Information Society – SLC- Studio Legale Avvocato Giacomo Conti

Bitcoin, Blockchain, GDPR, Information Society, Informazione, Intelligenza Artificiale, Internet, Novità, Sci-Fi, Smart contract, tech, Unimi, Università, Web

Lo smart contract fra realtà e falsi miti: un contratto né smart né contract. Passato, presente e futuro dei contratti intelligenti

BREVE DESCRIZIONE DEL CONVEGNO

Convegno di studi avente ad oggetto: “L’informatica e il diritto dei contratti: Blockchain e Smart Contracts”

Data: Martedì 31 maggio 2022 – ore 14.30 – 18.30

Luogo del convegno: Sala Crociera di Giurisprudenza presso Università degli Studi di Milano in Via Festa del Perdono n. 7

RELATORI E INTERVENTI

14.30 – Registrazione dei partecipanti

15.00 – Saluti introduttivi

Prof. Lucio Camaldo – Presidente Algiusmi – Università degli Studi di Milano

Coordina: Avv. Massimo Burghignoli – Past President Algiusmi

15.30 – Blockchain e smart contracts: caratteristiche e possibili ambiti di applicazione

Prof. Francesco Delfini (Ordinario di diritto civile – Università degli Studi di Milano)

16.00 – Le nuove frontiere dell’informatica giuridica in ambito contrattuale

Prof. Giovanni Ziccardi (Associato di informatica giuridica – Università degli Studi di Milano)

16.30 – La regolamentazione sovranazionale

Dott.ssa Benedetta Cappiello (Ricercatrice di diritto internazionale – Università degli Studi di Milano)

17.00 – Lo smart contract fra realtà e falsi miti: un contratto né smart né contract. Passato, presente e futuro dei contratti intelligenti

Avv. Giacomo Conti (Avvocato del Foro di Milano – Socio Algisumi)

17.30 – Interventi programmati e dibattito

18.30 – Chiusura dell’incontro

BREVE DESCRIZIONE DELL’INTERVENTO DELL’AVV. GIACOMO CONTI

L’intervento al convegno presso l’Università Statale di Milano organizzato dall’Associazione Algiusmi, è strutturato in una parte di introduttiva dove, per brevissimi cenni, si affronta l’evoluzione storica e sociologica del contratto dalla prima rivoluzione agricola fino all’era dell’informazione. Verrà messo in luce il rapporto fra uomo e tecnologia nella società contemporanea evidenziando come l’evoluzione tecnologica arrivi a mutare e riformare le modalità attraverso le quali la volontà delle parti si esprime e si esegue nell’ambito di un vincolo giuridico.

Nella seconda parte si approfondirà lo stato dell’arte, natura e applicazioni dello smart contract, mettendo in luce come lo stesso non sia né smart né contract, bensì un programma informatico finalizzato ad eseguire una volontà “programmata” delle parti.

Successivamente, l’intervento toccherà falsi miti che riguardano gli smart contract, e si analizzeranno i profili tecnici di programmazione del codice-contratto con l’analisi di esempi concreti di linee di codice. Successivamente si affronteranno le fondamenta della tecnologia blockchain alla base degli smart contract moderni, con particolare riguardo dell’attività di criptazione della registrazione su blockchain delle informazioni.

Dopo avere fatto il punto sullo stato normativo della materia, verranno analizzati gli scenari di evoluzione della materia con un’ottica esplorativa/speculativa, mettendo in luce le criticità e i profili di sicurezza della blockchain e il futuro ruolo del giurista alla nell’era dei contratti intelligenti e gli impatti dell’intelligenza artificiale sugli smart contract.

Scarica la locandina del convegno cliccando alla seguente risorsa: SMART CONTRAT CONVEGNO STAMPA

Scarica le slide dell’intervento dell’Avv. Giacomo Conti: Slide Smart contract

Maggio 2, 2022/da Giacomo Conti

GDPR, Information Society, Informazione, Internet, Novità, Opensource, Privacy, Sicurezza Informatica, Software, Web

GDPR for dummies. Il modello organizzativo minimo per una PMI – Paperless compliance for free… almost.

Nonostante la protezione del dato e la cultura della sicurezza delle informazioni abbiano compiuto dei significativi passi in avanti negli ultimi anni, ancora oggi, molte piccole-medie imprese trovano difficoltà nell’implementare modelli di gestione della privacy anche basilari.

Molti continuano, ingiustamente, ad avere paura delle sanzioni previste dal Regolamento Europeo con l’effetto di produrre inutile carta senza aumentare il livello di consapevolezza, accountability e sicurezza. Da qui si producono inutili consensi controfirmati, lettere di incarico senza formare le risorse e burocratizzazione inutile di processi che potrebbero essere lineari, semplici e paperless.

Non penso sia un caso, dunque, che la protezione del dato continui erroneamente ad essere abbinata a burocrazia inutile quando essa potrebbe essere agevolmente gestita con pochi essenziali adempimenti.

Non me ne voglia chi ci ha prosperato con la paura delle salatissime multe e prodotto carta inutile; ma molte volte, per raggiungere un grado sufficiente di compliance, è sufficiente dotarsi di pochi piccoli accorgimenti ed effettuare pochi piccoli investimenti mirati, principalmente in misure di sicurezza e formazione delle risorse umane.

Sperando di ripetere l’ovvio, ribadisco che la “paperless compliance for free… almost” non può trovare applicazione, ad esempio, per realtà molto particolari che effettuano trattamenti ad alto rischio, anche se poco strutturate così come per realtà che trattano dati su larga scala o presentano rischi maggiori rispetto alla media.

Per affrontare il discorso relativo alla paperless compliance, è necessario tenere presente che il GDPR va letto partendo dall’articolo 1 per poi scorrere verso gli articoli finali abbinando, se possibile, la lettura dei considerando alla norma.

È oramai opinione consolidata fra gli esperti che il GDPR chiede di affrontare con un approccio organico tutti i processi aziendali dove vengono coinvolti dati personali.

Ogni processo deve, dunque, essere originariamente configurato per garantire il rispetto principi generali previsti dall’art. 5: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza e responsabilizzazione (o accountability per gli anglofili). Non ci dilungheremo in questa sede su questi principi, limitandoci a citarli.

In secondo luogo, bisogna vedere se ricorre una o più delle basi di legittimità previste dal susseguente art. 6, fra cui è presente anche il consenso dell’interessato che però, è bene richiedere solo ove strettamente necessario (v. https://avvgiacomoconti.com/un-consenso-per-uno-e-uno-per-tutti-una-corretta-applicazione-del-principio-di-irresponsabilizzazione/ ).

Se l’organizzazione sa perché tratta il dato e partendo da quali basi, ad esempio un contratto o una norma di legge o un legittimo interesse, potrà approfondire la conformità del processo al GDPR, ma potrà con una certa ragionevolezza essere sicura che il processo è, in linea di massima, lecito.

Sorvolando sugli articoli seguenti ci troviamo all’art. 24 che menziona espressamente i rischi per i diritti e per le libertà degli interessati che sono indicati per sommi capi nel testo dell’articolo. La norma, senza richiedere nulla di trascendentale chiede semplicemente di tenere conto dei trattamenti che vengono operati all’interno dell’organizzazione e di adottare misure organizzative e di sicurezza adeguate e parametrate al rischio.

Senza pretesa di esaustività, basti pensare al fatto che il trattamento di dati personali apre una finestra sulla vita dell’interessato e a seconda del “peso specifico” del dato personale sarò in grado di conoscere certi aspetti della vita di una persona che sarà, conseguentemente, vulnerabile. Per questa ragione il GDPR distingue i dati in comuni (che permettono di identificare o prendere contatto con l’interessato) e particolari (che invece rilevano aspetti particolarmente delicati della vita privata altrui). È bene abbinare la lettura dell’art. 24 agli artt. 9 e 10 del GDPR per meglio comprendere il concetto di “rischi per i diritti e per le libertà”.

Semplificando al massimo questo processo che è piuttosto complesso, è essenziale che ogni organizzazione sappia almeno in linea di massima quali dati tratta, per quale motivo e che effetto una violazione alla loro riservatezza, integrità e disponibilità può avere sulla vita personale del lavoratore, del cliente del fornitore e degli altri soggetti coinvolti nel trattamento.

Veniamo ora all’art. 29 che richiede di adottare misure organizzative adeguate. In questa sede ci limiteremo ad indicare le misure che ogni impresa dovrebbe adottare fra le quali, l’individuazione del designato/privacy officer che è un soggetto interno incaricato della gestione delle procedure di trattamento dei dati e per rispettare il GDPR, come garantire le richieste degli interessati o comunicare con l’autorità garante.

Questa figura dovrebbe essere interessata alla materia, adeguatamente formata e responsabilizzata per assicurare un adeguato livello di compliance interno all’organizzazione. L’attività di designazione del referente privacy è un processo a costo zero. Altrettanto gratuita potrebbe essere la creazione dell’organigramma aziendale dove vengono mappati funzioni e compiti dei soggetti designati dall’organizzazione.

Se si vuole che la designazione sia efficiente, tuttavia, sarebbe bene stanziare una somma – anche modesta – per la formazione dei referenti affinché questi siano in grado di mappare e gestire le procedure di cui sono incaricati e responsabilizzare anche gli altri soggetti autorizzati al trattamento.

Veniamo a questo punto ai registri disciplinati dall’art.30: questi altro non sono che un processo di mappatura dei trattamenti che l’azienda opera. Pertanto, i registri dovrebbero configurarsi più che come un documento, come una procedura da monitorare e tenere aggiornata con l’evolversi dei processi aziendali. Pertanto, essi possono essere tenuti senza particolari formalità e aggiornati, anche mediante stampa del file anche in PDF, all’occorrenza.

Più che la forma, è importante che questi strumenti siano tenuti da un soggetto competente che, verosimilmente, sarà il designato aziendale che conoscerà i processi aziendali ed avrà anche una discreta conoscenza normativa ove adeguatamente formato.

Oltre al registro delle attività di trattamento (art. 30), è opportuno che l’organizzazione si munisca anche di un registro della formazione per documentare l’attività svolta e un registro delle violazioni (art. 33) per documentare eventuali data breach e che è uno strumento di ausilio e responsabilizzazione fondamentale per valutare se e quali conseguenze la violazione potrà avere per gli interessati coinvolti.

Seppure i registri non siano richiesti a tutte le organizzazioni, l’adozione di questi è stata fortemente incoraggiata sia dalla nostra Autorità Garante che dal Comitato Europeo per la protezione dei dati personali, ma anche da autorità straniere.

Veniamo ora ai processi relativi alla sicurezza dei dati che possono avere natura fisica o logica.

La sicurezza fisica si articola in misure piuttosto banali come, ad esempio, l’apposizione di porte blindate agli ingressi, inferriate alle finestre, la presenza di estintori.

Apparentemente più complesso è il profilo della sicurezza informatica, ma anche qui, vedremo soluzioni a basso costo o gratuite che possono aiutare enormemente l’organizzazione ad aumentare il proprio livello di sicurezza.

Il primo problema comune a tutte le organizzazioni è la gestione delle Password. Avere password in giro non protette è come lasciare le chiavi della porta vicino allo zerbino di casa.

Rinviando all’apprezzabile vademecum elaborato dal Garante (v. https://www.garanteprivacy.it/temi/cybersecurity/password) è consigliabile adottare gestionali gratuiti come KeePass ( v. https://keepass.info/ ) che salvano i dati in locale criptati eliminando il rischio del cloud e attraverso la master password e i plugin consentono un’agile gestione delle password eliminando fogliettini, il rischio di perderle e altri rischi. Il dipendente dovrà ricordarsi solo la Master Password di accesso al servizio KeePass per accedere in sicurezza a tutte le proprie credenziali.

Altro problema che ogni organizzazione affronta è il backup e, per le organizzazioni più semplici, può bastare anche un piccolo investimento in un NAS o in un economico servizio di backup online scegliendo quello più adatto alle proprie esigenze. Senza dilungarci sulla gestione della backup policy in questa sede, si segnala Duplicati (v. https://www.duplicati.com/ ): una soluzione che rende più efficiente il processo di backup e aiuta a gestire il rischio di perdita dei dati trattati. Questo sistema, di default cripta i dati in formato criptato e permette di gestire la recovery dei dati in maniera intuitiva e semplice. Il gestionale è anche flessibile e permette all’utente di configurare i tempi, modi e livelli di sicurezza del backup.

Potrebbe essere auspicabile anche prevedere un programma formativo con oggetto la cybersecuirty awareness per sensibilizzare i dipendenti alle minacce informatiche. Per iniziare il percorso di sensibilizzazione si può iniziare con il fruire di risorse gratuite e accessibili online.

I problemi della sicurezza informatica, ça va sans dire, non si esauriscono a quelli indicati ed è auspicabile che buona parte delle organizzazioni si accerti, fra le altre cose, di:

Installare solamente programmi originali da autori verificati e sempre aggiornati all’ultima versione
Investire in un solido antivirus che implementi almeno un firewall logico e sistemi di rimozione di malware
Differenziare la rete ad uso interna da quella data ad uso degli ospiti adottando processi di segmentazione

I più scrupolosi vorranno, altresì, adottare un firewall perimetrale integrato con un servizio di analisi dei file di log.

Pare, dunque, opportuno stanziare somme, anche modeste, per aumentare il proprio livello di sicurezza informatica in azienda investendo sulle risorse umane e sulle misure di protezione tecniche.

Un’azienda con un elevato grado di compliance al GDPR, dunque, saprà valutare in autonomia gli investimenti, a livello tecnico e sulle risorse umane, che dovrà operare e saprà gestirsi autonomamente evitando di spendere soldi in consulenze inutili e carte e agire in autonomia per rispettare la norma, nelle migliori ipotesi, con un costo tendente allo zero o con un investimento più che contenuto.

Il GDPR non richiede, dunque, di produrre carte, ma di implementare dei processi efficienti per una corretta gestione del dato e, per essere applicato efficacemente, richiede cultura, formazione e sensibilizzazione.

Ottobre 22, 2021/da Giacomo Conti

Amazon, Consumatore, Contratti, cybermediary, diritti, E-privacy, Ecommerce, GDPR, Information Society, Internet, libertà, Novità

“Quanto apparteniamo alla rete?”

con l’Avv. Andrea Lisi, l’Avv. Giacomo Conti e il Dott. Alessandro Bottonelli

Lo ho-BIT ‖ Ep.16

Sospesi tra due realtà: il web non è più “altro” rispetto alla nostra realtà fisica. Al suo interno coesistono nuovi spazi “essenziali” per la società, quali servizi, piattaforme, app e strumenti di lavoro a distanza.

L’evoluzione tecnologica non riguarda più solo i modelli di business: l’enorme potere dei grandi player influenza anche le dinamiche individuali e il quadro dei rapporti sociali.

L’Avv. Andrea Lisi affronterà con l’Avv. Giacomo Conti, specializzato in nuove tecnologie e web reputation, e Alessandro Bottonelli, CEO & Lead Advisor di AxisNet, l’importanza di conoscere i meccanismi e imparare a utilizzare in modo consapevole il web “partecipativo”, anche per evitare di divenire a nostra volta oggetto di “utilizzo” da parte delle stesse piattaforme o di chi le gestisce.

Link al contenuto video: 🟣 Quanto apparteniamo alla rete? 🟣 Lo ho-BIT – Andrea Lisi – MRTV – YouTube

Giugno 15, 2021/da Giacomo Conti

GDPR, Information Society, Informazione, Novità, Privacy, Sicurezza Informatica, Uncategorized

Attacchi informatici ai fornitori e crisi della supply chain. Da una difesa attiva a una logica di difesa zero-trust.

Di Jacopo Sabbadini

Negli ultimi anni abbiamo visto una crescita esponenziale delle minacce alla sicurezza informatica. Questo fenomeno si è acuito nell’ultimo periodo a causa della situazione dovuta alla pandemia mondiale, che ha portata ad un incremento del lavoro da remoto, accelerando di molto un fenomeno già in essere.

A seguito di questo trend molte realtà aziendali hanno cominciato ad implementare svariate soluzioni di sicurezza basate sull’analisi del traffico e dei pacchetti , sulle firme dei programmi , sul comportamento delle utenze.

Questa “presa di consapevolezza” da parte delle aziende non sembra però aver sortito effetto, praticamente ogni giorno si legge di un nuovo attacco a grandi infrastrutture, spesso strategiche (Colonial Pipeline, AXA, Glovo, solo per citarne alcune) dunque sorge spontanea una domanda: come è possibile che con l’aumento delle misure di protezione, vi sia un conseguente aumento degli attacchi riusciti contro le stesse infrastrutture che implementano questi sistemi?

Per rispondere a questa domanda, bisogna partire da un concetto che pare banale, ma è cardinale in questa analisi: nessun’azienda, nessuna realtà è un’isola. Maggiore è l’azienda, maggiore è il suo giro di affari, maggiore è la galassia di fornitori di beni e servizi che orbitano intorno all’azienda stessa.

Se l’azienda di riferimento è in grado di utilizzare un determinato budget per l’implementazione e il controllo delle misure di sicurezza informatica, è quasi matematico che almeno una parte dei suoi fornitori non abbiano accesso a simili risorse; e quindi, i fornitori stessi diventano il principale obiettivo di un attacco, non tanto per i dati che possono possedere, ma per gli accessi che si possono recuperare.

Un esempio emblematico su tutti è quanto successo con VMWare; la società si occupa di virtualizzazione, ed è leader di mercato per quanto riguarda il deploy di macchine virtuali su server di produzione, ricerca e sviluppo. Quanto accaduto è stato che, ad un certo punto, durante un controllo, il team di sicurezza di VMWare si è reso conto che vi era una API con all’interno del codice mai scritto da loro, che permetteva un accesso non autenticato ma con alti privilegi dall’esterno, e l’esecuzione di codice da remoto; in buona sostanza, era un rootkit inserito non si sa da chi o quando, con molta probabilità aggiunto a seguito di una violazione dei sistemi di un proprio fornitore, che non ne era neanche a conoscenza. Quello che però si sa di per certo sono state le conseguenze: l’attacco a SolarWinds che ha messo in ginocchio moltissime aziende che utilizzano i loro software; tutto è partito da un attacco ai fornitori di VMWare, ed si è arrivati alla crisi della gestione di Orion ed Exchange.

Come fare quindi in una realtà in cui chiunque può essere un bersaglio, e magari anche un veicolo inconsapevole di attacchi mirati?
È da ripensare completamente l’idea di cybersecurity e sicurezza in generale.

Ad oggi si utilizzano dei sistemi con una vulnerabilità lampante: un antivirus, per quanto complesso e “intelligente” si basa su delle firme, su qualcosa di già noto, oltre che su un costante aggiornamento delle proprie componenti di rilevazione.

Una simile soluzione è inadeguata a proteggere contro le odierne minacce, che spesso si declinano in zero days e potenziali attacchi che arrivano da utenti “fidati” all’interno del sistema.

Bisogna passare da una logica di controllo attivo, come quella degli antivirus, firewall e via discorrendo, ad una logica di zero-trust per la quale indifferentemente dal fatto che l’utente sia autenticato, che il processo sia considerato sicuro o in ogni caso non facente riferimento ad alcun database di malware, qualsiasi azione considerata potenzialmente pericoloso viene immediatamente interrotta e segnalata.

Vista l’evoluzione delle tecniche di attacco, la ampia superficie d’attacco disponibile, le classiche soluzioni hanno fatto il loro tempo.

[1] Application Program Interface, è un sistema di interrogazione di un’applicazione utilizzato per automatizzare dei processi in programmazione.

[1] Malware che permette l’accesso a un sistema, l’esecuzione di comandi e/o programmi, spesso con alti livelli di privilegio.

[1] Malware sconosciuti, di cui non esistono firme digitali in nessun database

Maggio 24, 2021/da Giacomo Conti

Autore: Giacomo Conti

Editore: Maggioli Editore

Pubblicazione: Novembre 2020 (I Edizione)

ISBN / EAN 8891643469 / 9788891643469

Collana: Collana Legale

Prefazione: “La libertà è partecipazione” e l’inestrinsecabile legame fra corpo elettronico e materiale

I sogni di libertà ed emancipazione che si fondavano su un’idea di progresso tecnologico che avrebbe reso tutti liberi appartengono a un’epoca passata.

I sogni di idillio e trascendenza tecnologica, secondo cui la tecnologia ci avrebbe liberati dalle fatiche umane permettendoci di elevarci e trascendere e liberarci dalla nostra gabbia materiale per avvicinarci a un altro reame dell’esistenza, appartengono a società utopistiche ben lontane dalla nostra.

Queste sono e restano sulla carta, o in formato e-book, descritte in romanzi di fantascienza.

Permane, però, il legittimo interrogativo relativo alla libertà reale che gli strumenti del Web partecipativo 2.0 ci offrono e il quesito si pone, in ogni caso, immutato nei seguenti termini: “Internet, il Web e le tecnologie della società dell’informazione hanno migliorato la nostra esistenza rendendoci più liberi?”.

In un certo senso, si può e si deve dare una risposta affermativa alla questione, in quanto le tecnologie di Rete ci hanno liberato da fatiche non solo fisiche ma anche intellettuali. Le tecnologie basate sulla Rete ci hanno, infatti, sicuramente resi più informati, talvolta istruiti, e hanno semplificato le nostre attività di ricerca e approfondimento intellettuale contribuendo a soddisfare le nostre più svariate curiosità.

È, pertanto, innegabile che le dinamiche del Web partecipativo abbiano migliorato qualitativamente le nostre vite ed esperienze di consumo grazie alle numerose informazioni e opportunità che i servizi di Rete ci offrono. Senza contare, peraltro, la comodità di consumare senza doversi recare fisicamente al negozio fisico.

Rimane aperta, però, la seconda parte del quesito, ossia se le tecnologie di Rete ci abbiano o meno resi più liberi rispetto al passato.

In teoria, le dinamiche partecipative dei servizi della società dell’informazione avrebbero dovuto renderci ancora più liberi, più in grado di comprendere il mondo che ci circonda, grazie al patrimonio informativo che continuamente ci regalano, prima inimmaginabile anche per il più dotto dei dotti.

Del resto, se è vero, per citare Gaber, che “La libertà non è uno spazio libero. Libertà è partecipazione”, ci dobbiamo chiedere dove sia la nostra agognata libertà. ci troviamo, infatti, in una società dove la partecipazione è assoluta e i nuovi strumenti di comunicazione ci permettono di condividere con una libertà prima impensabile il nostro pensiero e reperire una mole inimmaginabile di informazioni con pochissimo sforzo.

Dov’è, quindi, che le promesse di libertà ed emancipazione sono state tradite?

A dispetto degli innegabili progressi che la rivoluzione del Web partecipativo ha apportato non si può, infatti, dire che si sia creata una maggiore libertà.

Al contrario, tutti noi, volenti o nolenti, ci troviamo sempre più integrati nei servizi della società dell’informazione e nelle dinamiche partecipative del Web 2.0 e non ne riusciamo più a fare a meno.

Molti di coloro che hanno vissuto e sperimentato la rivoluzione del Web hanno ottime ragioni per sentire, in realtà, traditi i loro sogni di libertà. Siamo sempre più impegnati a relazionarci attraverso social network da cui non ci riusciamo a sconnettere, a ricercare novità e informazioni attraverso motori di ricerca e a comperare online beni e servizi di cui prima non conoscevamo l’esistenza e che, adesso, sono diventati inspiegabilmente indispensabili e imprescindibili.

La connettività, nei suoi aspetti relazionali e partecipativi, riguarda tutti gli aspetti della nostra vita nelle sue dinamiche personali e professionali e tutti ci troviamo forzosamente connessi senza alcuna reale via di scampo.

Può essere che il prezzo del maggiore benessere di cui attualmente godiamo abbia richiesto il sacrificio della nostra libertà?

Da un lato, quasi tutte le persone fisiche si trovano ad avere un profilo social network, ad esempio su Facebook, LinkedIn, Twitter o altri social network; e, dall’altro, sempre più imprenditori offrono i propri beni e servizi mediante marketplace e altri servizi della società dell’informazione come, ad esempio, TripAdvisor o Amazon.

Sempre più persone, fisiche o giuridiche, inoltre, si trovano indicizzate all’interno di motori di ricerca: inserire un semplice parametro come nome e cognome può, infatti, produrre risultati che a loro volta riconducono a elementi riferiti alla persona ricercata come, ad esempio, un sito o un blog personale, foto personali condivise in Rete, un profilo social network o, ancora, articoli pubblicati, interviste rilasciate o articoli di giornale online dove la persona ha formato oggetto di cronaca e proprio attraverso questa simbiosi con i servizi della società dell’informazione si estrinseca il nostro corpo elettronico: la proiezione digitale all’interno della Rete del nostro corpo materiale.

Tutte queste tracce digitali di noi – che noi stessi in prima persona lasciamo o che altri lasciano di noi – contribuiscono a consolidare e formare la nostra Web presence (o presenza sul Web), composta dei “pezzi di ciascuno di noi che sono conservati nelle numerosissime banche dati dove la nostra identità è sezionata e scomposta, dove compariamo ora come consumatori, ora come elettori, debitori, lavoratori, utenti dell’autostrada” (1).

Il Web 2.0, con le sue dinamiche partecipative, ha accelerato e amplificato questo processo di astrazione del nostro corpo materiale in qualcosa di diverso, ibrido e prima inimmaginabile.

Pur senza raggiungere il Regno dei cieli, il nirvana o altri reami dell’esistenza, anzi forse per certi aspetti allontanandoci dagli aspetti più nobili della spiritualità più pura che in tempi passati era posta come una delle più grandi virtù, una parte sempre più significativa della nostra vita si svolge online.

Questo reame dell’esistenza non si trova, però, in un regno diverso o irraggiungibile ed è facilmente accessibile attraverso strumenti che sono banali come un dispositivo che si può connettere a Internet e una connessione Internet.

Il Regno dei cieli è davvero qui fra noi e accessibile a tutti?

È davvero così facile ascendere?

Davvero non è più necessario intraprendere percorsi ascetici o immergersi in attività contemplative o meditative per distanziarsi dalla realtà in cui viviamo per muoverci in un dominio più nobile dell’esistenza?

Ma, soprattutto, l’astrazione del nostro corpo materiale in un corpo elettronico ci nobilita davvero come vorremmo, dovrebbe o sarebbe giusto?

A ben vedere, lungi dal distanziarci dal mondo materiale, dai nostri desideri e dalle nostre paure, quanto avviene online influenza pesantemente le nostre dinamiche relazionali e professionali che si articolano offline.

Così come noi proiettiamo online una parte del corpo materiale, a mo’ di ombra digitale, una parte del nostro corpo elettronico proietta un’ombra materiale che si ripercuote, psicologicamente e materialmente, nel dominio dell’esistenza analogica.

Siamo davvero più liberi oppure siamo aggrovigliati in un miscuglio inscindibile di realtà inestricabili?

In questo contesto di inestricabilità fra corpo materiale e corpo elettronico, reame digitale e reame analogico, si inseriscono i servizi della società dell’informazione che influenzano e governano aspetti preponderanti e cruciali delle nostre vite.

Le dinamiche relazionali alla base del Web partecipativo che ha creato il Web 2.0 sono, infatti, quasi integralmente miste e si basano su una sempre maggiore e crescente interconnessione fra il nostro corpo elettronico e il nostro corpo materiale. Si crea, pertanto, un’entità ibrida fatta di atomi e di bit, di molecole e di gigabyte.

I nostri desideri, ansie, paure e speranze arrivano a seguirci sia quando ci connettiamo che quando siamo sconnessi; sempre che sconnettersi sia, in realtà, possibile. A ben vedere, gli aspetti più importanti della nostra vita restano sottratti irrimediabilmente al nostro dominio proprio a causa delle dinamiche che la partecipazione all’interno della vita online ci impone.

È evidente come i servizi della società dell’informazione basati sul Web governino sempre di più la nostra vita personale e professionale e come non possiamo più fare a meno di questi, anche se spesso vorremmo sconnetterci, isolarci e sottrarci al continuo bombardamento di informazioni cui veniamo sottoposti.

Per questi motivi non siamo più realmente padroni delle nostre vite, ma sono le piattaforme digitali a garantire i nostri diritti fondamentali, a permettere alla nostra persona di esprimersi e a dare voce al nostro corpo elettronico: i nostri desideri finiscono in whishlist di cui i cybermediary diventano custodi, le nostre curiosità e segreti sono inseriti in motori di ricerca che le destrutturano e le indicizzano rendendole uniformi e privandole dell’unicità che noi pensavamo che avessero. Inoltre, la nostra voglia di esprimerci si articola in post condivisi attraverso social network, così come la nostra socialità oramai può prescindere dal bisogno di scendere in piazza e trovare luoghi fisici per socializzare ed esprimere le nostre idee e, di conseguenza, la coesione sociale sembra diventare sempre più tenue.

I servizi della società dell’informazione sono diventati, quindi, indispensabili per molte persone fisiche, che attraverso di essi si esprimono e si relazionano con gli altri, e per molte imprese, che li utilizzano per perseguire la propria attività economica.

Si pensi, in questo senso, all’importanza per una PMI di avere una propria web presence su Amazon o di essere adeguatamente indicizzata su
Google per ottenere un importante vantaggio competitivo sui propri concorrenti.

Alla luce del quadro tracciato si deve dare, quindi, risposta negativa alla nostra esigenza di libertà che appare sicuramente frustrata.

Molti diranno che questa è stata sacrificata sull’altare di qualcosa di più importante, come l’accesso alla conoscenza attraverso ricerche operate online, la possibilità di partecipare e dire la nostra, probabilmente anche quando forse sarebbe opportuno tacere, la possibilità di acquistare quello che vogliamo quando vogliamo e di vedercelo consegnato a casa senza che sia necessario uscire quando quasi certamente due passi e una boccata d’aria fresca non ci farebbero male.

Siamo, quindi, ora più che mai lontani dalla trascendenza cui aspiravano gli antichi, i filosofi e gli illuminati dei tempi passati?

In un certo senso, probabilmente no, in quanto il corpo elettronico, la nostra proiezione digitale, ci ha permesso di raggiungere a tutti gli effetti un reame diverso dell’esistenza, creando la cosa più simile all’anima che questa società materialista riesce a concepire.

Il nostro corpo elettronico vive senza mangiare, bere, dormire e necessita solo di connessione e di dati. non è questa forse libertà?

Ma questo corpo è davvero nostro?

Possiamo davvero governare le sue dinamiche che avvengono all’interno della Rete?

A ben vedere, abbiamo un controllo molto limitato sul nostro corpo elettronico, in quanto in Rete tutti sono liberi di dire la loro in una piazza dalla eco infinita che rimbomba nei secoli imperituri e di coinvolgerci in discussioni che non ci riguardano o a cui non siamo interessati.

Gli algoritmi dei motori di ricerca e dei social network a cui siamo iscritti ci bombardano o sottopongono alla nostra attenzione altre persone o prodotti che, forse e molto probabilmente, preferiremmo ignorare.

Non sono forse queste forme di violenza elettronica, tentativi subdoli ma al tempo stesso violenti di coartare la nostra libertà?

L’aggressione al nostro corpo elettronico cesserà solo quando le persone che cercano l’informazione vi perderanno ogni interesse, le Wiki non
verranno più aggiornate o i cybermediary, custodi dell’informazione, arriveranno a rimuoverla per gentile concessione o per un ordine di un’Autorità che, al momento, appare ancora superiore.

In realtà, a ben vedere, ora più che mai siamo prigionieri di una gabbia elettronica, custodita dai vari Amazon, Google e Facebook, che ci comprime e mai come ora siamo stati così poco padroni delle informazioni che ci riguardano. contrariamente a ogni ragionamento logico, siamo più liberi ma al tempo stesso più prigionieri e ora più che mai guardiamo il mondo come i prigionieri della caverna di Platone.

La risposta al paradosso logico secondo cui partendo da premesse vere e false al tempo stesso si producono conclusioni vere e contraddittorie fra loro si può dare nei seguenti termini: il Web partecipativo e i cybermediary hanno ribaltato il rapporto tradizionale della libertà che non è più una “libertà da qualcosa”, come ad esempio ingerenze indebite nella nostra sfera personale, ma una “libertà di fare qualcosa”, come commentare, condividere contenuti, criticare altri, acquistare con semplicità ciò che ci aggrada e vedercelo recapitato comodamente a casa.

In questo contesto, ciò che si pensa di noi offline viene proiettato online e ciò che ci riguarda online ha precipitati nelle nostre dinamiche professionali e personali che si articolano offline.

Il quadro di interconnessione è, quindi, continuo, complesso e si autoalimenta e impone di rivoluzionare il modo attraverso cui noi pensiamo e ci relazioniamo con i servizi della società dell’informazione.

Queste nuove dinamiche relazionali personali e professionali e la sempre crescente integrazione fra ciò che avviene online e ciò che avviene offline lasciano aperti numerosi interrogativi:

“Siamo davvero più liberi e felici?”

“Siamo davvero più colti, istruiti e consapevoli?”

“Riusciamo a distinguere ciò che avviene in Rete da ciò che avviene offline?”

“Siamo davvero in grado di distinguere la nostra ombra digitale dalla nostra ombra materiale che proietta la luce del sole?”

“Ai posteri l’ardua sentenza”.

Giacomo Conti

Per maggiori informazioni sul testo v. https://www.maggiolieditore.it/lineamenti-di-diritto-delle-piattaforme-digitali-volume-2.html

(1) Salviamo il corpo, di Stefano Rodotà, stralcio dell’intervento al convegno su “Trasformazioni del corpo e dignità della persona”, Roma, 4 maggio 2005.

Dicembre 16, 2020/da Giacomo Conti

diritti, Information Society, Informazione, Internet, libertà, Novità, Reg. UE 2015/2120, Rete, Web

Il diritto di accesso alla Rete nella giurisprudenza della Corte di Giustizia fra interessi economici e libertà fondamentali. Il caso Telenor Nemetzi.

di Giacomo Conti

Il diritto di accesso alla Rete si estrinseca come uno dei diritti fondamentali del nostro corpo elettronico.
A differenza dei diritti naturali del corpo materiale frutto della tradizione illuministica, quelli del corpo elettronico, si esplicano in una forma mediata in quanto – per esplicarsi – necessitano di servizi che vengono erogate da imprese e società private: i cosiddetti access provider.
L’uomo digitale si nutre, infatti, di dati e informazioni e ha un vero e proprio diritto a che i fornitori del servizio non limitino i suoi diritti naturali o, meglio, naturalmente discendenti dall’evoluzione tecnologica.
I pericoli di intese e cartelle fra questi player è particolarmente pericoloso in quanto può incidere o limitare il diritto di accesso alla Rete e ad un Internet aperta dell’uomo digitale.
Per questa ragione, il Reg. UE 2015/ 2120 che stabilisce misure riguardanti l’accesso a un’Internet aperta inserisce una disciplina correttiva agli accordi fra access provider che non devono in alcun modo limitare arbitrariamente questo diritto fondamentale della personalità elettronica.
L’art. 3 del Regolamento citato vieta agli accordi tra i fornitori di servizi di accesso alla Rete e gli utenti finali che incidono sulle condizioni e sulle caratteristiche commerciali e tecniche dei servizi di accesso a Internet quali prezzo, volumi di dati o velocità, e le pratiche commerciali adottate dai fornitori di servizi di accesso a Internet atte a limitare l’esercizio dei diritti degli utenti finali di diritto di accedere a informazioni e contenuti e di diffonderli, nonché di utilizzare e fornire applicazioni e servizi, e utilizzare apparecchiature terminali di loro scelta. La neutralità della Rete deve essere salvaguardata indipendentemente dalla sede dell’utente finale o del fornitore o dalla localizzazione, dall’origine o dalla destinazione delle informazioni, dei contenuti, delle applicazioni o del servizio, tramite il servizio di accesso a Internet.
La Corte di Giustizia dell’Unione Europea, nella recente sentenza in data 15 settembre 2020 avente ad oggetto le cause riunite C-807/18 e C-39/19Telenor Magyarország Zrt./ Nemzeti Média-és Hírközlési Hatóság Elnöke ha affrontato specificatamente il tema.
Il caso riguardava la conclusione di accordi mediante i quali gli utenti del servizio sottoscrivevano pacchetti di servizi dove a fronte di una «tariffa zero», venivano previste dai fornitori di servizi misure di blocco o rallentamento del traffico riguardante l’utilizzo di servizi e di applicazioni diverse dai servizi e dalle applicazioni specifici soggetti a tale «tariffa zero».
La Corte riteneva suddetto accordo idoneo a limitare l’esercizio dei diritti degli utenti finali in quanto le misure di rallentamento o di blocco del traffico sono basate non su requisiti di qualità tecnica del servizio, ma su considerazioni di ordine commerciale stabilite arbitrariamente dal fornitore del servizio.
Per questa ragione, la Corte riteneva violato l’art. 3 del Reg. UE 2015/2120 e l’accordo frutto di una prassi commerciale illegittima arrivando a fornire un importante indirizzo interpretativo a cui i giudizi nazionali si dovranno adeguare.

Ottobre 12, 2020/da Giacomo Conti

E-privacy, Ecommerce, GDPR, Information Society, Informazione, Novità, Privacy

Il terzo pilastro del mercato unico digitale: il Geoblocking Regulation e il divieto di discriminazioni geografiche

di Giacomo Conti e Anna Lucia Calò

Il GDPR è, indubbiamente, un pilastro indispensabile sia per la tutela dei nostri diritti e libertà fondamentali sia per la creazione di un mercato unico digitale: nell’era dell’informazione, per costruire la fiducia dei consumatori nel mercato online, è indispensabile garantire che i dati personali circolino liberamente e siano adeguatamente protetti. Pertanto, il GDPR si erge a buon diritto come il primo pilastro del mercato unico digitale e, forse, il più noto e conosciuto ai più.

Al pari del GDPR, il Regolamento (UE) n.1807/18, conosciuto come Free Flow Data Regulation o FFD Regulation, mira a garantire la libera circolazione dei dati diversi dai dati personali all’interno dell’Unione e, allo scopo, detta disposizioni relative agli obblighi di localizzazione, alla messa a disposizione dei dati alle autorità competenti e alla portabilità dei dati non personali per gli utenti professionali.

La norma che si pone come imprescindibile completamento del GDPR trova, pertanto, il suo naturale campo di applicazione nell’ambito dei più disparati servizi che vengono erogati online: dall’archiviazione, Infrastructure-as-a-Service – IaaS, al trattamento di dati su piattaforme, Platform-as-a-Service – PaaS, o in applicazioni, Software-as-a-Service – SaaS (Cons. 17 Reg. 2018/1807). Al pari del GDPR, il Free Flow Data Regulation, si pone come ulteriore pilastro del mercato unico digitale.

Il combinato disposto dei due regolamenti, per quanto indispensabile e imprescindibile, non è sufficiente a completare la realizzazione del mercato unico digitale e, soprattutto, a contrastare adeguatamente le nuove forme di discriminazione geografiche che si declinano in un mercato digitalizzato: un imprenditore che opera in ambito digitale può, infatti, arrivare a discriminare i clienti sulla base della provenienza geografica, localizzandone ad esempio l’indirizzo IP, oppure arrivare a reindirizzarli, in via automatica, a una distinta e diversa interfaccia rispetto a quella iniziale, che ovviamente presenta delle offerte diverse.

Questa prassi prende il nome di geoblocking: neologismo basato su una crasi del termine gèo di origine greca, che significa terra, globo o superficie terrestre e dell’inglese blocking, dal verbo inglese to block, che vuol dire bloccare, impedire o ostruire.

Nell’era digitale, una parte sempre crescente di attività economiche avviene online all’interno dei servizi che il Web offre e che tutti noi conosciamo e usiamo quotidianamente. Pertanto, il Mercato Unico inteso come spazio economico e geografico aperto e senza frontiere interne, grazie al quale merci, persone, servizi e capitali possono circolare liberamente va riconsiderato nella sua dimensione concettuale e declinazione digitale.

Le barriere digitali poste da molti fornitori di servizi dell’informazione nell’era dell’informazione appaiono altrettanto e forse anche più lesive delle barriere fisiche che gli Stati possono ergere contro la concorrenza straniera erigendo muri e ponendo frontiere.

In questo contesto, di profonda e continua evoluzione sociale e tecnologica, interviene il Regolamento (UE) 2018/302, noto come Geoblocking Regulation, che pone un divieto di discriminazione ingiustificata dei clienti nel commercio online sulla base della provenienza geografic: pietra miliare di questo regolamento è l’introduzione del divieto dei blocchi geografici ingiustificati nell’ambito dell’erogazione di servizi basti sulla Rete.

Il considerando 1 del Geoblocking Regulation evidenzia come, per conseguire il pieno potenziale del mercato interno come spazio l’eliminazione degli ostacoli fisici e materiali non è sufficiente se, nella sostanza, vengono frapposte barriere digitali che ostacolano lo sviluppo del mercato interno.

L’e-commerce transazionale, pur essendo una colonna portante del Mercato Unico, presenta gravi rischi per la tenuta del mercato stesso e, uno dei principali, è rappresentato proprio dai geoblocking. Attraverso questa attività, gli imprenditori possono arrivare a segmentare artificialmente il mercato interno, ostacolando la libera circolazione delle merci e dei servizi, limitando i diritti dei clienti e impedendo loro di beneficiare di una scelta più ampia e di condizioni ottimali.

Il GeoBlocking Regulation, per contrastare questo fenomeno, disciplina compiutamente i seguenti aspetti alla base delle transazioni online:
• accesso alle interfacce online;
• accesso a beni o servizi;
• non discriminazione per motivi legati al pagamento;
• accordi sulle vendite passive;
• assistenza ai consumatori.

Pertanto, chiunque, attivi o gestisca un servizio di e-commerce, non deve rispettare solo il GDPR, ma deve anche garantire il rispetto del GeoBlocking Regulation che, nella sua essenzialità – 11 articoli e 43 considerando – detta una disciplina complessa e articolata.

Luglio 6, 2020/da Giacomo Conti

Cookie, E-privacy, GDPR, Information Society, Informazione, Novità, Privacy

Cookie Law e General Data Protection Regulation. Nell’attesa del Regolamento e-Privacy

di Anna Lucia Calò

Information Society, Personal Data e Cookie o identificativi di altro tipo

Il rapporto tra Cookie Law e General Data Protection Regulation in attesa del Regolamento e-Privacy

La crescita della Information Society è contraddistinta dall’emergere di nuovi servizi di comunicazione elettronica, e i beni di primaria importanza, nella moderna società dell’informazione, sono i dati personali, ovverosia, qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).
Identificabile è la persona fisica che, può essere individuata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un “identificativo online” o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Le persone fisiche – come evidenziato nel considerando 30 del GDPR – possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookie) o a identificativi di altro tipo.
Questi identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere impiegate per realizzare profili delle persone fisiche e identificarle.

I c.d. cookie, nati come dispositivi semplificativi e agevolativi della navigazione online, sono usati per differenti e molteplici finalità e, nel linguaggio normativo, sovente, sono definiti “marcatori”.
“I cookie – come spiega il Garante per la Protezione dei Dati Personali, nel provvedimento
n. 229 dell´8 maggio 2014 – sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando”.

L’impiego dei cookie è regolamentato dalla Direttiva europea n.58/2002 – nota come Cookie Law o Direttiva e-Privacy – relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.
Comprendere i motivi soggiacenti il varo di questa direttiva – contenente specifiche e precise guidelines nell’ambito del trattamento dei dati personali con i c.d. mezzi elettronici – non è difficile, e comunque, emergono, distintamente, solo anatomizzando il considerando 5, in cui il legislatore europeo, pone in evidenza che: “nelle reti pubbliche di comunicazione, l’introduzione di nuove tecnologie digitali avanzate pongono esigenze specifiche con riguardo alla tutela dei dati personali e della vita privata degli utenti.”
Non solo, nel medesimo considerando, è specificato molto chiaramente che: “l’accesso alle reti digitali mobili è ormai a disposizione e alla portata di un vasto pubblico. Queste reti digitali hanno grandi capacità e possibilità di trattare i dati personali.”
E, in ultimo, indica che: “il positivo sviluppo transfrontaliero di questi servizi dipende in parte dalla fiducia che essi riscuoteranno presso gli utenti in relazione alla loro capacità di tutelare la loro vita privata”. I servizi di comunicazione elettronica, accessibili al pubblico attraverso Internet, schiudono nuove opportunità agli utenti ma, implicano anche nuovi rischi per i loro dati personali e la loro vita privata, come puntualizzato nel successivo considerando 6 della direttiva n.58/02.

A distanza di anni dall’adozione della Cookie Law, nel 2016 è entrato in vigore un General Data Protection Regulation (n.679/16), notoriamente celebre con l’acronimo GDPR, che ha rinnovato e riformulato, totalmente, la normativa in materia di data protection. Quindi, allo stato attuale, come si pone, la direttiva e-privacy rispetto al GDPR?

Dunque, per il momento, è la Direttiva e-Privacy 2002/58/CE – modificata nel 2009 dalla Direttiva 136/CE – a regolamentare e disciplinare l’uso dei cookie e il consenso al loro utilizzo, e questo sia prima del GDPR sia dopo la sua piena attuazione – 25/5/18 – e fino al momento in cui non sarà adottato il nuovo Regolamento e-Privacy che, sostituirà l’attuale direttiva che, non è stata assolutamente abrogata o modificata dal GDPR.
Non a caso, l’art. 95 del GDPR (Rapporto con la direttiva 2002/58/CE) precisa che, il GDPR non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.
La Cookie Law, precisa ed integra il GDPR, al fine di tutelare la vita privata e la riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche, dato che, le strumentazioni terminali degli utenti di reti di comunicazione elettronica e ogni informazione memorizzata in tali apparecchiature, fanno parte della sfera privata dell’utente.

Gli obblighi della normativa europea in materia cookie sono stati recepiti in Italia, con il d.lgs.69/12, che ha riformulato l’art. 122 (Informazioni raccolte nei riguardi dell’contraente o dell’utente) del d.lgs. 196/2003, e, l’unica modifica apportata all’art.122, con il d.lgs.101/18, consiste nella soppressione del riferimento “all’articolo 13, comma 3 del d.lgs.196/03″.
Per la corretta regolamentazione di tali dispositivi, è necessario distinguerli sulla base delle finalità perseguite da chi li utilizza e, in tale direzione si è mosso il legislatore italiano, che, ha ricondotto l’obbligo di acquisire, il consenso preventivo e informato degli utenti on-line, all’installazione di cookie utilizzati per finalità diverse da quelle “meramente tecniche”.

Al riguardo – come indica il Garante nel provv.
n. 229/14 – si individuano due macro-categorie: cookie tecnici e cookie di profilazione. In breve, per l’installazione dei cookie tecnici, non è richiesto il consenso degli utenti ma è necessario fornire l’informativa ex art. 13 del GDPR, mentre, i c.d. cookie di profilazione, possono essere installati sul terminale dell’utente, esclusivamente se questo abbia manifestato il proprio consenso, dopo essere stato informato con le c.d. modalità semplificate, indicate dal Garante nel medesimo provvedimento, relativo, infatti, all’individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie.

Nello specifico, l’art.122, comma 1, del d.lgs.196/03, dispone che, l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate (cookie di profilazione) sono consentiti – unicamente – a condizione che il contraente o l’utente abbia espresso il proprio consenso* dopo essere stato informato con modalità semplificate e, ai fini dell’espressione del consenso ex art.122, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
Gli obblighi di informativa e consenso per l´uso dei cookie, incombono sul titolare del sito web che installa i cookie di profilazione, mentre, per i c.d. cookie di terze parti – installati tramite il sito – gli obblighi di informativa e consenso, gravano sulle terze parti, ma il titolare del sito – intermediario tecnico tra le terze parti e gli utenti – è tenuto a inserire nell´informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse, come indica e specifica il Garante nel provvedimento n. 229 dell´8 maggio 2014.

Ciò – continua l’art.122, comma 1 del d.lgs.196/03 – non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio (cookie tecnici).
A questo riguardo, è opportuno precisare che, le disposizioni dettate in tema di informativa e consenso per i cookie tecnici, valgono anche per i c.d. cookie analytics, solo nelle ipotesi in cui, questi ultimi sono impiegati a “fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito” (cfr. prov.n.229/14 del Garante).
Salvo quanto previsto dal comma 1 dell’art.122, con riferimento ai cookie tecnici e di profilazione, è – comunque – vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.

L’art. 122 del d.lgs. 196/2003, trova applicazione per tutti i siti web che installano cookie sui terminali degli utenti, utilizzando per il trattamento, strumenti siti sul territorio dello Stato, a prescindere dalla presenza di una sede nel territorio.
Le violazioni delle disposizioni di cui all’art.122, sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del GDPR, come previsto dall’art. 166 – Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori – del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679.

Come noto, l’applicazione della Direttiva UE n.58/02 – relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche – negli Stati UE non è unitaria, tuttavia, la Cookie Law o Direttiva e-Privacy, come anticipato, è destinata ad essere sostituita dal Regolamento e-Privacy, attualmente ancora in fase di esame, che, a differenza della direttiva, non necessiterà di un provvedimento di recepimento interno da parte di ogni singolo Stato UE, ma esattamente come la direttiva che andrà a sostituire, opererà di concerto con il GDPR, e, rientra nel novero delle misure dirette alla realizzazione del “Digital Single Market”, poiché mira ad assicurare la funzionalità e la sicurezza dei servizi digitali, quindi, una migliore protezione della sfera privata e anche nuove opportunità economiche.

*Per chi volesse esaminare in modo approfondito la tematica relativa alla dichiarazione di consenso con riferimento ai cookie, mi riporto al testo della Sentenza della Corte – Grande Sezione – del 1° ottobre 2019 (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV contro Planet49 GmbH.
Rinvio pregiudiziale – Direttiva 95/46/CE – Direttiva 2002/58/CE – Regolamento (UE) 2016/679 – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Cookie – Nozione di consenso dell’interessato – Dichiarazione di consenso mediante una casella di spunta preselezionata. Causa C-673/17) reperibile al seguente url: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62017CJ0673.

Marzo 6, 2020/da Giacomo Conti