Call Us +39 011 55.84.111

Privacy GDPR - CSI Piemonte organizza un incontro tra gli esperti del settore e le Pubbliche amministrazioni per approfondire gli adempimenti e condividere le best practice

  • 15 September 2017 |
  • Pubblicato in News

Il 25 settembre 2017 a Torino si terrà presso la sede del CSI Piemonte (Consorzio per il Sistema Informativo) un incontro volto ad illustrare i nuovi adempimenti previsti dal Regolamento Generale sulla protezione dei dati (GDPR), che entrerà in vigore dal 25 maggio 2018 in tutti i paesi dell’Unione Europea, che avrà importanti impatti sulla vita degli enti pubblici e delle imprese, dal punto di vista tecnologico, organizzativo e legale, in termini di assegnazione di responsabilità e revisione dei processi e della documentazione.

L’incontro, rivolto principalmente alla Pubbliche amministrazioni, darà l’opportunità di confrontarsi con esperti del settore sulle novità del GDPR, approfondire gli adempimenti e condividere best practice.

L’avv. Giuseppe Vaciago, partner dello studio R&P Legal Studio associato, prenderà parte al convegno in qualità di relatore per approfondire i rischi di un Data Breach, le sue ripercussioni dal punto di vista del trattamento dei dati personali e per spiegare quali sono i profili operativi e le best practices internazionali  sul punto.

All’incontro parteciperanno, altresì, numerosi esperti del settore con il fine di chiarire tutti gli aspetti dell’entrata in vigore del nuovo Regolamento e le sue ripercussioni in tutti gli ambiti legali e/o operativi.

Programma dell'evento

Leggi tutto...

Top Legal award 2016

  • 09 November 2016 |
  • Pubblicato in News

Piero Magri e Giuseppe Vaciago sono stati inseriti da Top Legal tra i 18 finalisti per i 4 award che Top Legal riconoscerà ai professionisti dell’anno 2016 nei settori penale ambientale, penale finanziario, penale societario e penale tributario.
R&P Legal era già risultato vincitore nel 2014 come studio dell’anno per il settore penale commerciale.

Leggi tutto...

Il Caso Ulbricht: Bitcoin, Deep Web e Silk Road

Il 2014 è stato l’anno della “criptomoneta”, una valuta decentralizzata la cui implementazione si basa sui principi della crittografia a chiave pubblica, detta anche asimmetrica. Pur essendo stati censiti oltre 500 tipi di valute virtuali, soltanto dieci possiedono una capitalizzazione di mercato che supera i 10 milioni di dollari e di una si è parlato costantemente, per motivi diversi che vedremo a breve, durante tutto l’arco del 2014: i Bitcoin. 

Dubito che molti di noi (io per primo) sappiano veramente cosa siano e, soprattutto, come funzionino i Bitcoin. Alcuni hanno provato a spiegarlo in modo semplice, altri in modo più complesso, ma se veramente si vuole capire cosa siano, il mio consiglio è di acquistarli.
Da un punto di vista legale, la natura virtuale e immateriale della criptovaluta che la differenzia considerevolmente dalla moneta elettronica come definita dalla Direttiva 2009/110/CE, genera dubbi interpretativi di natura fiscale, valutaria e penale che portano spesso a delle affrettate valutazioni giuridiche che rischiano di demonizzare uno dei fenomeni più innovativi che abbiamo avuto negli ultimi anni.
Tuttavia, è indubbio che i Bitcoin, grazie alla loro natura immateriale e potenzialmente anonima, sono stati scelti come “moneta ufficiale” per il commercio illegale che avviene nel deep web e sulle piattaforme ad esso connesse. Il Deep Web non è altro che è l'insieme delle risorse informative del World Wide Web non segnalate dai normali motori di ricerca a cui si può accedere solo utilizzando la rete di anonimizzazione TOR. Secondo le ricerche condotte da Bright Planet, una società Statunitense specializzata in materia, il Web è costituito da oltre 550 miliardi di documenti, mentre Google ne indicizza solo 2 miliardi, ossia meno dell’uno per cento. All’interno del Deep Web, sono presenti piattaforme come Silk Road che, sfruttando l’anonimato del sistema, sono diventate veri e propri portali per il traffico di stupefacenti in grado di consentire il commercio on line di ogni tipo di droga esistente al mondo.
Il 2 ottobre 2013, dopo anni di investigazioni, Ross Ulbricht, noto anche come “Dread Pirate Roberts”, è stato arrestato dall’FBI mentre stava studiando in una biblioteca di San Francisco. Le accuse erano quelle di aver fondato e gestito la piattaforma Silk Road: la cosa ha generato un notevole clamore, in quanto Ulbricht rappresenta il classico “ragazzo modello” americano. Laureato in fisica nel 2002 presso la Texas University, dopo aver conseguito master presso la Penn University, svolge presso la stessa Università l’attività ricercatore fino al 2010. Il processo contro Ulbricht è ancora in corso, ma l’FBI sembra avere prove schiaccianti relative alla sua gestione della piattaforma dedita al traffico di stupefacenti. I legali della difesa, invece, sostengono che tali prove siano state costruite ad arte e che Ross Ulbricht si sia dissociato da Silk Road non appena si rese conto della reale portata della piattaforma. Pochi giorni fa il classico colpo di scena: Nicholas Weaver, ricercatore di sicurezza per l'International Computer Science Institute di Berkeley, è riuscito, senza nemmeno avere accesso agli atti del processo, a dimostrare come Ulbricht abbia ricevuto circa 29 mila bitcoin (del valore attuale di circa 6 milioni di Euro) dalla piattaforma Silk Road tra il 5 luglio ed il 21 agosto 2013. Tutto questo perché i bitcoin attraverso la blockchain tracciano tutte le operazioni eseguite e, una volta in possesso della chiave privata di Ross Ulbrichtm, è possibile ricostruire tutti i passaggi di denaro, o meglio criptovaluta, effettuati. La semplicità con cui questo ricercatore ha dimostrato la provenienza illecita del denaro, prima ancora che i testimoni dell’accusa potessero mostrare al giudice e alla giuria le loro prove, fa comprendere come la preparazione tecnica e l’intuito investigativo siano, da sempre, gli unici strumenti in grado di superare gli ostacoli generati da un contesto tecnologico di grande complessità.
Il tempo ci dirà se Ross Ulbricht sia o meno la mente occulta che ha gestito fino al 2013 la piattaforma Silk Road. È un dato di fatto, tuttavia, che alcuni giorni dopo il suo arresto, è nato il sito Silk Road 2.0 gestito da Blake Benthall, noto anche come “Defcon”: un ragazzo di 26 anno che, nel suo profilo linkedin, dichiara di aver svolto la sua prima attività professionale a 10 anni come webmaster. Silk Road 2.0 è stato chiuso il 6 novembre 2014: lo stesso giorno in cui “Defcon” è stato arrestato.
In estrema sintesi, questa vicenda porta a tre considerazioni di fondo.
La prima, scontata, è che la rivoluzione digitale ha creato una generazione di ragazzi prodigio che hanno capito quanto possa essere redditizio sviluppare “modelli di business” illeciti nel mondo sommerso del Deep Web.
La seconda, meno scontata, è che, pur essendo abituati a forme sempre più evolute di mediatizzazione dei processi penali, è la prima volta che durante la fase di formazione della prova, un privato riesce a fornire delle evidenze ancora non discusse in aula. Questo secondo aspetto preoccupa quasi più del primo, in quanto rende ancora più confuso il confine tra verità processuale, verità storica e verità “mediatica”.
La terza, in conclusione, è che ci troviamo di fronte ad un processo di grande importanza anche per il futuro dei bitcoin. Quale che sia la natura giuridica dei bitcoin (moneta fiat, strumento finanziaro o bene), la criptovaluta è un mezzo di pagamento innovativo e ha delle caratteristiche tecniche di particolare utilità per lo scambio di beni e servizi in un mondo sempre più globalizzato. Ciò di cui ha bisogno non è di essere demagogicamente demonizzato, ma di essere, banalmente, regolamentato.

Leggi tutto...

Web e Codice Deontologico: una difficile convivenza

Il possibile impatto dell’articolo 35 del nuovo codice deontologico approvato dal Consiglio Nazionale Forense nel gennaio di quest’anno è stato recentemente preso in considerazione dall’AIGA (Associazione Italiana Giovani Avvocati) in prossimità della sua entrata in vigore (15 dicembre 2014). Nel comunicato stampa la presidente dell’associazione Nicoletta Giorgi definisce tale articolo «un vero bavaglio con restrizioni anacronistiche che pongono la nostra categoria in una condizione di disparità e svantaggio».

Anche se la gran parte dei principi espressi dal nuovo articolo 35, sono già presenti negli articoli 17 e 17-bis dell’attuale versione del codice deontologico forense, non si può non guardare con un certo rammarico come si sia persa l’ennesima occasione per avviare la professione forense ad un utilizzo etico e deontologico degli strumenti e delle potenzialità offerte dalle nuove tecnologie.

Entrando nel vivo del testo del nuovo articolo 35, il comma 9° testualmente cita: “L’avvocato può utilizzare, a fini informativi, esclusivamente i siti web con domini propri senza reindirizzamento, direttamente riconducibili a sé, allo studio legale associato o alla società di avvocati alla quale partecipi, previa comunicazione al Consiglio dell'Ordine di appartenenza della forma e del contenuto del sito stesso”.

Le perplessità discendono dall’obbligo esclusivo di utilizzare siti web con domini propri. Un’interpretazione letterale di questo articolo genera due possibili conseguenze: all’avvocato o allo Studio Legale dovrebbero essere vietati l’uso di social network quale Linkedin e Facebook o di portali quali “paginegialle.it” o “sostituzionilegali.it” che indicizzano i vari studi legali consentendo agli stessi una promozione dei propri servizi.

È doveroso l’uso del condizionale rispetto alle possibili conseguenze sanzionatorie di tale divieto, in quanto la totale assenza di provvedimenti disciplinari nei confronti della potenziale moltitudine di avvocati “trasgressori” in possesso di un profilo linkedin fa supporre che il buon senso abbia prevalso sulla rigida interpretazione del codice deontologico, magari attraverso la creazione di una distinzione, a onor del vero più formale che sostanziale, tra il concetto di sito web e quello di social network. 

Altrettanto problematico è il contenuto del comma 10 dell’articolo 35 secondo il quale “l’avvocato è responsabile del contenuto e della sicurezza del proprio sito, che non può contenere  riferimenti  commerciali o pubblicitari sia mediante l'indicazione diretta che mediante strumenti di collegamento interni o esterni al sito”.

In questo caso, emergono due profili che devono essere valutati distintamente. Il primo riguarda la sicurezza del contenuto del proprio sito web. Tale obbligo, assente nella precedente versione del codice deontologico forense, è più che mai attuale e condivisibile. È sempre più frequente la prassi di numerosi studi professionali di rendere disponibili all’interno del proprio sito web informazioni relative alle pratiche dei propri clienti in modo da consentire agli stessi di poterle monitorare in tempo reale senza dover contattare direttamente il cliente. 

Se da un lato questo servizio, è di particolare utilità nei confronti del cliente, non si può negare che vi siano dei forti margini di rischio nel momento stesso in cui l’avvocato titolare del sito web non abbia adeguatamente investito nella protezione di tali dati, ad esempio, decidendo di utilizzare un servizio di hosting del proprio sito web a basso costo.

Il secondo profilo riguarda il divieto di riferimenti commerciali o pubblicitari al proprio sito web sia mediante l’indicazione diretta che mediante strumenti di collegamento interni o esterni. In sostanza, tale disposizione vieta la possibilità per gli avvocati di promuoversi attraverso strumenti pubblicitari quali AdWords di Google o servizi affini. Su questo punto, l’Associazione Italiana Giovani Avvocati, come anticipato, ha avuto una reazione molto decisa e severa parlando addirittura di un’evidente disparità di trattamento rispetto ai tradizionali servizi offerti nel settore della stampa tradizionale. Effettivamente, si fa un po’ di fatica a cogliere la differenza tra una pubblicità on line e una pubblicità su un quotidiano nazionale, se non per il fatto che la seconda ha un costo più elevato e non sempre riesce ad avere un impatto mirato sul tipo di clientela che si desidera raggiungere. 

Al di là delle legittime critiche al codice deontologico di prossima applicazione, non si può, in conclusione, non cogliere come l’utilizzo massivo della Rete per promuovere servizi legali può generare un’entropia informativa su cui è necessaria una riflessione ben più ampia. Oggi la Rete (rectius Google) è una miniera sterminata di informazioni di natura legale, ma non sempre ci sono gli strumenti per comprendere il contesto di riferimento e soprattutto la qualità della fonte da cui proviene tale informazione. 

Sotto questo profilo, un Consiglio Nazionale Forense “illuminato” ha molto lavoro da fare: è sicuramente prioritario evitare che tale entropia informativa di natura legale impedisca al cittadino o all’impresa una corretta analisi della problematica legale e la conseguente scelta del professionista competente nel settore di riferimento. 

È quindi auspicabile che si proceda speditamente in questa direzione attraverso la certificazione delle informazioni legali presenti on line e la creazione di regole che consentano di determinare i limiti e le modalità con cui il professionista può promuovere i suoi servizi legali, evitando al contempo divieti censori e di difficile applicazione che non possono che apparire come assolutamente anacronistici nell’era dei Big Data. 

Leggi tutto...

La contraffazione dei prodotti alimentari vede anche R&P Legal in prima linea

La contraffazione alimentare dei prodotti Made in Italy dal 2007 ad oggi è cresciuta quasi del 250%, secondo i dati diffusi da Coldiretti. Un fenomeno che oggi viene contrastato con un approccio sempre più "globalizzato". Su questo tema è stato pubblicato un interessante articolo su Italia Oggi, ricco di contributi a firma di alcuni dei legali più attivi in Italia su questo tema, compreso il nostro Giuseppe Vaciago. 

Leggi tutto...

Court Of New York: la reasonable expection of privacy di un tweet

Il caso

In data 26 gennaio 2012 il Procuratore del Distretto di New York chiedeva il sequestro dei dati di un utente di Twitter, Malcom Harris, accusato di “comportamento atto a turbare l'ordine pubblico” (New York Penal Law, article §240.20[5]) per aver preso parte ad una marcia di protesta del movimento “Occupy Wall Street” il 1° ottobre 2011. Il provvedimento, in particolare, era diretto ad ottenere l’indirizzo mail e i “tweet” postati sull’account @destructuremal e successivamente cancellati tra il 15 settembre e il 31 dicembre 2011, al fine di sconfessare la linea difensiva di Harris che, al contrario di quanto ritenuto dal Procuratore, aveva affermato che era stata la Polizia a condurre e scortare l’accusato sulla carreggiata del ponte di Brooklyn.
Twitter Inc. si opponeva alla richiesta di sequestro, ma il 30 giugno 2012, il Tribunale di New York rigettava l’istanza affermando che:
(i) i “tweet” degli utenti non trovano protezione all’interno del Quarto Emendamento della Costituzione degli Stati Uniti che tutela il cittadino da perquisizioni, arresti e confische irragionevoli;
(ii) la richiesta di sequestro in discussione trova tutela in base alle leggi dello Stato di New York (art. I, § 12 della Costituzione dello Stato di New York).
Di conseguenza, il Tribunale ordinava a Twitter Inc. di dare attuazione alla richiesta di sequestro del Procuratore. In data 27 agosto 2012 Twitter Inc. ha presentato appello contro tale decisione.

Le motivazioni dell’accusa
Il Procuratore di New York, al fine di dare legittimazione alla propria richiesta di sequestro dei “tweet” dell’account di Harris, ha anzitutto sostenuto il carattere pubblico degli stessi, affermando che l’ISP, in questo caso, è come se fosse il testimone di un reato: di conseguenza, è lecito obbligarlo a rendere note le informazioni in suo possesso. In secondo luogo, ha affermato che il Quarto Emendamento, applicabile all’abitazione fisica di un individuo non è invece applicabile al mondo della rete, dove le informazioni sono inviate e custodite presso terze parti, e non in uno spazio fisico o virtuale nella disponibilità esclusiva dell’utente della rete. In terzo luogo, la richiesta del Procuratore era relativa a fatti sufficientemente specifici e non generica, circostanza che le conferiva legittimità in base ai principi contenuti nello Stored Communications Act (18 USC §§2701-2711).

La difesa di Twitter Inc.
Twitter Inc. ha, invece, sostenuto che:
(i) il singolo utente ha legittimazione ad impugnare la richiesta del Procuratore perché è un diritto protetto dal Primo Emendamento (libertà di espressione) e i termini e condizioni di utilizzo attribuiscono all’utente un “interesse proprietario” riguardo ai propri “tweet”;
(ii) i “tweet” sarebbero anche protetti dal Quarto Emendamento perché il Procuratore ammette di non potervi accedere liberamente, così dimostrando l’esistenza di una “reasonable expectation of privacy” (ragionevole aspettativa di riservatezza) da parte dell’utente;
(iii) sulla base dell’Uniform Act (Uniform Act to Secure the Attendance of Witnesses from Without a State in Criminal Proceedings) la richiesta doveva essere fatta ad un Tribunale della California, Stato in cui ha sede Twitter Inc.

Tralasciando le questioni procedurali, è chiaro che i Giudici della Suprema Corte dello Stato di New York dovranno fornire una risposta alla seguente domanda: una ragionevole aspettativa di riservatezza può essere riconosciuta riguardo ad un “tweet” rimasto online per un certo periodo e poi rimosso dall’utente?

L’approccio Europeo alla privacy dell’utente in Rete
Mentre negli Stati Uniti si discute dell’opportunità di proteggere il “tweet” di un utente attraverso il Quarto Emendamento, in Europa si valuta l’ipotesi di modificare l’attuale normativa sulla privacy. Le recenti proposte della Commissione, relative al nuovo quadro giuridico europeo in materia di protezione dei dati personali, prevedono l’entrata in vigore entro la fine del 2012 di un Regolamento, che andrà a sostituire la direttiva 95/46/CE, e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).
Qualora entrasse in vigore, il nuovo Regolamento introdurrebbe il "diritto all’oblio", ossia il diritto di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione o per consentire la ricerca storica).
Negli Stati Uniti, quindi, il Primo e Quarto Emendamento si pongono come baluardo difficilmente superabile della libertà di espressione e del diritto alla riservatezza, e dirigono necessariamente l’oggetto delle riflessioni giuridiche sul piano dei rapporti tra i poteri delle istituzioni e le libertà degli individui.
In Europa invece, i problemi legati alla “reputazione digitale” costringono le Autorità giudiziarie ad adottare decisioni spesso contrastanti fra loro, che in assenza di rigide affermazioni in merito alla libertà di espressione lasciano gli utenti della Rete, oltre che gli stessi internet service provider, in balia di affermazioni di principio spesso insufficienti e/o poco aderenti alla realtà di un fenomeno – la diffusione globale delle informazioni – per il quale non sono ancora state messe nero su bianco le “regole del gioco”.
Secondo James Q. Whitman, titolare della cattedra di diritto comparato presso la Yale Law School, questa differente impostazione giuridica è frutto della diversa formazione storica, politica e culturale dei due continenti.
La privacy europea tende a salvaguardare la riservatezza della persona di fronte al principale soggetto che la minaccia: il sistema dei media e, con l’avvento delle nuove tecnologie, quello derivante dalla società dell’informazione. La privacy statunitense, invece, si erge a tutore dell’inviolabilità delle pareti domestiche dalla possibile intrusione dello Stato.
Se si considera, tuttavia, che i tre principali internet service provider statunitensi collocati nell’area della Silicon Valley (Google, Facebook e Twitter) contano ad oggi circa 2 miliardi e trecento milioni di utenti nel mondo e buona parte di essi sono cittadini dell’Unione Europea, è facile immaginare come queste differenti impostazioni debbano urgentemente trovare un punto di equilibrio.

(avv. Giuseppe Vaciago)

Leggi tutto...

Le riprese condominiali sono da considerarsi prove legittime

Con la recente sentenza del 7 luglio 2013, n. 28554, la seconda sezione penale della Corte di Cassazione ha ritenuto ammissibili, quali prove in un procedimento penale, le videoregistrazioni eseguite in violazione dei principi posti a tutela della privacy dal d.lgs. 196/2003. 


Con Il provvedimento in oggetto, la Suprema Corte accoglie il ricorso della Procura contro la sentenza del Giudice di Pace di Latina che aveva assolto l’imputato dal delitto di danneggiamento di un’autovettura, ed afferma due importanti principi, destinati a segnare la prevalenza del diritto di difesa sulle disposizioni volte a tutelare i dati personali dei soggetti ripresi.

In primis, secondo l’interpretazione degli ermellini, le videoriprese realizzate da privati cittadini in spazi condominiali (o comunque relativi al domicilio) possono essere acquisite nel processo penale come prova documentale ex art. 234 c.p.p. In secondo luogo, la Cassazione non si limita a ritenere ammissibili le immagini registrate senza gli avvisi e le garanzie riconosciuti solitamente ai titolari dei dati ivi contenuti, ma giustifica tale ammissibilità arrivando a considerare irrilevante che siano state rispettate o meno le istruzioni del Garante per la protezione dei dati personali, poiché la relativa disciplina non costituisce sbarramento all’esercizio dell’azione penale.

Tale decisione, ad una prima lettura, sembra essere in netto contrasto non solo con quanto disposto dalle Sezioni Unite con la sentenza n. 26795/2006, ma, anche, con l’art. 11, comma 2, d.lgs. 196/2003, che recita, laconicamente, come “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”.

Le Sezioni Unite, nella sentenza richiamata, giudicando un caso di videoregistrazioni effettuate irritualmente nel corso di un’indagine penale, avevano liquidato la questione riconoscendo che, a differenza delle riprese visive in luoghi pubblici, le riprese di comportamenti non comunicativi eseguite in ambito domiciliare o comunque privato, siccome eseguite in violazione dell'art. 14 Cost., devono essere considerate “illegittime e processualmente inutilizzabili”, né esse, al fine di ammetterne la legittimità e l'utilizzabilità, possono essere qualificate come "prova atipica" ex art. 189 c.p.p., giacché tale categoria presuppone pur sempre la formazione lecita della prova. Il caso di specie aveva ad oggetto, in particolare, immagini carpite nel domicilio di un indagato mediante installazione abusiva di telecamere ad opera della Polizia Giudiziaria, senza che fossero stati rispettati, ab origine, i principi stessi previsti dal codice di procedura penale.

Nel ribaltare l’orientamento tracciato dalla Corte a Sezioni Unite, tuttavia, i Giudici della Seconda Sezione specificano che il richiamo effettuato dal Giudice di pace alla sentenza n. 26795/2006 sopra richiamata è, nel caso che ci interessa, inconferente, in quanto riferito a captazioni effettuate con strumenti posti in opera dall’autorità giudiziaria e non da privati cittadini nell’ambito di spazi domiciliari.

Il tema della liceità e della utilizzabilità di videoregistrazioni (così come di altri mezzi di prova, ad esempio le email ed i files reperiti su dispositivi informatici) effettuate nell’ambito di procedimenti giudiziari, sia di natura penale che civile, è stato più volte affrontato negli ultimi anni sia dalla Magistratura, che dall’Autorità amministrativa, in relazione tanto a fattispecie afferenti i rapporti di lavoro (nello specifico, il controllo dei dipendenti da parte del datore di lavoro), quanto a episodi di “investigazioni private” condotte in autonomia da chi vuole far valere un diritto o azionare una tutela giudiziaria.

Leggi tutto...

CGE invalida la direttiva 2006/24 sulla Data Retention

La Corte di Giustizia dell’Unione Europea invalida la Direttiva 2006/24/EU sulla Data Retention: una risposta dell’Europa alle rivelazioni di Snowden?

Con la direttiva 2006/24/CE il Parlamento Europeo ha regolamentato la materia della data retention specificando le modalità di conservazione dei dati di traffico da parte dei provider, ossia dei fornitori di un servizio pubblico di comunicazione, e i presupposti di accesso da parte dell’Autorità Giudiziaria a tali dati.

A distanza di circa otto anni, tale normativa è stata dichiarata invalida dalla Corte di Giustizia dell’Unione Europea: la materia del contendere è la violazione del diritto al rispetto della vita privata e familiare e alla protezione dei dati personali riconosciuti sia dalla Convenzione Europea dei diritti dell’uomo che dalla Carta dei diritti fondamentali dell’Unione Europea.

Già prima della decisione della Corte di Giustizia dell’Unione Europa, le Corti Costituzionali di alcuni Stati Membri avevano progressivamente dichiarato l’incostituzionalità delle rispettive leggi di recepimento della direttiva e alcuni di essi si erano addirittura rifiutati di trasporre la direttiva nel proprio contesto normativo nazionale. 

Dalla lettura delle motivazioni delle corti costituzionali dei vari Stati Membri erano emerse delle critiche quasi integralmente riprese dalla decisione della Corte di Giustizia: la prima consisteva nella mancanza di proporzionalità nella conservazione dei metadati ritenuti erroneamenti meno rilevanti dei contenuti delle comunicazioni, la seconda riguardava l’assenza di una precisa elencazione dei soggetti  legittimati a richiedere tali dati e la terza riguardava la genericità dell’espressione “reato grave” (“serious crime”).

La decisione della Corte di Giustizia, nell’evidenziare i profili di invalidità della direttiva, lascia aperti molti interrogativi: quale sarà il futuro delle varie discipline nazionali? quale sarà il regime transitorio? quale sarà l’atteggiamento dei Provider statunitensi dopo tale decisione? quali saranno le scelte che verranno adottate a livello Europeo su tale complesso tema?

Proviamo a dare qualche prima risposta.

Quale sarà il futuro delle normative nazionali che hanno attuato la Direttiva nel loro Stato membro?

La decisione della Corte di Giustizia non determina l’invalidità delle normative nazionali in tema di conservazione dei dati da parte degli Stati Membri, in quanto ai sensi dell’art. 267 del Trattato sul funzionamento dell’Unione Europea la competenza della Corte può avere efficacia diretta solo sugli atti comunitari, ma non su quelli nazionali. Inoltre, non va dimenticato che l’art. 15 della Direttiva 2002/58/EU (“E-Privacy Directive”) prevedeva la facoltà per gli Stati Membri di adottare una normativa nazionale per la conservazione dei dati di traffico per finalità di giustizia. Ne consegue quindi che le normative nazionali degli Stati Membri che non ne hanno in precedenza dichiarato l’incostituzionalità sono a tutti gli effetti ancora in vigore.

Quale sarà il regime transitorio?

Non è possibile prevedere i tempi per l’emanazione di una nuova Direttiva, sia per il grado di complessità che una tale normativa comporta, sia perché la priorità del Parlamento è l’approvazione del regolamento Europeo sulla protezione dei dati personali.

Quale sarà l’atteggiamento dei Provider statunitensi dopo tale decisione? 

Va ricordato che tali provider non hanno nessun obbligo di rispettare la normativa sulla data retention, in quanto forniscono i dati alle autorità giudiziarie e governative europee su base volontaria, in forza della section 2702 (b) (7) dell’Electronic Communication Privacy Act. Tale normativa prevede la facoltà ai provider di rivelare all’autorità giudiziaria anche di un Paese terzo i dati di traffico dei propri utenti nel momento stesso in cui vi è la prova che tale dato possa essere collegato alla commissione di un reato.

È prevedibile quindi che i provider americani non cambino le loro policy già in essere prima dell’arrivo della Direttiva sulla data retention.

Quali saranno le scelte che verranno adottate a livello Europeo nella riforma della Data Retention Directive?

La Corte di Giustizia ha sicuramente dettato alcune linee guida che verranno certamente prese in considerazione alla predisposizione della futura riforma della Direttiva sulla data retention. Tra queste meritano di essere ricordate la necessità di un contenimento del periodo di conservazione (massimo sei mesi) e una chiara modalità di accesso ai dati di traffico da parte delle Autorità nazionali che deve avvenire ottemperando a caratteristiche di tracciabilità e di sicurezza. La dichiarazione di invalidità della direttiva 2006/24/CE ha generato un vuoto normativo a livello comunitario che potrebbe essere colmato partendo dalle considerazioni fatte dalla Commissione Europea nel 2010 e da alcuni commentatori.

Per garantire il rispetto di tali diritti fondamentali, la Commissione ritiene che sia necessario un intervento significativo sugli aspetti critici e propone di:

-restringere e armonizzare le finalità della data retention e le tipologie di reati in forza dei quali si può accedere e utilizzare i dati di traffico;

-assicurare una maggiore uniformità a livello europeo dei periodi di conservazione dei dati;

-limitare il numero dei soggetti autorizzati ad accedere a tali dati e ridurre le categorie di dati da conservare;

-supervisionare, attraverso un’autorità indipendente, le modalità di accesso ai dati applicate nei vari Stati membri;

-prevedere delle linee guida sulle misure tecniche e organizzative per l’accesso ai dati e l’utilizzo di tali dati, con particolare attenzione al rischio di data mining.

La disamina offerta dalla Commissione diventerà sicuramente un ottimo punto di partenza per raggiungere un compromesso tra l’esigenza di salvaguardare la sicurezza dello Stato e quella di tutelare la protezione dei dati personali dei cittadini europei.

Leggi tutto...

Data Retention incompatibile con la Carta dei Diritti

Secondo l'avvocato generale, Pedro Cruz Villalón, la direttiva europea 2006/24/EC (c.d. Direttiva “Frattini”) viola il diritto fondamentale dei cittadini alla privacy, stabilendo l'obbligo in capo ai fornitori di telefonia o servizi di comunicazione elettronica di raccogliere e conservare i dati di traffico e localizzazione per tali comunicazioni. 

Corte di Giustizia dell’Unione Europea – Opinione dell’Avvocato Generale nel caso promosso da Digital Rights Ireland (C 239-12) e in quello promosso da Seitlinger (C 594-12).

 Il parere espresso dall’Avvocato Generale Pedro Cruz Villalón è stato emesso a seguito di due domande di pronuncia pregiudiziale, effettuate rispettivamente dalla Corte costituzionale austriaca (Verfassungsgerichtshof) e dalla Suprema Corte Irlandese (High Court).

Il Verfassungsgerichtshof doveva decidere su un ricorso promosso dal signor Michael Seitlinger e 11.130 ricorrenti che hanno sostenuto che la legge austriaca sulla data retention[1] fosse in contrasto con la costituzione austriaca. Allo stesso modo, l’High Court irlandese doveva decidere su un caso promosso da una società irlandese (Digital Rights Ireland Ltd) che tutela i diritti civili e i diritti fondamentali dell’individuo.  Nel nostro caso, la Digital Right Ireland ha affermato di essere la proprietaria di un telefono cellulare ed ha sostenuto che le autorità irlandesi avevano, in violazione di legge, mantenuto ed esercitato il controllo su dati relativi alle sue comunicazioni.

L’Avvocato Generale ha analizzato due possibili profili di illegittimità della normativa. Il primo riguarda la violazione dei diritti fondamentali per quanto attiene le modalità di acquisizione e la gestione dei dati di traffico, mentre il secondo riguarda il periodo di conservazione degli stessi dati a carico del Provider.

Per quanto riguarda il primo profilo, la Direttiva, a parere dell’Avvocato Generale, non regola né l’accesso ai dati raccolti e conservati, né il loro successivo utilizzo, assegnando il compito agli Stati membri di definire e stabilire tali garanzie. Di conseguenza, essa non rispetterebbe i diritti fondamentali dell’individuo, in quanto qualsiasi tipo di limitazione all'esercizio di un diritto fondamentale deve essere previsto dalla legge.

Sotto il secondo profilo, l'avvocato generale Cruz Villálon rileva che la direttiva sulla conservazione dei dati è incompatibile con il principio di proporzionalità, in quanto richiede agli Stati membri di garantire che i dati vengano conservati per un periodo in cui il limite massimo è fissato a due anni. Il risultato è stato che, tra i ventidue Paesi che hanno recepito la direttiva, dodici hanno scelto un periodo di conservazione di dodici mesi, sei hanno superato tale periodo, mentre i restanti quattro hanno deciso un periodo inferiore.

Alla luce di tali disparità, l'avvocato generale, nelle varie questioni presentate alla Corte di Giustizia che difendevano la proporzionalità del periodo di conservazione dei dati, ha ritenuto corretto che gli Stati membri conservino i dati per un periodo inferiore ad un anno.

Per quanto riguarda gli effetti temporali dell'accertamento dell’invalidità di una Direttiva, l'Avvocato Generale, dopo aver soppesato i vari interessi concorrenti, ha proposto che gli effetti dell'accertamento dell’invalidità di una Direttiva debbano essere sospesi in attesa dell’adozione, da  parte del legislatore EU, delle misure necessarie per porre rimedio a queste invalidità, purché tali misure siano adottate entro un termine ragionevole.

In attesa della decisione della Corte di Giustizia dell’Unione Europa, la disamina offerta dall’Avvocato Generale è sicuramente un ottimo punto di partenza per raggiungere un compromesso tra l’esigenza di salvaguardare la sicurezza dello Stato e quella di tutelare la protezione dei dati personali dei cittadini europei. Tuttavia, nell’ottica della possibile revisione della Direttiva sulla data retention, ritengo che sia prioritario concentrarsi su due ulteriori aree.

La prima, parzialmente affrontata dall’Avvocato Generale, è quella che riguarda le modalità procedurali di effettuazione della richiesta. Se, infatti, tutti gli Stati membri prevedessero come condizione necessaria e sufficiente alla concessione dei dati di traffico il vaglio di un Giudice e non quello di un Pubblico Ministero o, in alcuni casi, della Polizia Giudiziaria, sarebbe possibile assicurare che informazioni potenzialmente lesive dei diritti fondamentali dell’individuo siano considerate e conseguentemente disciplinate con le stesse garanzie previste in molti degli Stati membri per l’ottenimento delle intercettazioni telefoniche e telematiche.

La seconda riguarda la necessità di limitare, almeno a livello nazionale, l’ambito di applicazione della direttiva con particolare riferimento ai c.d. reati di opinione che, salvo casi estremi, difficilmente possono essere considerati “reati gravi”. Va ricordato, infatti, che la direttiva aveva, forse con poca chiarezza, stabilito di limitare l’accesso ai dati di traffico solo per i c.d. “serious crime”. Se tale principio venisse messo in pratica in modo più deciso, si potrebbe ridurre il numero delle richieste di accesso ai dati di traffico effettuati dagli internet service provider con beneficio non solo di questi ultimi, ma anche delle Forze dell’Ordine, le quali potrebbero avere più tempo per dedicarsi a indagini aventi ad oggetto “reati gravi”.



[1] Per data retention si intende la conservazione dei dati di traffico telefonico e telematico per finalità che possono essere imposte dalla legge o da esigenze tecniche (sicurezza informatica) o imprenditoriali (dati di fatturazione).

Leggi tutto...
Sottoscrivi questo feed RSS

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy

Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bologna
R&P Legal
Via D’Azeglio, 19
40123, Bologna - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy