novembre - ICT Legal Consulting
Transcript
novembre - ICT Legal Consulting
Per leggere questa comunicazione sul tuo browser clicca qui ICT Insider 2015 - ISSUE 11 Milano, Bologna, Roma, Amsterdam *Atene, Berlino, Bratislava, Bruxeles, Bucarest, Budapest, Città del Messico, Istanbul, Lisbona, Londra, Madrid, Mosca, New York, Parigi, Pechino, San Francisco, San Paolo, Shangai, Sydney, Varsavia, Vienna e Washington *partner law firms Corte di Giustizia UE: nozione flessibile del concetto di “stabilimento” Nella causa “Weltimmo”, lo scorso 1° ottobre la Corte di Giustizia UE è tornata a pronunciarsi sul concetto di “stabilimento” ai fini dell’applicazione della Direttiva 95/46/CE. Nel caso di specie, relativo ad una società, registrata in Slovacchia, che gestisce un sito Internet di annunci immobiliari riguardanti beni situati in Ungheria, scritti in ungherese, avente un rappresentante e un Safe Harbor - la Commissione Europea e il Garante Privacy italiano richiamano gli strumenti alternativi per i trasferimenti di dati personali transoceanici In data 6 novembre 2015, dopo esattamente un mese dalla decisione del caso Schrems, la Commissione Europea (“Commissione”) ha pubblicato la già anticipata comunicazione sul trasferimento transoceanico dei dati (COM(2015) 566 final, “Comunicazione”). Benché non vincolante, la Comunicazione enfatizza l’impegno, a livello europeo, di creare di un nuovo Safe Harbor per la fine di gennaio 2016, elencando gli strumenti alternativi che le imprese dovranno utilizzare per il trasferimento dei dati fino a tale momento. I primi strumenti richiamati dalla Commissione sono le conto corrente bancario in detto Stato, la Corte ha affermato che la società svolge un’attività concreta ed effettiva in Ungheria e che detti elementi, che spetta al giudice del rinvio di verificare, possono configurare l’esistenza di uno “stabilimento” ai sensi dell’art. 4 della Direttiva. “… [L]a presenza di un unico rappresentante, in talune circostanze, può essere sufficiente a costituire un’organizzazione stabile se il medesimo opera con un grado di stabilità sufficiente con l’ausilio di mezzi necessari per la fornitura di servizi concreti ... la nozione di “stabilimento” … si estende a qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione stabile”. Leggi di più. Garante Privacy: nuove garanzie per l’uso delle informazioni sull’affidabilità commerciale Il Garante Privacy ha curato, con la collaborazione degli interessati al settore, la redazione del “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale”, che regola l’uso delle informazioni Binding Corporate Rules (“BCR”) e le clausole contrattuali standard. Le prime sono regole vincolanti per il titolare stabilito nel territorio europeo e sono utilizzabili al fine di evitare singoli accordi contrattuali tra ognuna delle società facenti parte del medesimo gruppo. Esse devono rispettare i requisiti sostanziali e procedurali stabiliti dal Gruppo che riunisce i Garanti Europei (cd. “Articolo 29 Working Party”) ed essere approvate dall’autorità nazionale per la protezione dei dati del Paese da cui il titolare intende trasferire i dati. Le seconde, sono uno strumento più accessibile alle imprese: salvo non vengano emendate, le clausole contrattuali standard sono stabilite con una decisione della Commissione e, in quanto tali, sono vincolanti anche nei confronti dei garanti nazionali. In caso di dubbi sulla presenza di sufficienti garanzie lato privacy, le autorità privacy non hanno il diritto di invalidarle ex se, ma dovranno portare la questione all’attenzione dei giudici nazionali, che a loro volta potranno riferire il caso alla Corte di Giustizia dell’Unione Europea (“CGUE”). Tra i meriti delle clausole contrattuali standard, la Commissione sottolinea (i) l’esercizio dei diritti degli interessati sotto la giurisdizione e la supervisione di un garante privacy europeo; (ii) i rimedi e le responsabilità azionabili contro chi esporta e importa dati personali e (iii) la possibilità di richiedere ex post ulteriori misure di sicurezza per proteggere il flusso di dati personali. Oltre agli strumenti sopra richiamati, la Commissione ricorda la possibilità per le imprese di avvalersi delle deroghe previste dall’articolo 26(1) della Direttiva 95/46/CE sulla protezione dei dati personali. Queste deroghe, in particolare, si basano su necessità contrattuali, l’esercizio del diritto di difesa in un giudizio o su un consenso inequivocabile dell’interessato. Esempi di flussi di dati legittimi ex art. 26(1) della Direttiva sono il trasferimento dei dati per voli aerei e prenotazioni di alberghi, o dei dati relativi al beneficiario di un bonifico bancario. Vista l’eccezionalità di tali deroghe e il fatto che “devono essere interpretate restrittivamente”, la Commissione è cauta nell’estenderne l’ambito applicativo. A poche ore dalla la pubblicazione della Comunicazione, il Garante Privacy italiano ha confermato il contenuto della stessa a mezzo di un comunicato, annunciando che l’implementazione di questi strumenti sarà monitorata. sull’affidabilità commerciale di imprenditori e manager. Con la consapevolezza che l’uso di banche dati e strumenti di analisi invasivi può arrecare danni alla dignità e alla riservatezza delle persone, “… si sono individuate soluzioni innovative alle criticità emerse nella pratica quotidiana, coniugando esigenze di semplificazione degli adempimenti cui le società di informazione commerciale sono tenute, con il diritto alla protezione dei dati personali …” (cit. Antonello Soro, Presidente del Garante). Il Codice prevede, in particolare, l’obbligo per le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager di: (i) raccogliere dati solo da fonti pubbliche o direttamente dagli interessati; (ii) pubblicare un’informativa sul proprio sito web; (iii) adottare specifiche misure di sicurezza conformi al Codice Privacy e all’Allegato B al Codice. Leggi di più. AGCM sui servizi di trasporto privato non di linea Rispondendo a un quesito del Ministero dell’Interno su richiesta del Consiglio di Stato, l’Autorità Garante della Concorrenza e del Mercato si è pronunciata in merito alle nuove forme di IMPLICAZIONI PRATICHE Un Safe Harbor 2.0 verrà molto probabilmente creato entro la fine di gennaio 2016. In merito ci si chiede se sarà in grado di soddisfare gli elevati requisiti previsti dalla CGUE nel caso Schrems e come verranno in esso ricongiunte le clausole contrattuali standard, integrate e firmate successivamente al caso Schrems. L’impressione è infatti quella che le clausole contrattuali standard, le BCR e le deroghe ex articolo 26(1) siano strumenti temporanei volti a coprire il vuoto generato dall’invalidità del Safe Harbor sino a gennaio 2016. L’autorità garante tedesca ha invero già messo in dubbio la capacità di questi strumenti di fornire garanzie adeguate ex se. Allo stesso tempo, la Commissione ha riconosciuto che ciascuna delle sue decisioni sull’adeguatezza di alcuni Stati esteri contiene una limitazione dei poteri delle autorità garanti simile a quella che ha reso invalido il Safe Harbor nel caso Schrems. In merito, la Commissione ha espresso la necessità imminente di sostituire tale limitazione “in tutte le decisioni di adeguatezza esistenti [e] di impegnarsi in una regolare valutazione delle decisioni di adeguatezza esistenti e future”. --- Dispositivi “intelligenti” o “furbi”? di Fabio Coatti, Of Counsel di ICT Legal Consulting [email protected] Facciamo un esperimento: guardiamoci attorno e cerchiamo di identificare tutti gli oggetti in cui si può nascondere un dispositivo “intelligente”. A titolo esemplificativo, come “intelligente” deve intendersi un dispositivo che riceve segnali dal mondo esterno, li elabora tramite un programma informatico ed agisce di conseguenza. Alcuni sono abbastanza facili da trovare: laptop, smartphone, monitor, tastiera e mouse, condizionatori, termostati, chiavi dell’auto, carte di credito, lampade a risparmio energetico e molti altri ancora. Cercando bene, si possono trovare decine e decine di esempi. La realtà è che è più facile e meno costoso inserire un processore in grado di reagire “intelligentemente” agli stimoli esterni, piuttosto che affidarsi alla vecchia fisica. Il termostato è un ottimo esempio: in molti si ricorderanno il rassicurante “tic” prodotto dalla dilatazione di una lamina metallica al trasporto non di linea (Uber, App). In particolare, con riferimento ai servizi UberBlack e UberVan, in assenza di disposizioni di legge, l’AGCM ribadisce la legittimità della piattaforma “… trattandosi di servizi di trasporto privato non di linea”, giudicando come “di fatto inapplicabili” gli obblighi stabiliti dalla legge in materia (n.21/92). L’AGCM ha invitato il legislatore ad intervenire in materia per “sottolineare con forza gli evidenti benefici concorrenziali e per i consumatori finali derivanti da una generale affermazione delle nuove piattaforme di comunicazione”. Leggi di più. EVENTI 11 novembre 2015 Luca Bolognini e Lucio Scudiero sono relatori al Festival ICT a Milano (Italia). Leggi di più. 16 novembre 2015 Luca Bolognini è docente al Master in Big Data Management alla LUISS Business School di Roma (Italia). Leggi di più. 19 novembre 2015 Luca Bolognini è Ethics & Privacy advisor a Barcellona per Smart City Expo dal 17 al 19 raggiungimento della temperatura giusta e della difficoltà di selezionarla, la temperatura, oltre ai continui aggiustamenti per evitare di congelare. Ricordiamo anche le gelide mattinate in cui l’auto non ne voleva sapere di tenere il minimo e che per regolare un carburatore serviva l’abilità di un mastro liutaio. Ora ci siamo dimenticati di quelle difficoltà grazie a un controller in cui basta inserire qualche istruzione per mantenere lo stato desiderato con precisione ed affidabilità. I progettisti non sono più costretti a giochi di equilibrismo con le leggi della fisica per avere la temperatura giusta, è sufficiente programmarla. Da qui l’utilizzo del termine “intelligente”, ma assieme all’intelligenza arriva la “furbizia”. Se prima si agiva su una microscopica vitina per avere un flusso di carburante ragionevolmente corretto con non poche difficoltà, ora si può programmare il dispositivo per avere comportamenti che nessuna “vitina” reale può sognare. Ad esempio: si può programmare un dispositivo così: “se la temperatura ambiente passa da X a Y in Z secondi ed è il terzo martedì del mese di un anno bisestile, allora fai uno scherzo e attivati al massimo della potenza per 10 minuti”. L’esempio è estremo, ma calzante: chiunque può immaginarne di simili. In buona sostanza, per avere le prestazioni che reputiamo indispensabili dobbiamo accettare di rendere “intelligenti” i dispositivi, permettendo comportamenti complessi e, quindi, meno controllabili. Considerando ormai impossibile rinunciare a questa complessità, il vero tema è come evitare che sfugga di mano. Prevedibilmente, è un tema complesso, senza magiche soluzioni: le tecniche di collaudo usate fino ad ora hanno dimostrato la loro inadeguatezza. Chiunque lavori nel settore dell’information technologies sa che può essere incredibilmente difficile scoprire una backdoor in un programma, e che molti sforzi dovranno essere fatti per trovare un approccio in grado di gestire questi aspetti. Nell’attesa, si può proporre una riflessione interessante: perché non fare in modo che i produttori pubblichino il codice sorgente inserito nei propri dispositivi, così da permettere a ricercatori indipendenti di analizzarlo, come consuetudine nell’open source? Sicuramente ci sono tematiche connesse a diritti di proprietà intellettuale e/o di novembre più. 2015. Leggi di 24 e 25 novembre 2015 segreto industriale, ma, in una realtà in cui si chiede di rinunciare sempre più alla propria privacy per motivi di sicurezza, una simile richiesta è sicuramente degna di valutazione. --- Luca Bolognini e Paolo Balboni sono docenti al Master di Privacy Officer e Consulente della Privacy (Certificato TÜV) organizzato da Federprivacy a Sesto San Giovanni, Milano (Italia). Leggi di più. 26 novembre 2015 Paolo Balboni è relatore su Smart Cars e la regolamentazione europea a IoT & Security innovation Day a Sophia Antipolis (Francia). Leggi di più. Paolo Balboni, Socio Fondatore di ICT Legal Consulting, ha partecipato all’anteprima di “Democracy” all’IDFA Il documentario “Democracy” (realizzato da David Bernet), che descrive il processo legislativo del Regolamento europeo della privacy, è stato proiettato in anteprima internazionale all’International Documentary Film Festival a Amsterdam lo scorso 20 novembre. Paolo Balboni, Socio Fondatore di ICT Legal Consulting, era presente come ospite all’anteprima essendo uno dei protagonisti del documentario, dove viene a lungo intervistato in merito a vari aspetti fondamentali della tutela dei dati e della privacy. Il documentario si occupa della legislazione europea oltre che della trasparenza delle politiche europee e dei ruoli ricoperti dai soggetti coinvolti. Bernet ha seguito per due anni le principali figure coinvolte nella redazione del Regolamento europeo della privacy, compreso il relatore privacy Jan Philipp Albrecht, che ha supervisionato il processo legislativo del Regolamento. Inoltre, Bernet ha documentato il lavoro dei think tank, di lobbisti, attivisti dei diritti civili e dell’ex Commissario europeo Viviane Reding. Il film ha ricevuto recensioni positive da numerosi critici tedeschi. Il Die Welt ha definito il film “Indiana Jones and the Temple of Data” (Indiana Jones e il Tempio dei dati), lodando Bernet per la sua capacità di dare un “lieto fine” a un tema che potrebbe essere “arido e monotono”. The Guardian lo ha definito come un “film prettamente europeo” che permette “un’esperienza visiva e una piacevole visuale, con un bel gioco tra il mondo interno ed esterno delle istituzioni europee”. Per maggiori informazioni sull’evento di Amsterdam consultate il link: https://www.idfa.nl/industry/tags/project.aspx?id=61dd442e4f67-4d31-b12c-4518de6ad52f#sthash.rxGOplgw.dpuf --- ICTLC AWARDS --- Paolo Balboni Luca Bolognini Claudio Partesotti (+39) 335 66 85 806 (+39) 346 84 70 418 (+39) 338 83 45 050 Paolo Balboni Luca Bolognini Claudio Partesotti Milano Bologna Roma Amsterdam NL Via Zaccaria 4 Via Ugo Bassi 3 Piazza San Salvatore Veemkade 536 20122 40121 in Lauro 13 1019 HE 00186 (+39) 02 8424 7194 (+39) 051 272 036 (+39) 06 97842 491 Contattaci Contattaci Contattaci (+31) (0) 20 894 6338 Contattaci “ L’eccellenza non è un atto, ma un’abitudine” - Aristotele Se non vuoi ricevere più la nostra newsletter, scrivi a: [email protected]