Con la sentenza del 5 aprile1, la Corte di giustizia si è pronunciata nuovamente sul tema della data retention, confermando il suo orientamento in materia.

Il fatto

La Corte suprema irlandese ha interrogato la Corte di giustizia dell’Ue nell’ambito di una causa civile intrapresa da un soggetto condannato all’ergastolo per un omicidio nel 2015. Il ricorrente ha contestato l’ammissibilità delle prove poste a fondamento della decisione di primo grado, nel caso di specie si trattava di dati di traffico e di dati relativi

all’ubicazione riguardanti chiamate telefoniche.

La decisione della Corte

Secondo la Corte, “il diritto dell’Unione osta a misure legislative che prevedano, a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione afferenti alle comunicazioni elettroniche, per finalità di lotta ai reati gravi”.

La direttiva relativa alla vita privata e alle comunicazioni elettroniche2 stabilisce il principio del divieto della memorizzazione dei dati relativi al traffico e all’ubicazione. La conservazione rappresenta da una parte un’eccezione alla regola, dall’altra, “un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta”.

Poco più di un anno fa, con la sentenza del 2 marzo 20213, la Corte affermava come l’acquisizione dei dati telefonici e telematici debba essere sottoposta ad un’autorizzazione di un giudice terzo. Pertanto, la decisione della Corte è in linea con i principi di diritto espressi in passato nell’ambito di altre pronunce4, tuttavia fornisce ulteriori indicazioni per delimitare il perimetro della disciplina.

In particolare, si afferma che l’articolo 15 paragrafo 1 della direttiva 2002/58/CE come modificata dalla direttiva 2009/136/CE, pur non ammettendo la conservazione generalizzata ed indifferenziata dei dati di traffico e relativi all’ubicazione, “per ragioni di contrasto alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica”, non osta a misure legislative che prevedano:

– la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile;

– la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario;

– la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica, e

– il ricorso a un’ingiunzione rivolta ai fornitori di servizi di comunicazione elettronica, mediante una decisione dell’autorità competente soggetta a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all’ubicazione di cui dispongono tali fornitori di servizi,

se tali misure garantiscono, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi.

Inoltre secondo la Corte: “la criminalità, anche particolarmente grave, non può essere equiparata a una minaccia per la sicurezza nazionale”. Coerentemente con quanto stabilito nella pronuncia La Quadrature du Net: “l’obiettivo di preservare la sicurezza nazionale corrisponde all’interesse primario di tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società mediante la prevenzione e la repressione delle attività tali da destabilizzare gravemente le strutture costituzionali, politiche, economiche o sociali fondamentali di un paese”. Viene così esclusa la possibilità di equiparare le esigenze di sicurezza nazionale con quelle derivanti dal contrasto alla criminalità particolarmente grave, risultando inammissibile una conservazione generalizzata in quest’ultimo ambito.

In secondo luogo, la Corte ha ribadito come non risulti compatibile con il diritto dell’Unione: “una normativa nazionale in forza della quale il trattamento centralizzato delle domande di accesso a dati conservati dai fornitori di servizi di comunicazione elettronica, provenienti dalla polizia nell’ambito della ricerca e del perseguimento di reati gravi, è affidato a un funzionario di polizia, assistito da un’unità istituita all’interno della polizia che gode di una certa autonomia nell’esercizio della sua missione e le cui decisioni possono essere successivamente sottoposte a controllo giurisdizionale”.

Infine ha affermato che risulta in contrasto con la normativa Ue, la limitazione nel tempo degli effetti di una declaratoria di invalidità, da parte del giudice nazionale ed in forza del diritto interno, nei confronti di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica la conservazione generalizzata ed indifferenziata. Tuttavia l’ammissibilità degli elementi di prova così ottenuti rientra, in linea con il principio di autonomia procedurale degli stati membri, nell’ambito del diritto nazionale, sempreché nel rispetto, dei principi di equivalenza e di effettività.

Effetti della pronuncia e disciplina interna

In Italia ai sensidell’art. 24 della Legge 20 novembre 2017 n. 167 (Legge Europea) entrato in vigore il 12 dicembre 2017 di adeguamento della disciplina nazionale alla Direttiva 2017/541 sulla lotta al terrorismo, è stato stabilito che “per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale il termine di conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta, è stabilito in settantadue mesi (6 anni).

Ai sensi dell’art 132 del codice privacy permane, per tutti i delitti, il periodo di conservazione e di disponibilità dei dati di traffico telefonico per 24 mesi e del traffico telematico di 12 mesi (di 30 giorni nel caso delle chiamate senza risposta), mentrecon la Legge Europea 167/2017 è stato previsto un periodo di conservazione dei dati di 72 mesi (6 anni) per un buon numero di reati, come quelli contemplati dall’art. 407 comma 2 lett. a) c.p.p., considerati dal nostro ordinamento particolarmente gravi5.

Nella sostanza ciò si traduce in un obbligo generico di conservazione da parte dei gestori dei servizi per un lasso di tempo considerevole, non essendo quest’ultimi in grado di valutare ex ante chi fra i propri utenti possa risultare autore di reati gravi.

Ebbene, proprio in questo obbligo generico di conservazione si può individuare il massimo punto di tensione con i principi affermati dalla Corte. Difatti, nella normativa interna è previsto solo un criterio selettivo (gravità del reato) rilevante nel momento dell’acquisizione, tuttavia, proprio per le ragioni di cui sopra, lo stesso criterio non incide sul regime della conservazione.

Inoltre, se da un lato la disciplina interna risulta in linea con la natura stessa di questo strumento di ricerca della prova, il quale prevede una raccolta generalizzata in considerazione di un’acquisizione potenziale, dall’altro lato essa rispecchia il punto di vista della Consulta relativamente alla minore invasività sulla privacy dello strumento della conservazione, in confronto a quella delle intercettazioni, tale da legittimarne una diversa regolamentazione.

Coerentemente con questa interpretazione, è doveroso ricordare come, fino al D.L. 132/2021, il potere di acquisizione era attribuito al solo pubblico ministero. Proprio in virtù di questo Decreto legge di ottobre 2021, l’articolo 132 del decreto legislativo 30 giugno 2003, n. 196 è stato così modificato: “il comma 3 è sostituito dal seguente: Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti ai fini della prosecuzione delle indagini, i dati sono acquisiti presso il fornitore con decreto motivato del giudice su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private”. Dunque, s’intuisce come attraverso tale modifica è stata soddisfatta l’esigenza, sottolineata dalla Corte di giustizia, di introdurre un vaglio, da parte di un’autorità terza, sull’istanza di acquisizione.

Questa nuova formulazione determina come successivamente al vaglio del giudice segua un suo provvedimento autorizzativo che consente al soggetto richiedente (pubblico ministero o difensore) di acquisire i tabulati.

Altra novità da sottolineare è la previsione di una procedura d’urgenza attivabile da parte del pubblico ministero, così recita il nuovo comma 3-bis: “Quando ricorrono ragioni di urgenza e vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la acquisizione dei dati con decreto motivato che e’ comunicato immediatamente, e comunque non oltre quarantotto ore, al giudice competente per il rilascio dell’autorizzazione in via ordinaria. Il giudice, nelle quarantotto ore successive, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non è convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati”.

Il nuovo impianto normativo prevede una possibilità per il pubblico ministero che non trova egual riscontro nelle facoltà concesse al difensore. Basti pensare al ruolo cruciale che potrebbe avere in questo contesto il criterio di profondità cronologica su citato, ai fini dell’acquisizione dei dati in questione. Difatti, mentre il pubblico ministero, nelle more per la richiesta di acquisizione, può richiedere i dati direttamente al gestore, anche se il relativo decreto dovrà essere successivamente convalidato, il difensore deve in ogni caso attendere il provvedimento autorizzativo del GIP. È inconfutabile come ciò si possa tradurre in una disparità di trattamento degli attori coinvolti in questa prima fase del procedimento (art. 111 cost.).

A ben vedere questo assetto risulta incompatibile con l’orientamento della Corte, dal quale risulta in maniera evidente la preoccupazione per l’invasività di questo strumento sulla vita privata dei cittadini, indipendentemente da qualsiasi collegamento con una fattispecie delittuosa.

In questo quadro si renderà necessario un intervento del legislatore, il quale “dovrà elaborare una disciplina processuale ad hoc sui tabulati in cui specificare, in una prospettiva futura e non passata, le categorie di soggetti da proteggere e quelli di cui potranno essere forniti i dati ( ad esempio indiziati di gravi reati o persone in procinto di commettere un grave reato), elementi oggettivi e non generici (indizi di colpevolezza di gravi reati già commessi o al fine di prevenire la commissione di gravi reati), il criterio geografico (la zona circostante la scena del delitto), il periodo limitato ma rinnovabile” 6.

Infine, potrebbe risultare tanto più utile prevedere una disciplina per la conservazione rapida e il relativo accesso, specificando condizioni e modalità per l’attuazione dell’ordine di quick freeze.

Domenico Talarico

1 Sentenza del 5 aprile 2022, C-140/20;

2 Direttiva 2002/58/CE come modificata dalla direttiva 2009/136/CE;

3 Sentenza del 2 marzo 2021, H.K. c. Prokuratuur, C 746-18;

4 Sentenze del 21 dicembre 2016, Tele2 Sverige et Watson e a., C-203/15 e C-698/15; del 6 ottobre 2020, Privacy International, C-623/17, e La Quadrature du Net e a., C-511/18, C-512/18.

5 Cfr. S. Aterno, Data retention: la sentenza della Corte di Giustizia europea sull’acquisizione dei dati di traffico (telefonico e telematico). Uno sguardo alla situazione italiana, disponibile al sito: e-lex.it/it/data-retention-la-…

6 Confronta V. Stella, Spangher: «La Corte di Giustizia della Ue ha sancito la fine del regime dei tabulati», in IL DUBBIO disponibile al sito www.ildubbio.news/2022/04/20/spangher-intercettazioni/

L'articolo La Corte di Giustizia ritorna sul tema della data retention proviene da E-Lex.

Venerdì 29 aprile, a partire dalle ore 15, il prof. Giovanni Maria Riccio terrà una lezione presso il Master in Diritto e Management dei servizi socio-sanitari dell’Università di Roma Tre su intelligenza artificiale e dispositivi medici.

L'articolo Il prof. Giovanni Maria Riccio terrà una lezione presso il Master in Diritto e Management dei servizi socio-sanitari dell’Università di Roma Tre proviene da E-Lex.

Ogni mese “Orizzonti idee dalla Basilicata” organizza un incontro su una tematica di attualità e di interesse per il territorio.

Giovedì 28 aprile, alle ore 16.00, Ernesto Belisario interverrà al talk “La Sfida dell’innovazione: la transizione digitale per un Paese all’avanguardia”.

Si discuterà del modello Basilicata che, anche grazie al Piano digitale lucano, può ricoprire il ruolo di un vero e proprio hub digitale per il Mezzogiorno e, in virtù della sua posizione strategica, per tutto il Mediterraneo.

Per la diretta streaming: eni.com/eni-basilicata/it-IT/s…

L'articolo Ernesto Belisario al talk di Orizzonti: “La Sfida dell’innovazione” proviene da E-Lex.

dicorinto.it/eventi/arte-intel…

dicorinto.it/articoli/arte-int…

Il debito della cybersecurity

HACKER’S DICTIONARY. Secondo una ricerca di CyberArk i programmi e gli strumenti di protezione informatica sono cresciuti ma spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili

di ARTURO DI CORINTO per Il Manifesto del 21 Aprile 2022

In base a una ricerca di Cyberark che ha coinvolto 1.750 responsabili della sicurezza IT a livello mondiale, il 72% dei professionisti italiani intervistati ritiene che per sostenere la trasformazione digitale negli ultimi 12 mesi le aziende italiane abbiano privilegiato l’operatività del business rispetto alla sicurezza informatica.

Eppure è in ragione di questa accelerazione digitale che, secondo una differente ricerca di Veeam, i leader IT si aspettano che il budget per la protezione dei dati della loro organizzazione aumenti di circa il 6% anche se i dati Gartner stimano una crescita della spesa del 5.1% dal 2021 al 2022.
Questa differenza dell’1% equivale a miliardi di dollari in termini reali e contribuisce a incrementare un «debito di sicurezza». Un debito che, secondo l’Identity Security Threat Landscape Report di CyberArk, è legato però soprattutto all’identità digitale.

Spieghiamoci meglio: per i professionisti della sicurezza le iniziative digitali a livello di organizzazione hanno un costo, definito «Cybersecurity Debt», ovvero debito di sicurezza: significa che i programmi e gli strumenti di protezione sono cresciuti, ma non hanno tenuto il passo con le iniziative attuate per guidarne l’operatività e la crescita, spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili.

L’aumento di identità umane e non-umane, cioè le centinaia di migliaia di macchine in esecuzione in ogni organizzazione, espone però le aziende a un maggiore rischio perché ogni grande iniziativa IT o digitale comporta un aumento delle interazioni tra persone, applicazioni e processi. Un rischio aggravato dalle tensioni geopolitiche che si sommano alle minacce »ransomware» e alla vulnerabilità nella «supply chain» del software, nonostante gli investimenti fatti per soddisfare clienti e reclutare forza lavoro.

Il tema secondo CyberArk è evidente nei numeri:

• Il 68% di identità non umane o bot ha accesso a dati e risorse sensibili.
• Ogni dipendente ha in media più di 30 identità digitali.
• Le identità delle macchine in azienda oggi superano quelle umane di 45 volte.
• L’87% archivia dati sensibili in più luoghi all’interno degli ambienti DevOps, mentre l’80% afferma che gli sviluppatori hanno in genere più privilegi del necessario per i loro ruoli.

Se a questo aggiungiamo che trasformazione digitale, migrazione al «cloud »e aggressività degli attaccanti stanno ampliando la superficie di attacco capiamo che la situazione è critica soprattutto in relazione ad alcuni elementi evidenziati nel rapporto:

• L’accesso alle credenziali è stato identificato come l’area di rischio principale dagli intervistati (40%), seguita da elusione delle difese (31%), esecuzione (31%), accesso iniziale (29%) ed escalation dei privilegi (27%).
• Oltre il 70% delle organizzazioni intervistate ha subito attacchi «ransomware» nell’ultimo anno, con una media di due ciascuna.
• Il 62% non ha avviato alcuna iniziativa per proteggere la «supply chain software» dopo l’attacco SolarWinds e la maggior parte (64%) ha ammesso che la compromissione di un fornitore software non permetterebbe di bloccare un attacco alla loro azienda.

Per ovviare a questi problemi però non è detto che spendere di più sia la strada migliore, forse è più importante capire come si allocano le risorse e come si implementano le strategie di difesa, dall’elencazione esatta delle componenti software da proteggere, alla gestione strategica dei dati sensibili, fino all’aumento dei controlli di sicurezza, l’importante è metterle in pratica per creare ecosistemi digitali più solidi e resilienti.

dicorinto.it/testate/il-manife…

Il debito della cybersecurity

HACKER’S DICTIONARY. Secondo una ricerca di CyberArk i programmi e gli strumenti di protezione informatica sono cresciuti ma spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili

di ARTURO DI CORINTO per Il Manifesto del 21 Aprile 2022

In base a una ricerca di Cyberark che ha coinvolto 1.750 responsabili della sicurezza IT a livello mondiale, il 72% dei professionisti italiani intervistati ritiene che per sostenere la trasformazione digitale negli ultimi 12 mesi le aziende italiane abbiano privilegiato l’operatività del business rispetto alla sicurezza informatica.

Eppure è in ragione di questa accelerazione digitale che, secondo una differente ricerca di Veeam, i leader IT si aspettano che il budget per la protezione dei dati della loro organizzazione aumenti di circa il 6% anche se i dati Gartner stimano una crescita della spesa del 5.1% dal 2021 al 2022.
Questa differenza dell’1% equivale a miliardi di dollari in termini reali e contribuisce a incrementare un «debito di sicurezza». Un debito che, secondo l’Identity Security Threat Landscape Report di CyberArk, è legato però soprattutto all’identità digitale.

Spieghiamoci meglio: per i professionisti della sicurezza le iniziative digitali a livello di organizzazione hanno un costo, definito «Cybersecurity Debt», ovvero debito di sicurezza: significa che i programmi e gli strumenti di protezione sono cresciuti, ma non hanno tenuto il passo con le iniziative attuate per guidarne l’operatività e la crescita, spesso assieme a una gestione sbagliata nella protezione di dati e asset sensibili.

L’aumento di identità umane e non-umane, cioè le centinaia di migliaia di macchine in esecuzione in ogni organizzazione, espone però le aziende a un maggiore rischio perché ogni grande iniziativa IT o digitale comporta un aumento delle interazioni tra persone, applicazioni e processi. Un rischio aggravato dalle tensioni geopolitiche che si sommano alle minacce »ransomware» e alla vulnerabilità nella «supply chain» del software, nonostante gli investimenti fatti per soddisfare clienti e reclutare forza lavoro.

Il tema secondo CyberArk è evidente nei numeri:

• Il 68% di identità non umane o bot ha accesso a dati e risorse sensibili.
• Ogni dipendente ha in media più di 30 identità digitali.
• Le identità delle macchine in azienda oggi superano quelle umane di 45 volte.
• L’87% archivia dati sensibili in più luoghi all’interno degli ambienti DevOps, mentre l’80% afferma che gli sviluppatori hanno in genere più privilegi del necessario per i loro ruoli.

Se a questo aggiungiamo che trasformazione digitale, migrazione al «cloud »e aggressività degli attaccanti stanno ampliando la superficie di attacco capiamo che la situazione è critica soprattutto in relazione ad alcuni elementi evidenziati nel rapporto:

• L’accesso alle credenziali è stato identificato come l’area di rischio principale dagli intervistati (40%), seguita da elusione delle difese (31%), esecuzione (31%), accesso iniziale (29%) ed escalation dei privilegi (27%).
• Oltre il 70% delle organizzazioni intervistate ha subito attacchi «ransomware» nell’ultimo anno, con una media di due ciascuna.
• Il 62% non ha avviato alcuna iniziativa per proteggere la «supply chain software» dopo l’attacco SolarWinds e la maggior parte (64%) ha ammesso che la compromissione di un fornitore software non permetterebbe di bloccare un attacco alla loro azienda.

Per ovviare a questi problemi però non è detto che spendere di più sia la strada migliore, forse è più importante capire come si allocano le risorse e come si implementano le strategie di difesa, dall’elencazione esatta delle componenti software da proteggere, alla gestione strategica dei dati sensibili, fino all’aumento dei controlli di sicurezza, l’importante è metterle in pratica per creare ecosistemi digitali più solidi e resilienti.

dicorinto.it/testate/il-manife…

L’AGCOM sanziona tre società di telefonia per mancato barring di alcuni servizi offerti

L’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”), lo scorso 21 aprile ha reso noto di aver emesso tre ordinanze di ingiunzione nei confronti di tre società di telefonia per mancato blocco preventivo – cosiddetto “barring” – di alcuni servizi digitali offerti sulle rispettive piattaforme.

Inoltre, l’Autorità ha contestato alle tre società l’inesatta osservanza degli obblighi informativi nei confronti dei propri clienti.

Fonte: sito ufficiale dell’AGCOM

L’AGCM sanziona una nota società di trasporto marittimo per circa 4 milioni di euro

Con un comunicato dello scorso 12 aprile, l’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha reso noto di aver irrogato una sanzione di oltre 3,7 milioni di euro a una storica società privata di trasporto marittimo attiva sullo Stretto di Messina.

In particolare, l’Autorità ha accertato che la Società, abusando della sua posizione di dominanza nel mercato, ha applicato prezzi ingiustificatamente gravosi per i passeggeri con auto al seguito.

Nel valutare la gravità dell’illecito concorrenziale, l’Autorità ha tenuto conto, oltre che del potere economico della società e della tipologia di servizio erogato (essenziale per molti consumatori), altresì dell’area geografica interessata, ossia lo Stretto di Messina.

Fonte: sito ufficiale dell’AGCM

L’AGCM avvia due procedimenti istruttori nei confronti per pratiche commerciali scorrette su e-commerce

Lo scorso 1° aprile, l’AGCM ha reso noto di aver avviato due procedimenti istruttori nei confronti di due note società di e-commerce al fine di indagare su presunte pratiche aggressive ed ingannevoli perpetrate dalle due società.

In particolare, le condotte oggetto dei procedimenti sarebbero state poste in essere dalle società nell’ambito dell’attività di vendita on-line attraverso i rispettivi siti internet, su cui sarebbero state pubblicate informazioni ingannevoli circa le caratteristiche principali dei prodotti commercializzati, nonché sul processo di vendita e spedizione del prodotto.

Fonte: sito ufficiale dell’AGCM

Il Governo approva il d.d.l. di revisione del Codice di Proprietà Industriale

Lo scorso 6 aprile, il Consiglio dei Ministri ha approvato il disegno di legge di revisione del Codice di Proprietà Industriale (D.lgs 30/2005), in attuazione del Piano strategico di riforma della materia definito nel giugno 2021 dal ministro dello sviluppo economico, Giancarlo Giorgetti.

Il d.d.l. punta ad un intervento organico a tutela della proprietà industriale, nell’ottica di un rafforzamento della competitività tecnologica e digitale delle imprese e dei centri di ricerca nazionali, facilitando e valorizzando la conoscenza, l’uso e la diffusione del sistema di protezione di brevetti.

Fonte: sito ufficiale dell’UIBM

L’AGCOM approva il Piano triennale di prevenzione della corruzione e della trasparenza

Lo scorso 7 aprile, l’AGCOM ha pubblicato, sul proprio sito istituzionale, la delibera n. 95/22/CONS con la quale è stato adottato in via definitiva il Piano triennale di prevenzione della corruzione e della trasparenza 2022-2024.

Nel Piano è delineata la strategia di prevenzione che sarà attuata dall’AGCOM, conformemente alle previsioni della legge n. 190 del 6 novembre 2012.

Fonte: sito ufficiale dell’AGCOM

L'articolo What’s new in Italy on <br>IP, Competition and Innovation <BR> n.3 – Aprile 2022 proviene da E-Lex.

Educazione Americana è un libro che tratta le confessioni di agente operativo italiano infiltrato della Cia americana, l’agenzia governativa che come da sua propria definizione è la prima linea di difesa degli Usa, dato che opera all’estero per difendere il paese e gli interessi americani. Nel corso degli anni abbiamo visto sullo schermo e letto tantissimo sulla Cia che specialmente in Italia è usata come capro espiatorio per tantissimi accadimenti anche nostrani, anche perché la sua presenza nel nostro paese è stata abbastanza ingombrante.

iyezine.com/fabrizio-gatti-edu…

Si è concluso mercoledì 12 aprile il primo meeting in presenza del consorzio del progetto Arcadian-IoT, tenutosi presso l’Instituto Pedro Nunes di Coimbra, in Portogallo.
E-Lex è partner del progetto, finanziato nell’ambito del programma Horizon 2020 e volto a sviluppare un quadro innovativo per la gestione della fiducia, della sicurezza e della #privacy per i sistemi IoT.
Al meeting hanno partecipato Adriana Peduto e Ariella Fonsi.
Per maggiori informazioni sul progetto Arcadian-IoT: https://www.arcadian-iot.eu/
#security #IA #blockchain #gdpr #EU

linkedin.com/posts/arcadian-io…

L'articolo Concluso il primo meeting in presenza del consorzio del progetto Arcadian-IoT proviene da E-Lex.

Intervista ad Arturo di Corinto: tra identità digitale e cyber attacchi

7 Aprile 2022

youtube.com/embed/wv-EQVQpO-0?…

Arturo di Corinto e’ giornalista e docente di identita’ digitale, privacy e cybersecurity all’Universita’ Sapienza di Roma. In Rai ha presentato Codice: la vita e’ digitale e pillole di Inclusione Digitale su RaiPlay. Ci svela la portata dei recenti attacchi cyber al nostro governo, ad aziende pubbliche e privati. Ci insegna i principi della cybersecurity, come difenderci e come raggiungere una consapevolezza digitale.

dicorinto.it/tipologia/intervi…

Con l’ordinanza n. 9920 del 28 marzo 2022, la Corte di Cassazione ha fornito preziosi chiarimenti in relazione alle campagne volte all’acquisizione del consenso al trattamento dei dati personali per finalità di marketing.

Nella pronuncia in esame, la Corte di Cassazione ha riconosciuto – accogliendo il ricorso dell’Autorità Garante per la protezione dei dati personali – l’illiceità dei trattamenti di dati personali consistenti nell’invio di comunicazioni volte a richiedere il consenso al trattamento per finalità di marketing nei confronti di interessati che in precedenza non avevano fornito o avevano ritirato tale consenso.

L’ordinanza prende le mosse da un ricorso proposto dal Garante per la protezione dei dati personali avverso la sentenza n. 10789/2019 del Tribunale di Roma, con cui il giudice di merito aveva accolto l’impugnazione, presentata da una società, avverso il provvedimento dell’Autorità n. 437 del 27 ottobre 2016. La società, nel caso di specie, aveva proceduto all’invio di comunicazioni finalizzate al recupero del consenso per finalità di marketing sia a clienti di nuova acquisizione sia a quelli già presenti nella customer base.

Il giudice di merito, in particolare, aveva ritenuto che l’art. 130, comma 1, del D. Lgs. 196/2003 (Codice Privacy), nonostante vietasse le attività promozionali o pubblicitarie in assenza di consenso, non risultasse di ostacolo all’invio di messaggi diretti proprio ad acquisire suddetto consenso, da manifestarsi poi in modo consapevole da parte del cliente e finalizzato al successivo inoltro da parte dell’azienda di offerte commerciali.

Preliminarmente, si evidenzia che nel ricorso presentato dal Garante veniva rappresentata la violazione dell’art. 2 Cost., art. 8 Cedu, art. 8 della Carta dei diritti fondamentali dell’UE, e degli artt. 6, comma 1, del Regolamento (UE) 2016/679, e 130 del Codice Privacy.

Ad avviso dell’Autorità, infatti, la società, con l’invio di sms finalizzati all’acquisizione del consenso per l’effettuazione di attività di marketing a un bacino di utenti i cui dati personali erano stati trattati in difetto del consenso originario, aveva posto in essere un’attività contra legem, costituente essa stessa un trattamento illecito di dati personali per finalità di marketing nei riguardi di chi quel consenso non lo aveva manifestato.

La Corte di Cassazione ha condiviso l’orientamento del Garante Privacy fornendo le seguenti osservazioni:

• l’art. 130, comma 1, del Codice Privacy, che disciplina le cd. “comunicazioni indesiderate”, non richiede il consenso esclusivamente per l’invio di materiale o per la vendita diretta, ma anche e più semplicemente per l’invio di generiche “comunicazioni commerciali”;
• la richiesta di consenso per l’effettuazione di successive attività promozionali costituisce essa stessa una “comunicazione commerciale”, dal momento che è teleologicamente preordinata, connessa e finalizzata all’invio di comunicazioni commerciali;
• tale considerazione era già stata sostenuta dalla Corte di Cassazione in relazione alla comunicazione telefonica finalizzata a ottenere il consenso per fini di marketing da chi l’abbia precedentemente negato, poiché la finalità alla quale è imprescindibilmente collegato il consenso richiesto per il trattamento concorre a qualificare il trattamento stesso (si veda ordinanza Cass. Civ. sez. I – 26/04/2021, n. 11019);
• il trattamento dei dati personali delle persone contattate, in assenza di consenso legittimamente manifestato, è illecito a prescindere dal fatto che l’interessato sia iscritto nel registro pubblico delle opposizioni (si veda ordinanza Cass. Civ. sez. I – 26/04/2021 n. 11019).
• l’art. 130, comma 2, del Codice Privacy, estende l’applicazione del comma 1 anche alle comunicazioni elettroniche, effettuate per finalità di marketing, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo;
• con riguardo all’invio di comunicazioni mediante sistemi automatizzati, si deve ricordare la ratio protettiva individuabile nella Direttiva cd. e-privacy 2002/58-CE, all’epoca vigente, espressamente tesa ad evitare l’utilizzo surrettizio di mezzi rivolti all’attività di marketing nonostante la mancanza di consensi esplicitamente, e anteriormente, non rilasciati dai soggetti interessati.

Indubbiamente il provvedimento della Suprema Corte interviene su una tematica centrale e dibattuta nello specifico ambito del trattamento dei dati personali per finalità di marketing.

Con l’ordinanza, in definitiva, la Cassazione afferma che tali comunicazioni configurano di per sé un trattamento illecito di dati personali, poiché la ratio sottesa alla normativa in materia di protezione dei dati personali induce ad equiparare la mancanza del consenso al dissenso, con esplicita esclusione dell’applicabilità del regime dell’opt-out della volontà dell’interessato. Di conseguenza, nel caso in cui il consenso per finalità di marketing non sia stato prestato precedentemente all’inizio del trattamento, ad esempio all’atto di stipula di un contratto o della richiesta di un servizio, non sarebbe possibile esperire successivi ed estemporanei tentativi di acquisizione in carenza di un valido presupposto di liceità del trattamento. Ciò, in particolare, ha degli effetti diretti sulle attività intraprese dai titolari del trattamento al fine di “sanare” l’assenza del consenso, poiché dovranno essere progettate tenendo conto dei principi sanciti dal Garante Privacy e ormai confermati dalla Cassazione.

Alessandro Perotti

L'articolo Corte di Cassazione: l’invio di una comunicazione per acquisire il consenso dell’utente equivale essa stessa a una comunicazione commerciale. proviene da E-Lex.

Lo scorso febbraio, la dodicesima commissione del Senato ha approvato il disegno di legge n. 1201 (cosiddetto “Sunshine Act”) relativo alla trasparenza e al diritto alla conoscenza dei rapporti – aventi rilevanza economica o di vantaggio – intercorrenti tra le imprese produttrici di farmaci, strumenti, apparecchiature, beni e servizi (anche non sanitari) ed i soggetti che operano nel settore della salute.

Il regime di pubblicità per convenzioni, erogazioni, partecipazioni e licenze

Il disegno introduce un regime obbligatorio di pubblicità per sia le convenzioni e le erogazioni in denaro, beni, servizi o altre utilità effettuate da un’impresa produttrice in favore di un soggetto operante nel settore della salute, sia per gli accordi che producano vantaggi diretti o indiretti (si pensi, ad esempio, alla costituzione di rapporti di consulenza o all’organizzazione di convegni) (art. 3).

In particolare, i soggetti obbligati saranno tenuti a comunicare le informazioni richieste dal comma 4 dell’art. 3 (tra cui gli elementi per identificare gli operatori coinvolti, il periodo e la causa dell’accordo/convenzione), entro la conclusione del semestre successivo a quello in cui le erogazioni sono state effettuate e gli accordi e le convenzioni sono stati instaurati.

Inoltre, l’art. 4 prevede un obbligo di comunicazione annua qualora uno o più soggetti operanti nel settore della salute o una o più organizzazioni sanitarie siano titolari di azioni o di quote del capitale della società (ovvero di obbligazioni dalla stessa emesse) o abbiano percepito dalla società corrispettivi per la concessione di licenze per l’utilizzazione economica di diritti di proprietà industriale o intellettuale.

Il registro istituito presso il Ministero della salute

Al fine di effettuare le summenzionate comunicazioni, l’art. 5 istituisce un registro pubblico telematico presso il sito istituzionale del Ministero della salute, denominato “ Sanità trasparente ”.

Il registro sarà liberamente accessibile per la consultazione secondo gli standard degli open data e, in particolare, le comunicazioni saranno consultabili per cinque anni dalla data della pubblicazione sul registro.

Le sanzioni previste

Il Sunshine Act introduce, infine, un regime sanzionatorio a fronte dell’inadempimento dei neo introdotti obblighi di comunicazione.

In particolare, l’art. 6, dopo aver specificato che le imprese produttrici sono responsabili della veridicità dei dati contenuti nelle comunicazioni, prevede diverse sanzioni amministrative di tipo pecuniario per l’impresa che ometta di eseguire la comunicazione o che fornisca informazioni incomplete.

I provvedimenti che irrogano dette sanzioni saranno pubblicati in un’apposita sezione del registro e rese altresì accessibili sul sito del Ministero della salute pubblica per un periodo non inferiore a novanta giorni.

Ariella Fonsi

L'articolo Trasparenza nel settore salute: il Senato approva il Sunshine Act proviene da E-Lex.

Giovanni Maria Riccio prenderà parte, come relatore, alla Conferenza Internazionale “Privacy Symposium”, che si terrà a Venezia dal 5 al 7 aprile 2022.

La relazione del prof. Riccio verterà su contitolarità dei dati e strategie di marketing.

Ulteriori informazioni qui: (privacysymposium.org/)

L'articolo Giovanni Maria Riccio relatore alla Conferenza Internazionale “Privacy Symposium” proviene da E-Lex.

Lo scorso 25 marzo, Biden e la Van der Leyen hanno annunciato di aver trovato un accordo sul trasferimento dei dati personali tra Europa e Stati Uniti, che dovrebbe sostituire il Privacy Shield, il precedente accordo invalidato dalla Corte di Giustizia con la sentenza Schrems II.
Ne parliamo giovedì prossimo, in un incontro nell’ambito del Master universitario Responsabile della Protezione dati personali DPO e Privacy Expert con il prof. Carlo Colapietro, direttore del Master, Bruno Gencarelli, Head of Unit – International Data Flows and Protection della Commissione europea, Luigi Montuori, Direttore del servizio relazioni comunitarie e internazionali del The Italian Data Protection Authority e Stefano FRATTA, Direttore Privacy Emea di Meta.
Davvero un’occasione da non perdere, considerata l’attualità del tema.
Nella segreteria organizzativa figurano Francesco Laviola, Fabiola Iraci Gambazza e Andrea Giubilei di E-Lex.

L'articolo Accordo sul trasferimento dei dati personali tra Europa e Stati Uniti proviene da E-Lex.