La Francia non accetta i confini dell’oblio

L’appello di Google è stato respinto: il Garante francese per la privacy è fermamente deciso a estendere le deindicizzazioni alla versione globale del motore di ricerca

Roma – La Commission nationale de l’informatique et des libertés (CNIL) francese ha respinto il ricorso informale di Google contro la sua richiesta di veder rimossi, in base alla declinazione europea del diritto alla privacy che costituisce il diritto all’oblio, specifici link anche dai risultati offerti dalle versioni del motore di ricerca non specificatamente pensate per i paesi europei, ed in particolare da google.com.

Il diritto all’oblio, il diritto attribuito ai cittadini del Vecchio Continente dalla sentenza della Corte di Giustizia dell’Unione Europea del 2014, permette di veder de-indicizzati dai motori di ricerca dei link a notizie ed episodi che secondo il diretto interessato dovrebbero rimanere sepolti nel passato.

Successivamente il Gruppo di Lavoro Articolo 29 ha sviluppato diverse linee guida sull’interpretazione della disciplina del diritto all’oblio, arrivando fino a prescrivere (senza però alcun potere costrittivo) ai motori di ricerca di non agire solo sui domini europei, corrispondenti ai paesi da cui provengono le richieste con cui i cittadini vogliono far dimenticare dalla Rete specifiche informazioni, ma in generale anche sui domini.com.
Alla stessa conclusione era quindi giunta anche la Commissione francese che aveva preteso che il delisting fosse adottato su tutte le estensioni del motore di ricerca di Mountain View: la logica è che – affinché il diritto europeo all’oblio sia efficace – la sua applicazione non si debba esaurire esclusivamente entro i confini del Vecchio Continente.

Google, da parte sua, non vuole diventare il giudice atto a decidere tra diritto alla cronaca e quello alla privacy, rispetto ai concetti di non rilevanza e non attualità, su cui è necessario il confronto.

Ma soprattutto non vuole che un’interpretazione ed un sentimento europeo finisca per influenzare la diffusione delle informazioni a livello globale.
Lo aveva ribadito con un post ufficiale Peter Fleischer, consulente globale alla privacy di Google, che aveva riferito che nessuna nazione dovrebbe poter avere il controllo sul tipo di contenuti disponibili online altrove.
La CNIL ha tuttavia respinto tale accusa circa la “volontà da parte nostra di far applicare la normativa francese all’estero” e riaffermato piuttosto di voler “far osservare completamente la normativa europea da parte di operatori stranieri che offrono però i loro servizi in Europa“.
Respingendo l’opposizione di Mountain View CNIL ha ribadito che il motore di ricerca deve applicare le regole sulla privacy degli utenti a livello globale o rischiare multe pari a 340mila dollari.

Google, da parte sua, ha riferito di aver già lavorato duramente per applicare il diritto all’oblio richiesto dalle autorità europee in Europa, ma che è in disaccordo con le richieste francesi.

Annunci

Privacy e smaltimento RAEE: sicurezza dati senza regole

  • raee4Fonte: PMI.it
  • di Emiliano Vitelli

Lo smaltimento non corretto dei RAEE può portare alla perdita e furto di dati personali: analisi della legislazione in materia, lacune normative e linee guida operative.

Stare al passo con la tecnologia implica un frequente ricambio di terminali informatici e dispositivi elettronici. Ciò comporta che in caso di smaltimento inadeguato c’è il rischio di incontrollata perdita dei dati personali contenuti nei RAEE (rifiuti apparecchiature elettriche ed elettroniche). Un rischio che può trasformarsi in furto di identità. Si tratta di un problema serio ed un rischio che si sta allargando in modo esponenziale, anche alla luce del diffondersi dell’Internet of Things.

=>RAEE: tutti gli obblighi per le imprese

Il tema e-waste, in questa ottica va ben oltre le implicazioni ambientali, considerato anche che lo scorso anno le imprese italiane hanno smaltito correttamente solo il 25% dei RAEE. Di fatto, neanche il dlgs. n. 49 del 14 marzo 2014, di attuazione della direttiva 2012/19/UE (disciplina del ciclo dei rifiuti) prende in considerazione i dati presenti nelle macchine dismesse, sebbene il Garante  Privacy, con un proprio parere del 13 ottobre 2008, precisa che ogni titolare del trattamento:

«è tenuto ad adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati, nonché la loro protezione nei confronti di accessi non autorizzati, che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici».

Quindi, in occasione della dismissione o riciclo di RAEE si deve procedere all’effettiva cancellazione o trasformazione in forma non intelligibile dei dati personali negli stessi eventualmente memorizzati; nel caso in cui l’imprenditore faccia ricorso a soggetti terzi per lo smaltimento di tale materiale, questi ultimi si devono impegnare a porre in essere tali attività di cancellazione o trasformazione.

Tuttavia, poiché i produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano soggetti a specifici obblighi di distruzione dei dati personali ivi contenuti, sarà onere di chi smaltisce il RAEE di assicurarsi che detti soggetti si impegnino alla corretta eliminazione dei dati.

=Rifiuti elettronici: i punti deboli della gestione RAEE in Italia

La non corretta gestione ed eliminazione dei dati deve intendersi come un comportamento violativo delle prescrizioni in materia di misure minime di sicurezza.

Con il rischio di rilevanti sanzioni:

  • tanto a livello civile (se le misure da adottare si considerassero soltanto di carattere idoneo)
  • quanto penale (qualora si protendesse per l’inquadramento nelle misure minime di sicurezza).

Nel medesimo provvedimento l’Autorità ha anche ritenuto opportuno suggerire l’adozione di una serie di misure tecniche (anche in combinazione tra loro) per le macchine reimpiegate, riciclate e smaltite; suggerimenti forse datati ma che segnano linee guida utili:

  • memorizzazione sicura dei dati (per esempio cifratura dati);
  • cancellazione sicura (per esempio formattazione a basso livello o demagnetizzazione);
  • smaltimento corretto (per esempio distruzione dei supporti ottici).

=> Bilanciare privacy e sicurezza: consigli per le aziende

Già nel 2009 il Garante Europeo evidenziava il sostanziale fallimento dei provvedimenti adottati dalle Autorità nazionali (come quello richiamato) sottolineando la necessità di un coordinamento tra normativa Privacy e RAEE.

Nel 2010 ha espresso formalmente il proprio parere in merito ricordando i rischi a carico dei singoli individui e/o organizzazioni nella loro funzione di responsabili del trattamento nel caso in cui i RAEE, in particolar modo le apparecchiature informatiche e di telecomunicazione, contengano dati personali al momento dello smaltimento. L’Autorità ha sottolineato che:

«Il nuovo quadro giuridico sui rifiuti elettrici ed elettronici dovrebbe contenere non soltanto una disposizione specifica relativa al più ampio principio della progettazione ecocompatibile delle apparecchiature, bensì anche una disposizione riguardante il principio della «Tutela della vita privata fin dalla fase di progettazione» o, più esattamente in questo contesto, della “Sicurezza sin dalla progettazione”».

Dalla lettura della direttiva europea e dal d.lgs. n. 49 del 2014 si deve concludere che la posizione del Garante è rimasta ancora una volta inascoltata.

Sul punto va anche sottolineato che la recentissima normativa in materia di RAEE non fa alcun riferimento a tali problematiche, né pare che la Bozza di Regolamento Generale per la Protezione dei Dati (attualmente al vaglio della Commissione Europea) preveda alcunché, mentre potrebbe essere l’occasione per affrontare e risolvere, per quanto possibile, i problemi posti dall’e-waste

Occhio a cosa scrivi su Facebook, Twitter & co: ogni informazione inserita può valere come prova

Negli ultimi mesi i giudici sono tornati ad occuparsi di Facebook e dei social network, fornendo ad avvocati e utenti nuove regole di condotta.

Post offensivi

Anche se la parte offesa ha impostato i meccanismi di difesa della privacy, rendendo visibile la bacheca Facebook solo agli “amici”, la condotta di chi posta un contenuto offensivo sulla bacheca altrui integra comunque il reato di diffamazione aggravata di competenza del tribunale monocratico.

Per i giudici anche un messaggio diffuso a una ristretta cerchia di “amici” ha potenzialmente la capacità di raggiungere un numero indeterminato di persone, proprio perché il mezzo usato valorizza il rapporto interpersonale, senza il quale la bacheca Facebook non avrebbe senso.
(Corte di cassazione, I Sezione penale, sentenza 8/6/2015 n. 24431).

Prove per una separazione

Attenzione alle prove carpite illegittimamente. Da Livorno i giudici mettono in guardia. Nei giudizi di separazioni non si possono produrre le pagine Facebook ottenute “violando” i profili social del coniuge, anche nel caso in cui se ne conosca la password o l’account venga lasciato incustodito.

I reati configurabili vanno dalla violazione di corrispondenza fino all’accesso abusivo a un sistema informatico e alle interferenze illecite nella vita privata. Le prove saranno pertanto dichiarate inammissibili.

Non costituisce documento utile ai fini probatori una copia di “pagina web” su supporto cartaceo che non risulti essere stata raccolta con garanzia di rispondenza all’originale e di riferibilità a un ben individuato momento.

Le prove sono ammissibili se nel bilanciamento tra diritto alla privacy e diritto di difesa, prevale quest’ultimo, in quanto la produzione è essenziale a provare i fatti.

C’è poi la questione della tracciabilità della prova informatica: ai fini della corretta acquisizione della digital evidence è necessario poter tracciare lo stato di un reperto, ovvero la relativa metodologia di custodia e di trasporto, come ribadito in più occasioni dalla dottrina e dalla giurisprudenza di legittimità.
(Tribunale di Livorno, sentenza 17/1/2013 n. 94).

Sequestro con oscuramento pagina Web

Le Sezioni unite della Corte di cassazione hanno anche chiarito che è ammissibile il sequestro preventivo mediante oscuramento di una pagina web, a meno che non si tratti di una testata telematica registrata (Corte di cassazione, Sezioni unite sentenza 17 luglio 2015 n.31022).

Dal 2014 la Corte di cassazione ha però ribadito il principio di non eccedenza anche in ambito informatico. Si può sequestrare soltanto quanto strettamente pertinente al reato (articolo 275 del Codice di procedura penale).

Sarà legittimo il sequestro preventivo di un intero dominio internet solo quando risulti impossibile, con adeguata motivazione in merito, l’oscuramento di un singolo file o frazione del dominio stesso (Corte di cassazione, sezione III, sentenza del 17 maggio 2014, n.21271).

Diritti sulle fotografie postate

Chi pubblica “contenuti IP” su Facebook non ne cede la proprietà che resta in capo all’utente, ma solo la sola licenza non esclusiva.

Ne deriva che terzi non possono utilizzano le fotografie postate senza rispettare il diritto patrimoniale e morale d’autore.

La regola vale anche per le fotografie semplici, cioè noncreative.
(Tribunale di Roma,sentenza 1/6/ 2015 n. 12076)

Recensioni e diffamazione

Le recensioni di cui l’autore non riesca a provare la genuinità hanno carattere diffamatorio in quanto non frutto di reale esperienza e, quindi, preordinate a danneggiare l’utente.

Il portale, deve perciò rimuovere i contenuti offensivi, in quanto responsabile per mancato controllo delle informazioni “smistate”.
(Tribunale di Venezia, III sezione civile, ordinanza 24/2/2015)

Datori di lavoro e profili dei dipendenti

Il datore di lavoro può creare un falso profilo Facebook per controllare gli atti illeciti di un dipendente, attenendosi a un modo di accertamento dell’illecito del lavoratore non invasivo né induttivo all’infrazione, in quanto mera occasione cui il lavoratore ha consapevolmente aderito.
(Cassazione, sentenza 27/5/2015 ,n. 10955)

I tempi per una querela

Il termine di 90 giorni per la querela decorre da quando il diffamato dà prova di aver percepito l’offesa pubblicata sul social network.

La decadenza del diritto alla querela deve essere accertata con criteri rigorosi. L’incertezza si risolve a favore del querelante.
(Cassazione, sentenza 25/3/2015 n. 12695)

Caro senatore Ichino, facciamo chiarezza sui controlli a distanza nel jobs act

Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali

Fonte: L’Huffington Post, 8 settembre 2015

jobs-act-800x500_cIl senatore Pietro Ichino, nel suo blog, ci accusa di intervenire – evidentemente non nel senso che avrebbe auspicato – sul tema dei controlli a distanza sul lavoro, dopo un asserito “pluridecennale silenzio”. Ora, non pretendiamo ovviamente che il Senatore conosca i numerosissimi provvedimenti che abbiamo emanato su questo tema; da ultimo per precisare le condizioni che legittimano l’utilizzo della geolocalizzazione dei lavoratori con il gps degli smartphone. E non pretendiamo neppure che abbia letto i nostri numerosi interventi, anche in sedi parlamentari, sulla revisione della disciplina dei controlli a distanza che il governo ha predisposto, in attuazione del Jobs Act.

Tuttavia, se solo il Senatore avesse prestato un minimo di attenzione a quanto da noi affermato in audizione, proprio sul decreto legislativo attuativo del Jobs Act, dinanzi alla Commissione Lavoro del Senato (di cui egli fa autorevolmente parte), avrebbe probabilmente inteso quale sia il vero tema di discussione. E cioè non la questione dell’applicazione della procedura concertativa anche a controlli di tipo diverso, quali la verifica dell’orario di lavoro mediante badge o il corretto uso del pc o del telefono aziendali ovvero, ancora, la geolocalizzazione con sistema satellitare.

Su questo aspetto più lavoristico non ci siamo soffermati, come potrà verificare anche scorrendo, negli atti parlamentari, il resoconto della nostra audizione. Abbiamo anzi condiviso l’esigenza di aggiornare una disciplina, quale quello dello Statuto dei lavoratori, che pur avendo introdotto per la prima volta nel nostro ordinamento una specifica tutela della riservatezza, ha comunque richiesto interpretazioni evolutive (anche del Garante), volte ad adattare norme pensate per l’organizzazione fordista del lavoro alla realtà dell’internet delle cose, della sorveglianza di massa, del corpo elettronico.

Ciò che abbiamo sottolineato è, invece, che per delineare – come imposto dal criterio di delega – un equilibrio ragionevole tra ragioni datoriali e tutela del lavoratore, tra economia e diritti, si sarebbe dovuto riflettere non tanto sulla concertazione sindacale, quanto sull’effettiva estensione e pervasività di questi controlli.

La disciplina proposta dallo schema di decreto consentiva infatti l’utilizzabilità dei dati raccolti mediante i controlli a distanza (previa concertazione o meno) per “tutti i fini connessi al rapporto di lavoro”. Se questa formulazione venisse confermata nel testo definitivo del decreto (di cui ancora non disponiamo), si tratterebbe, indubbiamente, di un’innovazione non irrilevante. Soprattutto rispetto all’indirizzo giurisprudenziale che, ad esempio, ha escluso l’utilizzabilità dei dati ottenuti con controlli difensivi, per provare l’inadempimento contrattuale del lavoratore. E rispetto alla Raccomandazione del 1^ aprile del Consiglio d’Europa, che in particolare auspica:

  • la minimizzazione dei controlli difensivi o comunque rivolti agli strumenti elettronici;
  • l’assoluta residualità dei controlli, con appositi sistemi informativi, sull’attività e il comportamento dei lavoratori in quanto tale;
  • il tendenziale divieto di accesso alle comunicazioni elettroniche del dipendente.

Se, dunque, il testo definitivo restasse quello su cui ci siamo pronunciati, la possibilità del controllo dell’attività lavorativa e la conseguente utilizzabilità, anche a fini disciplinari, dei dati così acquisiti, diverrebbe in tal modo un “effetto naturale del contratto”, in quanto finirebbe con il discendere naturalmente dalla costituzione del rapporto di lavoro.

Ovviamente, la necessaria conformità del trattamento dei dati dei lavoratori al Codice privacy (prevista ma discendente dalla primazia del diritto europeo), consentirà l’applicazione di alcuni fondamentali principi (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione), utili a impedire la sorveglianza massiva e totale del lavoratore. Tuttavia, una così rilevante estensione delle finalità per le quali utilizzare i dati dei lavoratori è un dato sul quale ci siamo sentiti in dovere di far riflettere le Camere e il governo.

I pareri espressi dalle Commissioni parlamentari (anche da quella di cui il Senatore fa parte) sembrano aver colto questa preoccupazione; vedremo quanto il governo ascolterà queste nostre riflessioni.