sabato 28 marzo 2009

Fascicolo sanitario elettronico: il Garante apre una consultazione pubblica sulle proprie linee guida


Il Garante per la protezione dei dati personali ha avviato una procedura di consultazione pubblica sul documento "Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario", pubblicato sul sito web dell'Autorità.
Ho letto il documento che ho trovato molto interessante anche se per alcuni versi troppo pesante e complesso. Insomma non lo vedo di facile attuazione in realtà ospedaliere che già sono restie di per sé all’innovazione tecnologica e difficilmente riuscirebbero ad accettare le condizioni ed i limiti imposti dall’Autorità.
La consultazione sotto questo aspetto si rivela estremamente utile, ma l’Autorità deve essere un pò più ricettiva alle osservazioni degli operatori altrimenti rischia di essere solo un passaggio formale di nessuna rilevanza.
Il periodo è molto delicato poiché il ministro Brunetta ha annunciato da poco il piano e-gov 2012 che vede tra i propri principali obiettivi proprio la sanità elettronica ed in particolare l’introduzione del fascicolo sanitario elettronico.
Indubbiamente l’introduzione della gestione elettronica di dati sanitari crea non pochi problemi in tema di privacy tutti considerati dalle predette linee guida che però presentano dei punti critici. Si pensi all’individuazione di momenti distinti in cui l'interessato possa esprimere la propria volontà, attraverso un consenso di carattere generale per la costituzione del Fascicolo sanitario elettronico e di consensi specifici ai fini della sua consultazione o meno da parte dei singoli titolari del trattamento (es. medico di medicina generale, pediatra di libera scelta, farmacista, medico ospedaliero). Oppure alla possibilità riservata all’interessato di oscurare informazioni sanitarie relative a singoli eventi clinici e di decidere volta per volta se autorizzarne o meno la visione a determinati soggetti.
Comprendo la necessità di lasciare all’interessato la facoltà di gestire direttamente i propri dati, ma la configurazione di diverse posizioni autorizzative complicherà sicuramente la vita di molti ospedali e renderà più complessa l’implementazione di tecniche gestionali elettroniche.

Parlamento europeo: va garantita la libertà di espressione su Internet


Il Parlamento chiede di lottare con determinazione contro i crimini commessi su e tramite Internet, senza però compromettere la libertà di espressione e la privacy. Gli Stati dovrebbero quindi intercettare e controllare i dati nel rigoroso rispetto della legge e limitare i casi in cui una società di Internet può divulgare dati alle autorità. Al contempo, occorre tutelare i bambini e le proprietà intellettuali, ed elaborare una strategia globale contro i "furti d'identità".
Approvando con 481 voti favorevoli, 25 contrari e 21 astensioni la relazione di Stavros LAMBRINIDIS (PSE, EL), il Parlamento rileva che Internet «dà pieno significato alla definizione di libertà di espressione» sancita dalla Carta dei diritti fondamentali dell'Unione europea e «può rappresentare una straordinaria opportunità per rafforzare la cittadinanza attiva». Tuttavia, osserva che la libertà di espressione e la privacy su Internet possono essere esposte «a intrusioni e limitazioni da parte di soggetti privati e pubblici» e che il web può anche essere utilizzato per incitare al terrorismo e commettere cybercrimini.
Chiede quindi di combattere questi fenomeni «con efficacia e determinazione», ma sottolinea che il diritto che gli Stati membri si arrogano di intercettare e controllare il traffico su Internet «non può essere giustificato dalla lotta al crimine». Rileva inoltre che l'accesso a Internet «non dovrebbe essere rifiutato come sanzione dai governi o dalle società private». A tal fine formula una serie di raccomandazioni al Consiglio.
Una bella presa di posizione del Parlamento europeo che sà di lezione nei confronti del governo italiano che ultimamente sta sprecando tempo ed energie per combattere la Rete e sottoporla a rigorosi controlli.
Un conto è regolamentare Internet, altro conto è bloccare la Rete e svuotarla di contenuti.

giovedì 19 marzo 2009

Il DPS per gli studi legali


Come è noto il 31 marzo scade il termine annuale per l’adozione del Documento Programmatico per la Sicurezza (DPS) da parte di tutti i titolari che trattano dati personali sensibili e/o giudiziari.
Il DPS ha il compito specifico di indurre a fare, almeno una volta all’anno, il punto sul sistema di sicurezza adottato e da adottare nell’ambito della propria attività; tale documento ha una funzione meramente descrittiva, eppure per la sua violazione il Codice prevede sanzioni estremamente severe, ulteriormente inasprite dal recente art. 44 del Decreto Legge n. 207 del 30 dicembre 2008 (decreto milleproroghe), che vanno dall’arresto fino a due anni al possibile pagamento di somme da ventimila euro a centoventimila euro (art. 162, comma 2-bis del Codice).
In effetti come si evince facilmente dal tenore dell’allegato B, nel DPS non deve essere riassunto l’intero assetto delle misure minime adottate e delle modalità specifiche con le quali queste vengono esplicate, ma è sufficiente una ricognizione, seguendo punto per punto il citato art. 19 dell’allegato B nonché le indicazioni dell’Autorità Garante.
Da quest’anno poi l’Autorità Garante con provvedimento del 27 novembre 2008 ha prescritto a tutti i titolari di dati personali in possesso di un adeguato sistema informatico di indicare nel DPS anche l’amministratore di sistema e prevedere una verifica annuale dell’operato dell’amministratore. In particolare devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.
Si ricorda, inoltre, che il D.L. 25 giugno 2008, n. 112, convertito successivamente in legge ha introdotto il comma 1-bis dell’art. 34 del Codice per la protezione dei dati personali, il quale ha specificato che i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione ad organizzazioni sindacali o a carattere sindacale, non sono obbligati a redigere il documento programmatico sulla sicurezza.
In tali casi il DPS potrà essere sostituito da una autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al D.P.R. 445/2000, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
Sperando di fare cosa utile ho predisposto un modello di DPS adatto per gli Studi Legali che ovviamente va adeguato alla realtà organizzativa concreta dello Studio. E’ possibile scaricare il documento all’indirizzo www.micheleiaselli.it/dpslegale.pdf.

mercoledì 11 marzo 2009

Cassazione: il forum non è soggetto alla legge sulla stampa


Ieri è stata depositata un’importante sentenza della Corte di Cassazione Sez. III penale destinata a far discutere molto perché interviene nella complessa e delicata materia del regime giuridico di Internet. Una materia che, tra l’altro, sembra essere particolarmente a cuore del Governo e del Parlamento che hanno proposto diversi provvedimenti legislativi sull’argomento.
Secondo la Suprema Corte i forum su Internet non hanno le stesse tutele della stampa e quindi possono subire il sequestro con maggiore facilità, senza le tutele riservate a garanzia della libertà di stampa.
La sentenza, in particolare, respinge un ricorso fatto da Aduc contro un sequestro di alcuni messaggi pubblicati sul suo sito, nel forum "Dì la tua". E' una vicenda che risale al novembre 2006, quando, sulla scorta di inchieste giornalistiche e noti fatti di cronaca, il forum si è popolato di messaggi contro i preti pedofili. Di qui è partita una denuncia dell'associazione Mater Onlus di don Fortunato di Noto, che contestava la violazione dell'articolo 403 del codice penale (offese a una confessione religiosa mediante vilipendio di persone). Tale denuncia è stata accolta ed il forum è stato sequestrato per un anno prima di ottenere il sequestro solo dei messaggi incriminati.
La Cassazione nella sentenza ha stabilito che i forum "sono una semplice area di discussione dove qualsiasi utente o gli utenti registrati sono liberi di esprimere il proprio pensiero ma non per questo il forum resta sottoposto alle regole e agli obblighi cui è soggetta la stampa (come indicare un direttore responsabile per registrare la testata) o può giovarsi delle guarentigie in tema di sequestro che la Costituzione riserva solo alla stampa".
La questione ha fatto subito discutere perché molti giuristi hanno visto l’aspetto positivo di tale pronuncia poiché se Internet sfugge alle regole fissate dalla legge sulla stampa allora anche tutte le limitazioni che si vogliono porre a carico dei blog come l’obbligo della registrazione non dovrebbero sussistere. Equiparazione, quindi, nel bene e nel male.
Ma per la verità non griderei subito vittoria, perché un conto è il forum altro è un blog ed il legislatore potrebbe tranquillamente distinguere i diversi strumenti della Rete ravvisando nel blog aggiornato periodicamente, con contenuti ben determinati e fonte di reddito i caratteri propri di un quotidiano.
Il vero problema è che continua anche a livello giurisprudenziale questo atteggiamento inquisitorio nei confronti della Rete ormai soggetta sempre più a controlli che hanno la finalità di ridurre la libertà di manifestazione del pensiero in ambiti sicuramente più circoscritti. La stessa Cassazione sa bene che mentre il diritto di cronaca è tipico dell’attività giornalistica quello di critica no e quindi non si comprendono le ragioni di questo collegamento alla legge sulla stampa.
Inoltre a dimostrazione dell’intento ormai persecutorio nei confronti di Internet resta da capire per quali motivi a causa della presenza di alcuni messaggi ritenuti offensivi si sequestra l’intero forum per poi ricredersi dopo un anno.

domenica 8 marzo 2009

Presto disponibile il dominio .tel per un biglietto da visita on line


Sono già una realtà i domini .tel che si caratterizzano per non corrispondere a siti web tradizionali ma a pagine che si presentano come biglietti da visita digitali. Difatti la pagina web contraddistinta da tale dominio contiene l’elenco di tutti i punti di contatto di quella persona o di quell'azienda, online e offline, in un formato molto leggero, pensato per essere visto anche dai cellulari. L’esigenza è evidente ed è cioè quella di concentrare in un posto solo facilmente accessibile e comunicabile agli altri, i vari contatti di una persona, che talvolta possono essere i più diversi.
Internet quindi continua ad evolversi e tra i tanti strumenti di social network nati appunti per facilitare i contatti tra le varie persone (Skype, Facebook, linkedin, il blog personale, Twitter, la mail, YouTube, My Space, ecc.) si aggiunge questo ulteriore strumento che è stato definito il "biglietto da visita 2.0" destinato a sostituire quello tradizionale cartaceo.
L’iniziativa è senz’altro buona ed oltre ad essere utile agli utenti se vogliamo è utile alla stessa Rete che sta conoscendo momenti difficili. Ma come si concilia con il recente allarme lanciato dall’Icann che ha annunciato che nel 2011 non ci saranno più indirizzi web disponibili se non si passerà alla nuova piattaforma Ipv6? Inoltre se già adesso si viene continuamente bersagliati da messaggi commerciali e tentativi di contatto indesiderati cosa succederà quando saranno in rete queste pagine ricche di recapiti?

Controllo presenze dei lavoratori: no alle impronte digitali


Le aziende non possono utilizzare sistemi di identificazione biometrica per controllare le presenze e gli orari di entrata e di uscita dei propri dipendenti. Difatti se non vi sono particolari esigenze di sicurezza lo strumento è troppo invasivo e sproporzionato.
Lo ha ribadito il Garante per la protezione dei dati personali che ha vietato ad un'azienda l'ulteriore trattamento dei dati raccolti attraverso un sistema di rilevazione di impronte digitali che l'azienda aveva fatto installare, in alcune delle sue sedi allo scopo di poter corrispondere l'esatta retribuzione ordinaria e straordinaria ai propri lavoratori. Il caso era stato sollevato da uno dei dipendenti che si era rivolto al Garante chiedendo che fosse verificata la correttezza dell'installazione di un sistema di rilevazione degli orari di ingresso e di uscita basato sull'impiego delle impronte digitali.
In effetti il ricorso ai sistemi biometrici in virtù dei fondamentali principi cardine di necessità e di proporzionalità deve essere giustificato solo da comprovate e particolari esigenze di sicurezza che nel caso specifico non sono state individuate dall’Autorità. Peraltro qualora si decidesse di adottare un sistema di controllo così invasivo sarebbe necessario, nel rispetto di quanto prescritto dallo Statuto dei lavoratori, raggiungere un accordo con le rappresentanze sindacali aziendali o comunque avere un’autorizzazione specifica dal Ministero del Lavoro. Tale procedura è stata recentemente confermata da una sentenza della Corte di Cassazione che faceva, tra l’altro, riferimento alle normali apparecchiature che consentono di controllare la presenza sul luogo di lavoro dei dipendenti.

giovedì 5 marzo 2009

Iniziate le audizioni del Comitato tecnico contro la pirateria digitale e multimediale


Oggi a Palazzo Chigi sono previste le prime audizioni del Comitato tecnico contro la pirateria digitale e multimediale.
Le prime associazioni ed aziende ad essere ascoltate saranno: ANICA - Associazione Nazionale Industrie Cinematografiche Audiovisive e Multimediali, FRT - Federazione Radio Televisioni, FIMI - Federazione Industria Musicale Italiana, AFI - Associazione dei fonografici Italiani, FAPAV - Federazione Anti-Pirateria Audiovisiva, AESVI - Associazione Editori Software Videoludico Italiana.
Successivamente saranno comunicate le date delle audizioni di: Confindustria Servizi Innovativi - riunisce AIIP (Providers), Assinform (imprese ICT), ASSTEL (le telecom), FEDOWEB (operatori web); BSA (Business Software Alliance) - riunisce le società produttrici di software (Microsoft, Apple, ecc.); IAB (Interactive Advertising Bureau), che include Google, MySpace, Matrix/Virgilio, Yahoo!, ecc.; Intesa Consumatori e Beuc (Bureau Europèen des Consommateurs), il cui presidente è Paolo Martinello di Altroconsumo.
Le premesse, per la verità, non sono molto buone considerato l’infelice disegno di legge (http://micheleiaselli.blogspot.com/2009/01/il-medio-evo-italiano-del-diritto.html) prima attributo alla SIAE e poi invece individuato come creatura di Luca Barbareschi che se rimane l’impianto normativo su cui discutere non potrà inevitabilmente portare a buoni risultati. Del resto già l’intento manifestato dal Comitato di trovare una soluzione in tempi rapidi ad un problema divenuto ormai estremamente grave lascia un pò perplessi.
La materia da qualche tempo (e sarebbe il caso di cambiare orientamento) viene data in pasto a personaggi dello spettacolo come la Carlucci prima e Barbareschi adesso che hanno dimostrato di avere una visione troppo persecutoria nei confronti della Rete ed una scarsa conoscenza della natura di Internet e dei meccanismi che ne regolano il funzionamento. L’arrivo, quindi, di un Comitato specializzato è stato salutato con grande favore da tutti gli operatori e le previste audizioni sono sicuramente un buon segno. Il problema è che va trovata a mio modesto parere una soluzione equilibrata che assicuri una valida tutela giuridica alle opere coperte dal diritto d’autore, ma non “violenti” la Rete creando degli assurdi meccanismi sanzionatori che di fatto bloccano le funzionalità di Internet e degli stessi operatori che non possono essere gravati di responsabilità eccessive.
Il modello francese non può e non deve essere considerato come punto di riferimento, ma ho paura che l’intento del Comitato sia tutt’altro.