, , , , , , , , ,

LA SANZIONE DELL’AGCM A TIKTOK PER IL CASO FRENCH SCAR. ACCOUNTABILITY E GESTIONE DEI CONTENUTI PERICOLOSI.

Di Giacomo Conti

Con provvedimento in data 05 marzo 2024, l’Autorità Garante della Concorrenza e del Mercato ha comminato a TikTok Information Technologies UK Limited una sanzione amministrativa pecuniaria di 10.000.000 € (diecimilioni di euro) per inadeguata vigilanza sui contenuti pubblicati dagli utenti.

La decisione dell’autorità si pone nel solco di un filone interpretativo che mira a responsabilizzare le piattaforme per la gestione dei contenuti e che individua una vera e propria responsabilità per mancata gestione del rischio laddove i contenuti condivisi all’interno del servizio possano porre dei rischi per i diritti degli utenti. Merita menzione sul punto il precedente caso AGCM contro TripAdvisor dove la piattaforma di recensioni era stata sanzionata per Mezzo Milione di Euro per non avere vigilato sulle false recensioni all’interno della piattaforma la cui presenza avrebbe provocato danni ad albergatori e ristoratori (https://www.agcm.it/media/comunicati-stampa/2014/12/alias-7365 ).

Nel caso in esame, l’autorità di vigilanza ha rilevato all’interno della piattaforma TikTok, da un lato, la presenza di contenuti suscettibili di minacciare la sicurezza psico-fisica degli utenti, quali quelli relativi alla challenge c.d. “cicatrice francese” (“french scar”); e, dall’altro, l’inadeguatezza delle azioni realizzate dal social per evitarne la diffusione. In particolare, è stato accertato che questi contenuti pericolosi venivano addirittura proposti reiteratamente agli utenti attraverso ‘sistemi di raccomandazione’ suscettibili di condizionare le scelte dei consumatori, nella specie di quelli vulnerabili.

In particolare, i contenuti vengono proposti sulla base di un sistema di profilazione algoritmica che individua e seleziona contenuti personalizzati in base a una combinazione di fattori volti a cogliere le preferenze e gli interessi del singolo attraverso le interazioni con gli altri utenti dove vengono inseriti like, quali video sono condivisi, commenti inseriti, tempo speso a vedere un vide,;  le caratteristiche del video come didascalie, hashtag, suoni, paese; nonché le informazioni sull’utente come le impostazioni del dispositivo, dell’account o la lingua selezionata. Inoltre, è integrato un sistema di consultazione basato sui feed Seguiti”, dove sono rinvenibili i video pubblicati dagli utenti di cui l’utente è diventato “follower”.

L’AGCM ha, peraltro, messo bene in evidenza come il sistema di ricerca attiva dei contenuti operi solo in via residuale a maggiore evidenza di come gli utenti siano esposti ai contenuti proposti dalla piattaforma. In particolare, le risultanze istruttorie hanno dimostrato che adolescenti vulnerabili sono esposti con una frequenza maggiore a contenuti pregiudizievoli a causa del sistema di raccomandazione di TikTok in ragione della profilazione operata dalla piattaforma.

Inoltre, l’Authority ha messo in luce come l’aumento dell’attività degli utenti sulla piattaforma amplifica la redditività degli spazi pubblicitari perché il maggior utilizzo di TikTok fornisce al sistema di raccomandazione algoritmico più informazioni sulle preferenze degli utenti. Questo a maggiore dimostrazione dell’interesse della piattaforma a proporre contenuti potenzialmente perché di potenziale interesse dell’utente pure se dannosi per la salute fisica e mentale di questi.

Anche in questo caso, come accaduto in precedenza con la sanzione a TripAdvisor (v. https://www.agcm.it/media/comunicati-stampa/2014/12/alias-7365 ), l’AGCM ha ribadito l’esistenza di un vero e proprio obbligo per la piattaforma di gestire questi contenuti.

Dagli accertamenti, inoltre, è stata dimostrata l’inadeguatezza dei sistemi di moderazione dei contenuti, automatizzati e gestiti dalle risorse umane di TikTok posto che è emerso che la maggior parte dei video rimossi da TikTok riguarda le categorie che le Parti hanno definito “sicurezza dei minori”, “contenuti violenti espliciti”, “nudità e attività illegali”, mentre solo il 5% delle rimozioni ha riguardato “atti e sfide pericolose”. Nonostante l’attività umana di moderazione sia particolarmente rilevante per contenuti la cui inadeguatezza risulta meno immediata, dagli atti risulta che i componenti del “Team di moderatori” sono selezionati secondo requisiti generici come l’“attenzione alle problematiche sociale”, la familiarità con le leggi e normative relative a internet e la capacità di lavorare su turni diversi. Inoltre, è stato documentato che i moderatori vengono formati tramite corsi interni sull’applicazione delle Linee Guida che, per quanto in atti, appaiono incentrati più sui contenuti violenti, illegali, o a contenuto sessuale che non su challenge e atti pericolosi per i minori

Nella propria valutazione, pertanto, l’autorità ha ritenuto che la piattaforma avesse violato gli obblighi di diligente applicazione delle proprie Linee Guida comunicate agli utenti, condizionato indebitamente degli utenti attraverso la riproposizione di contenuti che sfruttano la vulnerabilità di alcuni gruppi di consumatori; predisposto inadeguate misure di controllo e vigilanza adottate da TikTok sui contenuti pubblicati dagli utenti, con particolare riferimento alla tutela dei soggetti minori e vulnerabili e, da ultimo, diffuso contenuti in grado di minacciare la sicurezza psico-fisica di bambini ed adolescenti.

Per queste ragioni è stata, pertanto, emessa una sanzione per pratica commerciale scorretta ai sensi degli articoli 20, comma 2 e 3, 21, comma 2 lettera b), 21, comma 4, 25, comma 1, lettera c) del Codice del consumo in quanto contraria alla diligenza professionale e idonea riconoscendo una vera e propria responsabilità per inadeguata vigilanza sui contenuti pubblicati dagli utenti.

 

 

Per maggiori informazioni si rinvia al testo integrale del provvedimento reperibile in https://www.agcm.it/media/comunicati-stampa/2024/3/PS12543-

/da
, , , , , , , ,

Ruoli GDPR, Whistleblowing e gestione del canale di segnalazione. Perché l’art. 13 del Decreto Whistleblowing non convince?

Di Giacomo Conti

 

Secondo l’art. 13 comma 4 del Decreto Whistleblowing, i trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni sono effettuati dai soggetti di gestori dei canali di segnalazione, che sono da considerarsi, a rigor di norma, titolari del trattamento.

Se così fosse, sarebbero questi soggetti sono tenuti ad adottare le misure di organizzazione e sicurezza appropriate a tutela dei diritti e delle libertà degli interessati, mentre per eventuali violazioni della normativa o per data breach. Il tutto mentre, l’organizzazione che non ha implementato il canale o non ha adottato adeguate misure di sicurezza non dovrebbe rispondere per violazioni o data breach non essendo titolare del trattamento.

A livello sistematico appare evidente come questa norma non sia compatibile con quanto stabilito dal GDPR secondo cui i ruoli nell’ambito delle attività di trattamento di dati personali sono dettati dal principio di finalità del trattamento in ragione del quale il titolare è colui che determina le finalità del trattamento e ne individua la base giuridica.

Pertanto, secondo l’art. 4 numero 7 del GDPR, deve intendersi come titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quindi, l’organizzazione che ha predisposto il canale di segnalazione.

Seppure il GDPR stabilisca che quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri, la scrittura della norma appare non conforme con i principi generali in materia di protezione dei dati.

È, infatti, evidente come nel caso in cui la gestione dei canali di segnalazione si affidata a un ufficio interno all’ente le persone incaricate della gestione del canale di segnalazione saranno necessariamente autorizzate ai sensi dell’art. 29 GDPR. Peraltro, in ragione del principio di substance over form nella definizione dei ruoli GDPR non dovrebbe rilevare se questi soggetti sono professionisti autonomi o dipendenti dell’ente.

Il fatto che questi soggetti siano persone autorizzate e non titolari di trattamento è messo in evidenza dall’articolo 4 comma 2 del Decreto Whistleblowing secondo cui la gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione. Questo comma è in evidente contraddizione e distonia con l’art. 13 della norma.

Il Decreto Whistleblowing contempla anche il caso in cui la gestione del canale sia affidata a un soggetto esterno e, come nel caso precedente, il personale preposto alla gestione della segnalazione che in questo caso è del gestore del canale esterno deve essere specificamente formato. In questo caso, l’ente esterno incaricato della gestione del canale potrebbe essere un data processor ai sensi dell’art. 28 GDPR e le persone che trattano i dati personali nell’ambito delle segnalazioni, ugualmente, dovrebbero ritenersi soggetti autorizzati che operano sotto l’autorità non del controller, ma del processor.

Seppure la normativa sia ancora troppo recente per avere prodotto giurisprudenza sul punto, si può attingere, almeno per analogia, ad alcuni precedenti del Garante che si è espresso in tema di ruolo GDPR dell’Organismo di Vigilanza.

In alcune ipotesi, infatti, il gestore del canale di segnalazione potrebbe anche essere un membro dell’organismo di vigilanza e il Garante si è già espresso sul punto con il “Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231” in data 21 maggio 2020 reperibile in: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9347842

Il Garante ha ritenuto che l’OdV, nel suo complesso e a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato come parte integrante dell’ente. Per l’effetto, i singoli membri dell’OdV debbano considerarsi come soggetti autorizzati ai sensi dell’artt. 4, n. 10, 29, 32 par. 4 Regolamento e dell’art. 2-quaterdecies del Codice della Privacy.

La designazione dei membri dell’OdV, al pari dell’istituzione dell’ufficio preposto alla gestione del canale di segnalazione è, infatti, un atto di organizzazione e non negoziale e, pertanto, appare corretto qualificare questi soggetti come autorizzati (art. 29 GDPR) e non come responsabili di trattamento piuttosto che titolari (art. 28 GDPR).

Ne consegue che, anche nel caso di una violazione di dati derivante nell’ambito della gestione del canale di segnalazione affidata a un soggetto esterno, dovrà rispondere necessariamente l’ente. In quest’ultimo caso, per culpa in eligendo in ragione di una scelta di un soggetto non adeguato.

L’impostazione normativa, all’apparenza, sembra deresponsabilizzare le organizzazioni che, per legge sono tenute ad adottare il sistema di whistleblowing e, pertanto, è opportuno e necessario adottare un’interpretazione correttiva conforme al GDPR che vorrebbe che l’organizzazione fosse titolare di trattamento. Il tutto anche per assicurare un adeguato livello di protezione dei dati personali che il Decreto WhistleBlowing richiede essendo la protezione dei dati personali del segnalante uno dei principi cardini assieme alle misure di protezione della sua persona.

 

/da
, , , , , , , , , , , , , ,

I rapporti tra piattaforma e influencer nella creator economy.

BREVE DESCRIZIONE DEL CONVEGNO

Convegno di studi avente ad oggetto: “L’informatica e il diritto dei contratti: Blockchain e Smart Contracts”

Data: Martedì 21 giugno 2023 – ore 14.30 – 18.30

Luogo del convegno: Sala Crociera di Giurisprudenza presso Università degli Studi di Milano in Via Festa del Perdono n. 7

RELATORI E INTERVENTI

15.00 – Introducono e coordinano
Prof. Lucio Camaldo – Presidente Algiusmi – Università degli Studi di Milano
Dott. Stefano Gazzella – Coordinatore Comitato scientifico AssoInfluencer
15.30 – Professione Influencer
Arianna Chieli, Creator Digitale e Content Strategist
16.00 – Il diritto dell’influencer: work in progress?
Prof. Pierluigi Perri, Docente di Informatica giuridica, Università degli Studi di Milano
16.30 – La tutela legale dei contenuti digitali
Prof.ssa Silvia Giudici, Docente di Diritto industriale, Università degli Studi di Milano
17.00 – Profili giuslavoristici dei creator
Avv. Paolo Iervolino, Vicecoordinatore Comitato scientifico AssoInfluencer, Assegnista di ricerca presso l’Università di Palermo
17.30 – Le nuove professioni digitali e non ordinistiche
Avv. Massimo Burghignoli, Past President Algiusmi
18.00 – I rapporti tra Piattaforma e Creator
Avv. Giacomo Conti, Socio Algiusmi e Patreon AssoInfluencer
18.30 – Interventi e dibattito

17.30 – Interventi programmati e dibattito

18.30 – Chiusura dell’incontro

BREVE DESCRIZIONE DELL’INTERVENTO DELL’AVV. GIACOMO CONTI

Il convengo si propone di esaminare i rapporti economici e giuridici nell’ambito dell’ecosistema delle piattaforme digitali.
Dopo avere fatto luce su cosa si intenda per Influencer e messo in luce i profili di professionalità dei creatori di contenuti, si affronteranno i profili relativi alla tutela dei contenuti digitali e giuslavoristici.

Per meglio comprendere la portata di questa nuova figura professionale, verranno esaminati i profili relativi alle nuove professioni digitali e non ordinistiche nonché i rapporti Platform2Business, con particolare riguardo ai rapporti fra creatore di contenuti e piattaforma.

L’intervento dell’avvocato Conti pone dapprima il focus sull’ecosistema di rapporti giuridici che le piattaforme digitali creano per mettere al centro la figura del creatore dei contenuti e dell’influencer, analizzando i rapporti fra queste importanti figure centrali nell’ambito dell’economia del web 2.0.
Successivamente, dopo averne analizzato i tratti distintivi della figura dell’influencer, si analizza come l’influencer sia al centro di una serie complessi di rapporti, ad esempio con la propria fanbase, con i propri sponsor ma anche con la piattaforma online.
Nonostante la centralità di questa figura, l’influencer può essere oggetto di comportamenti di abuso da parte delle grandi piattaforme digitali che, attraverso i propri poteri, possono penalizzarne fortemente l’attività, ad esempio demonitizzandone o rimuovendone i contenuti o bloccandone il canale. Ma anche con comportamenti più subdoli, come collocarlo ingiustificatamente in fondo ai risultati di ricerca facendogli perdere importanti visualizzazioni e, per l’effetto, occasioni di crescita e sviluppo professionale.
Pertanto, vengono analizzati i profili di tutela che l’ordinamento civilistico offre a questa figura partendo dai rimedi in house alla piattaforma per poi approfondire i profili di tutela giudiziale.

Il convegno nasce da una sinergia fra Algiusmi, Associazione dei Laureati di Giurisprudenza dell’Università di Milano, ed AssoInfluencer, associazione rappresentativa dei creatori di contenuti a livello nazionale

Scarica la locandina del convegno cliccando alla seguente risorsa: SAlgiusmi_AssoInfluencer 21-06-2023

Scarica le slide dell’intervento dell’Avv. Giacomo Conti: Rapporti Piattaforma2Influencer Conti

Per maggiori approfondimenti sul tema:

https://www.maggiolieditore.it/lineamenti-di-diritto-delle-piattaforme-digitali-volume-1.html

https://www.maggiolieditore.it/lineamenti-di-diritto-delle-piattaforme-digitali-volume-2.html

/da
, , , , , , , , , , , , ,

Lo smart contract fra realtà e falsi miti: un contratto né smart né contract. Passato, presente e futuro dei contratti intelligenti

BREVE DESCRIZIONE DEL CONVEGNO

Convegno di studi avente ad oggetto: “L’informatica e il diritto dei contratti: Blockchain e Smart Contracts

Data: Martedì 31 maggio 2022 – ore 14.30 – 18.30

Luogo del convegno: Sala Crociera di Giurisprudenza presso Università degli Studi di Milano in Via Festa del Perdono n. 7

RELATORI E INTERVENTI

14.30 – Registrazione dei partecipanti

15.00 – Saluti introduttivi

Prof. Lucio Camaldo – Presidente Algiusmi – Università degli Studi di Milano

Coordina: Avv. Massimo Burghignoli – Past President Algiusmi

15.30 – Blockchain e smart contracts: caratteristiche e possibili ambiti di applicazione

Prof. Francesco Delfini (Ordinario di diritto civile – Università degli Studi di Milano)

16.00 – Le nuove frontiere dell’informatica giuridica in ambito contrattuale

Prof. Giovanni Ziccardi (Associato di informatica giuridica – Università degli Studi di Milano)

16.30 – La regolamentazione sovranazionale

Dott.ssa Benedetta Cappiello (Ricercatrice di diritto internazionale – Università degli Studi di Milano)

17.00Lo smart contract fra realtà e falsi miti: un contratto né smart contract. Passato, presente e futuro dei contratti intelligenti

Avv. Giacomo Conti (Avvocato del Foro di Milano – Socio Algisumi)

17.30 – Interventi programmati e dibattito

18.30 – Chiusura dell’incontro

BREVE DESCRIZIONE DELL’INTERVENTO DELL’AVV. GIACOMO CONTI

L’intervento al convegno presso l’Università Statale di Milano organizzato dall’Associazione Algiusmi, è strutturato in una parte di introduttiva dove, per brevissimi cenni, si  affronta l’evoluzione storica e sociologica del contratto dalla prima rivoluzione agricola fino all’era dell’informazione. Verrà messo in luce il rapporto fra uomo e tecnologia nella società contemporanea evidenziando come l’evoluzione tecnologica arrivi a mutare e riformare le modalità attraverso le quali la volontà delle parti si esprime e si esegue nell’ambito di un vincolo giuridico.

Nella seconda parte si approfondirà lo stato dell’arte, natura e applicazioni dello smart contract, mettendo in luce come lo stesso non sia né smart contract, bensì un programma informatico finalizzato ad eseguire una volontà “programmata” delle parti.

Successivamente, l’intervento toccherà falsi miti che riguardano gli smart contract, e si analizzeranno i profili tecnici di programmazione del codice-contratto con l’analisi di esempi concreti di linee di codice. Successivamente si affronteranno le fondamenta della tecnologia blockchain alla base degli smart contract moderni, con particolare riguardo dell’attività di criptazione della registrazione su blockchain delle informazioni.

Dopo avere fatto il punto sullo stato normativo della materia, verranno analizzati gli scenari di evoluzione della materia con un’ottica esplorativa/speculativa, mettendo in luce le criticità e i profili di sicurezza della blockchain e il futuro ruolo del giurista alla nell’era dei contratti intelligenti e gli impatti dell’intelligenza artificiale sugli smart contract.

 

Scarica la locandina del convegno cliccando alla seguente risorsa: SMART CONTRAT CONVEGNO STAMPA

 

 

Scarica le slide dell’intervento dell’Avv. Giacomo Conti: Slide Smart contract

/da
, , , , , , , , ,

GDPR for dummies. Il modello organizzativo minimo per una PMI – Paperless compliance for free… almost.

Nonostante la protezione del dato e la cultura della sicurezza delle informazioni abbiano compiuto dei significativi passi in avanti negli ultimi anni, ancora oggi, molte piccole-medie imprese trovano difficoltà nell’implementare modelli di gestione della privacy anche basilari.

Molti continuano, ingiustamente, ad avere paura delle sanzioni previste dal Regolamento Europeo con l’effetto di produrre inutile carta senza aumentare il livello di consapevolezza, accountability e sicurezza. Da qui si producono inutili consensi controfirmati, lettere di incarico senza formare le risorse e burocratizzazione inutile di processi che potrebbero essere lineari, semplici e paperless.

Non penso sia un caso, dunque, che la protezione del dato continui erroneamente ad essere abbinata a burocrazia inutile quando essa potrebbe essere agevolmente gestita con pochi essenziali adempimenti.

Non me ne voglia chi ci ha prosperato con la paura delle salatissime multe e prodotto carta inutile; ma molte volte, per raggiungere un grado sufficiente di compliance, è sufficiente dotarsi di pochi piccoli accorgimenti ed effettuare pochi piccoli investimenti mirati, principalmente in misure di sicurezza e formazione delle risorse umane.

Sperando di ripetere l’ovvio, ribadisco che la “paperless compliance for free… almost” non può trovare applicazione, ad esempio, per realtà molto particolari che effettuano trattamenti ad alto rischio, anche se poco strutturate così come per realtà che trattano dati su larga scala o presentano rischi maggiori rispetto alla media.

Per affrontare il discorso relativo alla paperless compliance, è necessario tenere presente che il GDPR va letto partendo dall’articolo 1 per poi scorrere verso gli articoli finali abbinando, se possibile, la lettura dei considerando alla norma.

È oramai opinione consolidata fra gli esperti che il GDPR chiede di affrontare con un approccio organico tutti i processi aziendali dove vengono coinvolti dati personali.

Ogni processo deve, dunque, essere originariamente configurato per garantire il rispetto principi generali previsti dall’art. 5: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza e responsabilizzazione (o accountability per gli anglofili).  Non ci dilungheremo in questa sede su questi principi, limitandoci a citarli.

In secondo luogo, bisogna vedere se ricorre una o più delle basi di legittimità previste dal susseguente art. 6, fra cui è presente anche il consenso dell’interessato che però, è bene richiedere solo ove strettamente necessario (v. https://avvgiacomoconti.com/un-consenso-per-uno-e-uno-per-tutti-una-corretta-applicazione-del-principio-di-irresponsabilizzazione/ ).

Se l’organizzazione sa perché tratta il dato e partendo da quali basi, ad esempio un contratto o una norma di legge o un legittimo interesse, potrà approfondire la conformità del processo al GDPR, ma potrà con una certa ragionevolezza essere sicura che il processo è, in linea di massima, lecito.

Sorvolando sugli articoli seguenti ci troviamo all’art. 24 che menziona espressamente i rischi per i diritti e per le libertà degli interessati che sono indicati per sommi capi nel testo dell’articolo. La norma, senza richiedere nulla di trascendentale chiede semplicemente di tenere conto dei trattamenti che vengono operati all’interno dell’organizzazione e di adottare misure organizzative e di sicurezza adeguate e parametrate al rischio.

Senza pretesa di esaustività, basti pensare al fatto che il trattamento di dati personali apre una finestra sulla vita dell’interessato e a seconda del “peso specifico” del dato personale sarò in grado di conoscere certi aspetti della vita di una persona che sarà, conseguentemente, vulnerabile. Per questa ragione il GDPR distingue i dati in comuni (che permettono di identificare o prendere contatto con l’interessato) e particolari (che invece rilevano aspetti particolarmente delicati della vita privata altrui).  È bene abbinare la lettura dell’art. 24 agli artt. 9 e 10 del GDPR per meglio comprendere il concetto di “rischi per i diritti e per le libertà”.

Semplificando al massimo questo processo che è piuttosto complesso, è essenziale che ogni organizzazione sappia almeno in linea di massima quali dati tratta, per quale motivo e che effetto una violazione alla loro riservatezza, integrità e disponibilità può avere sulla vita personale del lavoratore, del cliente del fornitore e degli altri soggetti coinvolti nel trattamento.

Veniamo ora all’art. 29 che richiede di adottare misure organizzative adeguate. In questa sede ci limiteremo ad indicare le misure che ogni impresa dovrebbe adottare fra le quali, l’individuazione del designato/privacy officer che è un soggetto interno incaricato della gestione delle procedure di trattamento dei dati e per rispettare il GDPR, come garantire le richieste degli interessati o comunicare con l’autorità garante.

Questa figura dovrebbe essere interessata alla materia, adeguatamente formata e responsabilizzata per assicurare un adeguato livello di compliance interno all’organizzazione. L’attività di designazione del referente privacy è un processo a costo zero. Altrettanto gratuita potrebbe essere la creazione dell’organigramma aziendale dove vengono mappati funzioni e compiti dei soggetti designati dall’organizzazione.

Se si vuole che la designazione sia efficiente, tuttavia, sarebbe bene stanziare una somma – anche modesta – per la formazione dei referenti affinché questi siano in grado di mappare e gestire le procedure di cui sono incaricati e responsabilizzare anche gli altri soggetti autorizzati al trattamento.

Veniamo a questo punto ai registri disciplinati dall’art.30: questi altro non sono che un processo di mappatura dei trattamenti che l’azienda opera. Pertanto, i registri dovrebbero configurarsi più che come un documento, come una procedura da monitorare e tenere aggiornata con l’evolversi dei processi aziendali. Pertanto, essi possono essere tenuti senza particolari formalità e aggiornati, anche mediante stampa del file anche in PDF, all’occorrenza.

Più che la forma, è importante che questi strumenti siano tenuti da un soggetto competente che, verosimilmente, sarà il designato aziendale che conoscerà i processi aziendali ed avrà anche una discreta conoscenza normativa ove adeguatamente formato.

Oltre al registro delle attività di trattamento (art. 30), è opportuno che l’organizzazione si munisca anche di un registro della formazione per documentare l’attività svolta e un registro delle violazioni (art. 33) per documentare eventuali data breach e che è uno strumento di ausilio e responsabilizzazione fondamentale per valutare se e quali conseguenze la violazione potrà avere per gli interessati coinvolti.

Seppure i registri non siano richiesti a tutte le organizzazioni, l’adozione di questi è stata fortemente incoraggiata sia dalla nostra Autorità Garante che dal Comitato Europeo per la protezione dei dati personali, ma anche da autorità straniere.

Veniamo ora ai processi relativi alla sicurezza dei dati che possono avere natura fisica o logica.

La sicurezza fisica si articola in misure piuttosto banali come, ad esempio, l’apposizione di porte blindate agli ingressi, inferriate alle finestre, la presenza di estintori.

Apparentemente più complesso è il profilo della sicurezza informatica, ma anche qui, vedremo soluzioni a basso costo o gratuite che possono aiutare enormemente l’organizzazione ad aumentare il proprio livello di sicurezza.

Il primo problema comune a tutte le organizzazioni è la gestione delle Password. Avere password in giro non protette è come lasciare le chiavi della porta vicino allo zerbino di casa.

Rinviando all’apprezzabile vademecum elaborato dal Garante (v. https://www.garanteprivacy.it/temi/cybersecurity/password) è consigliabile adottare gestionali gratuiti come KeePass ( v. https://keepass.info/ ) che salvano i dati in locale criptati eliminando il rischio del cloud e attraverso la master password e i plugin consentono un’agile gestione delle password eliminando fogliettini, il rischio di perderle e altri rischi. Il dipendente dovrà ricordarsi solo la Master Password di accesso al servizio KeePass per accedere in sicurezza a tutte le proprie credenziali.

Altro problema che ogni organizzazione affronta è il backup e, per le organizzazioni più semplici, può bastare anche un piccolo investimento in un NAS o in un economico servizio di backup online scegliendo quello più adatto alle proprie esigenze. Senza dilungarci sulla gestione della backup policy in questa sede, si segnala Duplicati (v. https://www.duplicati.com/ ): una soluzione che rende più efficiente il processo di backup e aiuta a gestire il rischio di perdita dei dati trattati. Questo sistema, di default cripta i dati in formato criptato e permette di gestire la recovery dei dati in maniera intuitiva e semplice. Il gestionale è anche flessibile e permette all’utente di configurare i tempi, modi e livelli di sicurezza del backup.

Potrebbe essere auspicabile anche prevedere un programma formativo con oggetto la cybersecuirty awareness per sensibilizzare i dipendenti alle minacce informatiche. Per iniziare il percorso di sensibilizzazione si può iniziare con il fruire di risorse gratuite e accessibili online.

I problemi della sicurezza informatica, ça va sans dire, non si esauriscono a quelli indicati ed è auspicabile che buona parte delle organizzazioni si accerti, fra le altre cose, di:

  1. Installare solamente programmi originali da autori verificati e sempre aggiornati all’ultima versione
  2. Investire in un solido antivirus che implementi almeno un firewall logico e sistemi di rimozione di malware
  3. Differenziare la rete ad uso interna da quella data ad uso degli ospiti adottando processi di segmentazione

I più scrupolosi vorranno, altresì, adottare un firewall perimetrale integrato con un servizio di analisi dei file di log.

Pare, dunque, opportuno stanziare somme, anche modeste, per aumentare il proprio livello di sicurezza informatica in azienda investendo sulle risorse umane e sulle misure di protezione tecniche.

Un’azienda con un elevato grado di compliance al GDPR, dunque, saprà valutare in autonomia gli investimenti, a livello tecnico e sulle risorse umane, che dovrà operare e saprà gestirsi autonomamente evitando di spendere soldi in consulenze inutili e carte e agire in autonomia per rispettare la norma, nelle migliori ipotesi, con un costo tendente allo zero o con un investimento più che contenuto.

Il GDPR non richiede, dunque, di produrre carte, ma di implementare dei processi efficienti per una corretta gestione del dato e, per essere applicato efficacemente, richiede cultura, formazione e sensibilizzazione.

/da
, , , , , , , , ,

Social Network e privacy. Sigarette e salute.

di Giacomo Conti

Scegliere un certo social network perché rispetta la nostra privacy è come decidere di fumare una certa marca di sigaretta perché è attenta alla nostra salute o, almeno, più delle concorrenti.

Così come il fumo danneggia la nostra salute, i social network presentano rischi per la nostra vita privata e privacy di cui dobbiamo essere consapevoli.

Prima di scandalizzarci per la violazione della nostra privacy da parte delle piattaforme online, basti pensare come anche le nostre banche, ad eccezione dei sempre più rari pagamenti operati con contanti non tracciabili, siano in grado di conoscere a fondo i nostri acquisti e come possano profilarci, ugualmente, con agevolezza mediante ogni pagamento che effettuiamo con carta di credito o bancomat.

Ultimamente, si presta sempre più attenzione a quello che i social network fanno con i nostri dati personali e con le nostre vite. In questo senso, il GDPR che ha contribuito ad affermare una cultura basata sul dato personale e la recente apprensione sul tema è un effetto benefico nel medio termine del GDPR che ha fatto crescere la consapevolezza dell’utente medio nell’utilizzo dei servizi online.

Prima di comprendere appieno il fenomeno e per evitare di creare inutile e dannoso allarmismo è necessario comprendere come i social network operano e traggono i propri profitti. Del resto, è evidente che le grandi piattaforme come Google, Facebook e Clubhouse non sono onlus che operano con la speranza di lasciarci un mondo migliore.

I social network sono dei media e, come quotidiani e reti televisive, vendono spazi pubblicitari da cui traggono i propri profitti. Tuttavia, a differenza dei media tradizionali, i social network riescono a studiare l’utente e a vendere pubblicità mirate attraverso la cosiddetta profilazione. La pubblicità mirata e profilata ha, quindi, indubbiamente un valore maggiore rispetto alla pubblicità ordinaria in quanto raggiunge un target specifico sulla base di un preventivo studio di dati. Inoltre, maggiore è al crescere della base utenti, maggiore è il prezzo che gli inserzionisti pagano alla piattaforma per acquistare gli spazi di réclame virtuali.

Senza trovare definizioni metafisiche, l’art. 4 GDPR definisce profilazione come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica. In particolare, questo processo può venire utilizzato per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di una persona fisica.

Grazie a questa attività i social network non vendono generici spazi commerciali, ma una pubblicità mirata ritagliata sulla base della personalità tracciata dell’utente e dei suoi interessi e sulla base dei dati raccolti nell’ambito della fruizione del servizio. Ad esempio, sulla base dei contenuti visionati, dei like e condivisioni operate o, anche, sulla base del tempo dedicato al singolo contenuto o annuncio.

È, quindi, evidente come il fruire di un social network sia incompatibile con ogni concetto più basilare di privacy: quando accediamo al servizio permettiamo alla piattaforma online di conoscere i nostri gusti e la rendiamo partecipe di ogni aspetto della nostra vita che si articola all’interno del social. Quanto è apparentemente gratuito è pagato con la nostra attenzione, il nostro tempo e attenzione per permettere agli inserzionisti (i cosiddetti utenti commerciali) di inviarci pubblicità mirata studiata sulla base dei nostri interessi.

Al pari del fumo, i social network presentano dei rischi evidenti per la nostra vita, in quanto creano di vera e propria dipendenza da connessione e penetrano le nostre vite distraendoci dalla nostra attività e inducendoci, anche modificando il nostro comportamento, verso determinate scelte di acquisto. È sotto gli occhi di tutti come, grazie alle informazioni che raccolgono su di noi, le piattaforme online plasmano il servizio sulle nostre esigenze tenendoci appiccicati allo schermo il più possibile.

Tuttavia, sarebbe ipocrita negare che questi servizi possono apportare significativi benefici a noi tutti, a differenza del fumo.

È importante, però, capire se siamo disposti a pagarne il prezzo, ossia la nostra riservatezza con il rischio di possibile creazione di dipendenza, a fronte di quello che ci offrono.

Per pensare ai vantaggi, basti pensare ai vantaggi di creare una rete professionale attraverso LinkedIn, alla possibilità di rimanere in contatto con amici con cui avremmo poche possibilità di contatto attraverso Facebook o, ancora, di approfondire passioni e interessi attraverso YouTube che offre un patrimonio di conoscenza prima inimmaginabile anche al più dotto enciclopedico.

I social network in sé, pertanto, non sono un fenomeno da demonizzare, ma al più, da comprendere.

Posto che noi veniamo usati dalle grandi Big Tech a cui cediamo i nostri dati e informazioni che riguardano le nostre vite, è innegabile che riceviamo dei vantaggi dai servizi di cui siamo utenti e prodotti al tempo stesso.

Così come noi veniamo usati dalle piattaforme online, noi dobbiamo essere consapevoli e capire come usare il servizio a nostro vantaggio.

Prima di accedere a un servizio social network dobbiamo capire:

  1. in che modo i social network penetrano e interagiscono con le nostre vite e sfera personale,
  2. se siamo disposti a cedere i nostri dati personali a fronte del servizio che ci viene offerto,
  3. perché noi usiamo i social network e quali vantaggi possiamo trarre dal loro utilizzo se e ne sono,
  4. a quali rischi ci espone il loro utilizzo.

Solo dopo avere compreso questi aspetti saremo utenti consapevoli in grado di trarre tutti i vantaggi possibili dal servizio facendoci usare il meno possibile. In altri termini, dobbiamo trasformarci da prodotti inconsapevoli a prodotti consapevoli.

/da
, , , , , , , , , , , , , , , , , ,

LINEAMENTI DI DIRITTO DELLE PIATTAFORME DIGITALI – VOLUME II LE TUTELE DELLA REPUTAZIONE ONLINE DELLA PERSONA FISICA E DELL’IMPRENDITORE

 

Autore: Giacomo Conti

Editore: Maggioli Editore

Pubblicazione: Novembre 2020 (I Edizione)

ISBN / EAN 8891643469 / 9788891643469

Collana: Collana Legale

 

Prefazione:  “La libertà è partecipazione” e l’inestrinsecabile legame fra corpo elettronico e materiale

 

I sogni di libertà ed emancipazione che si fondavano su un’idea di progresso tecnologico che avrebbe reso tutti liberi appartengono a un’epoca passata.

I sogni di idillio e trascendenza tecnologica, secondo cui la tecnologia ci avrebbe liberati dalle fatiche umane permettendoci di elevarci e trascendere e liberarci dalla nostra gabbia materiale per avvicinarci a un altro reame dell’esistenza, appartengono a società utopistiche ben lontane dalla nostra.

Queste sono e restano sulla carta, o in formato e-book, descritte in romanzi di fantascienza.

Permane, però, il legittimo interrogativo relativo alla libertà reale che gli strumenti del Web partecipativo 2.0 ci offrono e il quesito si pone, in ogni caso, immutato nei seguenti termini: “Internet, il Web e le tecnologie della società dell’informazione hanno migliorato la nostra esistenza rendendoci più liberi?”.

In un certo senso, si può e si deve dare una risposta affermativa alla questione, in quanto le tecnologie di Rete ci hanno liberato da fatiche non solo fisiche ma anche intellettuali. Le tecnologie basate sulla Rete ci hanno, infatti, sicuramente resi più informati, talvolta istruiti, e hanno semplificato le nostre attività di ricerca e approfondimento intellettuale contribuendo a soddisfare le nostre più svariate curiosità.

È, pertanto, innegabile che le dinamiche del Web partecipativo abbiano  migliorato qualitativamente le nostre vite ed esperienze di consumo grazie alle numerose informazioni e opportunità che i servizi di Rete ci offrono. Senza contare, peraltro, la comodità di consumare senza doversi recare fisicamente al negozio fisico.

Rimane aperta, però, la seconda parte del quesito, ossia se le tecnologie di Rete ci abbiano o meno resi più liberi rispetto al passato.

In teoria, le dinamiche partecipative dei servizi della società dell’informazione avrebbero dovuto renderci ancora più liberi, più in grado di comprendere il mondo che ci circonda, grazie al patrimonio informativo che continuamente ci regalano, prima inimmaginabile anche per il più dotto dei dotti.

Del resto, se è vero, per citare Gaber, che “La libertà non è uno spazio libero. Libertà è partecipazione”, ci dobbiamo chiedere dove sia la nostra agognata libertà. ci troviamo, infatti, in una società dove la partecipazione è assoluta e i nuovi strumenti di comunicazione ci permettono di condividere con una libertà prima impensabile il nostro pensiero e reperire una mole inimmaginabile di informazioni con pochissimo sforzo.

Dov’è, quindi, che le promesse di libertà ed emancipazione sono state tradite?

A dispetto degli innegabili progressi che la rivoluzione del Web partecipativo ha apportato non si può, infatti, dire che si sia creata una maggiore libertà.

Al contrario, tutti noi, volenti o nolenti, ci troviamo sempre più integrati nei servizi della società dell’informazione e nelle dinamiche partecipative del Web 2.0 e non ne riusciamo più a fare a meno.

Molti di coloro che hanno vissuto e sperimentato la rivoluzione del Web hanno ottime ragioni per sentire, in realtà, traditi i loro sogni di libertà. Siamo sempre più impegnati a relazionarci attraverso social network da cui non ci riusciamo a sconnettere, a ricercare novità e informazioni attraverso motori di ricerca e a comperare online beni e servizi di cui prima non conoscevamo l’esistenza e che, adesso, sono diventati inspiegabilmente indispensabili e imprescindibili.

La connettività, nei suoi aspetti relazionali e partecipativi, riguarda tutti gli aspetti della nostra vita nelle sue dinamiche personali e professionali e tutti ci troviamo forzosamente connessi senza alcuna reale via di scampo.

Può essere che il prezzo del maggiore benessere di cui attualmente godiamo abbia richiesto il sacrificio della nostra libertà?

Da un lato, quasi tutte le persone fisiche si trovano ad avere un profilo social network, ad esempio su Facebook, LinkedIn, Twitter o altri social network; e, dall’altro, sempre più imprenditori offrono i propri beni e servizi mediante marketplace e altri servizi della società dell’informazione come, ad esempio, TripAdvisor o Amazon.

Sempre più persone, fisiche o giuridiche, inoltre, si trovano indicizzate all’interno di motori di ricerca: inserire un semplice parametro come nome e cognome può, infatti, produrre risultati che a loro volta riconducono a elementi riferiti alla persona ricercata come, ad esempio, un sito o un blog personale, foto personali condivise in Rete, un profilo social network o, ancora, articoli pubblicati, interviste rilasciate o articoli di giornale online dove la persona ha formato oggetto di cronaca e proprio attraverso questa simbiosi con i servizi della società dell’informazione si estrinseca il nostro corpo elettronico: la proiezione digitale all’interno della Rete del nostro corpo materiale.

Tutte queste tracce digitali di noi – che noi stessi in prima persona lasciamo  o che altri lasciano di noi – contribuiscono a consolidare e formare la nostra Web presence (o presenza sul Web), composta dei “pezzi di ciascuno di noi che sono conservati nelle numerosissime banche dati dove la nostra identità è sezionata e scomposta, dove compariamo ora come consumatori, ora come elettori, debitori, lavoratori, utenti dell’autostrada” (1).

Il Web 2.0, con le sue dinamiche partecipative, ha accelerato e amplificato  questo processo di astrazione del nostro corpo materiale in qualcosa di diverso, ibrido e prima inimmaginabile.

Pur senza raggiungere il Regno dei cieli, il nirvana o altri reami dell’esistenza, anzi forse per certi aspetti allontanandoci dagli aspetti più nobili della spiritualità più pura che in tempi passati era posta come una delle più grandi virtù, una parte sempre più significativa della nostra vita si svolge online.

Questo reame dell’esistenza non si trova, però, in un regno diverso o irraggiungibile ed è facilmente accessibile attraverso strumenti che sono banali come un dispositivo che si può connettere a Internet e una connessione Internet.

Il Regno dei cieli è davvero qui fra noi e accessibile a tutti?

È davvero così facile ascendere?

Davvero non è più necessario intraprendere percorsi ascetici o immergersi in attività contemplative o meditative per distanziarsi dalla realtà in cui viviamo per muoverci in un dominio più nobile dell’esistenza?

Ma, soprattutto, l’astrazione del nostro corpo materiale in un corpo elettronico ci nobilita davvero come vorremmo, dovrebbe o sarebbe giusto?

A ben vedere, lungi dal distanziarci dal mondo materiale, dai nostri desideri e dalle nostre paure, quanto avviene online influenza pesantemente le nostre dinamiche relazionali e professionali che si articolano offline.

Così come noi proiettiamo online una parte del corpo materiale, a mo’ di ombra digitale, una parte del nostro corpo elettronico proietta un’ombra materiale che si ripercuote, psicologicamente e materialmente, nel dominio dell’esistenza analogica.

Siamo davvero più liberi oppure siamo aggrovigliati in un miscuglio inscindibile di realtà inestricabili?

In questo contesto di inestricabilità fra corpo materiale e corpo elettronico, reame digitale e reame analogico, si inseriscono i servizi della società dell’informazione che influenzano e governano aspetti preponderanti e cruciali delle nostre vite.

Le dinamiche relazionali alla base del Web partecipativo che ha creato il  Web 2.0 sono, infatti, quasi integralmente miste e si basano su una sempre maggiore e crescente interconnessione fra il nostro corpo elettronico e il nostro corpo materiale. Si crea, pertanto, un’entità ibrida fatta di atomi e di bit, di molecole e di gigabyte.

I nostri desideri, ansie, paure e speranze arrivano a seguirci sia quando ci connettiamo che quando siamo sconnessi; sempre che sconnettersi sia, in realtà, possibile. A ben vedere, gli aspetti più importanti della nostra vita restano sottratti irrimediabilmente al nostro dominio proprio a causa delle  dinamiche che la partecipazione all’interno della vita online ci impone.

È evidente come i servizi della società dell’informazione basati sul Web  governino sempre di più la nostra vita personale e professionale e come non possiamo più fare a meno di questi, anche se spesso vorremmo sconnetterci, isolarci e sottrarci al continuo bombardamento di informazioni cui veniamo sottoposti.

Per questi motivi non siamo più realmente padroni delle nostre vite, ma sono le piattaforme digitali a garantire i nostri diritti fondamentali, a permettere alla nostra persona di esprimersi e a dare voce al nostro corpo elettronico: i nostri desideri finiscono in whishlist di cui i cybermediary diventano custodi, le nostre curiosità e segreti sono inseriti in motori di ricerca che le destrutturano e le indicizzano rendendole uniformi e privandole dell’unicità che noi pensavamo che avessero. Inoltre, la nostra voglia di esprimerci si articola in post condivisi attraverso social network, così come la nostra socialità oramai può prescindere dal bisogno di scendere in piazza e trovare luoghi fisici per socializzare ed esprimere le nostre idee e, di conseguenza, la coesione sociale sembra diventare sempre più tenue.

I servizi della società dell’informazione sono diventati, quindi, indispensabili per molte persone fisiche, che attraverso di essi si esprimono e si relazionano con gli altri, e per molte imprese, che li utilizzano per perseguire la propria attività economica.

Si pensi, in questo senso, all’importanza per una PMI di avere una propria web presence su Amazon o di essere adeguatamente indicizzata su
Google per ottenere un importante vantaggio competitivo sui propri concorrenti.

Alla luce del quadro tracciato si deve dare, quindi, risposta negativa alla nostra esigenza di libertà che appare sicuramente frustrata.

Molti diranno che questa è stata sacrificata sull’altare di qualcosa di più importante, come l’accesso alla conoscenza attraverso ricerche operate online, la possibilità di partecipare e dire la nostra, probabilmente anche quando forse sarebbe opportuno tacere, la possibilità di acquistare quello che vogliamo quando vogliamo e di vedercelo consegnato a casa senza che sia necessario uscire quando quasi certamente due passi e una boccata d’aria fresca non ci farebbero male.

Siamo, quindi, ora più che mai lontani dalla trascendenza cui aspiravano gli antichi, i filosofi e gli illuminati dei tempi passati?

In un certo senso, probabilmente no, in quanto il corpo elettronico, la nostra proiezione digitale, ci ha permesso di raggiungere a tutti gli effetti un reame diverso dell’esistenza, creando la cosa più simile all’anima che questa società materialista riesce a concepire.

Il nostro corpo elettronico vive senza mangiare, bere, dormire e necessita  solo di connessione e di dati. non è questa forse libertà?

Ma questo corpo è davvero nostro?

Possiamo davvero governare le sue  dinamiche che avvengono all’interno della Rete?

A ben vedere, abbiamo un controllo molto limitato sul nostro corpo elettronico, in quanto in Rete tutti sono liberi di dire la loro in una piazza dalla eco infinita che rimbomba nei secoli imperituri e di coinvolgerci in discussioni che non ci riguardano o a cui non siamo interessati.

Gli algoritmi dei motori di ricerca e dei social network a cui siamo iscritti ci bombardano o sottopongono alla nostra attenzione altre persone o prodotti che, forse e molto probabilmente, preferiremmo ignorare.

Non sono forse queste forme di violenza elettronica, tentativi subdoli ma al tempo stesso violenti di coartare la nostra libertà?

L’aggressione al nostro corpo elettronico cesserà solo quando le persone che cercano l’informazione vi perderanno ogni interesse, le Wiki non
verranno più aggiornate o i cybermediary, custodi dell’informazione, arriveranno a rimuoverla per gentile concessione o per un ordine di un’Autorità che, al momento, appare ancora superiore.

In realtà, a ben vedere, ora più che mai siamo prigionieri di una gabbia elettronica, custodita dai vari Amazon, Google e Facebook, che ci comprime e mai come ora siamo stati così poco padroni delle informazioni che ci riguardano. contrariamente a ogni ragionamento logico, siamo più liberi ma al tempo stesso più prigionieri e ora più che mai guardiamo il mondo come i prigionieri della caverna di Platone.

La risposta al paradosso logico secondo cui partendo da premesse vere e false al tempo stesso si producono conclusioni vere e contraddittorie fra loro si può dare nei seguenti termini: il Web partecipativo e i cybermediary hanno ribaltato il rapporto tradizionale della libertà che non è più una “libertà da qualcosa”, come ad esempio ingerenze indebite nella nostra sfera personale, ma una “libertà di fare qualcosa”, come commentare, condividere contenuti, criticare altri, acquistare con semplicità ciò che ci aggrada e vedercelo recapitato comodamente a casa.

In questo contesto, ciò che si pensa di noi offline viene proiettato online e  ciò che ci riguarda online ha precipitati nelle nostre dinamiche professionali e personali che si articolano offline.

Il quadro di interconnessione è, quindi, continuo, complesso e si autoalimenta e impone di rivoluzionare il modo attraverso cui noi pensiamo e ci relazioniamo con i servizi della società dell’informazione.

Queste nuove dinamiche relazionali personali e professionali e la sempre crescente integrazione fra ciò che avviene online e ciò che avviene offline lasciano aperti numerosi interrogativi:

Siamo davvero più liberi e felici?

Siamo davvero più colti, istruiti e consapevoli?

Riusciamo a distinguere ciò che avviene in Rete da ciò che avviene offline?

Siamo davvero in grado di distinguere la nostra ombra digitale dalla nostra ombra materiale che proietta la luce del sole?

Ai posteri l’ardua sentenza”.

Giacomo Conti

 

Per maggiori informazioni sul testo v. https://www.maggiolieditore.it/lineamenti-di-diritto-delle-piattaforme-digitali-volume-2.html

 

(1) Salviamo il corpo, di Stefano Rodotà, stralcio dell’intervento al convegno su “Trasformazioni del corpo e dignità della persona”, Roma, 4 maggio 2005.

/da
, , , , , , , , , , , , , , , , , , , , ,

Lineamenti di diritto delle piattaforme digitali – Volume 1 Le tutele del consumatore e dell’utente commerciale nei confronti del cybermediary

Autore: Giacomo Conti

Editore: Maggioli Editore

Pubblicazione: Ottobre 2020 (I Edizione)

ISBN / EAN 8891643452 / 9788891643452

Collana: Collana Legale

 

Prefazione: Il World Wide Web come la spezia di Dune. L’estensione della conoscenza e l’annullamento dello spazio tra realtà e fantascienza. Gilde spaziali e cybermediary.

L’estensione della conoscenza e l’annullamento dello spazio tra realtà e fantascienza. Gilde spaziali e cybermediary.

Siamo nell’Universo di Dune creato da Frank Herbert nel 1965, ambientato nell’Anno Domini 10191: l’universo conosciuto è governato dall’imperatore Padishah Shaddam IV e, per l’umanità, la più preziosa e vitale sostanza dell’u-niverso è il Melange, la spezia.

La spezia allunga il corso della vita.

La spezia aumenta la conoscenza.

La spezia è essenziale per annullare lo spazio.

La potente Gilda spaziale e i suoi navigatori, che la spezia ha trasformato nel corso di oltre 4000 anni, usano il gas arancione della spezia che conferisce loro la capacità di annullare lo spazio, e cioè, di viaggiare in qualsiasi parte dell’universo senza mai muoversi.

La spezia esiste su un solo pianeta nell’intero universo conosciuto. Un arido e desolato pianeta con vasti deserti.

Il pianeta Arrakis è conosciuto anche come Dune (1).”

Senza troppa speculazione e inventiva e togliendo l’aspetto esotico che caratterizza il celeberrimo romanzo: l’umanità, correva l’anno 1989, inventava quanto più di simile esiste alla spezia, ossia la Rete. Il World Wide Web, per come noi lo conosciamo, è al pari della spezia di Frank Herbert un formidabile strumento che in poche decadi ha rivoluzionato i rapporti economici e sociali, cambiando profondamente la società in cui viviamo.

A differenza della spezia, tuttavia, è estremamente facile accedere al World Wide Web: è, infatti, sufficiente munirsi di un dispositivo collegato alla Rete e di una connessione Internet offerta dagli operatori telefonici a costi sempre più economici.

Lungi dall’esistere su un solo remoto e desolato pianeta, sempre più persone sul globo terrestre hanno accesso a questa formidabile tecnologia da cui sono sempre più dipendenti.

La Rete, al pari del Melange, assuefà chi vi si connette che ne diventa sempre più dipendente, a prescindere dal fatto che la connessione al Web sia operata per esigenze personali oppure legate allo svolgimento di un’attività di impresa.

Nell’Universo di Dune, solamente la Gilda Spaziale detiene il monopolio sul commercio della spezia e anche questo dato si presta a un’analogia con il nostro universo.

Nel nostro universo, gli intermediari digitali, al pari della Gilda Spaziale, hanno un monopolio di fatto sui servizi della società dell’informazione nell’ambito dei quali dispensano benefici, punizioni ed erogano giustizia sulla base di termini e condizioni che loro stessi hanno stabilito. Si pensi a Google per i servizi di motori di ricerca, ad Amazon per l’E-commerce o, ancora, a Microsoft per i sistemi operativi e gestionali per consumatori e imprese.

La Rete ha cancellato precedenti confini e limiti dettati dallo spazio fisico e ha costruito modalità nuove di produzione e utilizzazione della conoscenza al pari della spezia. I rapporti di produzione, distribuzione e consumo sono stati, quindi, rivoluzionati dalle fondamenta proprio grazie alla possibilità che la Rete offre di condividere informazioni, abbattere spazi e creare occasioni di contatti fra persone fisiche e fra imprese.

L’annullamento dello spazio fisico ha dato luogo ai fenomeni, in contraddizione solo apparente, di disintermediazione e di intermediazione online e ha permesso la concentrazione di un potere economico prima inimmaginabile nelle mani di pochissimi cybermediary che gestiscono piattaforme online il cui utilizzo è diventato fondamentale nelle nostre vite.

Il potere economico di cui dispongono i cybermediary, lungi dal rappresentare sempre un’opportunità per i destinatari dei servizi, può essere utilizzato abusivamente in danno agli utenti commerciali e con effetti non necessariamente benefici per i consumatori. In questo quadro di sviluppo tecnologico ed economico è entrato in crisi il ruolo tradizionale dei cybermediary: prima fornitori passivi di un servizio tecnico, ora più che mai si trovano ad avere un ruolo attivo nella gestione dei contenuti caricati e condivisi dai propri utenti.

Il cybermediary, oltre ad avere un enorme potere economico, diventa anche giudice ultimo e supremo all’interno dei servizi che gestisce e le sue decisioni incidono significativamente sulle sfere personali e professionali degli utenti che si servono dei suoi servizi.

Inoltre, la Rete ha riequilibrato il rapporto a favore del consumatore, accordandogli un potere prima inimmaginabile: condividere feedback, recensioni, valutazioni in merito alle proprie esperienze di consumo.

Come la spezia ha mutato nel fisico e nella psiche i navigatori, i servizi basati sulla Rete hanno mutato profondamente la figura stessa del consumatore che non è più un mero acquirente passivo di beni o servizi.

Si è assistito, in questo quadro complesso, alla nascita della nuova figura del prosumer digitale, che è una persona fisica sempre più informata che acquista in rete beni e servizi e che condivide, tramite i servizi della società dell’informazione, le proprie esperienze di consumo, incidendo in maniera sostanziale sull’asimmetria informativa. Lo scambio di informazioni sul Web 2.0, infatti, opera sulla base di dinamiche che si fondano su una partecipazione attiva non solo dei fornitori di servizi della società dell’informazione o degli operatori economici, ma anche dei consumatori stessi.

Si aggiunga, peraltro, che di fronte alla velocità attraverso la quale le informazioni circolano in rete il rimedio giudiziale ha perso di centralità, essendo i formalismi del processo civile e della tutela giudiziale incompatibili con la necessità di tutela e presidio immediata dell’imprenditore in rete.

Molte vertenze sono, pertanto, affidate a strumenti di Alternative Dispute Resolution che presentano vantaggi in termini di costi ed efficienza rispetto al tradizionale rimedio giudiziale o vengono gestite con sistemi che il cybermediary ha creato e plasmato. Nonostante l’introduzione del Regolamento Platform2Business, la tutela apprestata dal Regolamento (UE) 2019/1150 risulta molto più formale rispetto al quadro dettato, ad esempio, in tema di tutela e protezione del consumato-re (2) o della persona fisica nell’ambito dei trattamenti di dati personali che la riguardano, avente un’ampia, corposa e sostanziale tutela all’interno del General Data Protection Regulation (3).

Pertanto, il nuovo impianto normativo risulta indicativo della persistente scarsa sensibilità delle Istituzioni europee alle esigenze di tutela delle imprese che si trovano in posizione di dipendenza economica verso i cybermediary.

Nel nostro universo come in quello di Dune, il potere non è quindi distribuito in ugual misura e, sebbene a differenza della spezia la Rete sia accessibile agevolmente, la distribuzione del potere attraverso i servizi online ha creato un vero e proprio feudalesimo digitale.

La rete allunga il corso della vita.

La rete aumenta la conoscenza.

La rete è essenziale per annullare lo spazio.

I potenti cybermediary e i loro navigatori, che la rete ha trasformato nel corso di poche decadi, usano i servizi basati sulla rete che conferiscono loro la capacità di annullare lo spazio, e cioè, di viaggiare in qualsiasi parte dell’universo senza mai muoversi.

La rete esiste intorno a noi e siamo noi”.

Giacomo Conti

 

Per informazioni sul testo v. https://www.maggiolieditore.it/lineamenti-di-diritto-delle-piattaforme-digitali-volume-1.html

 

(1) Si riporta la citazione della Principessa Irulan Corrino, figlia dell’imperatore Padi-shah Shaddam IV e futura sposa del protagonista del romanzo Paul Atreided Muad’Dhib. La citazione è tratta non dal testo, ma dal film di Dune scritto e diretto da David Linch nel 1984 e basato sul celeberrimo romanzo di Frank Herbert del 1965.

(2) V. direttiva 2011/83/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, sui diritti dei consumatori, recante modifica della direttiva 93/13/CEE del Consiglio e della direttiva 1999/44/CE del Parlamento europeo e del Consiglio e che abroga la direttiva 85/577/CEE del Consiglio e la direttiva 97/7/CE del Parlamento europeo e del Consiglio.

(3) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

/da
, , , , , , , ,

Il diritto di accesso alla Rete nella giurisprudenza della Corte di Giustizia fra interessi economici e libertà fondamentali. Il caso Telenor Nemetzi.

di Giacomo Conti

Il diritto di accesso alla Rete si estrinseca come uno dei diritti fondamentali del nostro corpo elettronico.
A differenza dei diritti naturali del corpo materiale frutto della tradizione illuministica, quelli del corpo elettronico, si esplicano in una forma mediata in quanto – per esplicarsi – necessitano di servizi che vengono erogate da imprese e società private: i cosiddetti access provider.
L’uomo digitale si nutre, infatti, di dati e informazioni e ha un vero e proprio diritto a che i fornitori del servizio non limitino i suoi diritti naturali o, meglio, naturalmente discendenti dall’evoluzione tecnologica.
I pericoli di intese e cartelle fra questi player è particolarmente pericoloso in quanto può incidere o limitare il diritto di accesso alla Rete e ad un Internet aperta dell’uomo digitale.
Per questa ragione, il Reg. UE 2015/ 2120 che stabilisce misure riguardanti l’accesso a un’Internet aperta inserisce una disciplina correttiva agli accordi fra access provider che non devono in alcun modo limitare arbitrariamente questo diritto fondamentale della personalità elettronica.
L’art. 3 del Regolamento citato vieta agli accordi tra i fornitori di servizi di accesso alla Rete e gli utenti finali che incidono sulle condizioni e sulle caratteristiche commerciali e tecniche dei servizi di accesso a Internet quali prezzo, volumi di dati o velocità, e le pratiche commerciali adottate dai fornitori di servizi di accesso a Internet atte a limitare l’esercizio dei diritti degli utenti finali di diritto di accedere a informazioni e contenuti e di diffonderli, nonché di utilizzare e fornire applicazioni e servizi, e utilizzare apparecchiature terminali di loro scelta. La neutralità della Rete deve essere salvaguardata indipendentemente dalla sede dell’utente finale o del fornitore o dalla localizzazione, dall’origine o dalla destinazione delle informazioni, dei contenuti, delle applicazioni o del servizio, tramite il servizio di accesso a Internet.
La Corte di Giustizia dell’Unione Europea, nella recente sentenza in data 15 settembre 2020 avente ad oggetto le cause riunite C-807/18 e C-39/19Telenor Magyarország Zrt./ Nemzeti Média-és Hírközlési Hatóság Elnöke ha affrontato specificatamente il tema.
Il caso riguardava la conclusione di accordi mediante i quali gli utenti del servizio sottoscrivevano pacchetti di servizi dove a fronte di una «tariffa zero», venivano previste dai fornitori di servizi misure di blocco o rallentamento del traffico riguardante l’utilizzo di servizi e di applicazioni diverse dai servizi e dalle applicazioni specifici soggetti a tale «tariffa zero».
La Corte riteneva suddetto accordo idoneo a limitare l’esercizio dei diritti degli utenti finali in quanto le misure di rallentamento o di blocco del traffico sono basate non su requisiti di qualità tecnica del servizio, ma su considerazioni di ordine commerciale stabilite arbitrariamente dal fornitore del servizio.
Per questa ragione, la Corte riteneva violato l’art. 3 del Reg. UE 2015/2120 e l’accordo frutto di una prassi commerciale illegittima arrivando a fornire un importante indirizzo interpretativo a cui i giudizi nazionali si dovranno adeguare.

/da