Ha quindi imposto alla società editrice di adottare le opportune misure tecniche: ad esempio, predisponendo una versione dell'articolo che non riporti i dati personali dei ricorrenti nel caso in cui l'articolo possa essere estratto automaticamente da motori di ricerca esterni; oppure prevedendo differenti modalità di presentazione delle pagine sul web, in particolare garantendo che le notizie siano rintracciabili soltanto usando il motore di ricerca del giornale o del sito web.
In effetti si tratta della concreta applicazione di quel diritto all’oblio che il prof. Rodotà ha sempre sostenuto nei limiti ovviamente del rispetto di tutte quelle garanzie di rilievo costituzionale del nostro ordinamento.
E’ questo sicuramente uno dei problemi maggiori di Internet dove motori di ricerca sempre più potenti e sofisticati consentono di reperire informazioni che se utilissime in molte circostanze, in altre possono arrecare danni inimmaginabili.

Intercettazioni telefoniche: un giusto equilibrio tra privacy, giustizia ed informazione

Ieri 31 marzo si è tenuto a Roma un importante convegno in tema di intercettazioni telefoniche organizzato dalla rivista I.N.D. “Il nuovo diritto” e dall’associazione “Cittadini di Internet”, che ha visto la partecipazione di qualificati studiosi della materia ed una notevole affluenza di pubblico. Dai diversi interventi è emerso che, a prescindere dalle modifiche del regime giuridico allo studio dell’attuale governo, lo strumento d’indagine delle intercettazioni, per quanto importante, va utilizzato solo nei casi di stretta necessità e nel rispetto di quelle regole giuridiche già ben definite dall’attuale normativa. Per contro i giornalisti nel pubblicare le trascrizioni delle intercettazioni devono rispettare le regole deontologiche e le norme dettate in tema di protezione dei dati personali.
Il problema vero è che allo stato attuale sia i giornalisti che i magistrati non osservano le regole già esistenti per cui mai si potrà risolvere la delicata questione dell’equilibrio dei diversi interessi di rilevanza costituzionale coinvolti nel campo delle intercettazioni.
E’ possibile scaricare il mio intervento all’indirizzo www.micheleiaselli.it/Intercettazioni.pdf

Privacy: un altro intervento inutile ed inopportuno del legislatore

La legge 15/09 (delega al Governo finalizzata all'ottimizzazione della produttività del lavoro pubblico e alla efficienza e trasparenza delle pubbliche amministrazioni nonché disposizioni integrative delle funzioni attribuite al Consiglio nazionale dell'economia e del lavoro e alla Corte dei conti) ha aggiunto all'articolo 1, comma 1, del codice in materia di protezione dei dati personali il seguente periodo: “Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riservatezza personale”.
Sinceramente ancora una volta ci troviamo di fronte ad un’iniziativa legislativa di dubbia legittimità sia dal punto di vista formale che sostanziale.
Formale perché una tale integrazione relativa allo svolgimento di funzioni pubbliche non può essere inserita in una disposizione di carattere generale come quella di cui all’art. 1 del d.lgs. n. 196/03, ma al massimo nella parte relativa ai soggetti pubblici e cioè al Titolo III, Capo II del codice.
Sostanziale perché, al di là delle tipiche difficoltà ermeneutiche della legislazione italiana, non ravviso l’opportunità di una tale precisazione in quanto il codice già chiarisce che la normativa sulla privacy in buona parte non viene applicata quando il soggetto pubblico agisce nel rispetto della legge e quindi nell’esercizio delle sue funzioni.
Altro concetto è poi quello relativo al soggetto privato che esercita funzioni pubbliche. In questo caso c’è da discutere molto sulla validità di una simile affermazione che comunque non può essere sintetizzata in questo modo.
Ma mi domando il Garante per la protezione dei dati personali è stato ascoltato?

Fascicolo sanitario elettronico: il Garante apre una consultazione pubblica sulle proprie linee guida

Il Garante per la protezione dei dati personali ha avviato una procedura di consultazione pubblica sul documento "Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario", pubblicato sul sito web dell'Autorità.
Ho letto il documento che ho trovato molto interessante anche se per alcuni versi troppo pesante e complesso. Insomma non lo vedo di facile attuazione in realtà ospedaliere che già sono restie di per sé all’innovazione tecnologica e difficilmente riuscirebbero ad accettare le condizioni ed i limiti imposti dall’Autorità.
La consultazione sotto questo aspetto si rivela estremamente utile, ma l’Autorità deve essere un pò più ricettiva alle osservazioni degli operatori altrimenti rischia di essere solo un passaggio formale di nessuna rilevanza.
Il periodo è molto delicato poiché il ministro Brunetta ha annunciato da poco il piano e-gov 2012 che vede tra i propri principali obiettivi proprio la sanità elettronica ed in particolare l’introduzione del fascicolo sanitario elettronico.
Indubbiamente l’introduzione della gestione elettronica di dati sanitari crea non pochi problemi in tema di privacy tutti considerati dalle predette linee guida che però presentano dei punti critici. Si pensi all’individuazione di momenti distinti in cui l'interessato possa esprimere la propria volontà, attraverso un consenso di carattere generale per la costituzione del Fascicolo sanitario elettronico e di consensi specifici ai fini della sua consultazione o meno da parte dei singoli titolari del trattamento (es. medico di medicina generale, pediatra di libera scelta, farmacista, medico ospedaliero). Oppure alla possibilità riservata all’interessato di oscurare informazioni sanitarie relative a singoli eventi clinici e di decidere volta per volta se autorizzarne o meno la visione a determinati soggetti.
Comprendo la necessità di lasciare all’interessato la facoltà di gestire direttamente i propri dati, ma la configurazione di diverse posizioni autorizzative complicherà sicuramente la vita di molti ospedali e renderà più complessa l’implementazione di tecniche gestionali elettroniche.

Parlamento europeo: va garantita la libertà di espressione su Internet

Il Parlamento chiede di lottare con determinazione contro i crimini commessi su e tramite Internet, senza però compromettere la libertà di espressione e la privacy. Gli Stati dovrebbero quindi intercettare e controllare i dati nel rigoroso rispetto della legge e limitare i casi in cui una società di Internet può divulgare dati alle autorità. Al contempo, occorre tutelare i bambini e le proprietà intellettuali, ed elaborare una strategia globale contro i "furti d'identità".
Approvando con 481 voti favorevoli, 25 contrari e 21 astensioni la relazione di Stavros LAMBRINIDIS (PSE, EL), il Parlamento rileva che Internet «dà pieno significato alla definizione di libertà di espressione» sancita dalla Carta dei diritti fondamentali dell'Unione europea e «può rappresentare una straordinaria opportunità per rafforzare la cittadinanza attiva». Tuttavia, osserva che la libertà di espressione e la privacy su Internet possono essere esposte «a intrusioni e limitazioni da parte di soggetti privati e pubblici» e che il web può anche essere utilizzato per incitare al terrorismo e commettere cybercrimini.
Chiede quindi di combattere questi fenomeni «con efficacia e determinazione», ma sottolinea che il diritto che gli Stati membri si arrogano di intercettare e controllare il traffico su Internet «non può essere giustificato dalla lotta al crimine». Rileva inoltre che l'accesso a Internet «non dovrebbe essere rifiutato come sanzione dai governi o dalle società private». A tal fine formula una serie di raccomandazioni al Consiglio.
Una bella presa di posizione del Parlamento europeo che sà di lezione nei confronti del governo italiano che ultimamente sta sprecando tempo ed energie per combattere la Rete e sottoporla a rigorosi controlli.
Un conto è regolamentare Internet, altro conto è bloccare la Rete e svuotarla di contenuti.

Il DPS per gli studi legali

Come è noto il 31 marzo scade il termine annuale per l’adozione del Documento Programmatico per la Sicurezza (DPS) da parte di tutti i titolari che trattano dati personali sensibili e/o giudiziari.
Il DPS ha il compito specifico di indurre a fare, almeno una volta all’anno, il punto sul sistema di sicurezza adottato e da adottare nell’ambito della propria attività; tale documento ha una funzione meramente descrittiva, eppure per la sua violazione il Codice prevede sanzioni estremamente severe, ulteriormente inasprite dal recente art. 44 del Decreto Legge n. 207 del 30 dicembre 2008 (decreto milleproroghe), che vanno dall’arresto fino a due anni al possibile pagamento di somme da ventimila euro a centoventimila euro (art. 162, comma 2-bis del Codice).
In effetti come si evince facilmente dal tenore dell’allegato B, nel DPS non deve essere riassunto l’intero assetto delle misure minime adottate e delle modalità specifiche con le quali queste vengono esplicate, ma è sufficiente una ricognizione, seguendo punto per punto il citato art. 19 dell’allegato B nonché le indicazioni dell’Autorità Garante.
Da quest’anno poi l’Autorità Garante con provvedimento del 27 novembre 2008 ha prescritto a tutti i titolari di dati personali in possesso di un adeguato sistema informatico di indicare nel DPS anche l’amministratore di sistema e prevedere una verifica annuale dell’operato dell’amministratore. In particolare devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.
Si ricorda, inoltre, che il D.L. 25 giugno 2008, n. 112, convertito successivamente in legge ha introdotto il comma 1-bis dell’art. 34 del Codice per la protezione dei dati personali, il quale ha specificato che i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, non sono obbligati a redigere il documento programmatico sulla sicurezza.
In tali casi il DPS potrà essere sostituito da una autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al D.P.R. 445/2000, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
Sperando di fare cosa utile ho predisposto un modello di DPS adatto per gli Studi Legali che ovviamente va adeguato alla realtà organizzativa concreta dello Studio. E’ possibile scaricare il documento all’indirizzo www.micheleiaselli.it/dpslegale.pdf.

Cassazione: il forum non è soggetto alla legge sulla stampa

Ieri è stata depositata un’importante sentenza della Corte di Cassazione Sez. III penale destinata a far discutere molto perché interviene nella complessa e delicata materia del regime giuridico di Internet. Una materia che, tra l’altro, sembra essere particolarmente a cuore del Governo e del Parlamento che hanno proposto diversi provvedimenti legislativi sull’argomento.
Secondo la Suprema Corte i forum su Internet non hanno le stesse tutele della stampa e quindi possono subire il sequestro con maggiore facilità, senza le tutele riservate a garanzia della libertà di stampa.
La sentenza, in particolare, respinge un ricorso fatto da Aduc contro un sequestro di alcuni messaggi pubblicati sul suo sito, nel forum "Dì la tua". E' una vicenda che risale al novembre 2006, quando, sulla scorta di inchieste giornalistiche e noti fatti di cronaca, il forum si è popolato di messaggi contro i preti pedofili. Di qui è partita una denuncia dell'associazione Mater Onlus di don Fortunato di Noto, che contestava la violazione dell'articolo 403 del codice penale (offese a una confessione religiosa mediante vilipendio di persone). Tale denuncia è stata accolta ed il forum è stato sequestrato per un anno prima di ottenere il sequestro solo dei messaggi incriminati.
La Cassazione nella sentenza ha stabilito che i forum "sono una semplice area di discussione dove qualsiasi utente o gli utenti registrati sono liberi di esprimere il proprio pensiero ma non per questo il forum resta sottoposto alle regole e agli obblighi cui è soggetta la stampa (come indicare un direttore responsabile per registrare la testata) o può giovarsi delle guarentigie in tema di sequestro che la Costituzione riserva solo alla stampa".
La questione ha fatto subito discutere perché molti giuristi hanno visto l’aspetto positivo di tale pronuncia poiché se Internet sfugge alle regole fissate dalla legge sulla stampa allora anche tutte le limitazioni che si vogliono porre a carico dei blog come l’obbligo della registrazione non dovrebbero sussistere. Equiparazione, quindi, nel bene e nel male.
Ma per la verità non griderei subito vittoria, perché un conto è il forum altro è un blog ed il legislatore potrebbe tranquillamente distinguere i diversi strumenti della Rete ravvisando nel blog aggiornato periodicamente, con contenuti ben determinati e fonte di reddito i caratteri propri di un quotidiano.
Il vero problema è che continua anche a livello giurisprudenziale questo atteggiamento inquisitorio nei confronti della Rete ormai soggetta sempre più a controlli che hanno la finalità di ridurre la libertà di manifestazione del pensiero in ambiti sicuramente più circoscritti. La stessa Cassazione sa bene che mentre il diritto di cronaca è tipico dell’attività giornalistica quello di critica no e quindi non si comprendono le ragioni di questo collegamento alla legge sulla stampa.
Inoltre a dimostrazione dell’intento ormai persecutorio nei confronti di Internet resta da capire per quali motivi a causa della presenza di alcuni messaggi ritenuti offensivi si sequestra l’intero forum per poi ricredersi dopo un anno.

Presto disponibile il dominio .tel per un biglietto da visita on line

Sono già una realtà i domini .tel che si caratterizzano per non corrispondere a siti web tradizionali ma a pagine che si presentano come biglietti da visita digitali. Difatti la pagina web contraddistinta da tale dominio contiene l’elenco di tutti i punti di contatto di quella persona o di quell'azienda, online e offline, in un formato molto leggero, pensato per essere visto anche dai cellulari. L’esigenza è evidente ed è cioè quella di concentrare in un posto solo facilmente accessibile e comunicabile agli altri, i vari contatti di una persona, che talvolta possono essere i più diversi.
Internet quindi continua ad evolversi e tra i tanti strumenti di social network nati appunti per facilitare i contatti tra le varie persone (Skype, Facebook, linkedin, il blog personale, Twitter, la mail, YouTube, My Space, ecc.) si aggiunge questo ulteriore strumento che è stato definito il "biglietto da visita 2.0" destinato a sostituire quello tradizionale cartaceo.
L’iniziativa è senz’altro buona ed oltre ad essere utile agli utenti se vogliamo è utile alla stessa Rete che sta conoscendo momenti difficili. Ma come si concilia con il recente allarme lanciato dall’Icann che ha annunciato che nel 2011 non ci saranno più indirizzi web disponibili se non si passerà alla nuova piattaforma Ipv6? Inoltre se già adesso si viene continuamente bersagliati da messaggi commerciali e tentativi di contatto indesiderati cosa succederà quando saranno in rete queste pagine ricche di recapiti?

Controllo presenze dei lavoratori: no alle impronte digitali

Le aziende non possono utilizzare sistemi di identificazione biometrica per controllare le presenze e gli orari di entrata e di uscita dei propri dipendenti. Difatti se non vi sono particolari esigenze di sicurezza lo strumento è troppo invasivo e sproporzionato.
Lo ha ribadito il Garante per la protezione dei dati personali che ha vietato ad un'azienda l'ulteriore trattamento dei dati raccolti attraverso un sistema di rilevazione di impronte digitali che l'azienda aveva fatto installare, in alcune delle sue sedi allo scopo di poter corrispondere l'esatta retribuzione ordinaria e straordinaria ai propri lavoratori. Il caso era stato sollevato da uno dei dipendenti che si era rivolto al Garante chiedendo che fosse verificata la correttezza dell'installazione di un sistema di rilevazione degli orari di ingresso e di uscita basato sull'impiego delle impronte digitali.
In effetti il ricorso ai sistemi biometrici in virtù dei fondamentali principi cardine di necessità e di proporzionalità deve essere giustificato solo da comprovate e particolari esigenze di sicurezza che nel caso specifico non sono state individuate dall’Autorità. Peraltro qualora si decidesse di adottare un sistema di controllo così invasivo sarebbe necessario, nel rispetto di quanto prescritto dallo Statuto dei lavoratori, raggiungere un accordo con le rappresentanze sindacali aziendali o comunque avere un’autorizzazione specifica dal Ministero del Lavoro. Tale procedura è stata recentemente confermata da una sentenza della Corte di Cassazione che faceva, tra l’altro, riferimento alle normali apparecchiature che consentono di controllare la presenza sul luogo di lavoro dei dipendenti.

Iniziate le audizioni del Comitato tecnico contro la pirateria digitale e multimediale

Oggi a Palazzo Chigi sono previste le prime audizioni del Comitato tecnico contro la pirateria digitale e multimediale.
Le prime associazioni ed aziende ad essere ascoltate saranno: ANICA - Associazione Nazionale Industrie Cinematografiche Audiovisive e Multimediali, FRT - Federazione Radio Televisioni, FIMI - Federazione Industria Musicale Italiana, AFI - Associazione dei fonografici Italiani, FAPAV - Federazione Anti-Pirateria Audiovisiva, AESVI - Associazione Editori Software Videoludico Italiana.
Successivamente saranno comunicate le date delle audizioni di: Confindustria Servizi Innovativi - riunisce AIIP (Providers), Assinform (imprese ICT), ASSTEL (le telecom), FEDOWEB (operatori web); BSA (Business Software Alliance) - riunisce le società produttrici di software (Microsoft, Apple, ecc.); IAB (Interactive Advertising Bureau), che include Google, MySpace, Matrix/Virgilio, Yahoo!, ecc.; Intesa Consumatori e Beuc (Bureau Europèen des Consommateurs), il cui presidente è Paolo Martinello di Altroconsumo.
Le premesse, per la verità, non sono molto buone considerato l’infelice disegno di legge (http://micheleiaselli.blogspot.com/2009/01/il-medio-evo-italiano-del-diritto.html) prima attributo alla SIAE e poi invece individuato come creatura di Luca Barbareschi che se rimane l’impianto normativo su cui discutere non potrà inevitabilmente portare a buoni risultati. Del resto già l’intento manifestato dal Comitato di trovare una soluzione in tempi rapidi ad un problema divenuto ormai estremamente grave lascia un pò perplessi.
La materia da qualche tempo (e sarebbe il caso di cambiare orientamento) viene data in pasto a personaggi dello spettacolo come la Carlucci prima e Barbareschi adesso che hanno dimostrato di avere una visione troppo persecutoria nei confronti della Rete ed una scarsa conoscenza della natura di Internet e dei meccanismi che ne regolano il funzionamento. L’arrivo, quindi, di un Comitato specializzato è stato salutato con grande favore da tutti gli operatori e le previste audizioni sono sicuramente un buon segno. Il problema è che va trovata a mio modesto parere una soluzione equilibrata che assicuri una valida tutela giuridica alle opere coperte dal diritto d’autore, ma non “violenti” la Rete creando degli assurdi meccanismi sanzionatori che di fatto bloccano le funzionalità di Internet e degli stessi operatori che non possono essere gravati di responsabilità eccessive.
Il modello francese non può e non deve essere considerato come punto di riferimento, ma ho paura che l’intento del Comitato sia tutt’altro.

Intercettazioni telefoniche: Skype si impegna a collaborare, ma sarà vero?

Skype ha annunciato che collaborerà con le forze dell’ordine per consentire le intercettazioni di telefonate che utilizzano la tecnologia voip. Come noto la particolare tecnologia impedisce le intercettazioni per inevitabili problemi di natura tecnica e sembra che la criminalità organizzata già stia sfruttando questa pesante falla per comunicare principalmente via Internet.
In un primo momento la società estone aveva rifiutato qualsiasi contatto, ma dopo i continui appelli di Eurojust, l'organismo europeo che coordina le indagini in materia di criminalità informatica e le sollecitazioni della Direzione Nazionale Antimafia italiana, ha deciso di fornire la necessaria collaborazione.
Sinceramente sono molto perplesso e non credo che Skype si prodigherà più di tanto a meno che non venga costretta e non vedo come ciò possa essere possibile per evidenti problemi di competenza territoriale e giurisdizionale.
Innanzitutto questa disponibilità è emersa da uno scarno comunicato stampa che non precisa quali possano essere le reali forme di collaborazione. Inoltre la stessa Skype dovrebbe rendere disponibili gli algoritmi ed i codici al fine di consentire ai tecnici delle procure di superare i sistemi di sicurezza e decifrare i segnali digitali in modo da poter ascoltare le chiamate. Significa in breve consegnare la chiave della propria fortuna commerciale e questo mi sembra un’eventualità remota. Del resto già per il passato Skype aveva annunciato una collaborazione che non c’è mai stata.
Staremo a vedere, ma credo che la task force predisposta dal ministro Maroni dovrà ancora lavorare molto prima di ottenere dei risultati soddisfacenti.

Perché l’Università sta rovinando l’informatica giuridica?

Ultimamente mi sono divertito a fare una ricerca sull’insegnamento dell’informatica giuridica presso le università italiane e devo dire che il bilancio finale è stato estremamente sconsolante. In molte università addirittura hanno creato l’insegnamento “logica ed informatica giuridica” relegando quindi la materia ad una sottobranca della filosofia del diritto. Credo che non sia più tollerabile un trattamento così infausto dell’informatica giuridica che oltre ad avere la dignità di una materia autonoma che va rivendicata a tutti i livelli rappresenta un mondo estremamente attuale e dinamico che non può essere confinato nell’ambito dei principi filosofici del diritto.
Per quanto possa condividere un iniziale accostamento alla filosofia del diritto e quindi alla logica specie se facciamo riferimento alle applicazioni dell’intelligenza artificiale in campo giuridico, la materia intesa ovviamente nella sua concezione più estesa si è evoluta completamente coinvolgendo tutti i campi del diritto ed ha assunto prepotentemente una propria autonomia che il solo mondo accademico nega temendo forse un’ascesa a danno di altre materie.
Oggi come oggi tutte le problematiche più attuali che hanno per oggetto le nuove tecnologie possono rientrare nell’ambito dell’informatica giuridica si pensi ad esempio ad Internet ed ai continui problemi giuridici e tecnologici che crea oppure all’evoluzione del documento informatico che rivoluzionerà gli attuali rapporti giuridici o ancora alle numerose questioni sorte in tema di privacy a seguito della continua evoluzione del progresso tecnologico. L’università, invece, completamente avulsa dall’attuale società civile (dobbiamo considerare anche questo aspetto quando riflettiamo sulle cause della crisi dell’università) continua a vedere l’informatica giuridica in un’ottica estremamente ridotta ed in un’odiosa accezione servile rispetto ad altre materie lontanissime dal mondo attuale.
Esiste fortunatamente qualche eccezione, ma purtroppo sono ancora poche le università che credono realmente nell’informatica giuridica e che hanno compreso le reali potenzialità di questa nuova disciplina.

Amministratori di sistema: il Garante proroga al 30 giugno l’applicazione delle nuove misure

Ieri 23 febbraio il Garante privacy ha prorogato al 30 giugno 2009 i termini per l'adozione da parte di enti, amministrazioni pubbliche, società private delle misure tecniche e organizzative che riguardano la figura degli "amministratori di sistema".
Le regole erano state fissate dal Garante con il provvedimento del 27 novembre 2008 che riconoscendo l’importanza e la delicatezza della figura dell’amministratore di sistema nell’ambito della sicurezza informatica ha imposto a tutte le realtà organizzative interessate una serie di prescrizioni che hanno per oggetto questa fondamentale figura.
In effetti il Codice per la protezione dei dati personali ha un po’ trascurato le funzioni dell’amministratore di sistema e difatti nel testo unico non troviamo alcuna definizione, se non minimi riferimenti che sembrano far capo più al responsabile del trattamento.
Evidentemente l’Autorità Garante con questo provvedimento ha inteso colmare la lacuna del codice richiamando l'attenzione di enti, amministrazioni, società private sulla figura professionale dell' amministratore di sistema ed imponendo agli stessi l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla attività dell’amministratore da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
E’ chiara la preoccupazione dell’Autorità che durante le sue ispezioni ha rilevato che spesso i responsabili della violazioni della normativa non sono soggetti esterni bensì gli stessi amministratori di sistema che godono di un’eccessiva libertà di azione nell’ambito delle organizzazioni.
Di conseguenza il Garante ha previsto che tutte le realtà organizzative devono designare un qualificato amministratore di sistema il cui operato deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
Inoltre devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.

Incontro/dibattito: privacy ed intercettazioni

Nella culla della tutela dei dati personali, la sede del Garante Privacy in Piazza Monte Citorio, si svolgerà il 31 marzo 2009 un incontro/dibattito sul tema “Privacy ed Intercettazioni” organizzato dalla rivista “Il Nuovo Diritto”, l’Associazione “Cittadini di Internet” e “Cybercrime Working Group” e vede tra i promotori anche l’Associazione Nazionale per la Difesa della Privacy. Parteciperanno all'evento i maggiori studiosi della materia e i rappresentanti delle istituzioni preposte alla tutela dei dati personali. La società dell'informazione si trova immersa in un clima di paura che trova il suo momento più significativo nelle manifestazioni empiriche delle molte e poliedriche forme della criminalità organizzata. Già a livello epidermico, nelle società, si percepisce un utilizzo non "sereno" delle tecnologie della comunicazione (dal telefono fisso e mobile ad internet). La paura che circonda il nostro agire è quella di essere ascoltati, registrati ed analizzati da un numero sempre crescente di noti ed ignoti "grandi fratelli". La consapevolezza che informazioni relative alla nostra persona sono costantemente rilevati, archiviati ed attentamente analizzati crea una sensazione di spaventosa assuefazione tendendo così a fare perdere ad ogni tipo di comunicazione una spontanea e serena "confidenzialità". Si vengono ad aggiungere al mittente e al destinatario anche in condizioni fisiologiche, dei portatori della "comunicazione" piuttosto invadenti che tendono a disegnare un profilo dei soggetti/utilizzatori. Tale profilo può essere richiamato e si plasma in funzione del tipo di richiesta che il ricercatore compie nell‘archivio delle tracce registrate. Se a queste attività si aggiungono le considerazioni relative ai rischi legati al verificarsi di situazioni patologiche ed illecite si comprende bene che la paura di essere costantemente monitorati e controllati non è solo un rischio ma una certezza. Le identità digitali carpite illecitamente, come testimoniano i sempre più numerosi fatti di cronaca, vengono rivendute ad organizzazioni criminali che sfruttano tali dati personali come mezzo per commettere abusi ed illeciti a livello mondiale. Nella società globalizzata, infatti, le vittime e i carnefici non hanno alcuna limitazione territoriale. Tutti possono essere colpiti ovunque. Alle Istituzioni l'arduo compito di tradurre in concreti mezzi di tutela tali principi. Si tratta di un'opera non facile ma l'unica alternativa che rimane è quella di lasciare l'uomo e i suoi diritti senza tutela in un mondo in cui la nostra voce, le nostre immagini, i nostri documenti non sono altro che lunghe serie di bit veicolati in modo non sicuro da un numero sempre crescente di operatori/vettori tecnologici. Non ultima la scoperta di SKIPE come mezzo di conversazioni illecite tra bande criminali da la sensazione di incertezza su cosa il governo debba fare in merito alle intercettazioni ormai non solo telefoniche. Questi ed altri importanti temi verranno discussi nel convegno del 31 marzo 2009. La partecipazione è gratuita previa iscrizione (obbligatoria) al sito http://www.cittadininternet.org/.

E-government: coinvolte le banche, ma non basta

Come è noto il 19 febbraio il presidente dell'ABI, Corrado Faissola, ed il ministro per la Pubblica Amministrazione e l'Innovazione, Renato Brunetta, hanno firmato a Roma un protocollo d'intesa che rafforza la collaborazione con il settore bancario in vista della partecipazione delle banche italiane al Piano e-Government 2012 e al progetto Reti Amiche. L'obiettivo e' consentire a cittadini e imprese di accedere ai servizi pubblici attraverso gli sportelli e tutti i canali innovativi del settore bancario. Grazie alla partecipazione delle banche italiane, che l'Abi si impegna a promuovere, la relazione tra Pubblica Amministrazione e cittadini potrebbe avvalersi di una rete presente in modo capillare su tutto il territorio nazionale con oltre 32 mila sportelli, quasi 42 mila ATM (Automated Teller Machine), 28 milioni di carte Bancomat, piu' di 1,1 milioni di POS (Point of Sale), che raggiunge 12,2 milioni di cittadini col canale telematico dell'home banking e oltre 750 mila imprese grazie all'infrastruttura del Corporate Banking Interbancario.
Indubbiamente il vantaggio di ritirare un proprio certificato anagrafico presso un ATM è notevole, ma rimangono alcuni dubbi da chiarire. Sappiamo bene che le banche questi servizi non li rendono gratis ed allora quale sarà l’effettivo costo sia diretto che indiretto dei cittadini?
L’accordo richiede uno sforzo organizzativo delle banche non indifferente per cui è naturale pensare ad un beneficio che le banche otterranno come contropartita a tale servizio. Ma non sono chiari i termini di tale beneficio.
Condivido pienamente l’idea di utilizzare i canali innovativi delle banche per fornire servizi ai cittadini, ma dov’è finito l’originario progetto di e-government dove era la pubblica amministrazione che doveva fornire direttamente servizi on line ai cittadini? Gli organi centrali assicuravano il back-office, mente gli enti locali rappresentavano il front-office.
Purtroppo inizio sempre più a pensare che questo piano di e-government 2012 si configuri come un correttivo del famoso piano del 2000 che nasceva come un ottimo piano in via di principio, ma poi ha dovuto fare i conti con la dura realtà e con i pesanti retaggi di una vecchia concezione della burocrazia difficili da superare.
Caro Brunetta, le banche possono essere un tramite, anche molto valido, ma il motore dell’e-government deve essere la pubblica amministrazione, altrimenti non andiamo da nessuna parte.

Nuova Bufera su Facebook

Ha destato scalpore la notizia lanciata dal blog americano “The Consumerist” circa il cambiamento di alcune condizioni contrattuali inerenti i servizi del social network da approvare al momento dell'iscrizione, che riguardano un aspetto molto importante e cioè la proprietà dei contenuti pubblicati dagli utenti.
Difatti oltre alle note questioni riguardanti la permanenza all'interno dei database delle informazioni contenute nell'account anche dopo la cancellazione, sembrerebbe che ora gli utenti, rischino di lasciare a Facebook quanto meno il possesso di tutti i contenuti creati, anche dopo l'abbandono del servizio. Video, fotografie e testi aggiunti sulla propria pagina diventerebbero, con l'approvazione delle nuove condizioni di uso, di proprietà di Facebook, che ne potrebbe addirittura esercitare i diritti. Non solo quindi una questione di privacy, ma anche di diritto d’autore, di copyright, di immagine e quindi di riservatezza intesa in senso ampio.
L’intera questione è sorta a seguito della cancellazione da parte del social network di due righe all'interno della sezione "Licenze" delle Condizioni di uso. Difatti attualmente chi si iscrive concede a Facebook il diritto di "usare, pubblicare, trasmettere, catalogare, conservare, ritoccare, modificare, revisionare, montare, tradurre, estrapolare, adattare, creare lavori derivati e distribuire, ogni contenuto dell'utente postato su o in relazione con il servizio di Facebook". Non esiste più quella frase "L'utente può rimuovere dal sito il proprio contenuto in qualsiasi momento", che cautelava tutti gli utenti facendo decadere l’ampia licenza concessa a Facebook.
Preoccupato dal grande clamore suscitato da questa modifica il fondatore e proprietario di Facebook Mark Zuckerberg è intervenuto ufficialmente sul blog del social network chiarendo che gli utenti rimarranno comunque gli assoluti padroni delle loro informazioni e che tale modifica ha avuto solo la finalità di chiarire che i dati immessi dagli utenti devono essere condivisi con gli altri laddove esistano le condizioni stabilite dal social network. Di conseguenza continuerebbero ad esistere nel database di Facebook quanto meno le copie dei dati che sono state generate automaticamente dal network ai fini della condivisione.
In realtà il problema sta proprio non tanto nella filosofia del social network, ma nel concreto funzionamento di un sistema che poi è tipico del web 2.0. Del resto è stato scientificamente dimostrato che una foto immessa in rete anche al di fuori di Facebook comunque rimane intrappolata nella ragnatela del web ed è impossibile cancellarla.
Quindi, le conclusioni da trarre sono le solite: visto che è il principio stesso della condivisione delle informazioni a rendere le stesse ingestibili da parte del titolare per inevitabili problemi tecnici, o si contesta l’intera filosofia di base o si regolamenta il fenomeno rispettandone però i principi fondamentali.
In altri termini un conto è l’aspetto giuridico che va comunque sempre e comunque chiarito nei suoi giusti termini ed un conto è quello tecnico difficilmente gestibile.
Gli stessi Garanti europei nella “risoluzione sulla tutela della privacy nei servizi di social network” affrontano tali problematiche dimenticando però che spesso esistono degli ostacoli di natura tecnica che rendono difficile la regolamentazione di alcuni aspetti.

Il Garante privacy vara il piano ispettivo per i primi sei mesi del 2009: finalmente le banche

Sistema informativo del fisco, banche, sistema sanitario. Saranno questi tre grandi settori ad essere innanzitutto interessati dall'attività di accertamento del Garante per la privacy. L'Autorità ha varato, infatti, il piano di ispezioni per il primo semestre 2009. Il piano prevede, inoltre, sia nel settore pubblico che in quello privato, specifici controlli sugli obblighi relativi all'adozione delle misure di sicurezza, all'informativa da fornire ai cittadini, al consenso da richiedere nei casi previsti dalla legge. Oltre 200 gli accertamenti ispettivi previsti che verranno effettuati anche in collaborazione con le Unità Speciali della Guardia di Finanza - Nucleo Privacy. L'Autorità effettuerà inoltre, come di consueto, le attività ispettive che si renderanno necessarie in ordine a segnalazioni e reclami presentati.
Riguardo il fisco credo che non si potrà fare molto, difatti la normativa che disciplina la materia (d.lgs. n. 112/99 e del d.lgs. n. 446/97) è molto incisiva e prevede diverse deroghe alle disposizione sulla privacy. Basti pensare all'art. 18 del d.lgs. n. 112/99 il quale prevede che i concessionari possono procedere al trattamento dei dati acquisiti presso soggetti pubblici senza rendere 1'informativa di cui all'articolo 13 del decreto legislativo 30 giugno 2003, n. 196.
Molto più interessanti saranno gli accertamenti previsti in materia sanitaria e bancaria. La sanità ormai è un settore molto delicato e l’Autorità già da tempo la tiene sotto controllo. Diverse sono le norme da rispettare ed adesso con l’avvento delle nuove tecnologie i problemi aumenteranno sicuramente. Ritengo fondamentale una migliore organizzazione delle strutture ospedaliere in materia di privacy, in quanto ogni azienda dovrebbe avere un ufficio specializzato e non lasciare i singoli Reparti esposti alle numerose e quotidiane problematiche.
Le banche, invece, hanno avuto un periodo di tregua durato fin troppo e sinceramente ho notato con piacere che l’Autorità ha finalmente spostato il suo mirino verso la loro attività che in questo periodo di recessione diventa di vitale importanza. Troppe sono le banche che pur preoccupandosi di sicurezza, tengono conto più delle loro esigenze che di quelle dei clienti la cui privacy non è molto considerata. Odioso è poi l’atteggiamento degli operatori del settore (v. ABI ad esempio) che vantano una profonda conoscenza della materia, ma la dimostrano poco.

Safer Internet Day 2009: Commissione avvia campagna contro cyber-bullismo

La Commissione europea ha lanciato, nell’ambito del Safer Internet Day 2009, una campagna europea contro il cyber-bullismo, incluso un breve video dedicato agli adolescenti. Le vittime di questo fenomeno devono essere capaci di reagire rapidamente e non essere più condizionati dal clic di un bottone.
Per cyber-bullismo si intende la continua molestia verbale o psicologica eseguita da un individuo o gruppo di individui. Può prendere molte forme: derisione, insulti, minacce, pettegolezzo, commenti eccellenti, sgradevoli o calunnia. Purtroppo i servizi on-line ed interattivi (l'e-mail, chat rooms, instant messaging) nonché i cellulari hanno dato ai prepotenti nuove opportunità e modi per abusare delle loro vittime.
La Commissione Europea, a seguito di una consultazione pubblica condotta nel luglio 2008 sui social network, ha riscontrato che il cyber-bullismo ormai è diventato uno dei maggiori pericoli che i giovani possono incontrare on-line. Ovviamente la grande diffusione dei social network avutasi negli ultimi tempi ha contribuito a peggiorare ulteriormente il fenomeno. La stessa Commissione ritiene che un’azione comunitaria sia necessaria perché i social network connettono fra di loro utenti di tutto il mondo, per cui singole misure nazionali non potrebbero affrontare da sole il problema.
Il video realizzato per la Commissione Europea è disponibile in tutte le lingue dell’UE più in norvegese e islandese. Sarà diffuso quest’anno in tutta Europa e dal 10 febbraio è già on line. Una versione più lunga del video sarà disponibile anche sulle piattaforme più popolari di Internet come Arto, Skyrock, Piczo, Habbo Hotel, Myspace UK, YouTube, Dailymotion, BeboIE.
Il video può essere visto a questo indirizzo: http://ec.europa.eu/avservices/video/video_prod_en.cfm?type=detail&prodid=8520&src=1 ed offrirà agli adolescenti tutte le informazioni e strumenti per combattere i rischi on line.
Con Safer Internet Day 2009, i 17 maggiori social network europei (Arto, Bebo, Dailymotion, Facebook, Giovani.it, Google/YouTube, Hyves, Microsoft Europa, Myspace, Nasza-klaza.pl, Netlog, One.lt, Skyrock, StudiVZ, Albergo di Sulake/Habbo, Yahoo!Europe, e Zap.lu.) hanno firmato un accordo per superare e risolvere insieme questi problemi. La stessa Commissione europea vigilerà sulla realizzazione di questo accordo che riconosce 7 principi fondamentali:
1. necessità di una comunicazione sicura;
2. adeguatezza dei servizi all’età del pubblico;
3. maggiore tutela della privacy degli utenti;
4. utilizzo più semplice ed immediato delle piattaforme on line;
5. previsione di un sistema che recepisca immediatamente segnalazioni di contenuto o condotta illegale;
6. previsione di una specifica abilitazione degli utenti;
7. necessità di controlli per accertare eventuali violazioni.