E-privacy, ok dei Garanti Ue a regole più stringenti ed estese anche ai colossi della rete

e-privacy_blogpost_picParere favorevole delle Autorità europee per la protezione dei dati (Gruppo Articolo 29) sulla proposta di Regolamento della Commissione europea concernente il “rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea”, il cosiddetto “Regolamento ePrivacy”.

Nel parere approvato il 4 aprile scorso, il Gruppo, oltre a manifestare  un generale apprezzamento per le nuove misure, ha tuttavia espresso anche alcune perplessità su aspetti specifici, tra questi:

  • le regole che dovranno disciplinare il tracciamento dei terminali degli utenti attraverso reti wi-fi o bluetooth, come pure
  • l’omesso, esplicito divieto per i fornitori di servizi di far ricorso ai cd. “tracking walls”, e cioè di imporre scelte del tipo “prendere o lasciare” che forzino gli utenti ad esprimere un consenso al tracciamento delle proprie attività on-line pur di accedere a contenuti determinati.

La proposta di Regolamento ePrivacy presentata dalla Commissione a gennaio rientra nel quadro della riforma introdotta con l’approvazione del pacchetto protezione dati e, in particolare, del nuovo Regolamento Generale (RGPD), che diverrà esecutivo il 25 maggio 2018.

Si tratta di un ulteriore passo avanti perché la proposta (che abrogherà la direttiva 2002/58, ossia la “vecchia” direttiva e-privacy) comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.

Il nuovo Regolamento garantirà l’applicabilità delle stesse norme in tutta la UE e sul testo proposto il Parlamento europeo ed il Consiglio dell’UE dovranno esprimersi nel prossimo futuro.

Al riguardo, lo scorso 11 Aprile dinanzi al Parlamento Europeo si è tenuta un’audizione organizzata dalla Commissione per le libertà civili, la giustizia e gli affari interni (LIBE), alla quale ha partecipato anche un rappresentante dell’Ufficio del Garante italiano.

Questi, in sintesi, i punti di maggior rilievo della proposta di Regolamento e-Privacy:

Applicazione delle norme

Le norme europee verranno estese anche agli OTT (Over The Top), cioè i fornitori di servizi come WhatsApp, Facebook, Messenger e Skype, che saranno tenuti al rispetto delle regole e a garantire lo stesso livello di tutele dei più tradizionali operatori di telecomunicazione. 

Metadati

Non soltanto i dati, ma anche il contenuto delle comunicazioni e i metadati, cioè gli elementi accessori e di contorno di una informazione, godranno dello stesso livello di protezione: ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati.

Sarà richiesto il consenso degli utenti finali per la fornitura di servizi accessori (es. antivirus o ricerca di parole testuali nelle mail) e per il conseguimento di specifiche finalità ulteriori rispetto alla fornitura del servizio, che non possono essere ottenute utilizzando dati anonimi. Molto ampia, inoltre, la protezione del dispositivo utilizzato: si prevede che ogni interferenza con i terminali richieda il consenso dell’utente.

IOT

Viene per la prima volta menzionata la specificità dell’internet delle cose al fine di estendere il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine.

Cookies

L’utente potrà compiere una scelta unica, accettando o rifiutando in blocco l’installazione dei cookie tramite un settaggio preliminare del browser. Il consenso non sarà invece necessario per l’installazione dei cookie cd. analytics, quelli utilizzati ad esempio per contare gli utenti che visitano uno specifico sito web o per tener traccia degli acquisti nel proprio carrello elettronico.

Telemarketing

La proposta prevede che per l’effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovrà  obbligatoriamente essere mostrato in chiaro.

Informativa e acquisizione del consenso

Dovranno essere maggiormente user friendly anche mediante  l’impiego di icone stardardizzate.

Annunci

Un post su Facebook non è mai per i soli “amici”

Un post su Facebook non è mai veramente riservato ai soli “amici”, anche se è pubblicato in un profilo “chiuso”.Schermata-2013-03-08-alle-11.30.02

Se poi si “postano” informazioni su minori l’attenzione deve essere massima. Il principio è stato affermato dal Garante privacy in un provvedimento [doc. web n. 6163649] con il quale ha ordinato a una donna la rimozione dalla propria pagina Facebook di due sentenze, sulla cessazione degli effetti civili del matrimonio, in cui erano riportati delicati aspetti di vita familiare che riguardavano anche la figlia minorenne.

L’Autorità – intervenuta  su segnalazione dell’ex marito che lamentava una violazione del diritto alla riservatezza della figlia – ha ritenuto che la divulgazione dei provvedimenti giurisdizionali in questione fosse incompatibile con quanto stabilito dal Codice privacy.

Il Codice vieta infatti:

  • la pubblicazione “con qualsiasi mezzo” di notizie che consentano l’identificazione di un minore coinvolto in procedimenti giudiziari, nonché
  • la diffusione di informazioni che possano rendere identificabili, anche indirettamente, i minori coinvolti e le parti in procedimenti in materia di famiglia.

Secondo il Garante, poi, l’estrema pervasività della divulgazione su Internet aggrava notevolmente la violazione di diritti della persona, in questo caso per giunta minore di età.

Non può essere provata infatti, sempre secondo il Garante, la persistente natura chiusa del profilo e la sua accessibilità a un gruppo ristretto di “amici”, perché il profilo è facilmente modificabile, da “chiuso” ad “aperto”, in ogni momento da parte dell’utente.

Vi è, inoltre, la possibilità che un “amico” condivida il post con le sentenze sulla propria pagina, rendendolo visibile ad altri iscritti, determinando così una possibile conoscibilità “dinamica”, più o meno ampia, del contenuto che può estendersi potenzialmente a tutti gli iscritti a Facebook.

Nel disporre la rimozione, l’Autorità ha sottolineato infine, che le sentenze consentono di rendere identificabile la bambina nella cerchia di persone che condividono le informazioni “postate” dalla madre sul proprio profilo e contengono dettagli molto delicati, anche inerenti alla sfera sessuale, al vissuto familiare e a disagi personali della piccola.

Il Garante a Facebook: stop ai fake e trasparenza sui dati

Prima pronuncia dell’Autorità italiana nei confronti di Menlo Park, applicabile la normativa nazionale: Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano – informazioni personali, fotografie, post – anche quelli inseriti e condivisi da un falso account, il cosiddetto “fake”.

Facebook_news

Non solo: la società di Menlo Park dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura. Lo ha stabilito il Garante per la protezione dei dati personali nella sua prima pronuncia nei confronti del colosso web [doc. web n. 4833448], nella quale afferma la propria competenza a intervenire a tutela degli utenti italiani.

Il social network dovrà, inoltre, fornire all’iscritto, in modo chiaro e comprensibile, informazioni anche:

  • sulle finalità, le modalità e la logica del trattamento dei dati,
  • i soggetti cui sono stati comunicati o che possano venirne a conoscenza.

Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente. L’iscritto lamentava di essere stato vittima di minacce, tentativi di estorsione, sostituzione di persona  da parte di un altro utente di Facebook, il quale, dopo aver chiesto e ottenuto la sua “amicizia”, avrebbe inizialmente intrattenuto una corrispondenza confidenziale, poi sfociata nei tentativi di reato.

Il ricorrente sosteneva, inoltre, che il “nuovo amico” – visto il suo rifiuto di sottostare alle richieste di denaro – avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul suo profilo, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotomontaggi di fotografie e video gravemente lesivi dell’onore e del decoro oltre che della sua immagine pubblica e privata.

L’interessato chiedeva quindi la cancellazione e il blocco del falso account, nonché la  comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake.

Prima di intervenire nel merito, il Garante, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale.

La multinazionale, infatti, è presente sul territorio italiano con un’organizzazione stabile, Facebook Italy srl, la cui attività è inestricabilmente connessa con quella svolta da Facebook Ireland ltd  che ha effettuato il trattamento di dati contestato. Il Garante ha accolto le tesi del ricorrente ritenendolo, in base alla normativa italiana, legittimato ad accedere a tutti i dati che lo riguardano compresi quelli presenti e condivisi nel falso account.

Ha quindi ordinato a Facebook di comunicare all’interessato tutte le informazioni richieste entro un termine preciso.

L’Autorità non ha invece ritenuto opportuno ordinare alla società la  cancellazione  delle informazioni, poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati. Ha di conseguenza  imposto a Menlo Park di non effettuare alcun ulteriore trattamento dei dati del ricorrente e di conservare quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria. 

Schiaffo a Facebook: la Corte Ue blocca l’accordo con gli Usa sullo scambio di dati.

I singoli Stati dell’Unione Europea potrebbero fermare il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti.

È quanto ha stabilito la Corte di giustizia europea accogliendo le conclusioni dell’avvocato generale della Corte. È stata quindi dichiarata invalida la decisione della Commissione Ue del 2000 secondo cui gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali.

La causa era stata presentata contro Facebook nel 2011 da Max Schrems, cittadino austriaco attivista per i diritti della privacy, dopo il Datagate, lo scandalo delle intercettazioni illegali da parte dei servizi segreti americani che aveva rivelato lo spionaggio di diversi leader europei.

Le conseguenze della sentenza sono importanti e coinvolgono giganti di Internet come Facebook e Google, che ora potrebbero essere costretti a sottoporsi allo scrutinio delle autorità di regolamentazione della privacy di ogni Stato membro della Ue e obbligati a immagazzinare i dati in Europa. Questo potrebbe tradursi in un vero e proprio labirinto burocratico perché le società americane dovranno seguire oltre 20 diverse regole nazionali di tutela della privacy.

La Corte ha fatto presente che negli Usa le esigenze della sicurezza nazionale prevalgono «sul regime dell’approdo sicuro» per i dati privati dei cittadini europei. Per questo i colossi del web sono obbligati a derogare «senza limiti, alle norme di tutela previste» con il rischio di «ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone».

Per la Corte di Lussemburgo, «una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata».

Facebook raccoglie i dati dei suoi utenti europei in un server che ha base in Irlanda e poi li trasferisce negli Stati Uniti. Con questa sentenza, la Corte Ue ha rimesso alle autorità di controllo di Dublino di «esaminare la denuncia» del cittadino austriaco e di valutare se sia necessario «sospendere il trasferimento dei dati degli iscritti europei verso gli Stati Uniti, poiché gli Usa non offrono un livello di protezione adeguato dei dati personali».

«Questo è una cattiva notizia per il commercio tra Usa e Stati Uniti», ha dichiarato Richard Cumbley, Global Head di tecnologia, media e telecomunicazioni presso studio legale Linklaters. «Senza Safe Harbor, le imprese saranno chiamate a trovare accordi».

Questa decisione potrebbe segnare la fine del Safe Harbor, l’intesa sottoscritta nel 2000 dai due blocchi per regolamentare il trasferimento di dati sui due lati dell’Atlantico. E quindi per aiutare le aziende a condurre affari.

La causa muove dalla denuncia di uno studente di legge austriaco Max Schrems per cercare di fermare i trasferimenti di dati verso gli Stati Uniti. Secondo la denuncia di Schrems, alla luce delle rivelazioni di Snowden sullo spionaggio effettuato dall’Nsa, le leggi americane non offrirebbero alcuna reale protezione contro il controllo da parte del Governo Usa.

Occhio a cosa scrivi su Facebook, Twitter & co: ogni informazione inserita può valere come prova

Negli ultimi mesi i giudici sono tornati ad occuparsi di Facebook e dei social network, fornendo ad avvocati e utenti nuove regole di condotta.

Post offensivi

Anche se la parte offesa ha impostato i meccanismi di difesa della privacy, rendendo visibile la bacheca Facebook solo agli “amici”, la condotta di chi posta un contenuto offensivo sulla bacheca altrui integra comunque il reato di diffamazione aggravata di competenza del tribunale monocratico.

Per i giudici anche un messaggio diffuso a una ristretta cerchia di “amici” ha potenzialmente la capacità di raggiungere un numero indeterminato di persone, proprio perché il mezzo usato valorizza il rapporto interpersonale, senza il quale la bacheca Facebook non avrebbe senso.
(Corte di cassazione, I Sezione penale, sentenza 8/6/2015 n. 24431).

Prove per una separazione

Attenzione alle prove carpite illegittimamente. Da Livorno i giudici mettono in guardia. Nei giudizi di separazioni non si possono produrre le pagine Facebook ottenute “violando” i profili social del coniuge, anche nel caso in cui se ne conosca la password o l’account venga lasciato incustodito.

I reati configurabili vanno dalla violazione di corrispondenza fino all’accesso abusivo a un sistema informatico e alle interferenze illecite nella vita privata. Le prove saranno pertanto dichiarate inammissibili.

Non costituisce documento utile ai fini probatori una copia di “pagina web” su supporto cartaceo che non risulti essere stata raccolta con garanzia di rispondenza all’originale e di riferibilità a un ben individuato momento.

Le prove sono ammissibili se nel bilanciamento tra diritto alla privacy e diritto di difesa, prevale quest’ultimo, in quanto la produzione è essenziale a provare i fatti.

C’è poi la questione della tracciabilità della prova informatica: ai fini della corretta acquisizione della digital evidence è necessario poter tracciare lo stato di un reperto, ovvero la relativa metodologia di custodia e di trasporto, come ribadito in più occasioni dalla dottrina e dalla giurisprudenza di legittimità.
(Tribunale di Livorno, sentenza 17/1/2013 n. 94).

Sequestro con oscuramento pagina Web

Le Sezioni unite della Corte di cassazione hanno anche chiarito che è ammissibile il sequestro preventivo mediante oscuramento di una pagina web, a meno che non si tratti di una testata telematica registrata (Corte di cassazione, Sezioni unite sentenza 17 luglio 2015 n.31022).

Dal 2014 la Corte di cassazione ha però ribadito il principio di non eccedenza anche in ambito informatico. Si può sequestrare soltanto quanto strettamente pertinente al reato (articolo 275 del Codice di procedura penale).

Sarà legittimo il sequestro preventivo di un intero dominio internet solo quando risulti impossibile, con adeguata motivazione in merito, l’oscuramento di un singolo file o frazione del dominio stesso (Corte di cassazione, sezione III, sentenza del 17 maggio 2014, n.21271).

Diritti sulle fotografie postate

Chi pubblica “contenuti IP” su Facebook non ne cede la proprietà che resta in capo all’utente, ma solo la sola licenza non esclusiva.

Ne deriva che terzi non possono utilizzano le fotografie postate senza rispettare il diritto patrimoniale e morale d’autore.

La regola vale anche per le fotografie semplici, cioè noncreative.
(Tribunale di Roma,sentenza 1/6/ 2015 n. 12076)

Recensioni e diffamazione

Le recensioni di cui l’autore non riesca a provare la genuinità hanno carattere diffamatorio in quanto non frutto di reale esperienza e, quindi, preordinate a danneggiare l’utente.

Il portale, deve perciò rimuovere i contenuti offensivi, in quanto responsabile per mancato controllo delle informazioni “smistate”.
(Tribunale di Venezia, III sezione civile, ordinanza 24/2/2015)

Datori di lavoro e profili dei dipendenti

Il datore di lavoro può creare un falso profilo Facebook per controllare gli atti illeciti di un dipendente, attenendosi a un modo di accertamento dell’illecito del lavoratore non invasivo né induttivo all’infrazione, in quanto mera occasione cui il lavoratore ha consapevolmente aderito.
(Cassazione, sentenza 27/5/2015 ,n. 10955)

I tempi per una querela

Il termine di 90 giorni per la querela decorre da quando il diffamato dà prova di aver percepito l’offesa pubblicata sul social network.

La decadenza del diritto alla querela deve essere accertata con criteri rigorosi. L’incertezza si risolve a favore del querelante.
(Cassazione, sentenza 25/3/2015 n. 12695)

Facebook finisce in tribunale in Belgio per violazione della privacy

530f66886941b1a5aa07b9e4b73fdf74Nuova grana europea per Facebook. È di pochi minuti fa la notizia che il Garante per la privacy del Belgio ha deciso di portare il social network davanti ai giudici.

E addirittura la prima udienza è più che imminente: oggi, 18 giugno, secondo una fonte vicina alla commissione belga citata dal Wall Street Journal. Una battaglia legale che potrebbe avere risvolti importantissimi e scatenare un effetto domino dato che altri paesi come Germania, Olanda, Francia e Spagna stanno seguendo da vicino l’evoluzione di questa faccenda.

Nel mirino dell’ente di Bruxelles c’è il trattamento dei dati personali che, almeno secondo l’accusa, avverrebbe in netta violazione delle normative vigenti. Facebook non solo spiegherebbe in modo poco adeguato le finalità per le quali raccoglie i dati, ma in molte circostanze lo farebbe in gran segreto.

Al centro della vertenza c’è la modalità con la cui Facebook traccia gli utenti Internet su siti web esterni, attraverso l’utilizzo di tasti di like e condivisione. E il garante belga vuole capire se questa operazione porta a un rastrellamento di dati che potrebbero essere utilizzati per una pubblicità molto profilata.

La commissione vuole inoltre far chiarezza sull’utilizzo di questi dati da parte di Facebook per servizi come Instagram e WhatsApp.

L’indagine era partita qualche mese fa, con uno scambio di vedute fra l’autorità di Bruxelles e i vertici di Palo Alto:

  • Facebook aveva rispedito le accuse al mittente, parlando di utilizzo dei cookie come ogni altro sito web;
  • inoltre, l’ufficio legale del social di Zuckerberg, aveva fatto intendere di voler seguire le istruzioni delle autorità irlandesi, dove Facebook ha sede legale.

Nulla da fare. E ora parola ai giudici.

Social network: legge applicabile e responsabilità degli utenti

I Garanti UE tornano sulla spinosa questione del trattamento dati personali nei Social Network chiarendo, anzitutto che si, la normativa europea è applicabile anche a Facebook, nonostante server e trattamenti localizzati negli Stati Uniti, e che si, gli utenti devono chiedere il consenso ai rispettivi interessati prima di mettere in circolazione loro dati personali.

Tutto questo era già comunque presente nel Codice privacy e, per la precisione, nell’art. 5 del Dlgs 196/2003, Oggetto ed ambito di applicazione (del codice privacy):

Comma 2: Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

Comma 3: Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

Ma andiamo a vedere più da vicino l’intervento dei Garanti europei (http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp163_en.pdf):

In primo luogo, si chiarisce, per l’appunto, che i gestori di tali piattaforme, anche quelle gestite da Paesi extra-Ue, sono soggetti alle disposizioni della direttiva europea sulla protezione dei dati (e, quindi, delle leggi nazionali in materia), nella misura in cui il funzionamento dei social network richiede l’utilizzo di “strumenti” situati fisicamente sul territorio dell’Ue (Art.5, comma 2 Dlgs196/2003).

In secondo luogo, i Garanti chiedono che i gestori dei social network rispettino una serie di obblighi:

  • avvertire gli utenti sulla necessità di ottenere il consenso informato dell’utente prima di permettere a terzi di accedere ai dati contenuti nel suo profilo;
  • cancellare i dati personali contenuti nei profili-utente che siano disattivati (fatta salva la loro conservazione, in casi specifici, per contrastare comportamenti illeciti);
  • mettere a disposizione strumenti facili e immediati per consentire agli utenti l’esercizio dei diritti previsti dalla normativa (accesso, rettifica, cancellazione), come ad esempio un unico “sportello reclami” raggiungibile da tutti i Paesi;
  • dare la possibilità agli utenti di navigare e utilizzare i servizi anche attraverso pseudonimi;
  • adottare idonee misure di sicurezza (tecniche ed organizzative), anche con riguardo ai rischi di spam;
  • è necessario, inoltre, che i gestori di social network forniscano, per default, una configurazione in grado di escludere la possibilità che motori di ricerca esterni indicizzino le informazioni contenute nel profilo-utente;
  • va fornita, infine, un’informativa completa sulla natura del servizio e sui possibili rischi: quello di una informazione facilmente comprensibile dagli utenti è infatti uno degli aspetti cruciali sui quali sensibilizzare gestori di social network.

I Garanti europei si sono poi preoccupati di mettere in luce anche le specifiche responsabilità che sono in capo agli utenti di social network, prima fra tutte quella di chiedere il consenso delle persone i cui dati siano fatti circolare, soprattutto se il numero di contatti e “amici” è particolarmente elevato (Art.5, comma 3 Dlgs196/2003).

Un capitolo a sé è dedicato ai minori.Il parere ricorda l’obbligo di adottare particolari cautele in questo ambito, soprattutto per i problemi connessi alla verifica del consenso prestato da soggetti minorenni. Occorre una strategia multi-livello che comprenda educazione all’uso, sviluppo di tecnologie di protezione, promozione dell’autoregolamentazione da parte dei gestori di social network, interventi normativi per scoraggiare e sanzionare le violazioni di legge.