Scarica Principi e definizioni del trattamento dati personali secondo Reg. Europeo 2016/679 e più Appunti in PDF di Diritto di internet e dei social media solo su Docsity!
DIRITTO DIGITALE Lezione 1
- SOFTWARE Mattoncino che sorregge il fenomeno digitale è il software. Attraverso esso si è costruito il mondo digitale che consente a chiunque di fare innumerevoli operazioni -> il fenomeno digitale è la trasformazione in un codice binario, comprensibile al computer, di qualsiasi realtà che non ha un formato digitale. Per comprendere la disciplina che regola il software/programma per elaboratore dobbiamo rifarci alla legge sul diritto d’autore: è una legge che viene emanata nel 1941 (numero 633) ma viene continuamente aggiornata, ha accolto al suo interno ad esempio il software e le banche dati. Articolo 1 Legge diritto d’autore stabilisce che sono protette tutte le opere creative che appartengono a letteratura, musica, arti figurative, architettura, teatro, cinematografia. C’è un’elencazione tassativa delle entità che possono essere protette da legge su diritto d’autore. L’importanza è che queste opere siano estrinsecate, devono collocarsi in un contesto di realtà e devono avere una forma espressiva. Sono protetti anche i programmi per elaboratore e le banche di dati. Romanzo e software hanno la stessa tutela. Queste opere protette da diritto d’autore sono in un elenco tassativo (a numero chiuso). Quindi cosa succede per altre opere come ad esempio le ricette culinarie? Libro di ricette è tutelato mentre la singola ricetta è più difficile da proteggere. Altro caso sono i giochi da tavolo: si discute se possano essere inseriti in una di queste categorie. Gioco da tavolo non è protetto da legge su diritto d’autore ma sono protetti i disegni e il regolamento. Esempio della partita di calcio riprodotta in tv: essa non è compresa nelle categorie precedenti (letteratura ecc), non è qualificabile dal punto di visa giuridico. Articolo 3 Opera collettiva: più autori hanno dato il loro contributo alla realizzazione dell’opera. Un software è creato da più soggetti dove ognuno scrive un pezzettino delle istruzioni, che poi verranno tradotte nel linguaggio macchina. Ogni programmatore può scrivere una riga di istruzioni: questo avviene con i software open source : ogni riga di istruzione viene elaborata da un soggetto diverso, ognuno dà un suo contributo. Opera quindi ha un contributo indistinguibile e inscindibile di più
persone -> opera è in comunione (ognuno possiede una parte del tutto, vale la stessa cosa per l’eredità). Software è entrato di recente all’interno del nostro regolamento, prima non esisteva una legislazione del software. Inizia a sorgere la necessità di regolamentazione quando iniziano ad apparire i primi programmi informatici. I primi programmi informatici sono stati i videogiochi. Allora il mercato dei videogiochi, così come oggi, aveva un valore enorme. Quando ci furono i primi plagi (=riproduzioni non autorizzate) di questi programmi per elaboratore, la questione si presentò davanti alle corti: bisognava stabilire che tipo di tutela giuridica accordare. Giudici non avevano riferimento normativo per accordare tutela a questi prodotti quindi cercano una norma che tendesse ad avvicinarsi il più possibile al software, usano il criterio dell’analogia. Decidono che bisogna applicare la normativa che tutelava i film (film sono sequenze di immagini in movimento, cosi come i software). Si è usata un’analogia per sopperire ad una lacuna. Questa legge arriva in Eu nel 1991 (legge sulla tutela giuridica per programmi per l’elaboratore), e viene recepita l’anno successivo con il decreto legislativo n 518. Il proteggere il software come un’opera dell’ingegno deriva dalla forte influenza politica, culturale degli USA che avevano per primi deciso che il copyright act dovesse regolare il software. Giappone inizialmente sosteneva la tutela brevettuale VS USA che sosteneva la protezione diritto d’autore -
poi USA influenza tutto il mondo compreso il Giappone. Tutela brevettuale: tutela che si applica alle invenzioni che riservano una produzione industriale (lampada, macchina) VS Legge sul diritto d’autore non ha un’applicazione industriale, non è frutto di un’industria, protegge solo la forma espressiva delle realizzazioni. Europa sceglie la via del copyright, influenzata dagli USA: sono protetti i programmi di elaboratore come se fossero opere letterarie. Principi che regolano questi beni (libri e software) sono i medesimi. Protezione giuridica del software vuol dire impossibilità che terzi possano riprodurre software senza autorizzazione = tutela intesa come ampia gamma di facoltà. Tutela legislativa nasce insieme alla creazione dell’opera, appena opera viene alla luce il legislatore la tutela. Esempio: scrittore che scrive sul vetro appannato dei versi. Si discute sul momento in cui nasce la protezione, e si afferma che l’opera è stata intrinsecata anche se poi non rimane: anche se l’opera non è stata pubblicata, l’opera gode di protezione. Creatività e originalità sono fondamentali affinché l’opera abbia protezione. Idee e principi che stanno alla base di qualsiasi programma, sono esclusi dalla tutela sul diritto d’autore = tutela solamente se c’è una forma espressiva del programma che si vuole realizzare, tutto ciò che è propedeutico alla realizzazione dell’opera
Articolo 64-ter :
- diritti che spettano al soggetto che ha acquistato il software: chi ha acquistato un software lo può tradurre e trasformare purché queste attività siano necessarie per l’utilizzo/per farlo funzionare (inclusa la sistemazione degli errori).
- Chi ha acquistato software ha diritto di fare una copia
- Chi acquista programma/app/software ha diritto di osservare/studiare/fare dei test sul funzionamento del prodotto perché può andare a verificare quali sono le idee e i principi del funzionamento del programma stesso -> black box analysis : attività di studio del software per capire com’è stata fatta la programmazione; è uno studio interno. Se software house inserisce il divieto di effettuare copie di riserva o analisi interne, queste clausole sono nulle Eppure noi troviamo la scritta che è vietato effettuare copie del programma + software non consentono di entrare nel cuore del programma per vedere la programmazione interna -> in realtà le leggi scrivono qualcosa ma poi la realtà ci fa vedere tutt’altro e per avere questi diritti bisogna fare dei processi e rivolgersi a un giudice Ex: utente che ha acquistato un videogioco vuole fare una copia di riserva per portarlo nella sua casa al mare ma non la può fare perché videogioco non gliela lascia fare. Egli fa reclamo alla società di videogiochi e questa risponde che non si possono fare copie per ostacolare la pirateria. Egli si rivolge quindi ad un giudice che alla fine del processo afferma che utente può fare la copia perché ha acquistato il prodotto. Articolo 64-quater:
- Le attività di modifica e di traduzione del programma per elaboratore non richiedono autorizzazioni quando queste sono indispensabili per consentire l’interoperabilità con altri programmi di un software (interoperabilità = la possibilità che un programma che è nato per un sistema operativo può funzionare anche in un altro sistema operativo -> ex programma Android può essere modificato dal compratore per renderlo funzionante anche all’interno di un altro sistema operativo, come quello della Apple). Anche qui, un’altra volta, vediamo che queste attività sono vietate e non consentite dalla software house -> tutto ciò viene fatto per ragioni economiche affinché queste case produttrici non perdano l’occasione di far acquistare nuovamente il programma e quindi avere un profitto maggiore.
2.c Si autorizza a mettere in commercio un prodotto che faccia concorrenza a quello messo in circolo dalla software house. MONDO DEL SOFTWARE LIBERO (free software/open source) VS MONDO DEL SOFTWARE PROPRIETARIO (quello analizzato fin ora governato da queste leggi che in realtà non si applicano) Nel software libero sia il codice sorgente che il codice oggetto sono disponibili e sono conoscibili da chiunque: il 2 codici sono il cuore di un programma per elaboratore, quello che lo fa funzionare. Per effettuare modifiche e interventi strutturali bisogna conoscere questi codici. Il più delle volte capita che la società che ha creato il software non cede il codice sorgente, così ha in pugno il proprio cliente che dovrà sempre e rivolgersi al lui. Codice sorgente (def): è la sequenza di informazioni e di istruzioni logiche espresse nel linguaggio di programmazione informatica e destinate ad esser tradotte dall’elaboratore elettronico nel linguaggio macchina -> codice sorgente sono regole logiche e sintattiche. Codice oggetto è quello tradotto in linguaggio macchina (0 – 1). Attraverso il codice sorgente si può conoscere l’architettura del programma e le logiche alla base della sua realizzazione ma soprattutto è possibile fare qualsiasi intervento modificativo (ex consentendo l’interoperabilità o integrando programma con altri programmi informatici). Nei tradizionali modelli contrattuali che danno la possibilità di concedere l’uso del programma all’utente, non c’è mai la disponibilità del codice sorgente. Accanto ai modelli contrattuali tradizionali si stanno imponendo nel mondo dell’informatica degli schemi negoziali nuovi che si pongono in concorrenza e che consentono all’utilizzatore del programma di avere disponibilità completa sul codice sorgente senza alcuna limitazione. In questo mondo che concede la possibilità di avere il codice sorgente, abbiamo due sottogruppi:
- Mondo open source: garantisce ogni facoltà di impiego -> software viene messo a disposizione di chiunque e non c’è alcun controllo di come esso venga utilizzato. Il codice sorgente è accessibile a chiunque, viene esplicitato in modo chiaro. C’è la possibilità di creare software derivati. Se viene incorporato in altri programmi per elaboratore, anche programma derivato deve avere codice sorgente disponibile. Diritto di utilizzo di questo software non può essere soggetto a limitazioni temporali, territoriali, limitazioni di utilizzo e distribuzione.
- Mondo free software: è un modello sociale ideale in cui non ci sono restrizioni del bene. Il software viene considerato una risorsa comune che è in grado di
contenitore. Nella seconda ipotesi (elenco telefonico) non c’è legge sul diritto d’autore che tutela contenuto/opera della banca dati ma c’è un diritto affievolito = diritto sui generis = consente al creatore di una banca dati di tutelare a sua volta il contenuto del banca dati. Articolo 64- quinquies Diritti dell’autore della banca dati presentano analogie con diritti del creatore del software. Articolo 64 sexies Cosi come per il software tutte quelle attività elencate nell’articolo precedente non richiedono autorizzazione = interoperabilità. Chi ha l’accesso per legge può acceder al contenuto della banca dati anche senza autorizzazione di chi l’ha realizzata purché non ci sia un trasferimento del contenuto della banca dati o un’estrazione di parti sostanziali del contenuto -> non vi è necessità di autorizzazione del titolare banca dati per fini di consulenza pubblica. Diritto sui generis = è stato creato nel corpo della legge sul diritto d’autore il titolo II bis (pag. 46). Tutela valore patrimoniale della banca dati, anche se banca dati non è un’opera dell’ingegno (ex elenco telefonico) alla base vi è un investimento economico. Il soggetto che ha realizzato la banca dati non avendo carattere creativo si è assunto un rischio economico nella realizzazione di questo risultato (ha speso risorse, tempo) e per il solo fatto di aver contribuito in modo decisivo alla creazione della banca dati, potrà giovarsi della protezione della legge anche se manca creatività (=principio fondamentale della legge sul diritto d’autore). Contenuto diritto sui generis è indicato dall’articolo 102 bis. Soggetto che ha realizzato banca dati può evitare che altri copino contenuto o una parte sostanziale. Questo diritto esclusivo sorge al momento del completamento della banca dati e si estingue dopo un periodo di tempo (trascorsi 15 anni dall’anno successivo al completamento della banca dati) -> non dura per sempre. Nel caso in cui ci siano modifiche sostanziali al contenuto della banca dati, il legislatore ha stabilito un nuovo termine di 15 anni per far decorrere il periodo di protezione. Diritto sui generis non comporta il divieto di non consentire a chiunque di svolgere l’attività di accesso alla consultazione del contenuto della banca dati, ma attribuisce al costitutore soltanto la facoltà di opporsi ad atti di estrazione e di reimpiego. Utente che consulta la banca dati può eseguire attività di reimpiego ma solo per parti non sostanziali del contenuto della banca dati. Il legislatore ci indica la parte non sostanziale ma non ci dà un criterio serio per valutare la sostanzialità del contenuto -
lascia all’interprete un ampio margine di incertezza.
C’è una norma di carattere generale comma 9 = criterio di salvaguardia del valore economico della banca dati: ogni utente della banca dati che la mette a disposizione del pubblico non può eseguire operazioni che siano in contrasto con la normale gestione della banca dati o che arrechino un ingiustificato pregiudizio al costitutore della banca dati. Nel mondo digitale questa norma sta assumendo un’importanza centrale soprattutto per i giuristi -> Caso che vedremo tra poco: esistono software che scandagliano la rete internet in modo incessante. La rete internet è formata da siti web/entità che raccolgono dati quindi questi software scandagliano siti internet, si inseriscono in un sito internet e estraggono le informazioni, riportandole al soggetto che ha creato quel software. Queste info servono a creare ulteriori banche dati/ulteriori app. Queste attività sono legittime alla disposizione del comma 9? Lo vedremo tra poco... Banca dati viene a configurare un nuovo bene giuridico a sé stante che a seconda della scelta dei contenuti voluta dal suo costitutore può essere classificata e tutelata come opera dell’ingegno (sensi sul diritto d’autore o sensi sul diritto sui generis nel caso in cui questa raccolta non ha requisiti necessari per essere qualificata come opera dell’ingegno). Esempio: raccolta degli orari dei treni in IT sono protetti dal diritto si generis (no diritto d’autore). Diritto sui generis introduce una tutela che salvaguardia il contenuto della banca dati e non comprende opere tutelate da diritto d’autore. Dati di per sé non hanno valore ma hanno valore economico che l’ordinamento non può trascurare. Diritto sui generis salvaguardia tutti i dati e le informazioni che singolarmente considerati non avrebbero valore. Nucleo essenziale delle banche dati non ha carattere creativo, ma ha rilevanza dal punto di vista economico e giuridico. Caso giurisprudenziale importante che riguarda diritto sui generis, non avente carattere creativo, con specifico riferimento alla facoltà di vietare estrazione o reimpiego di parte del contenuto della banca dati. Vediamo diritto dell’utilizzatore legittimo di una banca dati a compiere attività di estrazione, riproduzione e diffusione dei dati attraverso un’applicazione informatica. Un soggetto poneva attraverso un software un’autonoma attività automatizzata di estrazione dei dati da un archivio di terzi presente online. Questa attività viene definita web scraping (setacciare il web). C’e un’applicazione che fornisce, a chi la consulta, la possibilità di avere info su tutti i treni che partiranno in giornata = sono dati che non hanno carattere creativo ma nel loro insieme tutti questi danni hanno valore. Questo soggetto costitutore della banca dati (che è l’applicazione) ha creato un software che va a recuperare tutti i dati del sito ufficiale di Trenitalia, li raccoglie in modo automatizzato e li trasferisce nell’app. Il soggetto costitutore della banca dati può impedire all’utilizzatore legittimo quest’esecuzione automatizzata
di una parte della totalità quando (solimante quest’attività non è consentita all’utente):
- Il meta-motore di ricerca fornisce all’utente finale un modulo di ricerca che offre la stessa funzionalità del modulo di ricerca della banca dati -> si crea una duplicazione del motore di ricerca contenuto all’interno del sito web. Duplicazione tra motore originario e quello fornito all’utente
- Quando meta-motore di ricerca traduce in tempo reale le ricerche degli utenti all’interno del motore ricerca in cui si è dotata la banca dati cosicché tutti dati di tale banca sono oggetti di ricerca. Non c’e distinzione, qualunque dato informativo può essere estratto dal meta motore di ricerca. La seconda applicazione che sfrutta il contenuto della prima, può offrire come risultato qualunque info contenuta nella prima banca dati
- Quando meta-motore di ricerca presenti all’utente finale i risultati rischieresti dall’utente con aspetto esteriore del sito internet secondo un ordine fondato su parametri paragonabili a quelli del motore di ricerca della banca dati originaria. Anche nell’aspetto esteriore non c’è molta differenza come output informativo della presentazione di questi risultati rispetto a quelli della banca dati originaria. Quando si ha un motore di ricerca che fa attività di web scraping sussiste il diritto in capo al soggetto costitutore che, ai sensi dell’articolo 102 bis e ter della legge sul diritto d’autore, può opporsi a questa attività automatizzata del reimpiego dei dati. Non è da escludersi che l’utilizzo del metamotore di ricerca possa presupporre un’operazione contraria alla normale gestione della banca dati ( comma 9 ) o che arrechi un pregiudizio ingiustificato creato dal meta-motore al costitutore della banca dati. Qual è il pregiudizio? È il sovraccarico nella rete del soggetto titolare della banca dati che viene continuamente visitato dal meta motore di ricerca e attraverso questa sua costante visita può rallentare le funzionalità della banca dati stessa o rendere più difficile l’accesso per gli utenti. (Vicenda di Ryanair) Lezione 4
- SISTEMA DEI NOMI A DOMINIO e NOMI A DOMINIO Come nasce questo sistema nel mondo? Qualunque soggetto che è presente su internet ha la necessità di avere una sua visibilità la quale può essere conseguita attraverso l’attribuzione a questo soggetto di un indirizzo -> è stato creato un
sistema convenzionale per assegnare indirizzi ai soggetti che vogliono avere una presenza sulla rete. Questo sistema convenzionale viene chiamato domain names system / DNS/ sistema dei nomi a dominio. DNS è un sistema convenzionale che garantisce a un soggetto una presenza sulla rete che è equivalente a un indirizzo. Indirizzo è certo e univoco -> non può essere utilizzato per altri soggetti sulla rete. Indirizzo può essere identificato attraverso 2 modalità:
- Indirizzo numerico : internet protocol / indirizzo IP -> è un insieme di numeri a 32 bit che compongono questa stringa di numeri. A ogni indirizzo corrisponde una presenza. Questo sistema di identificazione di indirizzo è utilizzato dai pc per dialogare con altri pc, con server ecc. ma non è usato dalle persone poiché persone non hanno molta memoria numerica.
- Assegnazione di nomi/denominazione: per identificare una presenza su internet si attribuisce alla presenza una denominazione letteraria. Questa denominazione è costituita da una sequenza di lettere/numeri + il punto + suffisso (www.unibg.it). Modalità maggiormente utilizzata per interagire su internet. A ogni denominazione corrisponde una sequenza numerica Questo sistema di indirizzamento delle presenze di internet viene creato i primi anni 80 del secolo scorso ed è caratterizzato come struttura come se fosse un albero rovesciato (parte dalla radice) -> la radice è idonea a rappresentare i domini di prima livello ( top level domain ) sono quelli a carattere territoriale ex .it, .uk, .fr. Ciascun dominio di primo livello può essere suddiviso in domini di 2^ o 3^ livello con una profondità quasi infinita (si parla di sottodomini). Primi anni 80 internet era gestito da agenzia ARPA, furono creati ulteriori domini di primo livello ognuno dei quali era distinto per le categorie di attività che rappresentavano. Esempio .com (associato a attività commerciali); .gov (attività governative); .int (organizzazioni internazionale); .mil (organizzazioni militari); .net (soggetti che avevano attività nella rete); .org (organizzazioni non governative). Dipartimento della difesa degli USA affida al nuovo soggetto IANA ( internet assigned numbers authority ), situato presso l’università della California, i compiti sia della registrazione degli indirizzi IP, sia della registrazione dei nomi a dominio. Per fronteggiare la rapida espansione di Intenet anche al di fuori del territorio degli USA, lo IANA affidò ad altre organizzazioni internazionali il compito di gestire quest’attività dei nomi a dominio, attività detta “ naming”. Ogni organizzazione ha una competenza territoriale (una per EU, una per America, una per Africa). Nel frattempo furono aggiunti per ogni paese i country code top level domain= suffissi che identificano il territorio. Ai giorni d’oggi
opera per conto dell’organizzazione internazionale ISO) che deve far osservare tutte le procedure di registrazione: ogni soggetto di ogni paese deve, per poter registrare un indirizzo con una denominazione, rivolgersi alla registraton authority del proprio paese. Nel 1994 in IT fu creato un gruppo di lavoro per attutare la normativa ISO 65 23: dal lavoro di questo gruppo emerse una particolarità -> viene scelto di creare in IT due entità che operassero su livelli distinti (VS negli altri paesi un’unica entità)
- Una opera a livello normativo, stabilisce regole per la registrazione dei nomi a dominio ( naming authority ).
- L’altra opera a livello operativo, gestisce i registri delle registrazioni dei nomi a dominio ( registration authority) Naming authority inizialmente era composta da tecnici informatici e giuristi, poi in IT si è fusa con registration authority e oggi fanno parte di un unico corpo chiamato “registro” -> che sovraintende alle richieste di registrazione degli indirizzi con .it. Il registro è un dipartimento del consiglio nazionale delle ricerche e si trova a Pisa. Tuttavia dal punto di vista giuridico possiamo osservare alcune conseguenze.
- Le regole tecniche consentono che ci sia una sola attività per la registrazione del registro dei domini, attività del registro è esclusiva= chiunque vuole avere una presenza su internet deve rivolgersi a registro!! Attività svolta dal registro è connessa con soddisfacimento degli interessi della collettività perché fenomeno di internet ha assunto una rilevanza importante. Questo registro anche se non è un’entità vera e propria riconosciuta dalla legge, svolge una funzione di tipo pubblicistico = c’è un interesse pubblico al funzionamento di questo soggetto.
- Per ogni paese deve sussistere un’unica entità capace di interloquire con gli altri enti internazionali. Registro svolge la propria attività a fronte di un pagamento di un prezzo. Quindi bisogna considerare che non c’è una effettiva concorrenza tra i servizi che sono offerti da questa autorità che opera per la registrazione dei nomi a dominio. Chiunque voglia registrare in IT un nome a dominio con suffisso .it, deve rivolgersi a registro e pagare corrispettivo. Non è possibile avere all’interno di questo mercato un altro soggetto che possa offrire medesimo servizio ad un prezzo inferiore Queste diposizioni di carattere tecnico ledono i principi della concorrenza che sono salvaguardati dal diritto internazionale (ex articolo 85 del trattato istitutivo dell’EU vieta le intese= accordi tra soggetti che producono restrizione nel gioco della concorrenza). Analizziamo la procedura tecnica della registrazione dei nomi a dominio stabilita dall’autorità italiana -> in primo luogo bisogna verificare se quella denominazione è
libera quindi se non è ancora stata utilizzata da un altro soggetto. Se è libera si inoltra una richiesta di registrazione, tramite un intermediario/provider, al registro. Nella richiesta si dichiarano le proprie generalità, si accettano le norme di buon uso su internet (..) e infine bisogna sollevare il registro da qualunque responsabilità derivante dall’assegnazione e dall’utilizzo del nome a dominio da parte del soggetto richiedente. Procedura di registrazione si considera attivata nel momento in cui il registro riceve la richiesta, compie le verifiche, e se nome a dominio non è ancora stato oggetto di registrazione, la richiesta viene conclusa con assegnazione. Quali sono i requisiti della denominazione che può essere utilizzata come indirizzo IP? Ci sono alcuni nomi che hanno carattere riservato e come tali non possono essere utilizzati (ex nomi delle province e delle regioni italiane + denominazioni mail, internet, www). Mentre possono essere utilizzati tutti i caratteri dell’alfabeto anche in combinazione con numeri + è valido anche il segno del trattino (-). No altri caratteri!! Ulteriore divieto di registrazione di un nome a dominio costituito solo da 1/2 caratteri. Q8 -> unico caso di assegnazione a donnaioli con due lettere poiché è stata registrato in un momento in cui le regole non erano ancora definite. Lunghezza massima della denominazione alfanumerica che compone un nome a dominio (dal secondo livello in poi, quindi tutto ciò che sta a sx) è di 63 caratteri, ma la lunghezza massima dell’intera registrazione non può superare i 255 caratteri. Qual è la funzione del nome a dominio? La funzione è quella assimilabile all’indirizzo che ha un soggetto nel mondo tradizionale però, per effetto della natura della rete, questo ruolo non ha solo un indirizzo telematico ma indirizzo IP/nome a dominio assume anche una funzione che è rappresentata alla stregua da quella rappresentata dall’insegna o dalla ditta (se utilizzato da un soggetto che svolge un’attività economica) o esercita la stessa funzione esercitata da un nome proprio/nome dell’individuo che consente l’individuazione del soggetto nel contesto telematico. Bisogna distinguere in 2 categorie:
- Coloro che usano nome a dominio per identificare un’attività economica di tipo imprenditoriale. La funzione svolta dal nome al dominio è quella esercitata dalla ditta o dall’insegna -> insegna è il locale in cui imprenditore svolge la propria attività imprenditoriale e identifica l’azienda. La ditta identifica il nome che l’imprenditore adotta nell’esercizio della propria attività di impresa. C’è un’estensione di questi principi nel mondo di internet dove dominio assume in sé le funzioni della ditta e dell’insegna -> denominazione deve differenziare l’imprenditore.
- Coloro che svolgono un’attività personale quindi hanno solo una funzione identificativa semplice.
Questa disciplina nasce nel 1996 con la prima legge (la n. 675) che poi è stata modificata con il codice privacy, con il decreto legislativo 196 del 2003 e recentemente è stata modificata con un regolamento europeo che pone una disciplina uguale per tutti i paesi dell’EU = regolamento 679 del 2016 (vedi file). Questo regolamento è improntante perché emana una disciplina omogenea e unitaria per tutti gli stati membri. Il regolamento europeo pone principi di base che devono essere seguiti per un corretto trattamento dei dati personali. Questi principi sono dei pilastri che sorreggono tutta la materia del trattamento. Il primo principio fondamentale è che il trattamento si deve basare sul consenso = ogni operazione avente ad oggetto la raccolta/gestione/trattamento dei dati si deve basare sul consenso esplicito del soggetto interessato. Consenso deve essere esplicito (con fonti e dati inequivocabili) ma può anche essere implicito. Il regolamento nuovo introduce anche una novità: consenso valido se prestato da un soggetto che ha almeno 16 anni. Consenso deve essere libero (=non forzato), specifico (=indicato in modo mirato su quell’operazione), deve essere informato (= soggetto deve essere messo la corrente sugli scopi riguardo i quali quel trattamento viene effettuato) e deve essere inequivocabile. L’altro pilastro importante è sull’informazione che viene data al soggetto interessato= tutti i diritti che competono al soggetto interessato devono essere forniti in modo chiaro esplicito e completo. Una corretta informativa deve contenere una elencazione di tutti i diritti che competono al soggetto interessato, diritti esclusivi che gli competono per il solo fatto di essere oggetto di un trattamento (diritto alla cancellazione, diritto all’accesso ecc). Regolamento UE 2016 679 (file)
- Articolo 1: oggetto e finalità Questo regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali
- Articolo 2: ambito di applicazione materiale Primo comma: il regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali (automatizzati vuol dire attraverso il computer) e al trattamento non automatizzato (=senza un computer) di dati personali contenuti in un archivio o destinati a figurarvi. Secondo comma: non si applica per coloro che fanno un uso personale o domestico: ex chi si fa una rubrica telefonica su smartphone o sul telefono non sta facendo una raccolta di dati che deve seguire queste regole perché è un uso privato.
- Articolo 4: definizioni Primo comma, definizione del dato personale: il dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile (= è il soggetto interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione (ex numero di matricola), dati relativi all’ubicazione (ex domicilio), un identificativo online (ex email) o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale ( -> da questi ultimi dati si può risalire all’ identificazione di un individuo). Secondo comma, definizione di trattamento: comprende ogni attività che ha a che fare con i dati personali = qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione ecc. Quarto comma, definizione di proliferazione: operazione automatizzata che viene compiuta sui dati personali e consiste nell’ estrazione di info che vengono utilizzate per analizzare o prevedere alcuni aspetti di un individuo (ex situazione economica, salute, affidabilità, spostamenti ecc.). Applicazioni informatiche generano una mole enorme di dati trasformati in forma anonima che vengono elaborati e con i quali si riesce, se combinati tra di loro, a fare delle previsioni che possono essere più o meno attendibili sul comportamento di gruppi/singoli soggetti. Tutto ciò poi viene sfruttato per fini commerciali/promozionali -> aspetto importante che vedremo Settimo comma, definizione di titolare del trattamento: è la persona fisica o giuridica, l’autorità pubblica, il servizio altro organismo che, singolarmente o insieme ad altri ,determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono demeritati dal diritto dell’Unione, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione -> persona fisica o società che ha il compito di determinare le finalità e i mezzi di raccolta dei dati. Ottavo comma, definizione di responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento Undicesimo comma, definizione di consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante
Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica (ex: soggetto che ha fatto un incidente deve fare una trasfusione di sangue e bisogna sapere il gruppo sanguigno) Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati. Dichiarazione del consenso deve essere redatta con linguaggio semplice e compresile a chiunque. Inoltre l’interessato ha il diritto di revocare il proprio consenso in qualunque momento. La revoca del consenso non pregiudica la liceità del trattamento che era basata sul consenso originariamente valido Per il consenso dei minori? Nella società dell’informazione, il regolamento stabilisce che un social network può effettuare un trattamento dei dati degli utenti iscritti. Questo trattamento dei dati è lecito se c’è una prestazione del consenso che viene rilasciato da un soggetto che almeno 16 anni.
- Articolo 9: trattamento di categorie particolari di dati personali Ci sono dei dati che risentono di una protezione maggiore perché sono più sensibili: si riferiscono ad una sfera intima dell’individuo. Queste informazioni svelano l’origine razziale/ etnica, le opinioni politiche, le convinzioni religiose/filosofiche, appartenenza ad un’associazione sindacale, dati genetici, dati relativi a salute/vita sessuale di un individuo -> queste info hanno una protezione rafforzata che si manifesta con un rilascio esplicito del consenso che deve essere documentato. Vietato trasferimento di questi dati fuori dall’UE, salvo casi eccezionali.
- Articolo 13: informazioni da fornire qualora di dati personali siano raccolti presso l’interessato Stabilisce che quando i dati personali vengono raccolti direttamente presso l’interessato, il titolare del trattamento deve fornire all’interessato obbligatoriamente queste info elencate:
- l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
- le finalità del trattamento (scopi per i quali sono stati raccolti i dati personali)
- i legittimi interessi perseguiti dal titolare del trattamento
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
- il periodo di conservazione dei dati personali oppure i criteri utilizzati per determinare tale periodo
- l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento
- il diritto di proporre reclamo a un'autorità di controllo
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto
- Articolo 15: diritto di accesso dell’interessato L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
- le finalità del trattamento
- le categorie di dati personali in questione
- i destinatari
- Il periodo di conservazione dei dati personali
- La possibilità di rettifica o la cancellazione dei dati personali/diritto all’oblio (quest’ultimo è stato introdotto recentemente).
- Il diritto di proporre reclamo
- Articolo 17: diritto alla cancellazione/diritto all’oblio Ci rimanda al considerando 65 e 66 che ci spiegano cosa si intende con il diritto all’oblio (pag. 18 file). -considerando 65: Un interessato dovrebbe avere il diritto di ottenere la rettifica dei dati personali che lo riguardano e il «diritto all'oblio» se la conservazione di tali dati violi il presente regolamento o il diritto dell'Unione o degli Stati membri cui è soggetto il titolare del trattamento. In particolare, l'interessato dovrebbe avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia revocato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tale diritto è in particolare rilevante se l'interessato ha prestato il proprio consenso