[e-privacy] Seminario ELSA-AIGI sulla privacy

[Marco A. Calamari]

Ho partecipato ad un interessante seminario pubblico svoltosi oggi; ero 
probabilmente l'unico non avvocato presente in sala.

Posto in lista un riassunto di quanto esposto dai vari relatori, perche' mi 
sembrano informazioni e punti di vista molto interessanti.

Mi scuso anticipatamente con i lettori per la forma tutt'altro che perfetta 
di queste note, e con i relatori per le inevitabili mie inesattezze od 
incomprensioni, che rettifichero' non appena ne avessi conoscenza.

FWIW.  Ciao a tutti.   Marco Calamari

---------------------------------------

"La Privacy su Internet"
"SICUREZZA, CONTROLLO E DIRITTO ALLA RISERVATEZZA"

UNIVERSITÀ DEGLI STUDI DI MILANO - SALA DI RAPPRESENTANZA
Via Festa del Perdono 7, 20122 Milano
Venerdì 10 Maggio 2002 - ore 16

16,15 - 16,30  Presentazione della collaborazione ELSA - AIGI e del seminario
Andrea Brizzi, Presidente di ELSA Milano e Silvia Bonacossa, Resp.le 
Direzione Servizi Legali e Sicurezza, Xerox S.p.A., Socio AIGI Resp.le Sez. 
Lombardia e Liguria, Socio Fondatore di ELSA Milano


16,30 - 17 ,00  La sicurezza dei dati personali su Internet
Relatore: Patrizio Menchetti, Studio Legale Piergrossi Villa 
Bianchini  Riccardi, Socio AIGI

Introduce il problema di autenticazione di un utente e di un portale dal 
punto di vista giuridico.
Lo paragona alla diligenza del cassiere di una banca che accetta assegni 
con riconoscimento "biometrico", cioe' riconoscendo la faccia del cliente.
Il problema fondamentale dal punto di vista legale e' quello della 
validita' negoziale della transazione, come previsto dal Codice Civile.
L'autenticazione di un sito di commercio elettronico puo' essere un 
problema molto diverso a seconda del paese.
In Italia non e' possibile comprare un'auto od una barca su un portale; 
infatti le navi in italia si possono comprare solo per atto pubblico, come 
d'altronde le auto, che si possono comprare solo mediante atto notarile.

La legge 675/96 prevede l'obbligo giuridico di garantire la sicurezza della 
transazione; questo tramite tutte le misure ragionevolmente possibili. Il 
codice civile prevede pero' l'utilizzo di tutte le cautele anche solo 
teoricamente possibili (responsibilita' civile e misure di sicurezza ex 
art.15, art 2050 CC), e quindi l'obbligo di provare l'adozione di tutte le 
misure, anche astrattamente applicabili; l'onere della prova dell'adozione 
spetta al titolare.

Un tribunale tedesco avrebbe definito insicuro persino un protocollo SSL a 
128 bit.

Utilizzo dei dati di autenticazione per altri scopi; la 675 prevede che i 
dati vengano utilizzati solo per gli scopi per cui sono stati raccolti. Per 
ricadere sutto questa restrizione devono pero' essere dati personali o 
sensibili

L'art 10 della legge 675/96, come modificato dal DL 171/98, impone il 
divieto di utilizzare dati pubblici nei sistemi di telecomunicazione, come 
ad esempio fare spamming via fax o telefono con gli indirizzi prelevati 
dalle pagine bianche.
Prevede fino a 2 anni di reclusione per illecito trattamento di dati 
personali, anche se non prevede esplicitamente l'utilizzo della posta 
elettronica; la normativa penale non potrebbe essere interpretata 
estensivamente, ma l'orientamento autorevole e' di estenderla comunque alla 
posta elettronica.

Il DL 185/99 tratta invece dello spam via mail; chiunque invia 
comunicazioni commerciali indesiderate ai consumatori, e' punito con una 
ammenda da 1 a 10ml. La sanzione viene irrogata dalla camera di commercio 
della provincia di residenza dell'autore.

In generale, ai sensi della L 675/96 quello che nel trattamento di dati e' 
illecito offline e' illecito anche online.

Esiste un regime specifico per i servizi di telecomunicazioni DL 171/98.

Esiste la possibilita' di  certificazione di sicurezza di un portale (DL 
467/2001) al fine di garantirsi dal punto di vista delle responsabilita' 
civili e penali per quanto riguarda le misure di sicurezza dei dati.

Lo status giuridico delle certificazioni di sicurezza e' ambiguo; non sono 
certificazioni con valore legale, come la ISO 9001, ma equivalgono al 
marchio di una catena di alberghi, cioe' ad un marchio commerciale privato 
registrato.
Non ci sono controlli, al massimo ci potrebbe essere un controllo 
dell'antitrust per la tutela del consumatore.
All'occhio del giurista quindi la disciplina di queste cose e' puramente 
privatistica, quindi il termine "certificazione" e' improprio e dovrebbe 
essere sostituito da "marchio di fabbrica". Ma coll art.20 DL 427/2001 si 
introduce il concetto di certificazioni di sicurezza su internet per mezzo 
di codici deontologici di valore legale (come quello dell'ordine dei 
giornalisti)

La direttiva 95/45/CE, per quanto attiene le misure di sicurezza dei dati 
parla di "costi ragionevolmente sostenibili", mentre la legge nazionale e' 
molto piu' severa.

la direttiva CEE ha la prevalenza sulla legge, ma solo a livello penale; a 
livello civile se uno stato membro non recepisce in tempo una direttiva (e 
questa non lo e' stata), essa non puo' essere applicata tra privati. Il 
privato danneggiato da questa omissione puo' poi fare causa allo stato 
inadempiente.
L'uso di un  codice deontologico e ei criteri di certificazione di 
sicurezza potrebbe tirarci fuori dal ginepraio, ma questo e'  pane per i 
nostri giuristi

Per chi opera su internet ed ha problemi di autenticazione si pone il 
problema della firma digitale, in particolare dopo lo smantellamento della 
legge italiana sulla firma elettronica causato dal recepimento della 
corrispondente successiva direttiva CEE.

La legge italiana prevedeva una firma molto forte (firma "digitale" con 
"dispositivo fisico di firma" secondo AIPA)
La direttiva introduce due livelli di firma: firma "debole", data da un 
semplice insieme di dati che identificano univocamente una persona (anche 
un login con password potrebbe al limite bastare) e firma "forte", ottenuta 
con programmi crittografici pubblici tipo pgp/gpg ma senza una gestione 
formale dei certificati.

Il giudice quindi non puo' piu' rifiutare una firma elettronica solo 
perche' elettronica, ma puo' discuterne il valore (falsificazione) se 
l'autenticita' viene messa in dubbio, in relazione alle particolari 
modalita' utilizzate per apporla.

Il relatore e' soddisfatto della firma "debole", perche' a suo parere la 
forte era' ben fatta ma troppo complessa per poter funzionare in condizioni 
realistiche, cioe' su gsm o computer normali connessi ad internet

Conclude ricordando che ai fini dell'autenticazione non devono essere 
richieste troppe informazioni (L 675/96), ma solo quelle strettamente 
necessarie allo scopo dell'autenticazione (niente questionari obbligatori 
spacciati per autenticazioni)




17,00 - 17,30   La Tutela della Privacy sui portali Internet.
Relatore: Gianmaria D'Amico, Responsabile dell'Ufficio Legale, Società 
Pubblicità       Editoriale S.p.A., socio AIGI
giuristi d'impresa


I riferimenti sono il DL 23 gen 2002 n.10 ed il DL 28 12 2001 n. 467 
(riforma legge privacy) che attende ancora l'attuazione.

Esiste la direttiva europea sul commercio elettronico, per cui sono 
importanti i rapporti di scambio dati con gli esterni di un portale, non 
solo con gli utenti del portale stesso.

La privacy su internet e' trattata dall'art 8 della carta dell'unione 
europea (futura costituzione europea)
Il relatore ricorda che la L 675/96 puo' essere invocata solo per quanto 
riguarda il trattamento dei dati personali, non ad esempio per un ipotetico 
reato di diffamazione (codice penale). La 675/96 si applica anche a 
titolari di trattamento dati non dell'UE, che usino mezzi tecnici nell'UE, 
a meno che non siano solo strutture di transito (reti); in questi casi si 
prevede un rappresentante residente nell'ue indicato sulle informazioni del 
sito.

Per quanto riguarda i ruoli previsti dalla L 675/96 il relatore ricorda che 
il titolare del trattamento dei dati personali e' solo colui che prende le 
decisioni (in un'azienda in CDA) che nomina poi un responsabile del 
trattamento dei dati (spesso l'EDP manager) il quaele deve ricevere 
istruzioni *scritte*, e che nomina e regola gli addetti al trattamento dati.

Come esempio di pertinenza e rispetto delle finalita' del trattamento dei 
dati personali il relatore fa l'esempio dei formulari di iscrizione a chat 
od altri servizi internet, nei qualisi richedono troppi dati di 
registrazione, e che quindi sono illegittimi.

Per la fornitura dei dati personali relativi all'autenticazione od alla 
registrazione di un utente di un portale deve essere preventivamente 
comunicata in forma scritta una informativa; nel caso dei portali questo 
viene speso fatto con un popup. Il Garante ha avallato questa modalita' in 
un caso che riguardava Infostrada,

L'informativa deve contenere finalita' e modalita' complete del trattamento 
dei dati personali, e nome ed indirizzo delle persone fisiche dei 
responsabili del trattamento dati (art. 4 DL 28/12/2001 N.467. In un caso 
approvato dal Garante questo venne fatto mediante l'indicazione 
nell'informativa dell'indirizzo di un sito aggiornato che contiene queste 
informazioni.



17,30 - 18,00   Utilizzo di internet e posta elettronica da parte dei 
dipendenti, controlli elettronici a distanza e tutela della riservatezza.
Relatore: Stefano Chiusolo, Studio Legale Fezzi  - Chiusolo - Borali

In questo ambito non si parla di tutela dei diritti di un singolo 
navigatore internet come individuo, ma di quello di un lavoratore che usa 
internet come strumento di lavoro; in questo caso infatti, esistendo un 
rapporto contrattuale, devono essere tutelati anche i diritti del datore di 
lavoro.

Alla 675/96 si aggiungono gli articoli 4 ed 8 dello statuto dei lavoratori. 
L'articolo 4 stabilisce il divieto assoluto di installare apparecchiature 
di controllo a distanza dei lavoratori, anche dove esse fossero tenute 
disattivate o non utilizzate come funzioni di controllo. L'articolo 8 
stabilisce che possono essere stabilite delle deroghe solo per il controllo 
delle attivita' di produzione e previo assenso delle organizzazioni sindacali.

Applicati alla navigazione questo rende possibili solo il controllo 
preventivo dei siti consultabili dal lavoratore tramite blacklist o 
whitelist, ma non il rilevamento della navigazione stessa.

Applicati alla mail questo rende possibile un controllo solo se il 
regolamento aziendale vieta espressamente l'utilizzo della mail aziendale 
per messaggi personali e se rende noto che vengono effettuati controlli.



18,00 - 18,30   I codici di autodisciplina per regolamentare l'uso di 
strumenti di informatica individuale da parte dei dipendenti.
Relatore: Daniele Vecchi, Studio Legale Gianni, Origoni, Grippo e Partners 
Linklaters  & Alliance, Socio Fondatore di ELSA Milano

Il relatore osserva che molti strumenti informatici, come ad esempio server 
e reti aziendali, sono utilizzabili anche per finalita' di controllo e di 
raccolta dei dati personali, e quindi ricadono sotto la 675/96 e lo statuto 
dei lavoratori.

Poiche' l'azienda dovrebbe disporre di altri mezzi per verificare in 
positivo che il dipendente lavori e che non perda tempo in altre attivita' 
come navigare su internet per fini personali, consiglia di evitare in 
generale ogni raccolta di dati personali, limitandola ai soli casi di 
effettiva necessita' ed arrivando, ove necessario, a riesaminare i processi 
aziendali per scoprire dove vengono memorizzati dati personali (es. 
marketing) senza che ve ne sia una reale necessita'; questo al fine di 
limitare rischi e responsabilita' dell'azienda

Per la mail aziendale suggerisce di assegnare ad ogni dipendente due 
mailbox, una aziendale ed una privata; in questo modo e' possibile accedere 
senza rischi alla casella aziendale in ogni momento, per esempio in caso di 
assenza o dimissioni dell'impiegato, al fine di recuperare le informazioni 
che interessano l'azienda.

Per lo stesso motivo suggerusce di limitare l'uso di mail ed internet ai 
soli dipendenti che ne abbiano effettiva necessita'.



* Marco A. Calamari  marco at freenetproject.org *

il  Progetto Freenet - segui il coniglio bianco
the Freenet  Project - follow the  white rabbit