Slides Informatica Giuridica PDF
Document Details
Uploaded by Deleted User
Tags
Summary
This document provides an overview of legal informatics. It examines the interplay between law and information technology, with a focus on Italian legislation regarding computer crimes. It describes key concepts such as computer crimes, access to computer systems, and significant legislation like Law 547/1993 and the Digital Administration Code.
Full Transcript
Informatica giuridica Interazione tra diritto e informatica Informatica giuridica Il diritto come oggetto L’informatica come dell’informatica oggetto del diritto Studio ed utilizzazione Normativa emanata per degli applicativi in...
Informatica giuridica Interazione tra diritto e informatica Informatica giuridica Il diritto come oggetto L’informatica come dell’informatica oggetto del diritto Studio ed utilizzazione Normativa emanata per degli applicativi informatici regolamentare le di interesse o a contenuto applicazioni giuridico dell’informatica al diritto Interazione tra diritto e informatica Diritto e tecnologie dell’informazione si incontrano sin dagli anni ’50 con due grandi linee di sviluppo, connotanti l’“informatica giuridica in senso lato”: La prima linea di sviluppo, detta anche “informatica giuridica in senso stretto”, relativa alle applicazioni delle tecnologie dell’informazione al diritto (il diritto come oggetto dell’informatica). La seconda linea di sviluppo, detta anche “diritto dell’informatica”, relativa alle norme che regolano le ICT nella cosiddetta ‘società dell’informazione’ (l’informatica come oggetto del diritto). Alcune normative rilevanti in ambito informatico L. 633/1941, e successive modifiche, sul diritto d’autore. D.Lgs. 518/1992 sulla tutela del software. L. 547/1993 sui “computer crimes”. D. Lgs. 196/2003 “Codice in materia di protezione dei dati personali” o “Codice sulla privacy”. D.Lgs. 82/2005, e successive modifiche, sulla digitalizzazione della Pubblica Amministrazione (“Codice Amministrazione Digitale”: CAD). L. 48/2008, ʺRatifica Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001ʺ. L. 12/2012, “Norme in materia di misure per il contrasto ai fenomeni di criminalità informatica”. Regolamento UE 679/2016 “Regolamento Generale sulla Protezione dei Dati personali”: RGPD, o “General Data Protection Regulation”: GDPR. D. Lgs. 101/2018 (Adeguamento della normativa nazionale in materia di protezione dei dati personali alle disposizioni del Regolamento UE 679/2016). Regolamento UE 1689/2024 ʺRegolamento sull’Intelligenza Artificialeʺ: AI Act. Computer crimes Precedenti internazionali: Il Consiglio d’Europa ha raggruppato le condotte criminose sorte a seguito dello sviluppo delle nuove tecnologie nella Raccomandazione del 1989 (n. 89/9), e le ha suddivise in due liste: Lista minima: prevede tutte quelle condotte ritenute necessariamente meritevoli di sanzioni penali. Il legislatore nazionale è stato quindi sollecitato a inserire specifiche disposizioni penali che puniscano tali comportamenti. In tale lista, sono inseriti, ad esempio, la frode informatica e l’accesso abusivo a un sistema informatico. Lista facoltativa: contenente i casi in cui l’incriminazione è rimessa alla discrezionalità del legislatore nazionale, il quale potrà scegliere se punire o meno quelle condotte, come ad esempio lo spionaggio informatico. Computer crimes Precedenti internazionali: Raccomandazione n. 89/9 del Comitato per i problemi criminali del Consiglio d'Europa, concernente: 1. Lista minima dei reati informatici: − frode informatica; − falso in documenti informatici; − danneggiamento di dati e programmi; − accesso abusivo a un sistema infotelematico; − intercettazione non autorizzata; − riproduzione non autorizzata di programmi protetti e di topografie. 2.Lista facoltativa dei seguenti illeciti: − alterazione non autorizzata di dati o programmi; − spionaggio informatico; − utilizzo non autorizzato di un elaboratore o di una rete di elaboratori; − utilizzo non autorizzato di un programma informatico protetto. Reati informatici in Italia La Raccomandazione n. 89/9 è stata accolta dal legislatore italiano con la Legge 547/1993, che ha inserito i nuovi reati informatici nel codice penale. La legislazione italiana, dal 1993, ha infatti introdotto una serie di dispositivi normativi che contemplano i cosiddetti “crimini o reati informatici”. Si tratta di reati compiuti per mezzo o nei confronti di un sistema informatico. L'illecito può consistere nel sottrarre o distruggere le informazioni contenute nella memoria del personal computer. In altri casi, invece, il computer concretizza lo strumento per la commissione di reati, come nel caso di chi utilizzi le tecnologie informatiche per la realizzazione di frodi. La prima normativa contro i cyber crimes è stata quindi introdotta dalla Legge 547/1993, recante modificazioni ed integrazioni alle norme del Codice penale e del Codice di procedura penale in tema di criminalità informatica. L’approccio iniziale è stato pertanto di tipo evolutivo, cioè si è basato sulla modifica di leggi esistenti, ricollegando reati “tradizionali” ai nuovi possibili reati basati su, o condotti contro, strumenti informatici. L. 547/1993 La Legge 547/1993, intitolata “Modificazioni e integrazioni delle norme del Codice penale e del Codice di procedura penale in tema di criminalità informatica” (computer crimes), configura i reati in oggetto intervenendo sulle norme dei codici, e non già emanando una mera legge speciale. Ciò attesta l’importanza della normativa in materia di applicazioni informatiche. Gli obiettivi di tale Legge sono: 1. Agevolare la cooperazione internazionale allineando la normativa italiana a quelle degli altri paesi europei, anch’esse di tipo penale. 2. Aderire alla Raccomandazione CEE n. 89/9 del Comitato per i problemi criminali del Consiglio d'Europa. 3. Mantenere un approccio “evolutivo” della normativa in merito ai computer crimes. L. 48/2008 E' stata poi ratificata con la Legge 48/2008 in Italia la Convenzione di Budapest del 2001 del Consiglio d'Europa sulla criminalità informatica, il primo accordo internazionale riguardante i crimini commessi attraverso Internet o altre reti informatiche, con l'obiettivo di realizzare una politica comune fra gli Stati membri, attraverso l'adozione di una legislazione appropriata, che consenta di combattere il crimine informatico in maniera coordinata. Questa Legge introduce importanti modifiche al Codice penale, al Codice di procedura penale, al D.Lgs. 231/2001 (sulla responsabilità amministrativa delle persone giuridiche) e al Codice sulla privacy. L. 48/2008 Tra le principali novità introdotte: L’eliminazione della diversità nella definizione di "documento informatico" tra il diritto civile e il diritto penale; L'introduzione del delitto di false dichiarazioni al Certificatore (art. 495-bis c.p.); La modifica dell'art. 615-quinquies (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) in tema di virus e malware, con l'estensione delle condotte non solo al software, ma anche alle altre "apparecchiature e dispositivi", utilizzati allo scopo di danneggiare illecitamente un sistema informatico o telematico; L'introduzione di una nuova fattispecie di frode informatica, commessa dal soggetto che presta servizi di certificazione di firma elettronica; L'estensione ai reati "informatici" della responsabilità amministrativa degli enti, di cui al D.Lgs. 231/2001, e conseguenti sanzioni anche a carico delle società. Principali reati informatici Accesso abusivo a un sistema informatico o telematico L’art. 615-ter del Codice penale persegue l’accesso abusivo a un sistema informatico o telematico protetto da misure di sicurezza, o il mantenimento in esso contro la volontà espressa o tacita di chi ne ha diritto. La pena è la reclusione fino a tre anni. In questa categoria di reati informatici rientra, ad esempio, anche l’accesso al profilo Facebook di un altro soggetto. A questo proposito, una sentenza della Corte di Cassazione ha stabilito che, per provare il reato di accesso abusivo al sistema informatico e la sostituzione di persona per chi accede al profilo Facebook di un altro, può bastare l’identificazione dell’indirizzo IP, cioè quell’indirizzo numerico che identifica univocamente un dispositivo collegato alla rete. Si pensi, inoltre, alla condotta di chi accede a un server con un account autorizzato che gli permette di vedere solo determinate aree e, invece, fa in modo di aggirare le limitazioni. Accesso abusivo a un sistema informatico o telematico Si commette il reato nel momento in cui si accede al sistema informatico, indipendentemente da quelle che saranno le azioni successive che spesso vengono disciplinate da altre norme quali: il danneggiamento di sistemi informatici o telematici nonché di dati informazioni e programmi in essi contenuti (art. 635-bis); la frode informatica (art. 640-ter). Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. Accesso abusivo a un sistema informatico o telematico La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Concetto di domicilio elettronico L’art. 615-ter introduce il concetto di domicilio elettronico, ovvero di uno spazio non limitato dalla fisicità, ma riconducibile ad un sistema informatico o telematico. L’accesso abusivo si produce in caso di accesso non autorizzato in un sistema protetto da misure di sicurezza. Se ne deduce che non vi sia violazione se l’accesso avviene in un sistema non protetto. L’accesso è abusivo se viola la volontà espressa o tacita di negarlo, per cui anche in caso di mancanza di rilevanti protezioni, se si evince l’intenzione di non rendere pubblico l’ingresso, l’intrusione può essere punibile. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici e telematici (di cui all’art. 615-quater c.p.) è punito con la reclusione sino a un anno e con la multa sino a 5.164 euro, ed è commesso da chi - al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno - abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo. Integra il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici la condotta di chi riceve i codici di carte di credito abusivamente scaricati dal sistema informatico ad opera di terzi e li inserisce in carte di credito clonate, poi utilizzate per il prelievo di denaro contante attraverso il sistema bancomat. Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico L’art. 615-quinquies c.p. punisce - con la reclusione fino a due anni e con la multa sino a euro 10.329 - la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. Il reato è commesso da chi si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Gli artt. 617-quater e 617-quinquies c.p. sanzionano, rispettivamente chi, senza essere autorizzato, intercetta, impedisce, interrompe o rivela comunicazioni informatiche, e colui che installa apparecchiature dirette a intercettare, interrompere o impedire comunicazioni informatiche. Falsificazione, alterazione, soppressione di comunicazioni e danneggiamento di sistemi Viene sanzionato anche chi falsifica, altera o sopprime la comunicazione informatica acquisita mediante l'intercettazione (art. 617-sexies c.p.), e chi distrugge, deteriora, cancella, dati, informazioni o programmi informatici (art. 635 bis c.p.). In merito al reato di violazione e sottrazione di corrispondenza, la Legge 547/1993 precisa che per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica, ovvero effettuata con ogni altra forma di comunicazione a distanza. Frode informatica La frode informatica viene definita dall’art. 640-ter del Codice penale come l’alterazione del funzionamento di un sistema informatico o telematico in grado di procurare a sé o ad altri “un ingiusto profitto con altrui danno”. La pena è della reclusione da sei mesi a tre anni e una multa da 51 a 1.032 euro. Tra i reati compiuti che ricadono in questa categoria, i più diffusi sono il phishing e la diffusione dei dialer. Il primo consiste in una forma di adescamento: il cyber-malintenzionato inganna psicologicamente l’utente e gli sottrae informazioni preziose, come le credenziali bancarie o i documenti d’identità, che possono essere usate per compiere una serie di azioni illegali, senza che l’interessato ne sia a conoscenza. Invece, i dialer sono quei programmi che, una volta scaricati sul pc o sul telefono, interrompono la connessione all’operatore predefinito e si collegano a numeri a tariffazione speciale, generalmente molto elevata, all’insaputa dell’utente. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se il fatto è commesso con abuso della qualità di operatore del sistema. La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo della identità digitale in danno di uno o più soggetti. Ingiuria e diffamazione in rete La Legge 547/1993, se ha introdotto nell’ordinamento giuridico la serie di reati classificati genericamente come «crimini informatici», non ha previsto una specifica fattispecie criminosa riferita alle ipotesi di ingiuria o diffamazione perpetrate attraverso le reti info-telematiche. Dunque, anche dopo l’importante intervento operato dalla L. 547/1993, a fronte di tali illeciti è stato necessario fare riferimento alle norme dettate nel Codice penale dall’art. 594 sul reato di ingiuria (poi abrogato con D.Lgs. 7/2016, art.1, in quanto depenalizzato e divenuto illecito sottoposto a sanzione pecuniaria civile), e dall’art. 595 sul reato di diffamazione. Ingiuria e diffamazione in rete Un soggetto, inviando messaggi atti a offendere un altro soggetto, realizza la condotta tipica di ingiuria se il destinatario è lo stesso soggetto offeso, o di diffamazione se i destinatari sono persone diverse. L’illecito di ingiuria è commesso da chiunque offenda l’onore o il decoro di una persona presente. Ai sensi dell'art. 595 c.p., commette invece il reato di diffamazione chiunque, comunicando con più persone, offende l'altrui reputazione; la diffamazione è aggravata se commessa con qualsiasi mezzo di pubblicità. Ma in entrambi i casi il bene tutelato è l'onore e il decoro della persona, e tali illeciti possono essere commessi con qualsiasi mezzo: parole, scritti, immagini, gesti. Il reato di diffamazione è commesso nel momento in cui il messaggio diffamatorio viene percepito da parte di soggetti che siano terzi rispetto all'agente e alla persona offesa. Pertanto, tenuto conto di questo aspetto, si può affermare che la diffamazione e l'ingiuria, oltre che per mezzo delle e-mail, possono realizzarsi attraverso tutti i servizi in rete: i social network, le mailing list, le riviste telematiche, le newsgroup, le pagine web, le chat. Tutela della proprietà intellettuale nell’ambito del software Alcune normative sulla tutela del software Legge n. 633/1941, modificata dal: Decreto Legislativo n. 518/1992 (attuazione in Italia della Direttiva 250/1991/CEE relativa alla tutela giuridica dei programmi per elaboratore, cioè del software, ai quali viene riconosciuta dignità di opera letteraria, come tale protetta dal diritto d’autore: comunemente conosciuta come legge sulla “tutela del software”); Legge n. 248/2000 “Nuove norme a tutela del diritto di autore” (che ha inasprito il quadro sanzionatorio per la duplicazione e la diffusione di software pirata); Decreto Legislativo n. 68/2003 (attuazione in Italia della Direttiva 29/2001/CE sui programmi per elaboratore). Caratteri della tutela del software Tutela della forma con cui è realizzato il programma, non del contenuto. Diritto esclusivo alla riproduzione: i programmi sono riproducibili solo nei limiti specifici in cui l’autore lo consente: art. 64-ter. Requisiti della tutela: l’originalità. Programma integralmente nuovo; tuttavia, basta anche un solo elemento di originalità: - bassa soglia di accesso alla tutela; - vietata la pedissequa imitazione, lecita qualsiasi copia non pedissequa (come è tutelato un programma non identico a quelli precedenti, così il diritto su di esso non può essere fatto valere se non contro coloro che lo abbiano copiato integralmente). Soggetti della tutela: autore, datore di lavoro per i software elaborati dai dipendenti. Idea/Espressione La dicotomia Idea/Expression è uno dei princìpi del copyright statunitense: “la protezione del copyright deve essere estesa alle espressioni, e non alle idee, procedure o metodi di operazione o a concetti matematici in quanto tali”. Sebbene sia estremamente difficile separare idea ed espressione, il sistema americano si basa sull’assunto che ad essere protetta non è l’idea (che deve poter circolare liberamente, per il progresso di cui sopra), ma la sua espressione, cioè la “forma” che questa idea acquista. “Fair use” Il concetto di fair use, “uso legittimo” - inteso come eccezione al copyright - nasce nella giurisprudenza statunitense per permettere “commenti, parodie, news, ricerca e didattica in merito a lavori protetti, senza il permesso dell’autore, in modo da consentire una certa libertà di espressione da parte di tutti. Tra gli usi legittimi, ad es., in una famosa sentenza è stato riconosciuto l’uso del videoregistratore per registrare trasmissioni televisive a fini di proiezione privata. L’uso legittimo è ammesso, quindi, quando non interferisce con il mercato. Un altro uso legittimo, ad esempio, è quando realizziamo una “copia di sicurezza” di un cd audio o di un software. Legge 633/1941 (legge sul diritto d’autore) Le norme riguardanti il diritto d’autore e il diritto di riproduzione (copyright) si basano principalmente sulla Legge 633/1941, con cui viene protetta la proprietà intellettuale. Tale legge ha subìto nel corso degli anni numerose modifiche e aggiornamenti, e sono stati introdotti provvedimenti legislativi anche per regolare i nuovi aspetti derivanti dall’uso esteso di documenti in formato digitale e dalla diffusione di svariato materiale in Internet. In particolare, la legge protegge le opere dell’ingegno di carattere creativo che appartengono alla letteratura, alla musica, alle arti figurative, all’architettura, al teatro e alla cinematografia, qualunque ne sia il modo o la forma di espressione. Sono inoltre protetti i programmi software al pari delle opere letterarie. Legge 633/1941 Art. 1: Sono protette, ai sensi di questa legge, le opere dell'ingegno di carattere creativo che appartengono alla letteratura, alla musica, alle arti figurative, all'architettura, al teatro ed alla cinematografia, qualunque ne sia il modo o la forma di espressione. Sono altresì protetti i programmi per elaboratore come opere letterarie, ai sensi della Convenzione di Berna sulla protezione delle opere letterarie ed artistiche ratificata e resa esecutiva con Legge 399/1978, nonché le banche di dati che per la scelta o la disposizione del materiale costituiscono una creazione intellettuale dell'autore. Legge 633/1941 Art. 2, co. 8: Sono compresi nella protezione: i programmi per elaboratore, in qualsiasi forma espressi, purché originali quale risultato di creazione intellettuale dell'autore. Restano esclusi dalla tutela accordata dalla presente legge le idee e i principi che stanno alla base di qualsiasi elemento di un programma, compresi quelli alla base delle sue interfacce. Il termine programma comprende anche il materiale preparatorio per la progettazione del programma stesso. Art. 2, co. 9: Sono compresi nella protezione: le banche di dati di cui al secondo comma dell’art. 1, intese come raccolte di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili mediante mezzi elettronici o in altro modo. La tutela delle banche di dati non si estende al loro contenuto e lascia impregiudicati i diritti esistenti su tale contenuto. Oggetto della tutela è la struttura, e non il contenuto. Due tipi di diritti Diritti patrimoniali Protezione dei diritti di sfruttamento economico dell’opera. Diritti morali Protezione dei diritti sull'opera, a difesa della personalità dell'autore. Diritti patrimoniali Art. 12 L'autore ha […] il diritto esclusivo di utilizzare economicamente l'opera in ogni forma e modo, originale o derivato, nei limiti fissati dalla legge, ed in particolare con l'esercizio dei diritti esclusivi indicati negli articoli della legge stessa. Art. 12-bis Salvo patto contrario, il datore di lavoro è titolare del diritto esclusivo di utilizzazione economica del programma per elaboratore o della banca di dati creati dal lavoratore dipendente nell'esecuzione delle sue mansioni o su istruzioni impartite dallo stesso datore di lavoro. Art. 13 Il diritto esclusivo di riprodurre ha per oggetto la moltiplicazione in copie diretta o indiretta, temporanea o permanente, in tutto o in parte dell'opera, in qualunque modo o forma, come la copiatura a mano, la stampa, la litografia, l'incisione, la fotografia, la fonografia, la cinematografia ed ogni altro procedimento di riproduzione. Diritti patrimoniali I diritti patrimoniali (art. 25) scadono al termine del 70esimo anno solare dopo la morte del titolare dei diritti. La ratio di un termine così ampio sta anche nella volontà di proteggere gli interessi economici dei familiari, che rimangono spesso titolari dei diritti. Diritto di elaborazione (in diversa forma, ad es., digitalizzazione di un’opera protetta). Diritto di riproduzione (fissazione dell’opera su un supporto fisico, ad es., cd-rom). Diritto di distribuzione (mettere a disposizione l’opera, ad es., via Internet). Diritti morali Art. 20 Indipendentemente dai diritti esclusivi di utilizzazione economica della opera, previsti nelle disposizioni della sezione precedente, ed anche dopo la cessione dei diritti stessi, l'autore conserva il diritto di rivendicare la paternità dell'opera e di opporsi a qualsiasi deformazione, mutilazione o altra modificazione, e a ogni atto a danno dell'opera stessa, che possano essere di pregiudizio al suo onore o alla sua reputazione. Art. 22 I diritti indicati nei precedenti articoli sono inalienabili. Tuttavia l'autore che abbia conosciute ed accettate le modificazioni della propria opera non è più ammesso ad agire per impedirne l'esecuzione o per chiederne la soppressione. Il titolare dei diritti sul software La regola generale è che titolare del diritto d’autore, e quindi anche del diritto d’autore sul software, è colui che lo ha creato. Autore può essere solo la persona fisica, o il gruppo di persone, che hanno materialmente creato il programma e mai una società o un’impresa che può comunque acquistarne i diritti. Quali sono i diritti che si acquisiscono? Si distinguono in 2 tipi: i diritti morali dai diritti economici. Il diritto morale consiste nel diritto di essere riconosciuto autore di un programma e si tratta di un diritto che non può essere ceduto o trasferito. I diritti economici consistono invece nella facoltà di potere utilizzare in esclusiva un software e possono essere ceduti dietro compenso o gratuitamente. Ci sono però alcuni casi in cui l’autore del programma non diventa titolare del programma a causa del tipo di rapporto che ha dato origine al programma stesso. Il software realizzato da un lavoratore dipendente diventa di proprietà del datore di lavoro (art. 12-bis LA), salvo patto contrario. Anche il software realizzato per conto di una Pubblica Amministrazione diventa di proprietà di quest’ultima (art. 11 LA). Nel caso invece in cui il software sia stato realizzato su commissione la legge non disciplina espressamente chi sia il titolare dei diritti economici sul programma che verrà realizzato per cui è buona regola disciplinare questo aspetto contrattualmente. Le libere utilizzazioni Ci sono alcune attività che il titolare del programma non può impedire o limitare. In particolare, il titolare non può impedire: 1) le attività che sono necessarie per l’uso del programma da parte del legittimo acquirente; 2) la realizzazione di una copia di riserva del programma, qualora tale copia sia necessaria per l’uso; 3) a chi ha diritto di usare il programma, di studiare o sottoporre a prova il funzionamento del programma, allo scopo di determinare le idee ed i princìpi su cui è basato ogni elemento del programma stesso, qualora egli compia tali atti durante operazioni di caricamento, visualizzazione, esecuzione, trasmissione o memorizzazione del programma che egli ha il diritto di eseguire (art. 64-ter). Inoltre l’autorizzazione del titolare non è richiesta quando la riproduzione del programma e la sua traduzione siano indispensabili per conseguire l’interoperabilità con altri programmi alle condizioni previste dall’art. 64-quater. Se in un contratto venissero inserite clausole che non rispettano quanto sopra, queste clausole sarebbero nulle. Il brevetto di software L’unica tutela prevista espressamente per il software è quella stabilita dal diritto d’autore. Infatti, molti ritengono che la protezione offerta dal diritto d’autore sia sufficiente e temono che una protezione più ampia, quale quella che si potrebbe avere con un brevetto rischi di limitare la concorrenza. Ma altri ritengono, al contrario, che la protezione del diritto d’autore sia troppo debole e non tuteli gli investimenti che le imprese fanno per sviluppare nuovi programmi. In particolare il rischio maggiore è rappresentato dal cd. “reverse engineering” attraverso il quale sviluppatori possono risalire da un programma al suo diagramma di flusso per poi crearne uno del tutto nuovo che però svolge esattamente le stesse funzioni, con ciò danneggiando il primo sviluppatore. Nel corso degli anni molti uffici nazionali dei brevetti hanno affrontato il problema della brevettabilità del software con esiti diversi. Il brevetto di software In Europa non esiste una legge che consenta espressamente di brevettare le invenzioni di software, ma sempre più spesso vengono concessi brevetti che abbiano ad oggetto programmi per elaboratore. La Convenzione sul Brevetto europeo (art. 52), così come il Codice sulla Proprietà Industriale italiano (art. 45), escludono la brevettabilità del software solo se considerato “in quanto tale” (“as such”), ma non in modo assoluto. Interpretando tale disposizione di legge, si è giunti a riconoscere la possibilità di brevettare un software che abbia determinate caratteristiche. In primo luogo un software, come qualsiasi altra invenzione, per essere brevettato deve avere un “carattere tecnico”. Deve quindi trattarsi di un software che si propone di risolvere un problema tecnico (ad esempio, migliorare le prestazioni di frenata di un veicolo) ed offrire una soluzione che abbia elementi che consentono di ottenere un effetto tecnico (ad esempio, l’ottimizzazione della frenata). Non si può brevettare, invece, un programma che esegue calcoli o un programma gestionale, se si limita a gestire ed elaborare delle informazioni senza produrre effetti tecnici. Licenze per il software I programmi software vengono distribuiti in base a contratti di licenza molto diversi tra loro. E’ opportuno quindi avere chiare le differenze tra i vari tipi di licenza. Principali tipologie in base alla proprietà industriale: Software libero (free software) Software open source Software copyleft Software di pubblico dominio (public domain software) Software proprietario Principali tipologie in base alle modalità di vendita: Software freeware Software shareware Software commerciale Software libero (free software) È importante evitare un frequente equivoco riguardo al free software, dovuto al fatto che in lingua inglese i concetti “gratuito” e “libero” sono entrambi indicati con il termine “free”. Nel caso del free software, il termine “free” ha significato di “libero” e non di “gratuito” : infatti il software distribuito secondo questa licenza può essere venduto a pagamento (cosa che, in effetti, avviene spesso). La traduzione italiana di free software è quindi “software libero” , e non “software gratuito” come spesso, erroneamente, si ritiene. Ciò che caratterizza il software libero è che chiunque ha il diritto di usare, copiare, studiare, modificare e distribuire (anche con le modifiche apportate), gratuitamente o a pagamento, il software in oggetto. Software libero (free software) Questo concetto viene esplicitato in quattro “libertà”: Libertà 1 - Libertà di eseguire il programma, a qualunque scopo. Libertà 2 - Libertà di studiare come funziona il programma e adattarlo alle proprie necessità. Libertà 3 - Libertà di distribuire copie del programma “originale”, in modo da aiutare il prossimo (colleghi, amici, ecc.). Libertà 4 - Libertà di migliorare il programma e rendere pubblici questi miglioramenti, in modo che ne possa beneficiare l'intera comunità. È importante notare che, per poter mettere in pratica le libertà 2 e 4, deve essere liberamente accessibile il codice sorgente: è proprio questa disponibilità dei sorgenti una delle caratteristiche distintive del software libero. Le libertà previste dalla licenza del software libero non sono consentite dai programmi proprietari o shareware, che pongono vincoli all'utilizzo dei programmi. Software open source Anche le licenze di tipo open source e copyleft si riferiscono a software con cui gli autori intendono reagire alla chiusura del mercato dei produttori tradizionali, riaffermando un principio di libertà in ambito informatico. In particolare, la licenza open source è molto simile a quella del free software (tanto da essere spesso confuse), caratterizzandosi anch’essa per la disponibilità del codice sorgente del software. Ciò nonostante, la licenza open source è meno condizionante circa le libertà da concedere all'utente, che possono venire ridotte. Software copyleft Il termine copyleft è stato coniato in contrapposizione a copyright, e indica un tipo di licenza relativa al software libero, che impone a chi effettua modifiche, o ridistribuisce il software, di usare lo stesso tipo di licenza del software originale. Lo scopo di questa licenza è garantire che i software liberi rimangano tali, e non vengano imposte restrizioni da parte di successivi sviluppatori. Una peculiarità di questa licenza è che per gli sviluppatori non è possibile nemmeno creare programmi che siano basati in parte su software copyleft, e in parte su software proprietario. In ogni caso, quasi tutto il software di tipo copyleft impiega la GNU - General Public Licence (nota anche come GPL), producendosi così una notevole omogeneità in tali licenze copyleft. Software di pubblico dominio (public domain software) “Public domain” è un concetto giuridico secondo cui il software (o più in generale qualsiasi opera dell'ingegno) non è protetto da diritto d'autore. Il software di pubblico dominio è gratuito, ma non è detto che siano accessibili o disponibili i codici sorgenti. Contrariamente al “copylefted software”, non è detto che le copie, e soprattutto le versioni modificate, siano libere o di pubblico dominio, in quanto gli sviluppatori possono usare questo tipo di software per produrre software proprietario. Software proprietario Il software proprietario è utilizzabile, copiabile, modificabile e distribuibile solamente previa autorizzazione dell'autore (che solitamente concede tale autorizzazione dietro corrispettivo). È importante sottolineare che solitamente l'autore non concede (salvo casi particolari) la proprietà del programma all'acquirente: oggetto della vendita è il solo diritto di usare il programma, secondo modalità ben definite (ad esempio, su una specifica stazione di lavoro). Per questo motivo sono in genere vietate anche attività di analisi del codice del programma (come ad esempio, il reverse engineering). Software freeware Le licenze di tipo freeware sono caratterizzate da gratuità, non tanto per liberalità verso gli utenti, quanto per obiettivi di marketing. I software freeware sono infatti, di solito, versioni piuttosto povere di funzionalità, nell’intento di promuovere il prodotto full-optional. Il software freeware viene spesso confuso con il free software (software libero), ma è un concetto totalmente diverso, in base a cui il termine freeware indica il software disponibile gratuitamente. Al contrario del software libero, nel software freeware non è disponibile il codice sorgente e non è consentito effettuare modifiche al programma. Ciò nonostante è possibile duplicare e ridistribuire gratuitamente il software originale senza modifiche. Un esempio di software freeware è Internet Explorer, scaricabile gratuitamente dal sito web della Microsoft, e liberamente ridistribuibile, ma non è possibile apportarvi alcuna modifica, né è disponibile il codice sorgente. Software shareware Le licenze di tipo shareware e trial version sono versioni di programmi con particolari configurazioni, o limitate modalità di utilizzo. In particolare, la licenza shareware è caratterizzata dal fatto che l'utente ha la possibilità di provare il programma per un periodo limitato (a volte anche con funzionalità limitate) prima di procedere all'acquisto. Il fatto che per i programmi shareware venga incoraggiata la copia e la distribuzione non deve trarre in inganno, né indurre a confonderli con altre categorie (come il freeware o addirittura il software libero). Nel caso dello shareware, l'utente non è in alcun modo autorizzato a continuare l’uso del programma dopo il periodo di prova (ovviamente, a meno che non abbia provveduto all'acquisto), ed è anzi obbligato a disinstallare il programma dal suo computer. A ulteriore differenza dal software libero, va sottolineato che nel caso dello shareware non è disponibile il codice sorgente, e l'utente non ha quindi la possibilità di modificare il programma. Software commerciale Con il termine «commerciale», si indica il fatto che il programma è distribuito a pagamento. È importante ribadire che software commerciale e software proprietario non sono sinonimi. Il concetto di software proprietario identifica una determinata tipologia di gestione della proprietà intellettuale del software, mentre software commerciale indica la modalità di vendita/distribuzione del software. Vi sono programmi proprietari che non sono software commerciale (è il caso del freeware), mentre non è raro che il software libero sia software commerciale (come nel caso di molte distribuzioni di Linux). Tutela della proprietà intellettuale in rete Diritto d’autore in Internet Recentemente, molti problemi sono derivati dal proliferare di software per la condivisione di files, i cd. sistemi P2P (peer- to-peer, letteralmente “pari-a-pari”). Il primo software per condividere files tra utenti fu il famoso Napster, che consentiva agli utenti di scambiare solo files (e solo files musicali). Questi files erano, semplicemente, quelli che l’utente aveva sul proprio computer, ovvero brani convertiti da un CD nel formato mp3. Napster ebbe un grande successo. Milioni di utenti scaricarono dal sito l’apposito programma e cominciarono ad usarlo per scambiarsi brani musicali, connettendosi ad un server centralizzato che manteneva una lista di tutti gli utenti connessi in quel momento e dei brani musicali da loro condivisi. Questi brani potevano essere ricercati e scaricati da qualunque parte del mondo. Il programma provvedeva a stabilire una connessione diretta tra i due utenti. Di fronte a tale fenomeno, le majors discografiche avviarono una battaglia contro Shawn Fanning, il giovane inventore di Napster. Il sito venne chiuso. Nel frattempo erano stati resi disponibili in rete, altri programmi più potenti di Napster. Diritto d’autore in Internet Gli attuali programmi di P2P (“pari-a-pari”) non funzionano più come Napster. Ecco le differenze: 1) Permettono innanzitutto di convidere qualunque tipo di file (audio, video, immagini, ecc.). 2) gli utenti non si collegano più ad un sito che mantiene una lista (centralizzata) di tutti gli utenti, e della musica da essi condivisa. 3) In questo senso, il sistema è distribuito (non centralizzato), e da pari-a-pari (P2P). All’epoca, fu possibile chiudere Napster in base al fatto che era il sito ad offrire il servizio, a fare da mediatore mettendo in contatto tra loro i singoli utenti che illegalmente scambiavano files. Quindi, al di là di alcuni utenti di Napster legalmente perseguiti, fu in gran parte l’inventore del sito - che distribuiva il programma - a pagarne le conseguenze. Ma con i sistemi P2P, ogni utente è di fatto “reo” allo stesso livello. Download illegali (art. 615 c.p.) I download illegali ormai sono entrati nella quotidianità della nostro vita on-line. Anche se tutti scaricano, non tutti sanno a quali rischi si può andare incontro scaricando illegalmente musica, video, libri, e altro. 1. Scaricare senza condividere in rete opere protette da diritto d'autore commette un illecito, ma non un reato ed è punito con una sanzione amministrativa. 2. Condividere in rete opere protette da diritto d'autore al fine di trarne profitto commette un reato, punito con la reclusione da sei mesi a tre anni e con una multa. 3. Condividere in rete per uso non personale e per fini di lucro opere protette da diritto d'autore, commette un reato oggetto di pesanti sanzioni penali e pecuniarie. Copyright sui contenuti dei siti web In base alla Convenzione di Berna, tutto ciò che è stato creato “originalmente” (ma il termine è problematico) è protetto da copyright, che sia esplicitato o meno: quindi ogni immagine (e naturalmente ogni testo, audio, video, animazione, ecc.) è sotto il copyright del rispettivo autore e, salvo diversa indicazione, non può essere riprodotta senza il consenso scritto del titolare dei diritti. Per la legislazione italiana, tutto il contenuto di ogni sito (testo, immagini, suoni...) è protetto da copyright. E’ possibile (ma non necessario) esplicitare questa realtà indicando il titolare del copyright, per prevenire l’abuso del materiale da parte di utenti che potrebbero giustificarsi con la “buona fede”. Che cosa tutela la legge sul diritto d’autore La legge sul diritto d’autore (L. 633/1941 e ss.mm.) tutela le opere dell’ingegno a carattere creativo purché siano originali. Il concetto di “opera originale” è ben più ampio di quello di “opera d’arte” in senso stretto in quanto prescinde da qualsiasi valutazioni circa il valore artistico o di bellezza dell’opera. Oggetto della tutela, quindi, non è tanto l’idea contenuta nell’opera di ingegno bensì il modo con cui questa viene espressa. Un testo, ad esempio, è tutelato non per le idee o le teorie in esso espresse (che potrebbero anche essere banali) ma in relazione all’originalità del modo con cui queste vengono esposte dall’autore. Tutelato, dunque, non è l’argomento in sé bensì il modo e la forma con cui questo viene espresso. Sono liberamente utilizzabili: Il riassunto, la citazione o la riproduzione di parti di un’opera per fini di discussione, insegnamento o critica nei limiti di tale finalità e sempre che ciò non costituisca concorrenza all’utilizzazione economica dell’opera da parte dell’autore. Deve, comunque, sempre essere indicato: - il nome dell’autore; - il titolo dell’opera; - il nome dell’editore. Per inserire un’opera in un sito web occorre: chiedersi preliminarmente se: l’opera sia di pubblico dominio o si ravvisi un’ipotesi di libera utilizzazione. In caso contrario occorre: individuare il titolare dei diritti di utilizzazione economica dell’opera che si intende utilizzare; acquisire dal titolare del diritto le necessarie autorizzazioni. Tutela di un testo in formato digitale Ai sensi dell’art. 2575 Codice civile e dell’art. 1 della Legge 633/1941, “formano oggetto del diritto di autore le opere dell’ingegno di carattere creativo che appartengono alla scienza, alla letteratura, alla musica, alle arti figurative …” e, dunque, può ritenersi tutelato dalla LdA ogni testo che possieda i caratteri della creatività prescindendo, quindi, dalla circostanza che esso venga pubblicato in forma cartacea o digitale (e dalla sua estensione). Qualunque file di testo, quindi, se intellegibile, originale e creativo, è tutelato dalla LdA. Dal momento della creazione del testo digitale, senza bisogno di alcuna formalità, saranno riconosciuti all’autore tutti i diritti previsti dalla LdA sino a 70 anni successivi alla morte dell’autore. Quali sono le più comuni violazioni al diritto d’autore compiute su testi digitali La forma più comune di violazione del diritto morale di autore è il cd. plagio, ovvero l’illecita appropriazione e divulgazione sotto proprio nome di un’opera digitale altrui (come noto, infatti, tutto ciò che infatti si può visualizzare sullo schermo del computer si può facilmente copiare mediante “copia e incolla”). Il plagio, evidentemente, compromette i diritti dell’autore sia sotto l’aspetto morale che patrimoniale. L’autore del testo digitale che si accorga di un plagio a proprio danno può adire l’autorità giudiziaria, chiedendo l’accertamento della propria paternità dell’opera ai sensi della L. 633/1941 nonché l’inibizione del comportamento illecito comportamento da parte del terzo oltre, ovviamente, il risarcimento del danno. Quali sono le più comuni violazioni al diritto d’autore compiute su testi digitali Meno gravi ma molto diffusi sono i casi di violazione dei diritti patrimoniali d’autore attuati mediante la semplice riproposizione - sul proprio sito web o su altri supporti informatici - di contenuti digitali altrui su cui non si vanta alcun diritto. Tale illecito è meno grave del plagio per il fatto che in tale caso, se il reale autore viene correttamente citato, il terzo non viola il diritto morale d’autore di questi, ma “solo” il suo diritto patrimoniale sull’opera stessa. Il caso più comune di violazione del diritto di sfruttamento economico dell’opera si ha nell’ipotesi di violazione della protezione di un e-book con successiva distribuzione dello stesso. In tal caso l’illecito sussiste indipendentemente dal fine di lucro del terzo. Apposizione di note di copyright (disclaimer) Per evitare ogni “disguido” o contestazione sull’illecito utilizzo da parte di terzi dei propri testi digitali pubblicati in Internet, il consiglio è quello di apporre nei propri siti web specifici “disclaimer” o note informative sul regime di utilizzazione del materiale contenuto nel sito (copyright). Giova tuttavia ricordare che una pagina web e il suo contenuto è protetta dalla LdA fin dal momento della sua creazione, senza bisogno di alcuna formalità. Ne consegue che le cosiddette “note di copyright” o “disclaimer” possono apparire, se non inutili, almeno superflue, poiché nulla aggiungono a un diritto che già esiste. Tutela delle fotografie digitali Ai sensi della LdA, sono protette “qualunque ne sia il modo o la forma di espressione” (anche in forma digitale) le opere fotografiche, sempre che non si tratti delle cd. semplici fotografie. L’opera di ingegno fotografico gode di protezione per 70 anni dopo la morte dell’autore, mentre la semplice fotografia è tutelata per 20 anni dalla sua produzione. Il diritto nasce dal momento stesso della creazione della fotografia digitale, senza bisogno di ulteriori formalità. In sintesi: le opere fotografiche sono tutelate dalla Legge sul diritto d’Autore (LdA); le semplici fotografie sono tutelate ai sensi del cd. «diritto connesso d’autore». Opere fotografiche Le opere fotografiche sono quelle scattate con mezzi e creatività non comune da un autore particolarmente dotato di talento (ad esempio, le foto di Oliviero Toscani). Tali opere fotografiche non possono essere utilizzate senza il consenso dell’autore se non limitatamente ad una copia a uso strettamente personale. SI utilizzo come screen saver. NO pubblicazione sul proprio sito o pagina web. A maggior ragione tali fotografie non possono essere in alcun modo modificate neppure, ad esempio, mediante cambio di risoluzione, cambio delle tonalità cromatiche, ecc. L'opera fotografica gode della piena protezione accordata dalla legge, diritto morale d'autore e diritto patrimoniale d'autore, qualora presenti valore artistico e connotati di creatività, mentre in caso contrario - quando, configuri un mero atto riproduttivo privo dei suddetti requisiti (Cass. civile n. 8186/1992) - beneficia della più limitata tutela prevista dalla LdA per le cd. semplici fotografie. Semplici fotografie Le semplici fotografie, invece, sono quelle che comunemente scattiamo, prive di particolare pregio, e costituiscono la maggior parte di quelle rinvenibili in Internet. Le semplici fotografie sono tutelate dalla LdA (art. 90), purché nella fotografia sia indicato: il nome del fotografo; la data di produzione; il nome dell’autore dell’opera eventualmente riprodotta. In tal caso sorgerà in capo all’autore della semplice fotografia il cd. diritto connesso d’autore, con conseguente godimento dei diritti esclusivi di riproduzione, diffusione e spaccio (art. 88), salvo il caso che l’opera sia stata commissionata nell’ambito di un contratto di lavoro (ragion per cui degli stessi diritti sarà titolare il datore di lavoro). Le fotografie personalmente scattate sono pubblicabili in un sito web? La risposta a tale domanda è affermativa purché i soggetti o gli oggetti rappresentati non siano coperti da diritti in quanto: - i soggetti si trovano in luogo pubblico (attore ritratto in una serata di beneficenza); - si hanno ottenuto i permessi (attore ritratto a casa sua); - i diritti sono scaduti (opera d’arte antica). A titolo esemplificativo: - per pubblicare il ritratto di una persona è sempre necessario il consenso di questa tranne nei casi di notorietà, di esigenze di giustizia o polizia, per scopi scientifici o culturali, ovvero quando la fotografia è stata scattata in occasioni svoltesi in pubblico o di interesse pubblico; - la fotografia di un comune panorama sarà verosimilmente sempre riproducibile (a meno che la riproduzione non sia effettuata in malafede a danno di terzi); - l’opera d’arte è liberamente riproducibile purché vengano rispettati i diritti dell’autore dell’opera che scadono dopo 70 anni dalla sua morte (diritto d’autore) e dopo 20 anni dalla produzione dell’opera (diritto connesso). Recente normativa europea sul copyright Allo scopo di aggiornare le regole sul diritto d’autore nell’Unione Europea, è stata emanata la Direttiva 2019/790 sul diritto d’autore e sui diritti connessi nel mercato unico digitale, entrata in vigore il 6 giugno 2019, che si applica a tutti i materiali protetti dal diritto d’autore. Tale Direttiva è stata recepita in Italia mediante il D. Lgs. 177/2021, che tutela la fruizione delle opere e dei contenuti editoriali, introducendo il riconoscimento della remunerazione dei diritti di copyright in favore dei produttori di servizi editoriali digitali diffusi on-line. La riforma prevede infatti accordi tra editori e grandi gestori del web ai fini di un congruo pagamento di licenze per la pubblicazione di materiali protetti dal copyright. Senza tali norme, non sarebbe infatti possibile proteggere i diritti degli autori (giornalisti, designer, artisti, musicisti, scrittori, e altri creativi). Secondo il legislatore europeo, occorre invece sottoporre i colossi del web a regole analoghe a quelle a cui devono sottostare tutti gli altri soggetti economici, e fornire ai detentori dei diritti d'autore gli strumenti normativi necessari per concludere accordi con le piattaforme digitali in modo da vedere riconosciuti i propri diritti sull'utilizzo del frutto della loro creatività, in particolare garantendo ai giornalisti un equo compenso per il loro lavoro. Tutela di siti e pagine web Va rilevato che il diritto d’autore sulle pagine web è del tutto indipendente da quello sui contenuti: una pagina può essere protetta anche se rappresenta contenuti totalmente banali o privi di diritto d’autore (perché scaduto, perché l’autore vi ha rinunciato o altro). La creatività di una pagina web dipende, infatti, dal lavoro impiegato di organizzazione sistematica e di visualizzazione dei contenuti, dalla sua “usabilità”, ecc. Ci si chiede, tuttavia, se l’oggetto della tutela giuridica delle pagine web sia il codice sorgente (il linguaggio con il quale è scritta la pagina) oppure il risultato visivo, ossia ciò che appare sullo schermo (layout). Tutela di siti e pagine web Considerare oggetto di tutela il codice sorgente pone alcuni problemi, non sussistendo una corrispondenza biunivoca tra un determinato layout grafico ed un determinato codice sorgente, ben potendo infatti il primo essere ottenuto con diverse soluzioni tecniche, oppure mediante l’utilizzo di diversi linguaggi di programmazione. In teoria, quindi, sarebbe possibile avere una medesima pagina internet “interpretata” partendo da codici sorgente che non hanno nulla in comune. Scegliendo pertanto come oggetto di tutela, ai sensi della legge sul diritto d’autore, il solo codice, si finisce con il dover considerare lecita la copia pedissequa degli espedienti grafici visualizzati nel browser, utilizzando però un codice sorgente diverso. E’ invece possibile considerare come oggetto di tutela il layout grafico della pagina web, come visualizzato dal browser. In tal caso il layout viene tutelato come bene giuridico in sé - prescindendo quindi dal codice sottostante e dai contenuti della pagina web - ogniqualvolta abbia i connotati di un’opera dell’ingegno originale ed innovativa, ovvero, ai sensi della normativa sulla concorrenza sleale, ogniqualvolta un concorrente imiti pedissequamente le impostazioni grafiche utilizzate o comunque adotti impostazioni tali da creare confusione tra i siti web. Tutela di siti e pagine web Occorre costruire siti o pagine web utilizzando solo materiale di cui si abbia piena disponibilità, o il cui utilizzo sia esplicitamente autorizzato dall’autore, o dal titolare dei diritti di sfruttamento economico, se diverso dall’autore. Il momento di acquisto del diritto d’autore viene fatto coincidere dalla legge con l’atto della creazione. Non importa se sul sito da cui si prelevano testi, immagini, musica o altre opere, siano assenti gli avvertimenti relativi al copyright. Non è necessario che l’opera sia registrata, depositata o brevettata, perché ciò serve solo a provare la titolarità e il momento della creazione. L’uso di materiale altrui è, comunque, illegittimo, salvo che lo stesso autore ne autorizzi la riproduzione o la diffusione, genericamente o dietro esplicita richiesta della persona interessata. La proprietà intellettuale del sito web E’ importante che colui che commissiona la realizzazione di una o più pagine web a un soggetto esterno specifichi esplicitamente nel contratto che con esso vengono trasferiti anche tutti i diritti di sfruttamento economico sull’opera creata. Altrimenti, possono porsi delicate questioni, poiché, interpretando alla lettera la legge sul diritto d’autore, all’autore solamente competono tutti i diritti di riproduzione, modifica, fissazione, ecc., e tra l’altro la cessione di uno di essi non implica affatto la cessione dei rimanenti. Un contratto mal scritto potrebbe esporre il committente al rischio di non poter modificare le pagine per la cui realizzazione ha pagato. Infatti, l’unico modo che ha il committente per godere appieno dei diritti inerenti al sito web è stabilire chiari accordi contrattuali con tutte le parti che prendono parte alla costruzione del sito, affinché cedano tutti i diritti relativi alle loro opere al titolare del sito web. Le più comuni violazioni al diritto d’autore nel web Copia parziale o totale del codice di un sito web: nelle ipotesi in cui sia possibile considerare il codice html come un’opera dell’ingegno tutelata dalla LdA (originale /innovativa), tale condotta costituisce violazione del diritto d’autore; Abusi sul cd. “look & feel” del sito: nelle ipotesi in cui ciò che viene “rubato” non è un singolo elemento coperto dal diritto d’autore, bensì l’insieme dei colori utilizzati, la particolare forma dei caratteri o di altri originali espedienti che rendano un determinato sito immediatamente riconoscibile agli utenti internet; Riproduzione del sito su altro supporto (ad es. su cd): infatti, i codici html vengono per la maggior parte compilati per essere pubblicati su Internet; solo il legittimo titolare può deciderne ed autorizzarne l’eventuale altrui fruizione off-line. Nel costruire un sito web andrà tenuta presente l’illiceità di alcune comuni condotte Il deep-linking consiste in quella pratica di pubblicare sul proprio sito web un link (o collegamento ipertestuale) a un altro sito, ma non direttamente alla pagina principale di questo (il link alla home page è comunemente detto surface link) bensì a una pagina interna. Tale condotta può considerarsi illecita sotto svariati profili: quale concorrenza sleale, non permettendo spesso il deep-linking di identificare immediatamente il reale fornitore dell’informazione con conseguente pericolo di confusione o sviamento di clientela ovvero ancora di illecita appropriazione e usurpazione della paternità di contenuti altrui; quale violazione del diritto d’autore e dell’altrui marchio, ai sensi dell’art. 12 del Codice sulla proprietà industriale (D.Lgs. 30/2005); quale pregiudizio al sito linkato per diminuzione di conteggio degli accessi, con conseguente danno economico per diminuita forza contrattuale nello stipulare contratti di pubblicità. Ciò, purché non vi sia l’espresso consenso al deep-linking da parte del sito web linkato Ad esempio, nel sito www.interlex.it compare il seguente disclaimer: I diritti relativi ai testi firmati sono dei rispettivi autori. La riproduzione è vietata con qualsiasi mezzo analogico o digitale senza il consenso scritto dell'editore. E' consentita la copia per uso esclusivamente personale. Sono consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal nome dell'autore dell'articolo e dall'indicazione della fonte "InterLex", compreso l'indirizzo web "http://www.interlex.it". Sono consentiti i link da altri siti alla prima pagina di InterLex o a pagine interne (deep link). Non occorre chiedere un'autorizzazione, ma è gradita una segnalazione del link inserito. Framing Il cd. framing (letteralmente cornice) consiste in quella tecnica di programmazione che vincola la visualizzazione di diversi contenuti di un sito ad elementi grafici costanti che, appunto, fungono da cornice del sito web. Tale tecnica è particolarmente pericolosa perché il frame può essere utilizzato non solo per veicolare i contenuti del proprio sito web ma anche quelli presenti in altri siti, i quali verrebbero così visualizzati in costante associazione con la cornice del nostro sito web con evidenti profili di illiceità ai sensi della disciplina della concorrenza sleale, dello sfruttamento parassitario del lavoro altrui e per il rischio di confusione negli utenti. A differenza del deep-linking, inoltre, in presenza di tecniche di framing l’abuso dell’altrui diritto sussiste sempre, sia nel caso in cui il frame punti alla home page di un altro sito sia, a maggior ragione, in presenza di un deep-linking. In tal caso, si avrà violazione del diritto d’autore e della legge sui marchi (art. 12 del Codice sulla proprietà industriale: D.Lgs. 30/2005). Meta tags I modi in cui si raggiunge un sito Internet sono normalmente due: uno diretto, consistente nel digitare l’esatto indirizzo del sito che stiamo cercando; e uno indiretto, consistente nel passare attraverso un motore di ricerca. I motori di ricerca, a loro volta, rintracciano il sito che stiamo cercando analizzando i nomi a dominio dei siti internet, il titolo delle pagine web, i contenuti testuali di tali pagine e, soprattutto, i cd. «meta tags», ovvero quei tag di codice html aventi proprio la funzione di indicare ai motori di ricerca gli argomenti trattati dal sito. Accade che talvolta, per dare notorietà ad un sito web o per sviare i navigatori dai siti di aziende concorrenti, vengano utilizzati nei meta tags marchi famosi altrui, dando vita alla cd. “traffic diversion” o deviazione del traffico. Il pericolo di confusione per i consumatori è tanto maggiore in quanto i meta tags non sono visibili nella pagina web visualizzata essendo invece necessario, per visualizzarli, visualizzare il codice html sorgente della pagina stessa. I meta tags quindi non devono contenere: - nome di persona senza il consenso di questa, ai sensi dell’art. 6 c.c., per cui ogni persona ha diritto a che il proprio nome non sia utilizzato od usurpato da altri; - marchio altrui, poiché può indurre in errore i consumatori. Tutela della privacy e della identità digitale in rete Criticità in rete per la privacy degli utenti Google registra tutte le informazioni relative alle ricerche effettuate, come parole chiave e link selezionati. Un’applicazione rigorosa del principio di necessità e del divieto del cd. secondary use porterebbe all’immediata anonimizzazione di tutti quei dati personali non più indispensabili, raccolti per finalità diverse da aspetti tecnici od obblighi di legge di carattere amministrativo e/o contabile. Nell’aprile 2013, il Garante della privacy italiano ha aperto un’istruttoria nei confronti di Google per verificare il rispetto della disciplina sulla protezione dei dati personali, in particolare dei principi di pertinenza, necessità e non eccedenza dei dati trattati, nonché degli obblighi sull’informativa agli utenti e sull’acquisizione del consenso. Inoltre, i dati che si immettono sui social networks non si possono di fatto cancellare, quindi sono indelebili, venendo conservati e non distrutti anche dopo la cancellazione dell’account; consentono peraltro la cd. behavioural advertising (pubblicità comportamentale), senza uso né di opt-in né di opt-out, ma ricorrendo ai cookies. Tutele per gli utenti di social network, blog e forum dedicati alla salute Prevista per i siti l‘«avvertenza di rischio» Occorrono più tutele per chi è iscritto a social network dedicati alla salute, partecipa a blog e a forum di discussione o segue siti web che si occupano esclusivamente di tematiche sanitarie. I gestori di questi siti saranno tenuti a fornire agli utenti una specifica «avvertenza», che informi sui rischi di esporsi in rete con la propria patologia. È quanto stabiliscono le "Linee guida" per i siti web dedicati alla salute (che non riguardano comunque i servizi di assistenza sanitaria on-line e la telemedicina) varate dal Garante per la privacy nel 2012. 76 Tutele per gli utenti di social network, blog e forum dedicati alla salute In base alle Linee guida del Garante, i gestori di siti, blog, forum, social network dedicati a tematiche relative alla salute, che prevedano o meno la registrazione degli utenti, dovranno inserire nella loro home page una specifica «avvertenza di rischio», il cui scopo sarà quello di richiamare l'attenzione sui rischi connessi al fatto di rendersi identificabili sul web in relazione alla propria patologia. E ciò, anche alla luce della possibilità che tali informazioni possano essere indicizzate dai motori di ricerca generalisti o conosciuti dalla generalità degli utenti Internet, e non dai soli iscritti al sito. 77 Raccomandazioni del Garante per gli utenti di social network 1. Occorre prudenza prima di pubblicare i propri dati personali in un profilo o prima di accettare le richieste di amicizia. 2. Ricordare che i dati immessi possono riemergere dai motori di ricerca anche a distanza di anni. 3. Non pubblicare informazioni e foto su altre persone senza il loro consenso, anche perché potrebbero derivarne conseguenze penali. 4. Utilizzare, per la registrazione a questi portali, password e nome utente diversi da quelli comunemente usati per la casella di posta o per l'e- banking. 5. Se possibile usare differenti nickname per ogni rete sociale a cui ci si iscrive. (segue) Raccomandazioni del Garante per gli utenti di social network 6. Leggere l'informativa sulla privacy del sito per sapere come vengono utilizzati i propri dati. 7. Agire sulle impostazioni della privacy, limitando al massimo l'accesso al proprio profilo, soprattutto rispetto alla reperibilità dei dati da parte dei motori di ricerca. 8. Fare attenzione all'identità: non sempre chi è dall'altra parte dello schermo è chi afferma di essere. 9. Rifiutare il consenso all'utilizzo dei dati per campagne di marketing se non si vuole ricevere pubblicità indesiderata. 10.Leggere bene il contratto che regola l'utilizzo del sito e verificare la possibilità di cancellazione del proprio profilo e dei propri dati. Raccomandazioni del Garante per i fornitori di social network 1. I fornitori di social network devono prevedere configurazioni tecniche orientate a favorire la privacy. 2. Devono informare gli utenti in modo trasparente sulle conseguenze che potrebbero derivare dalla pubblicazione di dati personali in un profilo. 3. Devono garantire che i dati degli utenti non siano rintracciabili dai motori di ricerca se non con il loro previo consenso. 4. Agli utenti deve essere consentito di limitare la visibilità dell'intero profilo, così come il recedere facilmente dal servizio e di cancellare ogni informazione pubblicata sul social network. Dataveglianza e profilazione (profiling) La «dataveglianza» è un neologismo con cui si intende la possibilità di sorvegliare le persone attraverso i dati che esse lasciano nei vari spazi social. Essa si basa sul principio dei database incrociati: Twitter può sapere una parte di noi, Facebook un'altra, LinkedIn un’altra ancora, e via dicendo. Se tali dati vengono riuniti insieme, si verifica un’attività di profilazione (profiling), cioè un quadro completo della vita di una persona. La vita digitale ci ha abituato a lasciare una serie di informazioni all'interno delle diverse piattaforme di social media. Ciò da un lato è necessario per accedere ai servizi, ma anche per popolare gli spazi digitali di contenuti che riflettono la nostra identità (gusti, consumi culturali, interessi, passioni). Inserire contenuti nei social network ha come conseguenza quello di avere abbassato la soglia di attenzione sulla privacy. L’obiettivo a cui mirare è quello di essere visibili, ovvero raggiungibili dagli altri, senza far circolare informazioni che non vorremmo che circolassero. Sostituzione di persona L’art. 494 c.p. così dispone: “Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, induce taluno in errore, sostituendo la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno”. Creare un profilo falso su un social network integra il (grave) reato di sostituzione di persona. Commette lo stesso reato chi apre un account email sotto falso nome, o con foto altrui, inducendo in errore i terzi (Cass. sent. n. 25774 del 16 giugno 2014). Falsi profili (fake) L’identità digitale (profilo o account) è l’insieme dei dati personali e dei contenuti caricati su un sito Internet o, più specificamente, su un social network. Può indicare anche solo il nome-utente che viene utilizzato per identificarsi e per accedere a un servizio on-line (posta elettronica, servizio di social network, chat, blog…). Si sta diffondendo molto il fenomeno dei «fake», ossia dei falsi profili. Sostituirsi sui social network ad una persona reale, creando un falso profilo fake è punibile civilmente e penalmente. Per questa tipologia di reato la legge prevede la reclusione fino a un anno ed è possibile procedere d'ufficio. Se l'autore danneggia l'immagine d'un personaggio pubblico, per esempio, pubblicando frasi offensive che possono ledere la reputazione della persona, si può configurare anche il reato di diffamazione aggravata. Il risarcimento, in questo caso, può raggiungere cifre considerevoli da valutarsi in relazione all'episodio specifico. Legge 71/2017 in materia di cyberbullismo Obiettivo della legge: contrastare il fenomeno del cyberbullismo in tutte le sue manifestazioni, con azioni a carattere preventivo e con una strategia di attenzione, tutela ed educazione nei confronti dei minori coinvolti, sia nella posizione di vittime sia in quella di responsabili di illeciti. Gestore del sito internet: è il prestatore di servizi della società dell'informazione che, sulla rete internet, cura la gestione dei contenuti di un sito in cui si possono riscontrare le condotte di cyberbullismo; non sono considerati gestori gli access provider, i cache provider e i motori di ricerca. Oscuramento del web: la vittima di cyberbullismo, che abbia compiuto almeno 14 anni, e i genitori o esercenti la responsabilità sul minore, può inoltrare al titolare del trattamento o al gestore del sito internet o del social media un'istanza per l'oscuramento, la rimozione o il blocco di qualsiasi altro dato personale del minore, diffuso nella rete internet. Se non si provvede entro 48 ore, l'interessato può rivolgersi al Garante per la privacy che interviene direttamente entro le successive 48 ore. Legge 71/2017 in materia di cyberbullismo Ruolo della scuola: in ogni istituto tra i professori viene individuato un referente per le iniziative contro il bullismo e il cyberbullismo. Al preside spetterà informare subito le famiglie dei minori coinvolti in atti di bullismo e, se necessario, convocare tutti gli interessati per adottare misure di assistenza alla vittima e sanzioni e percorsi rieducativi per l'autore. Ammonimento da parte del questore: è stata estesa al cyberbullismo la procedura di ammonimento prevista in materia di stalking (art. 612-bis c.p.). In caso di condotte di ingiuria, diffamazione, minaccia e trattamento illecito di dati personali commessi mediante internet da minori ultraquattordicenni nei confronti di altro minorenne, fino a quando non è proposta querela o non è presentata denuncia è applicabile la procedura di ammonimento da parte del questore. Il cyberbullismo è un reato Le vittime possono denunciare i loro aggressori per: 1. Danno morale (turbamento dello stato d’animo della vittima); 2. Danno biologico (lesioni all’integrità fisica e psichica della persona, come diritto fondamentale alla salute costituzionalmente tutelato ex art. 32); 3. Danno esistenziale (danno all’esistenza personale, anche sul piano dei rapporti sociali, che viola il diritto al pieno sviluppo della persona, costituzionalmente tutelato ex art. 2). Cyberstalking La Legge 38/2009 ha introdotto in Italia il reato di stalking, che viene definito dall’art. 612-bis c.p. come quel reato commesso da «chiunque reiteratamente, con qualunque mezzo, minaccia o molesta taluno in modo tale da infliggergli un grave disagio psichico ovvero da determinare un giustificato timore per la sicurezza personale propria o di una persona vicina o comunque da pregiudicare in maniera rilevante il suo modo di vivere, è punito, a querela della persona offesa, con la reclusione da sei mesi a cinque anni». I comportamenti molesti o persecutori tipici dello stalking e considerati pertanto penalmente rilevanti, laddove siano perpetrati attraverso l'uso delle nuove tecnologie o di strumenti ad esse correlati, integrano il reato di cyberstalking. Cyberstalking L’art. 612-bis dispone, inoltre, che la pena è aumentata se il fatto è commesso dal coniuge, anche separato o divorziato, o da persona che è o è stata legata da relazione affettiva alla persona offesa ovvero se il fatto è commesso attraverso strumenti informatici o telematici. Il cyberstalking (cioè lo stalking caratterizzato dall’utilizzo delle nuove tecnologie quali la posta elettronica, le chat, la messaggistica istantanea, i social network per molestare o perseguitare la vittima) è un fenomeno ormai non raro. Anche la Corte di Cassazione, in alcune sentenze, ha ribadito che l’invio di continui messaggi di minacce tramite la rete integra il reato di cyberstalking. Regolamento europeo 679/2016 su trattamento e protezione dei dati personali Dati personali Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.. Particolarmente importanti sono: i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa); i dati rientranti in particolari categorie: si tratta dei dati cd. "sensibili", cioè quelli che rivelano l'origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute, alla vita o all'orientamento sessuale. (segue) Dati personali Il Regolamento 679/2016 (artt. 9-10) ha incluso nella nozione di dati personali anche: i dati genetici e i dati biometrici; i dati relativi a condanne penali e reati: si tratta dei dati cd. "giudiziari", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o via telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti. Figure nel trattamento dei dati personali Interessato è la persona fisica al quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l'indirizzo, il codice fiscale, ecc. di una persona fisica, questa persona è l’interessato (art. 4 del Regolamento europeo 679/2016); Titolare è la persona fisica, l'autorità pubblica, l'impresa, l'ente pubblico o privato, l'associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (art. 4 del Regolamento); Responsabile è la persona fisica o giuridica al quale il titolare affida, anche all'esterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (art. 4 del Regolamento). Il Regolamento stesso ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto cd. "sub-responsabile" (art. 28). Diritto alla protezione dei dati personali Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo, ai sensi della Carta dei diritti fondamentali dell'Unione Europea (art. 8). Oggi è un diritto tutelato anche dal Regolamento europeo 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE, oltre che da vari altri atti normativi italiani e internazionali. In particolare, a seguito del riconoscimento di tal diritto, ogni individuo può pretendere che i propri dati personali siano trattati da terzi solo nel rispetto delle regole e dei princìpi stabiliti dalla legge. Diritto alla protezione dei dati personali Il Regolamento europeo 679/2016, applicabile a partire dal 25 maggio 2018, disciplina il trattamento dei dati personali indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione Europea, sia quando svolto da titolari o responsabili stabiliti in UE o in un luogo soggetto al diritto di uno Stato membro della UE in virtù del diritto internazionale pubblico (per esempio l’ambasciata o la rappresentanza consolare di uno Stato membro), sia quando il titolare o il responsabile non è stabilito nell’Unione Europea ma le attività di trattamento riguardano: l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione Europea, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione Europea. Diritto alla protezione dei dati personali Il Codice in materia di protezione dei dati personali o «Codice sulla privacy» (D. Lgs.196/2003) resta in vigore limitatamente a quelle disposizioni che non contrastano o non si sovrappongono con quelle del Regolamento europeo 679/2016, e sono con esso compatibili. Il D.Lgs. 101/2018 ha provveduto ad adeguare le sue disposizioni alla disciplina europea. Il Regolamento europeo 679/2016 prevede specifiche misure di protezione e sicurezza da applicare e adempimenti da svolgere quando si effettua un trattamento di dati personali, e riconosce all'interessato determinati diritti che è possibile esercitare rivolgendosi direttamente al titolare del trattamento (artt.15-22). Princìpi generali del trattamento di dati personali Ogni trattamento di dati personali deve avvenire nel rispetto dei princìpi fissati all’art. 5 del Regolamento europeo 679/2016, che qui si ricordano brevemente: liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato; finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati; minimizzazione dei dati, ossia i dati devono essere pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento; esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento; limitazione della conservazione, ossia conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento; integrità e riservatezza, ossia garanzie di sicurezza adeguata per i dati personali oggetto del trattamento. Principi generali del trattamento di dati personali Il Regolamento (art. 5) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability), che viene poi esplicitato ulteriormente dall’art. 24 del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in conformità al presente Regolamento”. Consenso Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (art. 7) che l'interessato ha prestato il proprio consenso, che è valido se: all'interessato è stata resa l'informazione sul trattamento dei dati personali (artt. 13-14); è stato espresso dall'interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile. Non è ammesso il consenso tacito o presunto (ad esempio, presentando caselle già spuntate su un modulo). Quando il trattamento riguarda “categorie particolari di dati personali” (art. 9 del Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’art. 9 del Regolamento). Misure adeguate di sicurezza Il titolare del trattamento, come pure il responsabile, è obbligato ad adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza idoneo al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato ai dati). Tra tali misure, il Regolamento menziona, in particolare, la pseudonimizzazione e la cifratura dei dati; misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure atte a garantire il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l'efficacia delle misure di sicurezza adottate. La lista di misure di cui all’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per questi motivi, non possono più sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza, poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati, come da art. 32 del Regolamento. Vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (art. 32). Regolamento europeo 679/2016 Tale Regolamento, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, è entrato in vigore il 24 maggio 2016 ed è diventato direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.e i Le imprese e le Pubbliche Amministrazioni (PA) hanno pertanto l’obbligo di organizzarsi e adeguarsi alle nuove regole. Esso sostituisce la precedente Direttiva 95/46/CE in materia di privacy, ed è finalizzato: a) da una parte, a permettere ai cittadini dei Paesi dell’Unione Europea un miglior controllo sui propri dati personali; b) dall’altra, ad alleggerire le imprese da vari oneri burocratici che ne potrebbero ostacolare lo sviluppo e la competitività all’interno del mercato unico digitale. Regolamento europeo 679/2016 Il Regolamento europeo sulla privacy consente alle persone di controllare meglio i propri dati personali. Nel contempo, grazie a tali disposizioni unificate, le imprese possono sfruttare al meglio le possibilità offerte dal mercato unico digitale, con minori oneri burocratici e con maggiore fiducia da parte dei consumatori. Tale Regolamento contiene novità in materia di: diritto all'oblio, diritto alla portabilità dei dati, notificazioni delle violazioni alle autorità nazionali, e agli stessi utenti nei casi più gravi (data breaches), modalità di accesso ai propri dati personali più facili per gli interessati, princìpi di "privacy by design" e di "privacy by default, finalizzati a un approccio concettuale innovativo che impone alle aziende l'obbligo di avviare un progetto prevedendo, fin dall’inizio, gli strumenti e le corrette impostazioni a tutela dei dati personali. L’obiettivo è rendere uniforme la normativa in Europa, garantire una più efficace tutela dei dati personali, e incentivare la creazione di un mercato unico digitale europeo. Regolamento europeo 679/2016 Diritto all’oblio Gli interessati possono ottenere la cancellazione dei propri dati personali anche on-line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento: se i dati sono trattati solo sulla base del consenso; se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti; se i dati sono trattati illecitamente; oppure se l’interessato si oppone legittimamente al loro trattamento. A questo diritto si accompagna l’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile. Il diritto all’oblio può essere limitato solo in alcuni casi: ad esempio, per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria; per tutelare un interesse generale, tra cui la salute pubblica; oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche. Regolamento europeo 679/2016 Sicurezza del trattamento In riferimento al profilo della sicurezza del trattamento, il Regolamento prevede (art. 32) che il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Il profilo del costo di attuazione delle misure di sicurezza costituisce una novità importante per il nostro ordinamento. Regolamento europeo 679/2016 Garanzie rigorose per il trasferimento dei dati al di fuori della UE Resta vietato il trasferimento di dati personali verso Paesi situati al di fuori dell’Unione Europea o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela dei dati, rispetto ai quali il Regolamento introduce criteri di valutazione più stringenti. In mancanza di un riconoscimento di adeguatezza da parte della Commissione europea, i titolari possono utilizzare per il trasferimento specifiche garanzie contrattuali, per le quali il Regolamento prevede norme dettagliate e vincolanti. In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati possono essere trasferiti solo con il consenso esplicito dell’interessato, oppure qualora ricorrano particolari condizioni (ad esempio, quando il trasferimento è indispensabile per rispettare specifici obblighi contrattuali, per importanti motivi di interesse pubblico, per esercitare o difendere un diritto in sede giudiziaria). Regolamento europeo 679/2016 Valutazione di impatto Le PMI non sono obbligate a effettuare una valutazione di impatto privacy, eccetto che in presenza di un rischio elevato per la protezione dei dati personali trattati. Le Pubbliche Amministrazioni, a seguito delle disposizioni del Regolamento, hanno l’obbligo, prima di procedere al trattamento dei dati personali, di effettuare una valutazione dell’impatto (“privacy impact assessment”), del trattamento stesso allorché implichi l'uso di nuove tecnologie e, considerati la natura, l'oggetto, il contesto e le finalità di tale trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione di impatto sulla privacy richiede una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Regolamento europeo 679/2016 Le nuove norme prevedono principalmente: 1. Maggiori garanzie per i cittadini: regole più chiare in tema di informativa e consenso, determinazione di limiti al trattamento automatizzato dei dati personali, maggiori possibilità di un concreto esercizio dei nuovi diritti. 2. Diritto alla portabilità dei dati: maggiore facilità di trasferimento dei dati personali da un fornitore di servizio a un altro. 3. Introduzione di un più garantito diritto all’oblio: cancellazione dei propri dati personali on-line se non sussistano più motivi legittimi per conservarli. Il diritto all’oblio consiste nel diritto di un individuo a essere dimenticato, o meglio, a non essere più ricordato per fatti che in passato hanno caratterizzato la propria vita. Con le nuove tecnologie il diritto all’oblio allo stato attuale rischia di scomparire. Una volta immessa on-line una notizia, è quasi impossibile cancellarla, e anche a distanza di decenni risulta esservi sempre traccia di essa. (segue) Regolamento europeo 679/2016 4. Diritto di essere informati in caso di violazione dei dati (data breach): il titolare del trattamento dovrà comunicare tali eventuali violazioni all’Autorità nazionale di protezione dei dati, informando in modo chiaro anche tutti gli interessati se si tratti di una violazione che pone a rischio i loro diritti, e fornendo loro indicazioni su come sia possibile limitare i danni. Il Regolamento comporta un cambiamento anche culturale: difendere i dati, significa difendere le persone, l’ identità e la libertà delle stesse. I cittadini hanno il diritto di essere avvertiti dalle PA e dalle imprese delle violazioni dei loro dati personali (data breach notification) entro le 72 ore, obbligo previsto attualmente solo in alcuni settori (fascicolo e dossier sanitario, interscambio di dati tra PA, settore bancario). (segue) Regolamento europeo 679/2016 5. Introduzione del principio di «privacy by design»: protezione dei dati «fin dalla fase di progettazione» di un trattamento, di un prodotto o di un sistema, adottando misure che consentano di prevenire possibili criticità; e del principio di «privacy by default»: protezione dei dati personali garantita «per impostazione predefinita». 6. Approccio basato sulla valutazione del rischio, mirante a premiare i soggetti più responsabili: anziché imporre a priori pesanti obblighi e oneri applicabili indistintamente, le norme attribuiranno gli obblighi in base al rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, promuovendo il principio di responsabilità (accountability) dei titolari del trattamento. Ad esempio, le imprese non saranno obbligate ad effettuare una valutazione d'impatto sulla protezione dei dati se non in presenza di un rischio elevato. (segue) Regolamento europeo 679/2016 7. Semplificazioni per i soggetti che offrono maggiori garanzie e promuovono sistemi di autoregolamentazione: ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, da sottoporre all’approvazione dell’Autorità nazionale di protezione dei dati personali, ed eventualmente della Commissione Europea. L’adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l’Autorità di controllo dovrà tenere conto, ad esempio, nell’applicare eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare. (segue) Regolamento europeo 679/2016 8. Introduzione della figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO): è questa una nuova figura professionale, obbligatoria per i soggetti pubblici, avente il compito di informare e consigliare il titolare del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento e da altre disposizioni dell'Unione relative alla protezione dei dati, e di sorvegliare sulla effettiva applicazione delle misure tecniche e normative occorrenti in materia. 9. Sanzioni più rigide: il Regolamento prevede inoltre un rafforzamento dei poteri delle Autorità Garanti nazionali e un inasprimento delle sanzioni amministrative a carico di imprese e Pubbliche Amministrazioni: nel caso di violazioni dei princìpi e disposizioni del Regolamento, le sanzioni, in casi particolari, possono arrivare fino a 10 milioni di euro e per le imprese fino al 2%-4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. D.Lgs.101/2018 di adeguamento della normativa italiana al GDPR Dopo il Regolamento europeo 679/2016 (GDPR), è stato necessario emanare un Decreto legislativo di adeguamento della normativa nazionale in materia di protezione dei dati personali, cioè il D.Lgs. 101/2018 che ha provveduto ad abrogare le disposizioni del precedente D.Lgs. 196/2003 (Codice sulla privacy) non più compatibili con il GDPR introducendone nuove, ma anche ad integrare e modificare le disposizioni che rimangono in vita. Ne è risultata una nuova versione del Codice sulla privacy più ridotta, ma anche più coerente con la normativa comunitaria. Principali novità del D.Lgs.101/2018 1. Sanzioni penali Trattamento illecito di dati. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione del Regolamento arreca un danno all’interessato, è punito con la reclusione da sei mesi fino a un anno e sei mesi. E nei casi più gravi fino a tre anni. L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala è punita con la reclusione da uno a quattro anni. Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala è punita con la reclusione da uno a sei anni. L’inosservanza dei provvedimenti del Garante è punita con la reclusione da tre mesi a due anni. Principali novità del D.Lgs.101/2018 2. Sanzioni amministrative E’ compito del Garante per la privacy dettare le regole per l’applicazione delle sanzioni amministrative previste, ad esempio, per chi non effettua la valutazione d’impatto sulla protezione dati (DPIA). Per i primi 8 mesi dalla data di entrata in vigore di tale Decreto, in base all’art. 22, il Garante per la protezione dei dati personali ha tenuto conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento, della fase di prima applicazione delle disposizioni sanzionatorie, ma ciò non significa che non abbia potuto irrogare sanzioni amministrative, anche elevate. Principali novità del D.Lgs.101/2018 3. Minori sui social da 14 anni senza l’ok dei genitori In Italia chi ha 14 anni può iscriversi liberamente sui social network e utilizzare i servizi di messaggistica istantanea (WhatsApp, ecc.). Questa è un’altra novità contenuta nel testo di adeguamento al GDPR. Gli under 14 hanno bisogno del consenso di chi esercita la responsabilità genitoriale. 4. Informativa privacy e consenso al trattamento dei dati personali Per l’informativa privacy continuano a valere tutte le regole dettate dagli artt. 13-14 del GDPR, Analogamente per il consenso al trattamento dei dati personali, riguardo a cui continuano a valere, come regole generali, quelle previste dagli artt. 6-7 del GDPR. 5. Dati biometrici Il Decreto fornisce via libera al trattamento dei dati genetici, biometrici e relativi alla salute, che però deve avvenire adottando le misure di garanzia disposte dal Garante per la privacy. Principali novità del D.Lgs.101/2018 6. Garante per la privacy Il nuovo Codice sulla privacy rafforza i poteri e aumenta i compiti del Garante privacy, il cui “Collegio è costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica”. Inoltre è cambiata la forma di tutela garantita a chi crede di aver subìto una violazione della privacy: non più il ricorso, ma l’interessato può proporre un reclamo al Garante privacy oppure rivolgersi all’Autorità giudiziaria. 7. Semplificazione per le P