Intervista a Arturo Di Corinto SkyTg24 12 Marzo 2022

dicorinto.it/articoli/intervis…

Sicurezza informaticaAumenta il rischio cyber per le pubbliche amministrazioni italiane

Il conflitto tra Russia e Ucraina ha scatenato in Europa anche una vera e propria cyberwar. In queste settimane l’Agenzia per la cybersicurezza nazionale e il Computer Security Incident Response Team – Italia hanno più volte messo in evidenza che anche le amministrazioni italiane devono prestare particolare attenzione alla sicurezza informatica alla luce dell’aumentare delle attività malevole.

Leggi la news

Cloud della PAOnline la Circolare esplicativa AGID

L’Agenzia per l’Italia Digitale ha pubblicato una nuova Circolare, la n.1 del 28 febbraio 2022, sul tema del cloud della PA. Il documento fornisce alle amministrazioni e ai loro fornitori alcuni chiarimenti, indicazioni ed elementi informativi per l’applicazione univoca delle norme del nuovo Regolamento sul “Cloud della PA” pubblicato lo scorso dicembre.

Consulta la circolare

AccessibilitàDisponibile lo strumento per la definizione e pubblicazione degli obiettivi annuali di accessibilità

L’Agenzia per l’Italia Digitale ha pubblicato lo strumento per la definizione e pubblicazione degli obiettivi annuali di accessibilità. A partire da quest’anno, la pubblicazione degli obiettivi di accessibilità potrà essere effettuata dal Responsabile della transizione digitale (RTD) sul portale form.agid.gov.it nella apposita sezione dedicata agli Obiettivi di Accessibilità.

Ricordiamo che le amministrazioni devono provvedere entro il 31 marzo prossimo.

Consulta la nota AGID

Identità digitale AGID adotta le Linee guida SPID per minori

L’Agenzia per l’Italia Digitale ha pubblicato le Linee guida operative per il rilascio dell’identità digitale in favore dei minori. Le Linee guida consentiranno ai ragazzi – dai 5 anni in poi – di ottenere e usare SPID per l’accesso ai servizi digitali sotto la supervisione dei genitori.

Leggi la notizia

Anticorruzione e trasparenzaPrevenzione della corruzione e della trasparenza: istituito il Registro dei Responsabili

L’Autorità nazionale anticorruzione ha istituito il Registro dei Responsabili della prevenzione della corruzione e della trasparenza (Rpct). L’introduzione del registro ha il fine di rendere rapida ed efficace l’interlocuzione tra i responsabili presenti nelle amministrazioni e negli enti.

La costituzione del Registro è, inoltre, funzionale alla creazione di una rete nazionale dei Responsabili stessi.

Consulta la nota ANAC

L'articolo What’s new in Italy on Digital Administration<BR> n.2 – Marzo 2022 proviene da E-Lex.

Dopo una lunga “gestazione”, è stata finalmente approvata la “Personal Information Protection Law” (PIPL), la nuova legge cinese in materia di protezione dei dati personali, in vigore dal 1° novembre 2021.

L’ordinamento cinese, con una scelta fondamentale in un’economia globalizzata, ha deciso di seguire le tracce dell’Unione europea, andando a ricalcare molte delle disposizioni presenti nel GDPR.

Innanzi tutto, l’ambito di applicazione della nuova normativa, che abbraccia tre casistiche principali: a) le attività di trattamento svolte nel territorio cinese; b) la fornitura di prodotti o servizi ai cittadini cinesi oppure l’analisi dei loro comportamenti; c) tutti gli altri casi previsti dalle leggi speciali nazionali.

Nel caso in cui un soggetto stabilito fuori dal territorio cinese tratti dati personali che rientrano nel perimetro del PIPL, allora, ai sensi dell’articolo 53, sarà tenuto ad avere uno stabilimento in Cina o a designare un rappresentante, segnalando il ​​nome e le informazioni di contatto di quest’ultimo all’autorità competente. Così come il GDPR, l’art. 72 PIPL specifica che la nuova legge non trova applicazione ai trattamenti dei dati personali effettuati da persone fisiche per ragioni personali o domestiche.

Allo stesso modo, la PIPL segue la bipartizione tra titolare e responsabile, individuando le figure relative sullo schema tracciato dal Regolamento europeo: il titolare, quindi, è colui che decide finalità e mezzi del trattamento, il responsabile, invece, è colui che agisce, all’interno di un modello assimilabile ad un rapporto di mandato, seguendo le istruzioni del titolare.

Forti analogie si rinvengono anche nelle informazioni – assimilabili a quelle elencate dall’art. 13 GDPR – che devono essere fornite al soggetto interessato al momento della raccolta dei dati.

Simili sono i riferimenti ai dati relativi a credenze religiose e stato di salute, mentre, all’interno della categoria, al contrario di quanto avviene nel modello giuridico europeo, ricadono anche i dati di natura finanziaria e, in generale, sullo stato patrimoniale di un soggetto. Con una previsione rilevante, considerando le polemiche recenti che avevano interessato il governo cinese, sono ritenuti dati sensibili anche le informazioni di natura biometrica. Inoltre, anche i dati relativi ai minori di anni quattordici sono tutelati in forma rafforzata, come le informazioni sulla geolocalizzazione dei soggetti interessati.

Una sotto-categoria piuttosto ampia di dati sensibili è quella che concerne le informazioni che possono causare, in caso di divulgazione illecita, danno alla dignità delle persone, alla sicurezza nazionale o alla proprietà: una definizione forse eccessivamente vasta, che rispecchia un rapporto ancora sbilanciato tra individui e potere politico.

Infine, le diverse basi giuridiche che legittimano il trattamento dei dati rispecchiano, talvolta molto fedelmente, quelle enumerate dal GDPR. Innanzi tutto, il consenso che, in maniera identica a quanto accade in Europa, deve essere libero, specifico e revocabile, così come sancito dall’art. 14 PIPL. Tale consenso – e si tratta di un’ulteriore analogia con quanto disciplinato dal GDPR – non è necessario qualora i dati siano necessari per la conclusione o l’esecuzione di un contratto oppure per adempiere ad un obbligo previsto dalla normativa. Similitudini possono essere ritrovate nella fattispecie che legittima il trattamento dei dati in caso di emergenza sanitaria pubblica o per proteggere la vita, la salute o la proprietà di una persona fisica, sempre nell’ipotesi di emergenza sanitaria.

Un caso a sé, che non è dato rinvenire nella legislazione comunitaria, è quello che interessa il trattamento per motivi di cronaca, per motivi di natura politica, o comunque per uno scopo di interesse pubblico. Infine, come clausola generale, è sancita la liceità nel trattamento dei dati laddove previsto espressamente dalla legislazione nazionale.

Di là dall’analisi delle singole disposizioni, è sicuramente importante che l’ordinamento cinese abbia optato per un rinforzamento delle garanzie offerte ai propri cittadini, imitando molte delle previsioni – anche in relazione, ad esempio, ai diritti riconosciuti ai soggetti interessati – già previste dal GDPR. In questo modo, si apre la strada anche ad una possibile decisione di adeguatezza da parte della Commissione nei confronti della Cina, che potrebbe semplificare sensibilmente il traffico transfrontaliero dei dati.

Una traduzione in inglese del testo approvato è disponibile qui.

Giovanni Maria Riccio

L'articolo La nuova legge cinese sul trattamento dei dati: una porta spalancata verso l’Europa? proviene da E-Lex.

Dopo una lunga “gestazione”, è stata finalmente approvata la “Personal Information Protection Law” (PIPL), la nuova legge cinese in materia di protezione dei dati personali, in vigore dal 1° novembre 2021.

L’ordinamento cinese, con una scelta fondamentale in un’economia globalizzata, ha deciso di seguire le tracce dell’Unione europea, andando a ricalcare molte delle disposizioni presenti nel GDPR.

Innanzi tutto, l’ambito di applicazione della nuova normativa, che abbraccia tre casistiche principali: a) le attività di trattamento svolte nel territorio cinese; b) la fornitura di prodotti o servizi ai cittadini cinesi oppure l’analisi dei loro comportamenti; c) tutti gli altri casi previsti dalle leggi speciali nazionali.

Nel caso in cui un soggetto stabilito fuori dal territorio cinese tratti dati personali che rientrano nel perimetro del PIPL, allora, ai sensi dell’articolo 53, sarà tenuto ad avere uno stabilimento in Cina o a designare un rappresentante, segnalando il ​​nome e le informazioni di contatto di quest’ultimo all’autorità competente. Così come il GDPR, l’art. 72 PIPL specifica che la nuova legge non trova applicazione ai trattamenti dei dati personali effettuati da persone fisiche per ragioni personali o domestiche.

Allo stesso modo, la PIPL segue la bipartizione tra titolare e responsabile, individuando le figure relative sullo schema tracciato dal Regolamento europeo: il titolare, quindi, è colui che decide finalità e mezzi del trattamento, il responsabile, invece, è colui che agisce, all’interno di un modello assimilabile ad un rapporto di mandato, seguendo le istruzioni del titolare.

Forti analogie si rinvengono anche nelle informazioni – assimilabili a quelle elencate dall’art. 13 GDPR – che devono essere fornite al soggetto interessato al momento della raccolta dei dati.

Simili sono i riferimenti ai dati relativi a credenze religiose e stato di salute, mentre, all’interno della categoria, al contrario di quanto avviene nel modello giuridico europeo, ricadono anche i dati di natura finanziaria e, in generale, sullo stato patrimoniale di un soggetto. Con una previsione rilevante, considerando le polemiche recenti che avevano interessato il governo cinese, sono ritenuti dati sensibili anche le informazioni di natura biometrica. Inoltre, anche i dati relativi ai minori di anni quattordici sono tutelati in forma rafforzata, come le informazioni sulla geolocalizzazione dei soggetti interessati.

Una sotto-categoria piuttosto ampia di dati sensibili è quella che concerne le informazioni che possono causare, in caso di divulgazione illecita, danno alla dignità delle persone, alla sicurezza nazionale o alla proprietà: una definizione forse eccessivamente vasta, che rispecchia un rapporto ancora sbilanciato tra individui e potere politico.

Infine, le diverse basi giuridiche che legittimano il trattamento dei dati rispecchiano, talvolta molto fedelmente, quelle enumerate dal GDPR. Innanzi tutto, il consenso che, in maniera identica a quanto accade in Europa, deve essere libero, specifico e revocabile, così come sancito dall’art. 14 PIPL. Tale consenso – e si tratta di un’ulteriore analogia con quanto disciplinato dal GDPR – non è necessario qualora i dati siano necessari per la conclusione o l’esecuzione di un contratto oppure per adempiere ad un obbligo previsto dalla normativa. Similitudini possono essere ritrovate nella fattispecie che legittima il trattamento dei dati in caso di emergenza sanitaria pubblica o per proteggere la vita, la salute o la proprietà di una persona fisica, sempre nell’ipotesi di emergenza sanitaria.

Un caso a sé, che non è dato rinvenire nella legislazione comunitaria, è quello che interessa il trattamento per motivi di cronaca, per motivi di natura politica, o comunque per uno scopo di interesse pubblico. Infine, come clausola generale, è sancita la liceità nel trattamento dei dati laddove previsto espressamente dalla legislazione nazionale.

Di là dall’analisi delle singole disposizioni, è sicuramente importante che l’ordinamento cinese abbia optato per un rinforzamento delle garanzie offerte ai propri cittadini, imitando molte delle previsioni – anche in relazione, ad esempio, ai diritti riconosciuti ai soggetti interessati – già previste dal GDPR. In questo modo, si apre la strada anche ad una possibile decisione di adeguatezza da parte della Commissione nei confronti della Cina, che potrebbe semplificare sensibilmente il traffico transfrontaliero dei dati.

Una traduzione in inglese del testo approvato è disponibile qui.

Giovanni Maria Riccio

L'articolo La nuova legge cinese sul trattamento dei dati: una porta spalancata verso l’Europa? proviene da E-Lex.

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Intervista Arturo Di Corinto a Rainews24

ospite di Rainews24 per parlare dell’allarme lanciato dall’ACN di cui avevo scritto subito per La Repubblica

Nell’intervista abbiamo parlato della guerra cibernetica che complica il conflitto militare Russo-ucraino. Ecco perchè:

a) Tutti i giorni ci sono attacchi informatici verso l’Italia, ma stavolta volume, contesto e target sono particolari ed è bene parlarne.
b) è importante infatti secondo me sollecitare una maggiore riflessione su quello che sta accadendo a ogni livello sociale, dal reparto contabilità delle aziende, al front office degli ospedali;
c) alzare il livello di allerta è poi il motivo per cui Agenzia per la Cybersicurezza Nazionale ha diramato l’allarme che è arrivato ai media potenziandone il reach: lo scopo era la sensibilizzazione. E io ritengo che i media servano esattamente a questo, a creare #awareness e conoscenza;
d) l’allarme era TLP: amber e poi diventato white, quindi era giusto scriverne e parlarne.

Attacco informatico: comunicazione agli interessati e riscontro documentato al Garante Privacy

Il Garante per la protezione dei dati personali, con provvedimento n. 21 del 27 gennaio 2022, si è pronunciato su una comunicazione relativa ad un incidente di sicurezza. La violazione dei dati personali è stata provocata da un attacco informatico ransomware, che ha comportato la crittografia dei dati contenuti nei server e nei pc del titolare del trattamento (con conseguente impossibilità di accedervi ed elaborarli) e la probabile esfiltrazione degli stessi.

Il titolare del trattamento, tuttavia, non aveva comunicato l’incidente agli interessati coinvolti, ai sensi dell’art. 34 del GDPR, sebbene la violazione dei dati personali potesse presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Pertanto, l’Autorità ha ordinato al titolare del trattamento di comunicare la violazione dei dati personali agli interessati e di fornire un riscontro adeguatamente documentato sulle misure adottate per mitigare i possibili effetti pregiudizievoli della violazione per gli interessati.

Leggi il provvedimento

Garante Privacy: tutele per la fruizione dei servizi SPID da parte dei minori

Il Garante per la protezione dei dati personali, nel parere reso sullo schema delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori”, proposto da AgID (Agenzia per l’Italia Digitale), ha individuato le garanzie per l’utilizzo del Sistema pubblico di identità digitale (SPID) da parte dei minori.

Infatti, i trattamenti concernenti il rilascio dello SPID e il suo utilizzo per l’accesso ai servizi online espongono i minori a rischi che richiedono una specifica protezione, con l’adozione di adeguate misure per mitigarli, distinguendo tra gli ultraquattordicenni e gli infraquattordicenni in ragione del diverso grado di maturità e consapevolezza.

I ragazzi sopra i quattordici anni potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla Pubblica Amministrazione a loro rivolti. I più piccoli invece potranno utilizzarlo solo per i servizi online forniti dalle scuole. Saranno i genitori a richiedere lo SPID per loro.

Leggi il provvedimento

Tribunale di Roma: legittima la richiesta di accesso della moglie per il recupero dei dati personali dagli account del marito deceduto.

Il Tribunale di Roma, in un’ordinanza concernente la richiesta di accesso della moglie per il recupero dei dati personali dagli account del marito deceduto, ha stabilito che le “ragioni familiari meritevoli di protezione” ex art. 2-terdecies d.lg n. 196/2003 prevalgono sulla clausola di intrasmissibilità dei diritti sui contenuti stipulata dall’internet service provider con l’utente, poi deceduto, che ha aderito alle condizioni generali.

Leggi l’ordinanza

DPA Belga: il TCF di IAB Europe viola il GDPR

L’Autorità per la protezione dei dati belga, con la decisione n. 21 del 2 febbraio 2022, ha stabilito che il Transparency and Consent Framework (TCF), sviluppato da IAB Europe, non è conforme a d alcune disposizioni del GDPR. Il TCF è un meccanismo diffuso che facilita la gestione delle preferenze dell’utente per la pubblicità personalizzata online, e che gioca un ruolo chiave nel cosiddetto Real Time Bidding (RTB). L’Autorità ha multato IAB Europe per 250.000 euro e ha concesso all’associazione due mesi per presentare un piano d’azione per allineare le sue attività.

Il Garante ha stabilito, in particolare, che il TCF viola le disposizioni di cui agli artt. 5, comma 1 (lett. a ed f), 6, 12, 13, 14, 25, 32, 37-39, del Regolamento (UE) 2016/679.

Si tratta di una decisione dalla portata dirompente, in special modo se si considera che migliaia di operatori nel campo della pubblicità digitale basano la propria attività sugli standard fissati dal TCF.

Leggi il provvedimento

CSIRT Italia: allerta cyber per la situazione in Ucraina

Il 14 febbraio 2022 lo CSIRT (Computer Security Incident Response Team) Italia, istituito presso l’ACN (Agenzia per la Cybersicurezza Nazionale), ha diramato un bollettino in cui prescrive regole e metodi per l’innalzamento delle misure di prevenzione e monitoraggio delle infrastrutture ICT nazionali da possibili rischi cyber derivanti dalla situazione ucraina. In particolare, sono soggetti a rischio gli enti, le organizzazioni e le aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche.

Pertanto, in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza ed al rispetto delle misure previste dalla legislazione vigente, lo CSIRT raccomanda di elevare il livello di attenzione adottando in via prioritaria, adottando alcune misure organizzative e tecniche.

Leggi il bollettino

L'articolo What’s new in Italy on Data Protection<BR> n.2 – Marzo 2022 proviene da E-Lex.

Lo scorso 11 febbraio, l’Agencia Española de Protección de Datos (“AEPD”) pubblicava il provvedimento sanzionatorio di 2 milioni di euro nei confronti di Amazon Spagna per la richiesta del certificato del casellario giudiziale nei confronti dei dipendenti1; contemporaneamente, in Italia, il 15 febbraio, il Consiglio di Stato emanava parere sullo schema di regolamento recante l’individuazione dei trattamenti dei dati personali relativi a condanne penali e reati e le relative appropriate garanzie ai sensi dell’art. 2-octies, comma 2, del Codice Privacy.

Si osserva, quindi, che il trattamento dei dati giudiziari sta assumendo il ruolo di protagonista dopo anni di silenzio sul tema, presentando nuove sfide, nonché criticità che meritano un approfondimento.

Brevi cenni sulla normativa europea sul trattamento dei dati giudiziari

Con l’entrata in vigore del Regolamento UE 679/2016, anche detto “GDPR”, il trattamento dei dati giudiziari è stato disciplinato dall’art. 10 e dal Considerando n. 192.

In particolare, l’art. 10 GDPR prevede che il trattamento relativo a condanne penali e ai reati o connesse misure di sicurezza deve avvenire in presenza di una delle basi giuridiche di cui all’art. 6 del GDPR e di una delle seguenti condizioni: o sotto il controllo di un’autorità pubblica oppure se il diritto dell’Unione europea o quello di uno degli Stati membri ne fornisce un’espressa autorizzazione.

Inoltre, il Considerando n. 19 specifica che il trattamento dei dati giudiziari di cui all’art. 10 fa riferimento unicamente a quello svolto da parte dei soggetti privati. Difatti, il trattamento dei dati giudiziari da parte di soggetti pubblici rientra nella disciplina di cui alla legge al D. Lgs. n. 51 del 2018, attuativo della Direttiva UE 680/2016, in materia di trattamenti dei dati personali da parte delle autorità competenti di prevenzione, indagine, accertamento e perseguimento di reati o esecuzioni di sanzioni penali3.

Risulta che, insieme ai dati appartenenti alle categorie particolari di cui all’art. 9 del GDPR, i dati identificati in dati giudiziari sono oggetto di una tutela più stringente ed implicante degli adempimenti più gravosi in capo al titolare e al responsabile del trattamento. La ratio di una maggiore tutela deve essere individuata nel possibile rischio, in termini di probabilità e gravità, che dal trattamento di questa tipologia di dati possa derivare un danno fisico, materiale o immateriale, per i diritti e le libertà delle persone fisiche.

Cosa è successo in Spagna?

L’Unione generale dei lavoratori (Unión General de Trabajadores, ‘UGT’)presentava reclamo di fronte all’AEPD contro Amazon Spagna (“Amazon” o “Società”), con riferimento al fatto che, nel corso del processo di assunzione dei dipendenti, Amazon richiedeva ai potenziali candidati di presentare il certificato del casellario giudiziale. La Società, infatti, chiedeva, sulla base del legittimo interesse, di poter verificare la presenza di precedenti dei dipendenti con mansione di “autisti di veicoli”, al fine di proteggere l’incolumità dei clienti con i quali sarebbero entrati in contatto.

In particolare, il trattamento dei dati giudiziari dei candidati dipendenti, per il tramite del certificato del casellario giudiziale, era compiuto sulla base del consenso del futuro dipendente. Nel corso del processo di assunzione, ai candidati era richiesto di creare un account su di una piattaforma adibita di gestione e di titolarità Amazon e di caricare il certificato, previo consenso del candidato dipendente. Inoltre, il consenso era richiesto anche per il trasferimento dei dati – inclusi quelli giudiziari – anche nei confronti di soggetti terzi, residenti al di fuori dello Spazio economico europeo (“SEE”), sulla base di standard contractual clauses.

Amazon si difendeva sostenendo che ai candidati era richiesto solo un certificato “negativo”, ossia una dichiarazione di assenza di precedenti, non costituendo – a sua detta – un trattamento di dati giudiziari.

L’Autorità spagnola accoglieva il reclamo presentato dall’UGT, sulla scorta delle motivazioni che seguono.

In primo luogo, secondo quanto previsto dall’Art. 10 del Regolamento e dall’art. 10 della Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (“Ley Orgánica”)4, l’AEPD affermava che anche il certificato negativo attestante l’assenza di precedenti a proprio carico contiene dati personali. Pertanto, per aversi un lecito trattamento degli stessi, le condizioni previste nei già menzionati articoli avrebbero dovuto essere rispettate. Tuttavia, l’AEPD osservava che in Spagna non vi è né nel diritto dell’UE né nel diritto spagnolo una norma che autorizzi il trattamento e che, di conseguenza, gli argomenti di Amazon, basati sulla finalità del legittimo interesse e sulla necessità del trattamento, non possono essere accolti.

In particolare, l’AEPD si concentrava sul legittimo interesse, segnalando che – anche qualora per assurdo volesse ammettersi la liceità di tale base giuridica – Amazon non aveva in ogni caso provveduto a dare prova del bilanciamento effettuato tra il legittimo interesse e gli altri diritti ed interessi in gioco, tenendo in considerazione anche i principi di cui all’art. 5 del GDPR, soprattutto quello di minimizzazione. Con riguardo invece al consenso, l’AEPD rilevava che per aversi la validità e la liceità, è necessario che sia libero, valido ed inequivocabile. In questo caso, invece, i candidati non avrebbero avuto la possibilità di rifiutarsi nel rendere il consenso al rilascio del certificato del casellario giudiziale, in quanto imposto nella fase pre-contrattuale. Vi è di più. A parere dell’autorità spagnola, Amazon non avrebbe nemmeno reso nemmeno un’adeguata informativa nei confronti degli interessati, nel rispetto degli artt. 13 e 14 del GDPR.

Con riferimento al consenso richiesto per il trasferimento dei dati nei confronti di terzi localizzati al di fuori del SEE, l’autorità spagnola ha rilevato che, anche con riferimento a questo caso, il consenso non possa ritenersi valido ai sensi dell’art. 49 del GDPR, in combinato disposto con l’art. 7 del GDPR, in quanto il consenso era richiesto all’interno del contratto senza la possibilità di rifiutare e senza alcuna preliminare informazione riguardo ai potenziali rischi derivanti dal trasferimento dei dati5.

Pertanto, a fronte di tali motivi, l’Autorità ha irrogato una sanzione di euro 2,000,000 per aver violato degli artt. 6, 10 del GDPR e dell’art. 10 della Ley Orgánica, a fronte della richiesta – in assenza di una valida e lecita base giuridica – dei certificati del casellario giudiziali nel corso del processo di assunzione dei dipendenti, illecitamente6.

Che cosa succede in Italia?

In Italia, in materia di trattamento dei dati giudiziari, il legislatore è intervenuto con il D. Lgs. 101 del 2018, modificativo del codice privacy di cui al D.lgs. 196/2003, introducendo una norma ad hoc, ossia l’art. 2-octies.

In particolare, il comma 1 dell’art. 2-octies riproduce l’art. 10 del GDPR, prevedendo che il trattamento dei dati giudiziari può avvenire in subordine alle condizioni predette, ossia: i) sulla base di una delle condizioni di liceità ai sensi dell’art. 6 del GDPR; ii) sotto il controllo dell’autorità pubblica o se autorizzato da legge del diritto dell’UE o nazionale, in presenza di garanzie adeguate. La differenza con l’art. 10 GDPR sta nel fatto che il trattamento dei dati giudiziari può avvenire anche nel caso in cui sia autorizzato da un regolamento, nei casi previsti dalla legge.

L’art. 2-octies, al comma 2, inoltre, prevede che, in mancanza di disposizioni di legge o di un regolamento, il trattamento dei dati giudiziari e le relative garanzie sono individuati dal decreto del Ministero della giustizia da adottarsi, ai sensi dell’articolo 17, co. 3, della legge 23 agosto 1988, n. 400, sentita l’Autorità Garante per la protezione dei dati personali (il “Garante”)7. A tal riguardo, il Ministero della giustizia ha presentato uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2-octies, comma 2. Difatti, lo schema di regolamento dovrebbe consistere nel contenuto del decreto di cui all’art. 2-octies, co. 2.

Nello schema di regolamento sono specificati gli ambiti entro i quali il trattamento dei dati giudiziari – in assenza di un’autorizzazione da parte della legge o di un regolamento – è da considerare lecito. Tali ambiti riproducono quelli dell’art. 2-octies, co. 3, tra i quali, a titolo esemplificativo: i) trattamento di dati giudiziari in ambito lavorativo; ii) trattamento di dati giudiziari al fine di verificare o accertare i requisiti di onorabilità, soggettivi e presupposti interdittivi; iii) trattamento di dati giudiziari al fine di accertare, esercitare o difendere un diritto in sede giudiziaria etc.

Secondo quanto previsto dalla procedura di approvazione del decreto, il Garante è stato interpellato con riguardo allo schema di regolamento e ha reso parere favorevole circa il contenuto, suggerendo alcune integrazioni. Allo stesso modo, il Consiglio di Stato ha reso parere che, seppur favorevole, ha rivelato forti criticità circa la formulazione di alcune disposizioni.

Il Ministero della giustizia, quindi, in seguito all’interpello delle autorità, è tenuto a procedere alla revisione dello schema di regolamento che, alla luce delle numerose indicazioni, cambierà indubbiamente nel suo contenuto.

In particolare, a parere di chi scrive e in ragione altresì delle argomentazioni del Consiglio di Stato, sembrano esservi numerose incertezze sull’interpretazione delle disposizioni contenute nello schema di regolamento. Merita segnalare con particolar attenzione la difficoltà nell’individuazione della base giuridica legittimante il trattamento dei dati giudiziari. Difatti, le disposizioni contenute nello schema di regolamento dovrebbero fungere da base giuridica legittimante, nei casi in cui non vi è una legge e/o un regolamento.

Tuttavia, a parte l’assenza di una chiarezza del dettato letterale, ciò che creerebbe confusione è il costante rinvio nelle disposizioni dello schema di Regolamento al GDPR e alle condizioni di cui all’art. 10, nonché ad una legge o un regolamento autorizzativi che non esistono.

Parallelismo: quali tratti comuni?

Nonostante trattasi di due “casi” differenti, ciò che emerge chiaramente è un quadro controverso in Europa in relazione al trattamento dei dati giudiziari.

Da un lato, in Spagna, vi è il mancato adeguamento al quadro legislativo in vigore – che riflette quanto previsto dal GDPR e non ha subito integrazioni dalla legge nazionale – da parte di una grande multinazionale; dall’altro lato, in Italia, un sistema normativo sulla disciplina dei dati giudiziari in evoluzione che affronta numerose criticità, nel tentativo di rispondere a quanto richiesto dell’art. 2-octies, co. 2 sin dalla sua entrata in vigore nel 2018. Ed è da questo parallelismo che, nel complesso, sembrerebbe emergere una difficoltà nell’applicazione, nell’interpretazione e nell’evoluzione della normativa vigente in ambito di trattamento dei dati giudiziari, normativa che vorrebbe rispondere alle vecchie e nuove necessità presenti all’interno della società, ma che fatica a farlo.

Fabiola Iraci Gambazza

1 aepd.es/es/documento/ps-00267-…

2 garanteprivacy.it/web/guest/ho…

3 gazzettaufficiale.it/eli/id/20…

4 boe.es/boe/dias/2018/12/06/pdf…

5 In verità, il trasferimento come regolamentato dalle SCC concluse da Amazon con i terzi è da ritenersi lecito, secondo quanto previsto dall’art. 46 del GDPR.

6 L’AEPD ha ordinato ad Amazon anche la produzione della documentazione al fine di accertare che le procedure in atto da parte di Amazon siano compliant con il GDPR. Nello specifico, è necessario dare prova del fatto che Amazon non richiede il certificato del casellario giudiziale e che i dati precedentemente raccolti per il tramite del casellario sono stati effettivamente distrutti.

7 In assenza di un decreto, il Garante ha provveduto a chiarire che per il trattamento da parte di privati, di enti pubblici economici non si applicava la precedente Autorizzazione Generale del Garante n. 7/2016, ma le Autorizzazioni generali adottate in data 15 dicembre 2016 ed efficaci dal 1° gennaio 2017 fino al 24 maggio 2018 per alcuni trattamenti di dati sensibili e di dati giudiziari.

L'articolo Nuove sul trattamento dei dati giudiziari: il parallelismo tra Spagna e Italia proviene da E-Lex.

NFTs are the trend of the moment and the early indicator of the IP legal implications that virtual reality could entail in the near future. It is not yet clear to what extent businesses will take advantage of the e-commerce opportunities offered by NFTs, but expectations are high, while grey areas are thick. The recent case involving Hermés and the artist Mason Rothschild sheds a light on the trademark law implications in the virtual world.

In the words of Marty Resnick, research vice president at Gartner, “vendors are already building ways for users to replicate their lives in digital worlds”, i.e. what it is now referred to as the Metaverse). Metaverse is a collective virtual shared space, created by the convergence of virtually enhanced physical and digital reality. It is persistent, providing enhanced immersive experiences, as well as device independent and accessible through any type of device[1]. In this context, trading virtual commodities seems very concrete rather than virtual; some of these commodities are even authenticated by means of NFTs (“Non Fungible Tokens”). These are unique digital certificates, registered in blockchains, that are used to record ownership of a digital commodity such as an artwork or a collectible[2]. NFTs are increasingly used by famous brands online to certify the authenticity and uniqueness of their products carrying well-known trademarks. Despite their authenticity, these secure and certified virtual items still lack regulation and have raised concerns in numerous areas of intellectual property, including trademark law[3].

One of the main issues arising from the relationship between legitimate trademark owners and NFT traders is the damage suffered for “dilution”. This action consists of blurring the well-known trademark’s distinctive character through another sign used by a third party for his products. The latter adopts the copycat sign on goods and services which are similar or dissimilar to the ones bearing the original trademark. As a consequence, the presence of two confusingly similar or identical signs on the market blurs the identity of the well-known trademark upon the public’s mind[4], reducing goodwill. As far as the metaverse is concerned, dilution is a direct consequence of the lack of registration of the relevant trademark classes before relevant authorities (for example, class 9 of the Nice Classification: digital media).

In this regard, at the beginning of 2022, Hermès filed an anti-dilution lawsuit against Mason Rothschild, the artist behind the collection “100 MetaBirkins”[5]. MetaBirkins are NFTs that depict furry renderings of the renowned Birkin bag. They are traded on the NFT platform “OpenSea”[6]. In the complaint that it filed before the New York Federal Court, Hermès claims that Mason Rothschild is “a digital speculator who is seeking to get rich quick by appropriating the brand MetaBirkins for use in creating, marketing, selling, and facilitating the exchange of digital assets known as non- fungible tokens” which simply “rip off Hermès’ famous BIRKIN trademark by adding the generic prefix ‘meta”[7].

Indeed, MetaBirkins are commercialized using a recurring series of identifiers bearing the reputable trademark belonging to Hermés. For this reason, the claimant places dilution side by side to unfair competition. Elements supporting this interpretation are, for instance, the URL containing the term “Birkin”, the bag design of the NFT being unequivocally the registered Birkin bag depiction and, clearly, the name itself of the digital commodity and its exorbitant price. As a consequence, it seems that the exploitation of the Birkin sign allows Mr. Rothschild to cash in on the reputation he has done nothing to establish[8]. Hermès is on this same page, claiming that the buyer might be misled by the use of the term Birkin by believing that the expensive NFT is associated with its products. According to Hermès, Mason Rothschild’s conduct distorts the origin of the virtual good; therefore, “[b]y falsely suggesting a connection with or sponsorship by Hermès, Mason Rothschild is likely to cause public confusion constituting unfair competition”.[9]

As a further step, it is worth mentioning the IP institution called “secondary meaning”, claimed by Hermès in favor of his sign. According to U.S. Law[10], to establish secondary meaning, it must be shown that the primary significance of the term in the minds of the consuming public is not the product but the producer[11]. Secondary enhances the distinctive character of the trademark acquired through its commercial use. In this regard, according to plaintiff, “the Birkin trademark has come to have a secondary meaning indicative of origin, relationship, sponsorship and/or association with Hermès and its distinctive reputation for high quality”. The public is likely to consider Mason Rithschild’s use of the MetaBirkins sign as authorized, licensed or associated to Hermés, and purchase the NFTs in this erroneous belief[12].

According to Hermès, its trademark has acquired a certain degree of secondary meaning and distinctiveness. Speaking of which, the prefix “meta” might not have the degree of distinctiveness which is necessary to distance the association of the expensive Rothschild’s NFT from the status symbol Birkin-ish design, since it is considered as being too generic[13].

The fact remains that Hermès has not registered “Birkin” for digital goods class. This lack of action originates a grey area leading to numerous questions, such as: to what extent is the metaverse approachable to real world case scenarios? Many other brands, such as Nike, have used NFTs as a digital certificate of authenticity[14] and this solid IP trouble for virtual items might be only at its early stage.

Edoardo Di Maggio

[1] gartner.com/en/newsroom/press-…

[2] collinsdictionary.com/us/dicti…

[3] blogs.orrick.com/blockchain/th…

[4] Intel [2008] E.C.R. I-08823

[5] jdsupra.com/legalnews/outcome-…

[6] Following a cease and desist letter lodged by Hermès to OpenSea, the NFT trading platform eliminated MetaBirkins fromtheir websites. Nevertheless, Mason Rthschild moved articles on other NFT trading platforms, such as “Rarible”, rarible.com.

[7] United States District Court Southern District Of New York, HERMÈS INTERNATIONAL and HERMÈS OF PARIS, INC., against Mason Rothschild, filed 01/14/22.

[8] Hazel Carty, “Dilution and passing-off: Cause of concern”,(1996) 112 (October) LQR 632-66.

[9] Id. fn. 7.

[10] law.cornell.edu/wex/lanham_act

[11] Ralston Purina Co. v. Thomas J. Lipton, Inc., 341 F. Supp. 129, 133, 173 USPQ 820, 823 (S.D.N.Y. 1972) .

[12] Id. fn. 7.

[13] tmep.uspto.gov/RDMS/TMEP/curre…

[14]

L'articolo Metaverse and trademark dilution: Hermès International and Hermès of Paris, Inc., against Mason Rothschild proviene da E-Lex.

#CYBERSECURITY E PROTEZIONE DELLE ATTIVITÀ DIGITALI
una questione che ci riguarda

GIOVEDÌ 3 MARZO 2022 dalle ore 14.00
in diretta su #collettiva.it e i suoi canali social

con

Giuseppe Massafra | Segretario nazionale della CGIL

Alessio de Luca | Coordinatore Idea Diffusa CGIL nazionale
MassiMo Brancato | Coordinatore Area Coesione CGIL nazionale

Giulio de petra | Direttore del CRS

Arturo Di Corinto | La cybersicurezza. A che punto siamo
Giornalista – Docente Università La Sapienza, Roma

Giovanni Battista Gallus | La responsabilità è delle aziende o dei lavoratori?
Avvocato – Fellow Nexa – Politecnico Torino

Sandro del fattore | Digitalizzazione come cambiamento possibile
Coordinatore deleghe Segretario generale CGIL

Cinzia Maiolini | La Cybersicurezza riguarda le nostra vite
Coordinatrice Ufficio Lavoro 4.0 – CGIL

GiacoMo tesio | La sicurezza informatica sul lavoro
Programmatore

Confronto con il Coordinamento nazionale Legalità e Sicurezza
della CGIL, moderato da LUCIANO SILVESTRI
Responsabile nazionale Legalità e Sicurezza della CGIL

La cybersecurity e la protezione delle attività digitali

Il webinar parte dall'ultimo numero di Idea Diffusa

^{www.collettiva.it}

È ufficialmente aperta la #Call4Solutions di #OpenItalyELIS, dedicata a #Startup, #PMI, #Scaleup, #CentridiRicerca e #SpinOffuniversitari.

Giovanni Maria Riccio e Ariella Fonsi, come giudici, approfondiranno le soluzioni che verranno presentate nel perimetro Privacy & Cybersecurity.

𝗟𝗮 𝗖𝗮𝗹𝗹𝟰𝗦𝗼𝗹𝘂𝘁𝗶𝗼𝗻𝘀 𝘁𝗲𝗿𝗺𝗶𝗻𝗲𝗿𝗮̀ 𝘃𝗲𝗻𝗲𝗿𝗱𝗶̀ 𝟭𝟭 𝗺𝗮𝗿𝘇𝗼 𝟮𝟬𝟮𝟮.

Per conoscere meglio i requisiti e/o candidarsi open-italy.elis.org/it/page/st…

#OpenItalyELIS #InnovationTogether #InnovationToImpact #privacy #cybersecurity

L'articolo Giovanni Maria Riccio e Ariella Fonsi giudici alla Call4Solutions di OpenItaly ELIS proviene da E-Lex.