Type a keyword and hit enter to start searching. Press Esc to cancel.
© Consulenza Legale Moda. 2016. Tuttti i diritti riservati.

A distanza di poco più di un mese dalla sentenza della Corte di Giustizia Europa sul c.d. caso Schrems II, la quale ha abolito il Privacy Shield, nonostante molto sia stato dagli “addetti ai lavori” detto e scritto, poche paiono ancora le certezze.

Si fanno, infatti, attendere le Linee Guida promesse dal Comitato Europeo per la Protezione dei Dati (EDPB), e nessun Garante Privacy europeo sembra volersi esporre sul punto, tranne il LfDI Baden-Wuerttemberg, ovverosia l’Ente incaricato per la protezione dei dati e della libertà di informazione del land Baden-Wuerttermberg. Martedì scorso, questo ente ha infatti emesso delle Linee Guida sul trasferimento internazionale dei dati personali alla luce della sentenza sul caso Schrems II.

Le premesse delle Linee Guida

In premessa, l’Autorità sottolinea come sebbene la succitata sentenza non abbia invalidato le clausole contrattuali standard (SCC), risulta pur sempre necessario che il Titolare del Trattamento si assicuri che, nel concreto, il livello di protezione dei dati personali del paese extra-UE di trasferimento sia equipollente a quello garantito all’interno dell’Unione. Peraltro, l’Ente sottolinea che il rispetto di tale presupposto deve essere interpretato alla luce della Carta dei diritti fondamentali dell’UE e dell’articolo 46 del GDPR.

I suggerimenti delle Linee Guida

L’Autorità peraltro non si è limitata a delle affermazioni di principio, chiarendo in quali circostanze, nonostante l’abolizione del Privacy Shield, a fronte delle succitate SCC, il trasferimento dei dati personali extra-UE, può ritenersi valido. In particolare, la medesima precisa che a tal fine il c.d. “Importatore” deve garantire misure tecniche tali da impedire efficacemente l’acceso ai dati personale da parte delle autorità governative estere. L’Ente elenca le seguenti ipotesi:

  1. Utilizzo di crittografia di cui solamente “l’Esportatore” conosca la chiave e che sia, al contempo, impossibile da violare per i servizi governativi;
  2. Implementazione di anonimizzazione o pseudonimizzazione, il cui codice sia conosciuto unicamente dall’Esportatore;
  3. Presenza delle eccezioni di cui all’articolo 49 del GDPR, a cui si rimanda.

Check-list consigliata dal Garante

Le Linee Guida contengono anche apposita check-list, che può essere utilizzata dalle società interessate per valutare le misure da adottare al fine di conformarsi alla sentenza Schrems II. In particolare, si consiglia di:

  1. Effettuare un bilancio dei servizi utilizzati che prevedono il trasferimento dei dati personali in aree extra-UE;
  2. Contattare i fornitori di servizi (Responsabili del Trattamento) per informarli delle conseguenze del caso Schrems II;
  3. Verificare l’eventuale sussistenza di una decisione di adeguatezza per il paese terzo, ove vengono trasferiti i dati personali;
  4. Analizzare l’ordinamento giuridico del succitato paese terzo;
  5. Verificare se le SCC eventualmente approvate dalla Commissione europea possono essere utilizzate;
  6. Verificare che le SCC siano effettivamente in uso e che sia garantita almeno una delle condizioni di cui ai punti 1, 2, 3.

Modifiche alle SCC

L’Autorità, poi, sottolinea come sia importante che i Titolari del Trattamento contattino i fornitori di servizi, che trasmettono i dati in paesi extra-UE, per concordare le seguenti modifiche contrattuali. In particolare, è essenziale prevedere:

  1. l’obbligo da parte dell’Importatore di informare gli Interessati che i loro dati personali potranno essere trasferiti in un paese terzo, il quale non dispone di un livello di protezione adeguato alla luce del GDPR;
  2. l’obbligo per l’Importatore di informare immediatamente l’Esportatore e gli Interessati qualora riceva richieste di accesso ai dati personali trattati – giuridicamente vincolanti – da parte di un’autorità governativa;
  3. l’obbligo per l’Importatore di astenersi dalla comunicazione dei dati personali alle autorità governative, fino a quando il giudice competente non lo ordini;
  4. una clausola di risarcimento danni, secondo cui le parti concordano che qualora una delle stesse sia ritenuta responsabile per qualsivoglia violazione delle SCC, causata dall’altra, quest’ultima si impegna a sostenere i costi, i danni, le spese, le perdite gravanti sulla prima, in proporzione al grado della propria responsabilità.

Consigli finali

Nonostante il tenore particolarmente austero delle Linee Guida, l’Autorità tedesca ha dichiarato di essere consapevole che non sempre è agevole per i Titolari del Trattamento rinvenire nel mercato soluzioni alternative, per il trattamento dei dati personali, che siano di valore pari a quelle già in uso. Conseguentemente pare adotterà un approccio quanto mai ragionevole nei giudizi sul punto.

Ad ogni buon conto, nel silenzio generale dei Garanti Europei, pare evidente che le società che trattano dati personali non possono in alcun modo astenersi dal consultare un professionista del settore, che può certamente guidarle nel modo più sicuro possibile attraverso questo ginepraio di indicazioni e soluzioni tecniche.

Per sciogliere eventuali dubbi e/o perplessità, non esitate a contattare lo Studio Legale Soccol.

Continua a leggere →

In questi giorni si è sentito molto parlare della sentenza della Corte di giustizia dell’Unione Europea (CGUE) nella causa C-311/18 (c.d. caso Schrems II), la quale ha sollevato alcune criticità sia per chi, come noi, si occupa di privacy, sia per tutte le aziende che si avvalgono di fornitori di software o di altri servizi che sono localizzati negli Stati Uniti.

Occorre premettere che non c’è motivo di allarmarsi, tuttavia per poter continuare ad utilizzare i servizi di fornitori extra UE si richiedono nuovi adempimenti da parte sia delle aziende che trattano dati personali sia dei DPO, alla luce della recente sentenza.

Il caso

Nello specifico, nel caso giudicato dalla Corte di giustizia, il sig. Schrems aveva sollevato dubbi circa la validità della decisione con cui la Commissione europea aveva stabilito che il rispetto, da parte di soggetti localizzati negli Stati Uniti, delle misure indicate nel c.d. Privacy Shield USA-UE, e quindi l’adesione allo stesso, costituiva una condizione sufficiente per garantire che i dati personali ricevessero una tutela sostanzialmente equivalente a quella prevista all’interno dell’Unione Europea, in forza del Regolamento sulla protezione dei dati (“GDPR”) e delle normative nazionali di attuazione.

La Corte di giustizia, nella sua sentenza, ha ritenuto invalida la suddetta decisione e ne ha determinato l’immediata cessazione dell’efficacia.

I motivi della sentenza.

Il motivo di questa decisione è rappresentato principalmente dal fatto che i dati dei cittadini europei non risultano sufficientemente tutelati negli Stati Uniti perché manca un’autorità indipendente a cui rivolgersi per eventuali reclami. Inoltre, i dati conservati negli Stati Uniti, a chiunque appartenenti, risultano accessibili alle autorità governative del Paese, senza possibilità per l’interessato di opporvisi.

Le Clausola Contrattuali Standard

Nella stessa sentenza, la Corte ha approfondito anche il tema della validità delle c.d. Clausole Contrattuali Standard (“SCC”), approvate dalla Commissione europea per mezzo di un’altra decisione, che pure era stata impugnata dal sig. Schrems. La Commissione europea ha infatti il potere di stabilire se determinati gruppi di clausole contrattuali offrono, o meno, sufficienti garanzie di tutela dei dati che vengono trasferiti al di fuori dell’Unione Europea. A tale riguardo, da una parte, la Corte ha confermato la validità delle clausole già approvate dalla Commissione e quindi le stesse, se inserite nel contratto tra “esportatore” ed “importatore” dei dati, sono teoricamente idonee a legittimare un trasferimento di dati all’estero (si intende: al di fuori dell’Unione Europea). D’altra parte, la Corte ha richiamato l’attenzione sul fatto che l’idoneità delle stesse SCC a legittimare il trasferimento dei dati non può essere riconosciuta in modo automatico, ma deve essere valutata caso per caso. In base alle caratteristiche dell’ “importatore” e allo Stato in cui si trova, potrebbe infatti essere necessario integrare le stesse con ulteriori clausole contrattuali, oppure prevedere l’adozione di ulteriori misure di sicurezza, affinché il livello di tutela dei dati sia davvero “sostanzialmente equivalente” a quello riconosciuto all’interno dell’Unione Europea.

Impatto sulle attività imprenditoriali

Passando al concreto impatto di questa decisione della Corte di giustizia sulle attività imprenditoriali, si deve notare, ad esempio, che l’utilizzo di servizi di Google comporta il trasferimento dei dati personali trattati anche negli Stati Uniti. Fino alla sentenza in oggetto, il trasferimento poteva avvenire legittimamente, a condizione che l’interessato (cioè la persona fisica a cui siano riferibili i dati personali) ne fosse informato. Google, infatti, dichiarava di aderire al Privacy Shield USA – UE e in quanto tale avrebbe dovuto offrire garanzie sufficienti per la protezione dei dati. Ora invece, per poter continuare ad usufruire dei servizi di Google, o di Microsoft, o di tanti altri fornitori di software (ma non solo) che trattano i dati negli Stati Uniti, sarà necessario trovare altre basi giuridiche che legittimino il trasferimento.

A tale proposito, il GDPR ne indica diverse:

• la sussistenza di decisioni di adeguatezza agli standard europei in materia di protezione dei dati personali (ad oggi, riguardano i seguenti Paesi: Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland, Uruguay) (v. art. 45 GDPR). Le Autorità Garanti europee auspicano di pervenire ad una decisione di adeguatezza anche per gli Stati Uniti, ma la strada da percorrere sarà molto lunga;

• le Clausole Contrattuali Standard adottate dalla Commissione Europea (c.d. “SCC”) (per cui si veda sopra);

le norme vincolanti d’impresa (c.d. Binding Corporate Rules), che però sono utilizzabili solo per i trasferimenti infragruppo, in grandi gruppi multinazionali, e che devono essere negoziate con le Autorità Garanti;

• le clausole contrattuali adottate dalle singole autorità di controllo, nella cui redazione però l’Autorità Garante italiana è in ritardo rispetto ad altre autorità europee;

• l’adesione, da parte dell’importatore extra UE, ad un codice di condotta o ad un meccanismo di certificazione, unitamente all’impegno dello stesso di applicare garanzie adeguate.

In mancanza di una decisione di adeguatezza o di una delle garanzie adeguate sopra elencate (v. art. 46 GDPR), il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale può essere comunque ammesso, ma deve essere:

basato sul conferimento, da parte dell’interessato, dell’esplicito consenso al trasferimento proposto, e lo stesso deve essere stato informato dei possibili rischi che siffatti trasferimenti comportano, oppure

motivato dalla necessità di dare esecuzione ad un contratto concluso tra l’interessato ed il titolare del trattamento, ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, oppure

un trasferimento temporaneo, che riguarda pochi interessati e che si fonda su un interesse legittimo cogente dell’esportatore (v. art. 49 GDPR).

Le soluzioni

Le soluzioni che al momento risultano perseguibili sono quindi quelle della verifica dell’adesione, da parte dei fornitori extra UE, a meccanismi di certificazione (es. ISO) e/o l’ottenimento del consenso dell’interessato. Le ulteriori deroghe previste dall’art. 49 GDPR riguardano invece trasferimenti per interesse pubblico, per la tutela di interessi vitali, riguardanti dati giudiziari oppure provenienti da registri pubblici.

In ogni caso, occorrerà attendere una presa di posizione da parte dei fornitori di servizi, che in realtà sono gli unici che possono garantire l’assoluto rispetto del livello di tutela dei dati previsto dal GDPR. Questo vale sia per le società estere che aderivano al Privacy Shield, sia per quelle localizzate in altri Paesi del mondo, alla luce dei richiami operati dalla Corte di giustizia in merito all’uso delle SCC.

Adempimenti necessari

Risulta pertanto necessario revisionare tutte le informative privacy, al fine di inserire maggiori informazioni circa i dati che possono essere trasferiti all’estero, il luogo in cui vengono trasferiti e le garanzie di tutela di cui godono. Le stesse dovranno essere poi portate a conoscenza degli interessati. Anche i Registri del Titolare o del Responsabile del trattamento dovranno essere di conseguenza aggiornati.

Lo Studio è sempre a vostra disposizione per garantire l’adeguamento della vostra attività rispetto a tutte le più recenti pronunce e normative.

Continua a leggere →

Negli ultimi anni il settore agroalimentare ha assunto sempre più rilevanza non solo per i consumatori, ma anche per il Legislatore, che già a partire dal 2015, aveva elaborato un disegno di legge di riforma dei reati agroalimentari, che però era andato scemando.

L’esigenza di intervenire in tale settore è determinata dal fatto che l’attuale mercato degli alimenti appare inevitabilmente dominato dalle multinazionali del settore, soggette alla globalizzazione e a continue aggregazioni societarie che comportano un aumento di investimenti nel settore, rendendo la food company il principale referente criminologico.

Appare, dunque, evidente che anche in tale ambito possano configurarsi attività imprenditoriali scorrette unicamente volte ad aumentare i profitti dell’ente violando prescrizioni che regolamentano la produzione, conservazione e vendita dei prodotti alimentari.

Pertanto, risulta necessario il coinvolgimento delle persone giuridiche nei cd. reati agro-alimentari, che sebbene configurino condotte criminose di rilevante portata, ad oggi non rientrano nel novero dei reati presupposto di cui al Dlgs. 231/01.

Il nuovo disegno di legge

Alla luce di quanto sopra, lo scorso 25 Febbraio 2020, il Consiglio dei Ministri ha approvato il Ddl n. 283 rubricato “Nuove norme in materia di reati agroalimentari”, che è stato presentato alla Camera in data 6 Marzo 2020 ed è stato assegnato alla Commissione Giustizia per l’esame in sede referente il 23 Aprile 2020.

La riforma introduce una riorganzizzazione sistematica della categoria dei reati in materia alimentare, contemplando anche nuove fattispecie delittuose e incidendo sulla responsabilità amministrativa dell’ente.

Le nuove fattispecie di reato

Il Ddl interviene in modo organico sia sulla legge di riferimento, L. 283/1962, sia sul codice penale, anche mediante la contemplazione di nuove fattispecie delittuose tra cui il “reato di agropirateria” (art. 517 quater 1 c.p.) e di “disastro sanitario” (art. 445 bis. c.p.).

Nello specifico, il reato di agropirateria è volto a reprimere tutti quei comportamenti criminosi e dannosi che compromettono il prodotto alimentare ab origine, come ad esempio le condizioni degli animali, l’uso di prodotti chimici ecc…

Con riguardo, invece, al delitto di disastro sanitario esso si staglia come ipotesi aggravata e autonoma di singoli mini- disastri pregiudizievoli per la salute dai quali sia derivata: a) la lesione grave i la morte di 3 o più persone; b) il pericolo grave e diffuso di analoghi eventi ai danni di altre persone.

La responsabilità da illecito alimentare nel modello 231

Il summenzionato Ddl prevede l’introduzione dei reati agro-alimentari nel catalogo dei reati presupposto. In particolare, dalle Linee Guida del disegno di legge si desume che l’intervento del legislatore è finalizzato non solo ad allargare il novero dei reati presupposto, ma altresì ad incentivare l’applicazione concreta delle norme in tema di responsabilità degli enti, nonché favorire l’adozione e l’efficace attuazione di più puntuali modelli di organizzazione e di gestione da parte delle imprese anche di minore dimensioni.

In particolare, è prevista la scomposizione dell’art. 25 bis del D.Lgs. 231/01 in tre nuovi e distinti capi:

  • Art. 25 bis. 1: che rimane dedicato ai “Delitti contro l’industria e il commercio;
  • Art. 25 bis 2 rubricato “Delle frodi in commercio di prodotti alimentari”, punito con la sanzione pecuniaria tra le 100 e le 800 quote, oltre che l’applicazione di sanzioni interdittive temporanee limitatamente ai soli casi di condanna per il reato di agropirateria;
  • Art. 25 bis 3 rubricato “Dei delitti contro la salute pubblica” punito con la sanzione pecuniaria ricompresa tra le 300 e 1000 quote, oltre che l’applicazione di sanzioni interdittive temporanee nei casi di condanna per tutte le fattispecie ivi menzionate secondo una durata definita sulla base della gravità dell’illecito commesso.

Altresì, con riferimento agli art. 25 bis 2 e 25 bis 3 è prevista la possibilità di ricorrere all’applicazione nei confronti dell’ente della più grave misura dell’interdizione definitiva dall’esercizio dell’attività “nel caso in cui lo scopo unico o prevalente dell’ente sia il consentire o l’agevolare la commissione dei reati sopra indicati”.

Infine, il Ddl prevede l’introduzione dell’art. 6 bis, speciale rispetto all’art. 6 del D.Lgs. 231/01.

Tale disposizione detta una particolare disciplina da applicare solo alle imprese alimentari, prevedendo standard personalizzati per la creazione e l’implementazione di un Modello 231 integrato, per l’assolvimento di 3 classi di obblighi eterogenei con finalità di tutela diverse:

  1. Obblighi a tutela dell’interesse dei consumatori (art. 6bis lett. a) e b) D.Lgs. 231/01)
  2. Obblighi a protezione della genuinità e sicurezza degli alimenti sin dalla fase originaria di produzione (art. 6 bis lett. c), d) ed e) del D.Lgs. 231/01)
  3. Obblighi in merito agli standard di monitoraggio e controllo (art. 6 bis. lett. f) e g) D.LGS. 231/01)

Ad oggi, non ci è dato sapere, quando il provvedimento descritto entri in vigore. Tuttavia, nonostante l’incertezza, un aspetto è chiaro: il settore agro-alimentare, al pari di altri, per il suo florido dinamismo può essere terreno fertile per la commissione di diversi reati. Non si può escludere a priori la responsabilità della società per gli stessi, soprattutto se non la medesima dotata di Modello 231.

Non aspettate la riforma per implementare all’interno delle vostre Società un Modello 231: prevenire è meglio che…. pagare!

Continua a leggere →

Nella situazione emergenziale dovuta al Covid-19, si è parlato tanto di app di tracciamento. Lo abbiamo fatto anche noi qui. Le medesime hanno attirato molto l’attenzione per la rilevanza dei dati che devono raccogliere e trasmettere; di conseguenza, molto ci si è interrogati circa la loro conformità alle normative in materia di privacy. Lungi dall’essere una scoperta degli ultimi mesi, in realtà le app di tracciamento sono diffuse da una decina di anni in tutto il mondo. E non si può dire che non abbiano anche raccolto dati “sensibili” dei loro utenti. Ci riferiamo in particolare a quella categoria di app che sono definite “family tracker”.

Vediamo quindi come le società sviluppatrici di queste app hanno cercato di realizzare prodotti redditizi, ma allo stesso tempo conformi alle leggi applicabili.

Prendiamo ad esempio due delle app più conosciute nel settore, Life360 e Find My Kids.

Il family tracking

Life360, direttamente dalla California, si descrive come “localizzatore” per la famiglia, che permette di vedere su una mappa privata la posizione dei membri di un “gruppo”, di chattare con essi e di ricevere diversi tipi di notifiche in relazione agli spostamenti degli altri soggetti.

Find My Kids, invece, è stata sviluppata in Russia ed offre un sistema di monitoraggio per famiglie, per garantire la sicurezza dei bambini ed il controllo da parte dei genitori, tramite l’installazione di due diverse app, rispettivamente sul telefono del genitore e del figlio. L’app può interagire anche con orologi GPS.

Alcuni dei dati che queste app raccolgono sono, ad esempio, oltre ad i dati identificativi e al numero di cellulare, la localizzazione, registrazioni di suoni, foto, siti consultati e dati statistici sulle modalità d’uso degli smartphone.

Quali sono quindi i requisiti da rispettare quando si sviluppano app simili, e cosa bisogna controllare come utenti?

Innanzitutto, se l’app si rivolge ad un mercato di utenti che potenzialmente si estende al mondo intero, si complica il requisito della conformità alle molteplici normative nazionali applicabili. Mentre è tutto più semplice se si progetta di destinare l’app ad un uso solo all’interno dell’Unione Europea.

Localizzazione dei server e trasferimento dei dati

Un aspetto fondamentale, ma spesso trascurato nelle informative privacy delle app, come si verifica per Find My Kids, è quello dell’indicazione della localizzazione dei server della società fornitrice e della previsione, o meno, del trasferimento dei dati a soggetti stabiliti in Paesi terzi. L’utente dovrebbe infatti essere informato di queste circostanze, perché i Paesi in cui sono conservati i suoi dati potrebbero garantire un livello minore di protezione.

Diritti degli utenti interessati

Si mette inoltre in evidenza che le leggi degli Stati attribuiscono di per sé diritti ai singoli individui, che, in quanto fondamentali, non sono rinunciabili tramite contratti stipulati con altri soggetti. Nel settore delle app bisogna considerare l’esistenza di questi diritti, al fine di garantirne l’esercizio effettivo agli utenti. Si rischia altrimenti di ostacolare l’esercizio di diritti anche fondamentali e di causare danni inestimabili. Occorre quindi adottare misure di sicurezza e procedure tecniche che permettano, ad esempio, la correzione dei dati personali raccolti, la loro cancellazione, l’accesso agli stessi e la loro portabilità. Se si implementano tali misure, è necessario informare l’utente del modo in cui può servirsene. Questo è un elemento che, per esempio, manca, nella privacy policy di Find My Kids, dove è assente qualsiasi riferimento al diritto di accesso ai dati, al diritto alla loro portabilità o al diritto di rettifica.

App per minori

Se si sceglie poi di sviluppare un’app destinata appositamente ad essere utilizzata da soggetti minori, le cautele da richiamare si moltiplicano. Qualsiasi consenso, ad esempio, non è valido se fornito dal minore stesso ed il fornitore dell’app deve essere in grado di dimostrare di averlo legittimamente raccolto dai genitori. In realtà, il riferimento andrebbe più correttamente fatto non alla minore età, bensì all’età richiesta per esprimere il consenso al trattamento dei propri dati personali, che varia da Stato a Stato, anche a livello europeo (dove però non può mai essere inferiore ai 13 anni).

È in ogni caso consigliabile ridurre al minimo la raccolta di dati di minori, ad esempio consentendo la creazione di avatar, ed evitare l’utilizzo degli stessi a scopi marketing.

Le app Life360 e Find My Kids prevedono a tale scopo che i genitori possano esprimere il consenso al trattamento dei dati dei figli, tramite la compilazione di un modulo reperibile online e che deve essere poi inviato alla società.

Non bisogna tuttavia dimenticare che la protezione dei dati personali è solo uno degli aspetti da valutare quando si progettano app estremamente “invasive” per la vita degli individui. Si pensi solo, ad esempio, all’ipotesi che un’app per il family tracking sia utilizzata da un genitore violento o che abusi (anche emotivamente) dei figli.  O ai pericoli che si correrebbero qualora lo smartphone con l’app suddetta finisse nelle mani di un soggetto malintenzionato.

I dati raccolti tramite queste app possono essere venduti a soggetti terzi?

Allo scopo di valorizzare le app come prodotti commerciali, a molti potrebbe venire la forte tentazione di rivendere a terzi i numerosissimi e preziosissimi dati che esse raccolgono. In questo caso, è necessario ottenere apposito consenso dagli utenti. Ad esempio, Life360 raccoglie i dati sull’esperienza di guida degli utenti e li cede ad una società di analisi dati, che elabora statistiche per conto di società assicuratrici o di altri soggetti interessati. Tuttavia, la medesima informa di questo trattamento l’utente, che può scegliere di negare il consenso a tale ulteriore utilizzo dei propri dati.

Profilazione e marketing

Parimenti, molte società potrebbero decidere di intraprendere una profilazione massiva degli utenti, per rivolgere loro una pubblicità personalizzata. Per usare i dati raccolti anche per finalità di marketing, tuttavia, è necessario ottenere il consenso degli utenti, che devono poter essere in grado di stabilire in base a quali dati possono essere profilati, quale tipo di pubblicità sono interessati a ricevere e in che modo preferiscono riceverla (ad esempio, con notifiche o tramite e-mail). Più si permette all’utente di personalizzare il suo uso dell’app, meno si rischia che lo stesso sia lesivo per i suoi interessi.

Come vedi, creare un’app può essere molto redditizio, ma bisogna fare attenzione alle norme di legge. Qualora decidessi di sviluppare un nuovo applicativo, possiamo fornirti supporto nell’individuazione delle misure di sicurezza da applicare, al fine del rispetto della normativa privacy.

Continua a leggere →

La pandemia ci ha sicuramente ricordato l’importanza del ruolo ricoperto dalla tecnologia in vari ambiti della nostra quotidianità. Non da ultimo: il business. Invero, sono sempre di più gli imprenditori che si stanno rendendo conto che per sopravvivere in questa nuova era, la tecnologia non è una risorsa, ma la risorsa. Il fine? Vendere. Come? Aprendo un e-commerce.

Aprire un e-commerce, tuttavia, non è un gioco da ragazzi. È essenziale valutare attentamente alcuni aspetti.

Aspetti organizzativi.

Il primo passo per aprire un e-commerce è: fare delle scelte. Scegli il tuo target, cosa vendergli, e come farlo. Per esempio, puoi decidere di dotarti di un magazzino (acquistandone la proprietà o prendendolo in affitto), oppure puoi basare il tuo business sul c.d. dropshipping: niente magazzino, giri gli ordini del tuo utente al grossista, che spedisce la merce ordinata al secondo.

Aspetti tecnologici.

La tecnologia è il tuo mezzo, ma attenzione: non fa tutto da sola . Lo sai che è possibile aprire un e-commerce gratuitamente, attraverso servizi online quasi del tutto preconfigurati? Un esempio è Shopify, che può essere utilizzato gratuitamente per un periodo di prova limitato, (senza inserire dati di pagamento e senza obbligo di rinnovo). Se invece preferisci qualcosa di più professionale puoi acquistare un hosting, un dominio e installare un CMS, ovverosia un software che ti permette di configurare l’e-commerce in ogni suo aspetto, come WordPress, Magento o Prestashop. In alternativa, puoi realizzare il tuo e-commerce da zero, attraverso il linguaggio di programmazione. Ma in questo caso, ti consigliamo di affidarti ad un professionista del settore.

Aspetti fiscali e doganali.

Starai pensando: perché limitarsi all’Italia quando si può conquistare il mondo? Qualora questo fosse il tuo proposito, bada bene di considerare eventuali dazi per la circolazione delle merci, nonché le diverse normative fiscali e legali degli stati che vuoi “conquistare”.

Non dimenticare il marketing!

Ricorda che per avere successo, non basta vendere un prodotto di qualità, serve anche il marketing. A tal proposito, è particolarmente indicato che il nome a dominio e i testi presenti nel sito siano improntanti al rispetto delle regole SEO.

Ovviamente, non possono mancare le immagini. Attenzione però alla legge sul diritto d’autore. Qualora tu decida di affidare ad un fotografo la realizzazione delle immagini per il tuo sito, ti consigliamo di disciplinare contrattualmente gli aspetti inerenti al diritto di riproduzione, utilizzo e diffusione delle fotografie.

Aspetti giuridici.

Salvo che tu non voglia fornire servizi sottoforma di prestazioni occasionali, dovrai aprire la partita IVA, che rappresenta però uno degli obblighi che dovrai sostenere se vuoi davvero aprire il tuo e-commerce. Occorre infatti anche:

  1. inviare una comunicazione all’Agenzia delle Entrate e all’INPS;
  2. l’iscrizione alla Camera di Commercio e allo Sportello Unico Attività Produttive (SUAP) del comune;
  3. eventualmente l’iscrizione al VIES (Vat Information Exchange System), se intendi vendere all’estero nella Comunità Europea.

Non è però finita qui. Invero, il commercio elettronico, ovverosia lo svolgimento di attività commerciali e di transazioni per via elettronica soggiace alla disciplina del D.lgs. 70/2003, attuativo della direttiva n. 2000/31/CE. È pertanto chiaro che il tuo il tuo e-commerce deve necessariamente essere costruito nel rispetto di quanto stabilito dalla succitata normativa.

Obblighi informativi

Lo sai per esempio che il tuo sito e-commerce deve obbligatoriamente contenere alcune specifiche informazioni? Invero, gli artt. 7 e ss. del D.lgs. 70/2003 impongono l’indicazione di:

  1. Identità del titolare della ditta, dei soci della società o del professionista;
  2. Dati fiscali (codice fiscale o partita iva);
  3. Indirizzo geografico e contatti dell’impresa (numero di telefono, indirizzo mail, posta elettronica certificata);
  4. Caratteristiche essenziali dei beni e/o dei servizi offerti;
  5. Prezzo totale dei beni e/o servizi offerti con indicazione dell’imposta sul valore aggiunto;
  6. Modalità di pagamento (contrassegno, carta di credito, ecc.);
  7. Modalità di consegna del bene o esecuzione del servizio;
  8. Modalità di presentazione dei reclami;
  9. Esplicazione delle modalità di esercizio del diritto di recesso;
  10. Eventuali altre informazioni sui costi da sostenere in caso di esercizio del diritto di recesso;
  11. Esistenza di garanzie legali di conformità dei beni o di adeguatezza dei servizi offerti;
  12. Durata del contratto.

Puoi inserire le informazioni di cui a punti 1, 2 e 3 nel footer del tuo sito, in modo che siano sempre a disposizione dell’utente; mentre per le altre, dovrai armati di condizioni generali di contratto.

Condizioni generali di contratto

Sei già allarmato, vero? In realtà, le condizioni generali di contratto oltre a fornire le informazioni di cui sopra, possono tutelarti in più di un’occasione. Nelle medesime, per esempio, vengono disciplinate le limitazioni alla tua responsabilità, le procedure da seguire in caso di merce viziata, quelle per gli avvenimenti di forza maggiore, come la pandemia che ben conosciamo, ed infine possono essere inserite apposite regole per la tutela della tua proprietà intellettuale e/o industriale.

Consumatore o professionista?

Ora che ti sei convinto dell’utilità – oltre che della necessarietà – delle condizioni generali di contratto, fermati! Vuoi vendere a consumatori o a imprenditori come te? Invero, qualora tu decidessi di rivolgerti alla prima categoria, le regole da tenere in considerazione per la redazione delle condizioni generali si arricchiscono di un ulteriore tassello: la normativa del Codice del Consumo (D.lgs. 206/2005). A titolo d’esempio, tale normativa assicura a tutti i consumatori la facoltà di recedere dal contratto entro 14 giorni dalla sua conclusione. Fra l’altro, nelle condizioni generali, è essenziale che tale indicazione sia messa nero su bianco, giacché, in assenza, il termine per l’esercizio del succitato diritto diventa di dodici mesi.

E la privacy?

Avrai di certo sentito molto parlare di privacy e trattamento dei dati personali. Invero, per la costruzione del tuo e-commerce, devi tenere in considerazione anche quanto stabilito a tal proposito dal Regolamento Europeo n. 679/2016, meglio conosciuto con il nome di GDPR. Bada bene, non è sufficiente che tu provveda a caricare all’interno del tuo sito e-commerce l’informativa sul trattamento dei dati personali, con tutte le informazioni di cui all’art. 13 del GDPR e la relativa cookie policy.

Infatti, l’art. 25 del GDPR ti impone, in quanto Titolare del trattamento, di mettere in atto, già nella fase di ideazione e creazione del tuo e-commerce, misure tecniche e organizzative adeguate, quali la pseudonimizzazione e la minimizzazione, per proteggere i dati e i diritti degli utenti (c.d. principio della privacy by default e by design).

Le nostre istruzioni per l’uso

Se sei arrivato in fondo a questo articolo, ti sarai certamente reso conto che la rete normativa sottesa al commercio elettrico è parecchio intricata.

Ecco perché è sempre preferibile rivolgersi ad un consulente specializzato in materia, fin dall’inizio dell’implementazione dell’e-commerce. Lo stesso, infatti, può guidare te e gli sviluppatori nella creazione di un portale a norma di legge, facendoti risparmiare non solo il denaro che saresti costretto ad investire in eventuali, alquanto probabili modifiche e/o correzioni, ma anche quello che potresti essere costretto a sborsare in sanzioni, qualora prediligessi il famoso “fai da te”.

Non esitare a contattarci, se vuoi approfondire la questione ovvero se hai bisogno di supporto per la creazione del tuo e-commerce.

Continua a leggere →

L’emergenza epidemiologica da Covid-19 ha coinvolto le imprese anche dal punto di vista del loro assetto organizzativo. In particolare, le imprese che hanno deciso di dotarsi di Modelli Organizzativi, ai sensi del d.lgs. 231/2001, hanno dovuto valutare la tenuta dei loro Modelli e il ruolo dell’Organismo di Vigilanza.

Sul tema, Confindustria ha emanato, nel presente mese, delle linee operative che aiutano le imprese dotate di un Modello 231, ad affrontare l’emergenza.

Il profilo di rischio indiretto

La situazione che le imprese hanno vissuto e stanno vivendo può comportare un aumento del rischio di commissione di alcuni dei reati presupposto. Invero, basti pensare alla famiglia dei reati corruttivi (reati contro la PA, corruzione tra privati), reati che possono più facilmente essere commessi in un periodo di crisi finanziaria (ad esempio, per la partecipazione a procedure di gara semplificate, piuttosto che per accedere ad ammortizzatori sociali o per continuare l’attività produttiva nel periodo del lock down).

Non solo di corruzione si occupa il d.lgs. 231/2001.

Difatti, l’impresa potrebbe incorrere nella commissione di ulteriori reati (es. ricettazione, riciclaggio, impiego di cittadini di Paesi terzi con permesso irregolare) anche attraverso i propri dipendenti in smart working. Non dimentichiamo invero che nell’alveo del catalogo 231, sono annoverati anche i reati informatici e le violazioni del diritto d’autore. Basti pensare all’utilizzo promiscuo dei dispositivi personali anche per finalità lavorative e al rischio che possano essere, ad esempio, utilizzati software non originali.

Risulta pertanto necessario procedere alla modifica del Modello 231?

Come correttamente indicato da Confindustria, i rischi sopra richiamati sono rischi indiretti e trasversali alle varie tipologie aziendali. Tali rischi invero avrebbero dovuto già essere valutati e mappati all’interno del Modello 231 e l’impresa avrebbe dovuto dotarsi di procedure idonee a ridurre al minimo, se non ad eliminare, il rischio di commissione di reato. Qualora l’azienda non abbia adempiuto in tal senso, si presenta in ogni caso l’occasione per procedere ad una nuova analisi e valutazione del rischio a cui seguirà poi l’adozione di procedure specifiche.

Per le imprese invero che hanno già adottato siffatte procedure, probabilmente si renderà necessario procedere ad un loro rafforzamento.

Rischi diretti

I rischi invece che direttamente impattano sull’impresa sono quelli connessi al rischio di contagio da Covid-19, in materia di salute e sicurezza nei luoghi di lavoro. Ad ogni modo, il rischio di commissione dei reati di omicidio colposo e lesioni personali gravi e gravissime, commessi in violazione delle norme antinfortunistiche, erano già parte del catalogo 231, prima dell’emergenza epidemiologica. Ne deriva che, il rischio di contagio da Covid-19, diventa un ulteriore rischio specifico che non impatta però sui presidi di carattere generale. In altri termini il Covid-19 non impone l’adozione di un sistema gestionale ad hoc per tale rischio.

Diversamente, nell’ipotesi in cui l’impresa abbia deciso di integrare le procedure sicurezza all’interno del Modello 231, si dovrà invece valutare se procedere alla loro revisione oppure alla creazione di un addendum specifico.

In ogni caso, onere del datore di lavoro è quello di predisporre le misure idonee a tutelare i lavoratori da tale rischio.

Data l’assoluta novità di tale virus, il datore di lavoro dovrà attenersi alle misure di contenimento che sono state individuate, e che verranno via via individuate in futuro, dalle Autorità Pubbliche (sul tema si veda il nostro contributo video).

Organismo di Vigilanza

L’Organismo di Vigilanza, in tale contesto, deve procedere a rafforzare il proprio controllo sulla corretta ed efficace implementazione del Modello 231 esistente, nonché sulle misure adottate dal datore di lavoro nel rispetto di quanto indicato dalle Autorità Pubbliche. L’OdV dovrà mantenere un costante confronto con i vertici aziendali e con il comitato per l’applicazione e la verifica dei presidi indicati dalle Autorità Pubbliche per evitare il contagio da Covid-19.

Il monitoraggio della situazione aziendale viene garantito dai flussi informativi tra i responsabili di funzione e l’OdV, che si ritiene debbano essere potenziati in tale periodo. Invero, l’OdV dovrà essere tenuto in costante aggiornamento circa le misure adottate in azienda, circa gli strumenti, anche di natura finanziaria, messi in campo per arginare l’eventuale crisi economica (es. ammortizzatori sociali, finanziamenti a fondo perduto etc).

L’OdV conserva in ogni caso il proprio ruolo propulsivo nell’ipotesi di inerzia dell’impresa, ovvero nel caso in cui, ad esempio, l’impresa non proceda ad adottare le misure poste a presidio del contagio.

Nell’emergenza epidemiologica il Modello 231 e tutta la compliance aziendale rappresenta un valido presidio per la gestione del rischio di commissione dei reati del d.lgs. 231/2001.

Vi invitiamo a contattare lo Studio per ogni ulteriore approfondimento.

Continua a leggere →

Il commercio elettronico è in costante crescita sia in Italia che nel mondo. Nell’ultimo periodo, esso si è ulteriormente diffuso a causa dell’emergenza sanitaria, che ha comportato il blocco delle vendite al dettaglio delle merci ritenute non essenziali. Alla crescente importanza del settore non sempre si accompagna, però, la consapevolezza da parte degli operatori circa le normative vigenti e i rischi legali a cui possono andare incontro, in caso di violazione delle normative applicabili.

Dal punto di vista privacy, come tutti i siti web, anche quello e-commerce soggiace alle regole dettate in materia di data protection, sia per quanto riguarda le finalità di trattamento dei dati che il titolare è tenuto a fornire agli utenti, sia relativamente alle misure di sicurezza tecniche poste alla base del sistema informatico.

Nello specifico, le principali regole in tema di privacy da tenere in considerazione ai fini della costruzione di un e-commerce conforme alla legge sono individuate dal Reg. Ue 679/216 (GDPR) e dai provvedimenti emessi dal Garante

Le regole basilari

In particolare, in base ai principi dettati dall’art. 25 del GDPR, la creazione dell’e-commerce deve essere effettuata contestualmente alla progettazione del trattamento dei dati (privacy by desing) e il Titolare del Trattamento deve trattare i dati dell’interessato nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario (privacy by default). Invero, il trattamento dei dati degli utenti deve avvenire tenendo conto del principio di minimizzazione dei dati, di cui all’art. 5 GDPR, secondo il quale possono essere trattati solo quei dati necessari e indispensabili in relazione alle finalità per le quali sono raccolti, nonché  secondo le logiche di accountability, consistenti nelle responsabilità di definire (a monte di un’attenta analisi dei dati trattati e dei possibili rischi connessi) l’insieme di quelle misure adeguate, che limitano il più possibile il verificarsi di eventuali rischi e garantiscono il rispetto delle disposizioni GDPR.

Ma come deve essere nella pratica un e-commerce per essere GDPR compliance?

Anzitutto l’e-commerce deve contenere una privacy policy (informativa), redatta ai sensi dell’art. 13 GDPR, che fornisce tutte le informazioni necessarie affinché i visitatori del sito possano decidere in modo consapevole se prestare o meno il loro consenso al trattamento dei dati personali. In particolare, nell’informativa devono essere inserite specifiche informazioni in relazione ai trattamenti dei dati degli utenti per determinate richieste o servizi (ad esempio alla gestione di un’area riservata per monitorare gli ordini effettuati). Altresì dovrà essere prevista una cookies policy e inserito, ad esempio, un banner con opt-in che contenga i vari cookies utilizzati, in modo da permettere all’Utente di poter fornire un consenso espresso.

Newsletter e messaggi sponsorizzati

Proprio per il fatto che il consenso deve essere prestato dall’utente in modo inequivocabile ed espresso, i moduli per le newsletters inseriti nel sito non possono contenere il consenso di default. L’impresa deve pertanto inserire una casella di spunta per il consenso al trattamento dei dati personali, senza che la stessa possa essere precompilata. Inoltre, sia i messaggi sponsorizzati che i moduli funzionanti con modalità opt- out (cioè i moduli che appaiono quando il cursore del mouse si muove verso la parte superiore della pagina per chiuderla) devono essere riadattati in modalità opt-in opzionale.

Attenzione al database e misure di sicurezza!

L’e-commerce deve poi essere dotato di un proprio database separato che faciliti la richiesta di cancellazione dei dati personali, e di un sistema di verifica dei dati degli utenti/visitatori, che renda possibile la verifica immediata nel caso in cui vengano violati i dati personali. Infine, deve essere garantita la sicurezza dei dati attraverso l’adozione di specifiche misure di sicurezza come, a titolo esemplificativo non esaustivo: utilizzare sistemi che permettono la riservatezza, l’integrità, la disponibilità dei dati personali; dotarsi di metodi che permettono di ripristinare la disponibilità dei dati personali e l’accesso ad essi in tempi appropriati in caso di incidenti fisici o tecnici; adottare procedure volte a verificare, analizzare e valutare regolarmente l’efficacia delle misure tecniche operative per assicurare la sicurezza.

Si ricorda che il mancato adeguamento agli obblighi imposti dal GDPR può comportare sanzioni molto pesanti per le imprese, in quanto sono previste multe sino a 20 milioni di Euro o fino al 4% del fatturato.

Proprio per questa ragione, se state pensando di dotarvi di un e-commerce, fatevi affiancare da un avvocato esperto in materia, per evitare di incorrere in guai con il Garante per la protezione dei dati personali.

Continua a leggere →

Con l’entrata in vigore del Reg. UE 2016/679 ci si è chiesti quale qualificazione dovesse rivestire l’Organismo di Vigilanza ai fini della normativa sul trattamento dei dati personali. Invero, ci si interrogava se l’OdV dovesse essere inteso come Titolare del trattamento, ovvero come il soggetto che determina le finalità e i mezzi del trattamento dei dati personali che decide di trattare, oppure come Responsabile esterno, cioè come colui che svolge un’attività in nome e per conto del Titolare e soggiace pertanto alle istruzioni impartite da quest’ultimo.

Invero, l’OdV nello svolgimento della propria attività, può raccogliere e trattare dati personali anche particolari, come, ad esempio, i dati giudiziari. Tali dati possono essere raccolti a seguito di attività ispettive, oppure a seguito della ricezione di flussi informativi e/o di segnalazioni, anche anonime.

Prima tesi: OdV come Titolare autonomo

I sostenitori della tesi della titolarità autonoma dell’OdV fondavano la loro convinzione sul fatto che l’OdV, essendo dotato di autonomi poteri di iniziativa e di controllo, fosse pertanto dotato anche del potere di determinare le finalità e i mezzi del trattamento dei dati personali. In realtà tale tesi confonde l’autonomia di iniziativa con l’eventuale determinazione delle finalità. Difatti, le finalità del trattamento sono determinate dal d.lgs. 231/2001 (ovvero la vigilanza sull’osservanza del Modello 231), e i mezzi sono generalmente messi a disposizione dall’azienda stessa.

Seconda tesi: OdV come Responsabile esterno

La tesi che considerava l’OdV quale Responsabile del trattamento non può più trovare accoglimento dall’entrata in vigore del GDPR. Invero, il Responsabile, ai sensi di tale Regolamento, può essere soltanto esterno. È, infatti, venuta meno quella peculiarità tutta italiana, in virtù della quale il Responsabile poteva essere, alla luce del Codice Privacy, anche interno. Appare, invero, pacifico che l’OdV sia configurabile quale organo interno della società e, in particolare, organo di staff dell’Organo Dirigente.

Terza tesi: né titolare autonomo né responsabile esterno

Vi è, tuttavia, una terza tesi, sostenuta da AODV, la più importante associazione dei componenti degli Organismi di Vigilanza, secondo cui l’OdV, essendo “parte dell’impresa” non sia qualificabile né come Titolare né come Responsabile. Peraltro, i singoli membri non sarebbero qualificabili come “designati al trattamento”, in quanto l’OdV va considerato nella sua collegialità e non come singoli componenti. Nondimeno, il designato al trattamento soggiace all’autorità del Titolare: questo aspetto confligge chiaramente con l’autonomia di iniziativa e di controllo in capo all’OdV.

Cosa ne pensa il Garante Privacy?

Sul punto si è recentemente espresso il Garante per la protezione dei dati personali, il quale ha sostenuto che l’OdV non possa configurarsi quale Titolare, in quanto: innanzitutto, le finalità proprie del trattamento dei dati sono definite dalla legge; in aggiunta,l’OdV non ha nessun obbligo di denuncia all’autorità giudiziaria, né esercita alcun potere disciplinare nei confronti nei confronti degli autori dell’illecito. L’OdV non può essere configurato nemmeno quale Responsabile del trattamento, essendo parte dell’Ente stesso e non un soggetto esterno.

Il Garante conclude ritenendo che l’OdV, nella sua collegialità, sia parte dell’ente e che, come tale, svolga il proprio ruolo nell’ambito dell’organizzazione dell’ente stesso. Ciononostante, ai fini della normativa sul trattamento dei dati personali, i singoli componenti dell’OdV andranno nominati quali “Autorizzati al trattamento”. I medesimi dovranno rispettare le istruzioni impartite dal Titolare del trattamento, al fine di osservare le misure tecniche e organizzative che il medesimo ha implementato in azienda, in virtù dei principi sanciti dal GDPR (art. 5).

In ogni caso, per consentire all’OdV di svolgere la propria attività di vigilanza e controllo,  dovranno essere assicurate al medesimo l’autonomia e indipendenza rispetto agli organi societari.

In pratica

Risulta pertanto necessario che l’Ente proceda ad affidare a legali esperti in materia l’esatta determinazione dei poteri dell’OdV nella sua collegialità e come singoli membri, al fine di osservare la normativa sul trattamento dei dati personali e nel rispetto della riservatezza dei dati aziendali.

Continua a leggere →

Le nuove tecnologie possano certamente aiutare nella lotta al diffondersi della pandemia da Covid-19. Non a caso, prima in oriente e poi in occidente, si è iniziato a parlare delle app di tracciamento, di cui abbiamo già discusso qui. In Italia, la bagarre sulla questione infuria ormai da mesi. Tutti abbiamo letto e sentito parlare della fantomatica Immuni: l’app che dovrebbe rivoluzionare la Fase due del nostro paese (anche se con un certo ritardo). Ormai è questione di giorni e tutti potremmo scaricare sui nostri cellulari l’applicazione. Più di qualcuno, infatti, avrà ricevuto sul proprio smartphone questo messaggio di Google, che pare voler dettare le regole del gioco mentre il governo italiano ancora latita.

Ma come dovrebbe funzionare Immuni?

Per chi ancora non sapesse con certezza di che cosa si tratta, Immuni è un’applicazione per smartphone in grado di registrare i contatti interpersonali, attraverso lo sfruttamento dei Bluetooth.

Sul suo funzionamento tanti rumors, ma poche certezze. In ogni caso, non appena disponibile, l’app potrà essere scaricata, su base volontaria e gratuitamente, dal play store Android e dall’Apple store. Immuni dovrebbe essere composta di due parti: una dedicata al contact tracing vero e proprio (via Bluetooth) e l’altra destinata ad ospitare una sorta di “diario clinico”, in cui l’utente potrà annotare i dati relativi alle proprie condizioni di salute, come la presenza di sintomi compatibili con il virus.

Il tracciamento avverrà in questo modo: i cellulari dotati dell’app conserveranno nella loro memoria i dati di altri cellulari con cui siano entrati in contatto (in forma di codici crittografati). Qualora uno dei soggetti che ha scaricato l’app risulti positivo al virus, gli operatori sanitari gli forniranno un codice di autorizzazione, con il quale questi potrà scaricare su un server ministeriale il proprio codice crittografato. I cellulari, automaticamente, scaricheranno dal server i codici dei contagiati. Qualora l’app dovesse riconoscere, tra i codici in memoria, il codice di un contagiato, invierà un segnale di allerta all’utente, proprietario del cellulare.

Ma…perché se parla tanto? Innanzitutto, perché vi sono tantissimi dubbi sul funzionamento di Immuni.

Notifica del possibile contagio. Per esempio, immaginiamoci che Immuni avverta con una notifica l’utente che è stato, nelle scorse due settimane, a contatto con un soggetto positivo al Covid; l’utente cosa deve fare? Si chiude dentro casa? Se per ipotesi lavora e il suo datore di lavoro non gli riconosce lo smart working, deve comunque notificargli che è entrato in contatto con un Covid positivo? A chi telefona, alla Asl o al medico di famiglia? Non si sa.

Numero di tamponi. Tutte le volte che un utente scopre di essere positivo al virus, affinché l’applicazione sia utile al contenimento dell’epidemia, è necessario sottoporre tutti i suoi contatti al tampone. Quanti sono? In media 200. Calcolando, ottimisticamente, 2.000 nuovi casi al giorno, moltiplicandoli, poi, per 200 contatti, ne risultano 400 mila tamponi al giorno. Il nostro sistema sanitario è pronto? Ai posteri l’ardua sentenza, ma per darvi un’idea, finora sono stati effettuati circa 1 milione di tamponi al mese.

Bluetooth. La tecnologia dei Bluetooth è molto più imprecisa dei GPS, che tuttavia non possono essere utilizzati per questioni connesse alla privacy. Ne consegue che il rischio di falsi positivi è davvero molto alto. L’app, pertanto, potrebbe riportare il Paese nella situazione di panico iniziale, che si vuole in tutti i modi scongiurare.

Anziani. Quanti voi conosco ultrasessantenni che normalmente utilizzano uno smartphone? È chiaro che la fascia di popolazione più a rischio non utilizzerà mai Immuni, posto che spesso non dispone di uno smartphone, o comunque è pratica nell’utilizzare tale genere di dispositivo.

Sostenibilità. L’app è gratuita, ma per utilizzarla è necessario possedere un cellulare di ultima generazione. Chi non può permetterselo è pertanto escluso dalle cautele anti-Covid?!

Utilità. Tanto si è detto a proposito dell’effettiva utilità di Immuni. Evitando qualsivoglia genere di polemica, si riporta un dato oggettivo. L’app potrà effettivamente contribuire alla lotta contro il Coronavirus, unicamente se sarà utilizzata almeno dal 60% della popolazione, ovverosia da più di 30 milioni di italiani. Un’applicazione di così tanto successo non si è mai vista. Basti, tra l’altro, pensare che solo il 70% degli italiani dispone di uno smartphone.

Se decido di utilizzarla corro dei rischi per quanto concerne la privacy?

Come tutte le nuove tecnologie che trattano dati personali, anche Immuni non va esente da rischi di sorta; anzi, trattando dati sanitari, il rischio per l’utente pare finanche maggiore. Vero è che il Governo italiano pare (non v’è certezza, purtroppo) aver deciso di strutturare l’applicazione con un sistema decentralizzato, che potrebbe nel concreto assicurare un maggior grado di protezione contro eventuali data breach. Tuttavia, non si può fare a meno di sottolineare come tale rischio persista, posto che Immuni è comunque connessa ad un server centrale, che potrebbe essere hackerato. Senza contare che i dati di tracciamento vengono salvati in locale nei cellulari, i quali possono, forse anche più facilmente, finire nelle mani di malintenzionati, che non si esclude siano capaci di “bucare” le misure protettive di Immuni.

E se non la utilizzo?

Il Governo, a fronte delle raccomandazioni del Garante Privacy e delle Linee Guida n. 4/2020 del Comitato Europeo per la protezione dei dati, ha rassicurato i cittadini, sottolineando come l’uso dell’app sarà strettamente volontario e non condizionerà in nessuno modo l’accesso ai diritti garantiti dalle leggi vigenti. D’altronde sarebbe evidentemente anticostituzionale imporre delle restrizioni a tutti coloro che non scaricano o usano Immuni. In altri termini, sarebbe contrario al principio fondamentale di uguaglianza (art. 3 Costituzione) e al dovere di solidarietà (art.2 Costituzione) limitare l’accesso ai test diagnostici o addirittura alle cure, attuando soluzioni del tipo “se non usi la App passi in coda rispetto a quelli che la usano”, oppure imporre restrizioni alla mobilità dei cittadini, costringendo a non uscire di casa coloro che non utilizzano Immuni, ovvero limitare il loro diritto al lavoro.

Nessuna conseguenza negativa, insomma, se si decide di non utilizzare Immuni.

Fattore fiducia.

È evidente che il successo di questa impresa tecnologica dipende strettamente dal grado di fiducia che i cittadini rivestono nelle Istituzioni che hanno sviluppato il progetto di Immuni.

Quest’ultime paiono impegnarsi, ma non abbastanza, a fronte una così sentita necessità. Un esempio? Lo scorso 11 maggio, il Ministro dell’Innovazione (Paola Pisano) rispondeva alle domande inoltratele dall’associazione ANORC, in ordine all’app Immuni. Tuttavia, la Pisano sorvolava sulla maggior parte dei nodi critici messi in evidenza dalle domande di ANORC.

In assenza di trasparenza da parte delle istituzioni governative, è davvero difficile immaginare che Immuni possa davvero avere successo nel contesto italiano.

Continua a leggere →

Le nuove tecnologie possono svolgere un ruolo importante nel contrasto del diffondersi della pandemia da Covid-19. Non si tratta di ipotesi, ma di realtà che sono già state implementate in altri Paesi, che – al pari del nostro – hanno affrontato e stanno affrontando la situazione emergenziale che ben conosciamo. Tra le prime ad attivarsi in questo senso vi è senza dubbio la Cina, che, in tempi record, verso la metà di marzo, ha implementato un sistema di data tracing, denominato “codice salute”, integrato, fra l’altro, all’interno delle app più usate dalla popolazione cinese, ovverosia Alipay e Wechat.
L’esempio cinese non poteva non affascinare l’occidente. Ed in breve, anche in Francia, Germania ed Italia si è cominciato a parlare di app di data tracing

Ma che cos’è questa nuova tecnologia?

In estrema sintesi, si tratta di un’app in grado di registrare tutti i nostri contatti interpersonali, attraverso lo sfruttamento dei Bluetooth. Qualora uno dei soggetti con cui siamo è entrati in contatto risulti positivo al Covid-19, l’app genera una notifica, avvertendo noi, e tutti gli altri contatti a rischio, dell’accaduto.

Ci sono rischi per la privacy?

Come tutte le nuove tecnologie che trattano dati personali, anche le app di tracciamento dei contatti non vanno esenti da rischi di sorta; anzi, trattando dati sanitari, il rischio per l’utente pare finanche maggiore. Per questo, il 21 aprile scorso, il Comitato Europeo per la protezione dei dati (EPDB) ha emanato le linee guida n. 4/2020, al fine di scongiurare qualsivoglia forma di abuso. Tali Linee Guida riprendono i principi cardine del GDPR che abbiamo già imparato a conoscere: liceità, limitazione delle finalità e del tempo di conservazione, minimizzazione, esattezza, integrità e riservatezza. In particolare, il Comitato mette in luce come il monitoraggio su larga scala dei contatti sia una grave intrusione della privacy, che può essere legittimata solo a fronte dello svolgimento di un compito di interesse pubblico e della volontarietà dell’utilizzo della tecnologia implementata. Per questo, in ossequio al principio di minimizzazione, i dati trattati devono essere quelli strettamente indispensabili per le finalità stabilite. Il Comitato precisa, inoltre, che tali finalità dovrebbero essere, preferibilmente, regolamentate per il tramite di apposito intervento legislativo, atto a fornire idonea base giuridica per il monitoraggio. In ogni caso, il fatto che la base giuridica sia costituita dalla legge non vuol dire che la tecnologia in questione possa essere imposta ai cittadini. Il Comitato precisa, infatti, che l’uso della medesima deve essere strettamente volontario, e non deve condizionare in nessuno modo l’accesso ai diritti garantiti dalle leggi vigenti. Infine, viene sottolineato come sia essenziale la redazione di apposita DPIA, cioè una valutazione di impatto del trattamento, che analizzi nel dettaglio i possibili rischi e le conseguenze connesse al medesimo.

Cosa sta accadendo in Europa?

Innanzitutto, va premesso, che in Europa lo sviluppo e l’implementazione delle app di data tracing è stato accompagnato, fin dal principio, da una farraginosa bagarre, per la definizione delle misure tecniche più adeguate non solo per l’efficientamento delle app, ma anche per la protezione dei dati personali. In particolare, i tecnici si sono divisi tra sostenitori di un sistema di salvataggio dei dati personali centralizzato e i sostenitori di un sistema invece decentralizzato.

Le differenze fra i due? Posto che le app di tracciamento funzionano creando un elenco completo di utenti con cui si è interagito per più di qualche minuto, il cui identificativo non è il nome e/o il cognome, ma un codice criptato, la differenza essenziale risiede nelle modalità con cui tale codice viene realizzato. Nel sistema decentralizzato, il medesimo viene generato direttamente sui dispositivi mobili dell’utente, nel sistema centralizzato, è invece un server, per l’appunto centrale, ad eseguire tale operazione. Il sistema più sicuro? Difficile a dirsi, entrambi possono di fatto prestare il fianco ad abusi e attacchi hacker.

Le nostre eterne rivali (Francia e Germania) cosa stanno facendo?

Francia. L’app di tracciamento dei contatti francese, denominata StopCOVID, è ai blocchi di partenza. Il Ministro Cédric O, responsabile per il digitale, ha infatti reso noto come il lancio dovrebbe avvenire il prossimo 2 giugno. Il dibattito tra sostenitori del sistema centralizzato e sostenitori del decentralizzato – che, il 26 aprile scorso, avevano addirittura presentato formale petizione contro il primo sistema – ha visto prevalere i sostenitori del centralizzato. Tuttavia, non sono del tutto sopite le critiche, posto che l’applicazione – al pari di Immuni – sarà efficace unicamente qualora almeno la metà della popolazione (il 60%) la scarichi e la installi, contribuendo così a rendere capillare il suo raggio d’azione in tutto il territorio.

Germania. La Germania, come la Francia, inizialmente, pareva aver abbracciato la soluzione centralizzata, promuovendo lo sviluppo del c.d. Protocollo Robert (ROBust and privacy-presERving proximity Tracing protocol) e l’implementazione della dell’app, denominata Datenspenden. Tuttavia, il 25 aprile scorso, il governo federale ha dovuto cedere alla pressione degli attivisti, preoccupati per la gestione dei dati personali, e prediligere la soluzione della decentralizzazione, al fine di scongiurare il timore di abusi da parte delle autorità. Va, tuttavia, sottolineato che, a fronte della diffidenza della popolazione tedesca e della ancora scarsa digitalizzazione del paese, l’app tedesca difficilmente verrà mai alla luce. In attesa, i cittadini tedeschi possono comunque utilizzare la Datenspenden, che, previo loro consenso, è in grado di raccogliere tutti i dati custoditi da app di fitness, come Fitbit, Garmin e Polar, compresi gli smartwatch, utilizzandoli, in forma anonima, per analizzare statisticamente la diffusione del virus.

Cosa sta accadendo in Italia?

I rumors su Immuni sono molti ed i dubbi ancora di più. Di questo però vi parleremo nella prossima puntata. Nel frattempo, per qualsivoglia dubbio o perplessità, potete visitare il sito e farci pervenire le vostre domande.


Continua a leggere →