



Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Riassunto esame Informatica giuridica in italiano, Canale D Luiss
Tipologia: Sintesi del corso
1 / 6
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!




Portabilità: saremo più avvantaggiati quando cambieremo gestore, avremo diritto all’utilizzo di uno standard che ci permetta di mantenere le nostre informazioni e di trasferirle al nuovo operatore già ben organizzate (documenti, contatti, foto, file) : ci deve essere dunque una compatibilità che porti a non essere penalizzati nel cambiare gestore.
Oblio: bene giuridico già tutelato nel Codice della Privacy, diritto a essere dimenticati: c’è un connotato specifico rispetto alla deindicizzazione da parte dei motori di ricerca su risultati contenenti parole chiave.
Privacy by design: da Maggio 2018 sarà obbligatorio per chi gestisce sistemi informativi concepire programmi software e hardware e reti informative ed altro in modo che il trattamento sia conforme già dal punto di vista tecnologico a quelle che sono le aspettative degli interessati prima che si inizi un’attività di trattamento di dati.
Privacy by default: nel momento in cui ci sia la possibilità di determinare alcune funzioni, il dato di partenza di queste impostazioni e opzioni deve essere favorevole agli interessati. Le opzioni devono essere presentate in maniera favorevole all’utente.
Accountability: non è solo “responsabilità”, vuol dire che tutti che gestiscono informazioni devono andare al di là del rispetto della legge, essi devono una propria policy coerente, devono fare un’analisi dei rischi e trovare delle contromisure ad essi, distribuire le responsabilità in maniera efficace.
I Garanti hanno più poteri sanzionatori (sanzioni amministrative). Potranno cooperare tra loro, gestire reclami e ricorsi, avere accesso ad informazioni tramite poteri ispettivi. Le norme che sono identiche o sovrapposte al GDPR dovranno essere riviste (caducazione di alcune norme); i paesi europei dovranno darsi da fare per rendere applicabili le norme europee, le quali devono essere le uniche vigenti: essi comunque potranno specificare o precisare come applicare il regolamento ( il consenso deve essere espresso, “non ambiguo” poiché l’UE non accetta concetti come concetto “tacito”) o introdurre eccezioni e deroghe nei limiti del regolamento, introdurre o mantenere obblighi normativi, hanno maggiore margine di manovra in alcune aree( sanità, rapporto di lavoro- in Italia non è permesso il controllo con delle telecamere, in altri paesi si- archivi di Stato, informazione). In questi campi c’è necessità di un raccordo tra GDPR e normativa italiana; ci sono anche delle norme che non hanno direttamente a che fare coi dati personali (e-government).
Il trattamento è un insieme di azioni sui dati personali, che non sono più solo quelli sulle banche dati o sugli archivi (c’era questo problema negli anni passati, anche nel 1981). I dati personali sono anche informazioni detenute da terzi, anche una targa, un’immagine, un indirizzo IP, qualunque cosa che può darci notizie in più su un individuo. Alcuni paesi applicano questa normativa solo a persone fisiche, altri anche a persone giuridiche (lo faceva l’Italia): l’Italia disciplina anche la sfera personale del defunto e individua anche chi può far valere gli interessi (interessi personali o familiari), inoltre l’Italia regola i dati personali dei nascituri e segue un concetto di territorialità.
I cardini della normativa sono liceità e correttezza (non bisogna essere sleali e spingere a rilasciare dei dati in maniera ambigua) del trattamento, trasparenza, una base legale per trattare i dati (adempimento di obbligo giuridico), valutazione dell’impatto privacy, rispettare i diritti dell’interessato, la sicurezza dati e l’accountability. Bisogna evitare di gestire piattaforme tecnologiche o applicazioni che potrebbero scomparire dopo poco tempo; il GDPR vuole rendere effettiva la certificazione: possono essere rilasciati dei “seals”, dei bollini che danno fiducia sulla correttezza dell’operato di alcuni gestori di dati; ci sono anche i codici di condotta, le linee guida e “best practices”. Ci sono anche i “Data protection officers”, i responsabili dei dati personali, che promuovono la buona pratica di un trattamento all’interno di un’organizzazione.
C’è una differenza con il responsabile del trattamento: il titolare solitamente non è una persona fisica, si affida ad altri che agiscono come responsabili del trattamento ( si è corresponsabili).
Il GDPR si occupa anche a vedere a quali condizioni i dati possono andare fuori dall’UE: occorrono delle garanzie, delle tutele, c’è la regola che i dati vanno trasferiti all’estero solamente se il Paese nel suo complesso offre una tutela adeguata: in caso contrario il trasferimento è vietato. C’è una valutazione dell’adeguatezza di un paese terzo (la Svizzera dà garanzie). Ciò che manca nel paese terzo è sostituito da delle clausole speciali di garanzie anche approvate dai Garanti (due società, una import e una export).
Probatio diabolica: in materia di privacy, c’è l’inversione dell’onere della prova, cioè il titolare deve dimostrare che ha fatto il possibile per evitare il danno causato. Infatti, a meno che il titolare non dimostri che c’è stato un caso fortuito o una forza maggiore, è responsabile.
L’informativa è un documento scritto o orale che specifica il trattamento da parte del titolare delle informazioni (dati personali) dell’interessato: essa è il presupposto di legittimità del trattamento; col bilanciamento di interesse si comparano diritti per trovare l’equilibrio: i diritti possono confliggere. La dottrina è l’opinione dei giuristi, la giurisprudenza è l’insieme delle sentenze ( livello superiore).
Il GDPR prevale sulla legge degli stati membri; il Codice italiano del 2003 dovrà essere interamente rivisto alla luce del GDPR. Ci sono 4/5 categorie di norme italiane che possono essere applicate nonostante ci sia un Regolamento: una prima categoria di norme nazionali legittima è quella che serve a dare attuazione al Regolamento europeo, nel senso di rendere le norme europee pienamente effettive. L’Italia ha la legge 689/1981 che riguarda l’applicazione di sanzioni amministrative da parte di autorità amministrative, come il Garante: sono esercizi che lo stato membro deve fare; una seconda categoria riguarda la necessità di specificare, chiarire e connettere la normativa europea col sistema interno nei limiti di ciò che dice il Regolamento ( consenso “non ambiguo” non è termine usato in Italia, da noi si usa consenso tacito o espresso); una terza categoria riguarda la possibilità di introdurre eccezioni, restrizioni e deroghe a principi del Regolamento che sono anche nel Codice ( diritto di accesso che può essere limitato per favorire altri diritti ); una quarta categoria riguarda la possibilità che l’ordinamento prevede degli obblighi di legge e di regolamento che comportano la raccolta di informazioni. Ogni trattamento deve avere una base legale (consenso o una lista di altri requisiti, necessità di salvaguardare la vita dell’interessato, necessità di adempiere ad obblighi di legge); una quinta categoria riguarda le aree come quella del diritto all’informazione o della ricerca scientifica, sanità in cui la soluzione che è stata scelta una minore armonizzazione: lo spazio per armonizzare è più contenuto qui che altrove. Un’ultima categoria riguarda norme che non riguardano dati personali, ma la cui presenza è interessata ( e-government, sicurezza informatica): si ha un’opportunità per rendere le norme in modo sincrono.
La novità più importante è l’accountability che per il nostro ordinamento è una novità fino ad un certo punto; poiché in esso c’è una disposizione che rappresenta l’infanzia di questa materia ma limitatamente al diritto di accesso (avere informazioni sui propri dati, rettifica, integrazione, aggiornamento). C’è differenza tra diritto di accesso ai dati personali e ai documenti amministrativi. Nel Codice c’è una disposizione che riguarda il titolare di agevolare l’accesso al trattamento dei dati (Art.10) da parte dell’interessato: a seconda dell’ampiezza della domanda posta, c’è il problema di trovare i dati per il titolare. Questa norma dice al titolare che deve organizzarsi innanzitutto nel trovare questi dati richiesti con software che permettano di capire “dov’è” il dato richiesto (il nome dell’interessato potrebbe essere anche in un fascicolo intestato ad un’altra persona). Questa è un’anteprima dell’accountability su scala europea: la novità è che i diritti sono rafforzati, c’è più flessibilità per piccole e medie imprese e si cerca di modernizzare questa disciplina. Si è compreso che bisogna andare oltre il mero adempimento degli obblighi; si cercava di deresponsabilizzare il top management attraverso la delega di funzioni nell’impresa (trasferendole verso il basso). Con questo regolamento non è più possibile questo approccio poiché la protezione dei dati diviene qualcosa di strategico e dunque non più delegabile verso il basso ( deve essere svolto dal top management): già il Codice Italiano aveva dato un segnale in questo senso poiché si prevedeva che si dovesse fare una relazione annuale all’organo preposto all’approvazione del bilancio annuale per dire che l’applicazione delle regole per la protezione era nel binario giusto: dunque chi approvava aveva cognizione di questa materia e faceva previsioni per l’anno futuro ( erano norme d’avanguardia). Col GDPR si ha l’obbligo di fare un adempimento (pena delle sanzioni amministrative, disciplinari ma anche penali), ma non solo: si va oltre la
già prima del trattamento. C’è la novità riguardo al consenso, il quale nell’ambito della protezione dei dati personali è molto diverso da altri tipi di consenso richiesti (ad esempio nell’ambito contrattuale o medico): esso sarà richiesto in un numero minore di casi ma si dovrà fare molto di più per far si che esso sia prestato liberamente, cioè libero non solo da violenza, errore o dolo ma anche che ci sia l’assenza di situazioni di sbilanciamento che non portano ad un’effettiva parità di rapporti( non devono esserci influenze psicologiche, ad esempio nel rapporto di lavoro): esso deve essere informato, specifico, revocabile, definibile e non può essere presunto( deve esserci una chiara azione affermativa, sia orale che scritta!!); il consenso sarà chiesto ancor più rigorosamente. L’informazione agli interessati deve essere migliore di quella odierna: le spiegazioni dovranno essere molto più semplici con termini comuni. C’è nuova enfasi sulla trasparenza per far si che gli interessati possano essere più in controllo delle informazioni, che sono preziosissime. Ciò che conta è la chiarezza e la semplicità dell’informazione: il diritto di accesso serve a dare concretezza a questa trasparenza; c’è anche il diritto di non sapere. C’è una linea di continuità tra la disciplina italiana e quella europea, i diritti sono rafforzati e anche per la definizione dei singoli attori del trattamento ( titolare, responsabile che opera per conto del titolare), c’è un’attenzione ai flussi di dati( main establishment di una organizzazione). Il trattamento dei dati deve essere lecito e corretto, conforme alla disciplina della protezione dei dati.
La sicurezza è un concetto che allude alla disponibilità delle informazioni, allo scopo che i sistemi informativi resistano rispetto a eventi critici di vario tipo, mentre la riservatezza dell’informazione è un concetto che allude più al fatto che certe informazioni non siano conosciute o siano conosciute da limitate persone aventi diritto. Nel regolamento 679 del 2016 la parola sicurezza compare spesso e non a caso: sicurezza è un’espressione non tipica della sicurezza informatica, ma qui ci sono riferimenti a vari aspetti, come la sicurezza pubblica per non essere esposti a rischi fisici o sicurezza nazionale intesa come integrità degli interessi di un paese nel suo complesso o sicurezza dell’Unione dove si parla di spazio di sicurezza in Europa perché le norme approvate per la libera circolazione nell’UE con l’abolizione del concetto di frontiera. Uno degli obiettivi della regolamentazione è di assicurare la libera circolazione di merci persone e servizi ; ciò significa che assieme a questi elementi possono circolare anche i dati personali che assistono questo tipo di funzionamento del mercato interno questo comporta anche un percorso delle informazioni che circolano liberamente, mentre se si esportano questi dati fuori dell’UE la disciplina è più rigida per far sì che nello stato terzo non facente parte dell‘UE ci sia una protezione. Tutti i dati personali vanno protetti, anche quelli apparentemente comuni, quindi la loro delicatezza è da tenere presene per il tipo di protezione da attuare. Nel trattare la riservatezza è nata una nuova categoria, cioè i dati pseudoanonimi (situazioni dove non siamo al di fuori de dati personali ma per identificare l’interessato c’è bisogno di un pezzo d’informazione protetto altrove e quindi l’informazione permette di identificare solo con questo pezzetto. ) il diritto alla protezione dei dati personali prescinde da una materia di riservatezza delle informazioni e presume che il modo con cui trattano mie informazioni sia tratto di un mio diritto fondamentale. L’esistenza di un diritto fondamentale alla protezione dei dati personali ha conseguenze di molti tipi: il trattamento dei dati personali ha bisogno del consenso dell’interessato o dell’obbligo di adempiere a un contratto di cui fa parte l’interessato o la possibilità che il titolare del trattamento persegua un suo interesse legittimo. Tanti gestori e fornitori di servizi di reti hanno un legittimo interesse a verificare se una rete resista a certi livelli di sicurezze che posso compromettere l’integrità dei sistemi stessi. (La Corte di Giustizia nel caso del tedesco Breyer su indirizzi di protocollo internet dinamici utilizzabili se necessari per consentire l’effettiva fruizione di servizi da parte dell’utente. nell’oppormi ad un certo trattamento dei dati personali posso dire che non sono soddisfatto del trattamento.? ) Gli obiettivi di una policy di sicurezza : il trattamento ei dati personali è suscettibile di cagionare danni fisici materiali o immateriali, rischi di discriminazioni, furti, violazioni del segreto professionali quindi sono rischi di vario tipo, bisogna vedere la natura del trattamento l’obiettivo è di evitare qualsiasi tipo di rischio, di garantire la disponibilità dei dati perché servono allo scopo per il quale per legge sono raccolte. Nel nuovo regolamento 679 del 2016 rimane fermo il principio per cui adottare misure adeguate di sicurezza è un obbligo giuridico, non solo una scelta opportuna. La sicurezza dei dati è anche un principio cardine della qualità delle informazioni. Questo spiega come il legislatore si occupa della sicurezza sotto molti profili; bisogna considerare la sicurezza come uno dei parametri che servono a verificare se certe cautele assicurino la rispondenza del nuovo trattamento al principio di finalità presentate
agli interessati. La Commissione Europea nel valutare se un certo paese offre una protezione adeguata valuterà le regole in materia di sicurezza di quel paese; le autorità garanti valutano se certe clausole proposte come garanzia dei dati contengono regole adeguate, infatti tra i loro poteri ci sono poteri che comportano un’onero di dotarsi di persone che sanno valutare l’idoneità delle misure di sicurezza. Ciò che è affidabile oggi, non lo è domani mattina quindi le misure non sono assolute, non valgono una volta per tutte. Poi si pone il problema di verificare quali misure sono e vedremo che c’è un bilanciamento di interessi tra descrivere la policy di sicurezza e non mettere in piazza tra i cittadini quali sono le misure di sicurezza per evitare i rischi di attacco.
Strategie ed obblighi giuridici: c’è il caso dei codici di condotta, nel quale la sicurezza informatica è considerata dal legislatore europeo e anche dei meccanismi attraverso i quali si può certificare che il trattamento risponda a determinati standard di qualità; ci vuole trasparenza sulle misure di sicurezza e mettere nero su bianco cosa si sta facendo. Col GDPR si abolisce la notificazione al Garante di tutte le attività, ma si chiede che il titolare deve tenere un registro dove deve descrivere le misure di sicurezza adottate (art.30,(1),g) al fine di rendere utile ciò nel caso di richiesta dell’interessato o di controllo dell’Autorità. La sicurezza si esprime anche nell’accountability (policy globale anche creativa) che deve svilupparsi con politiche adeguate; il GDPR dice che il titolare deve valutare bene i rischi e quando l’esito della valutazione porta al risultato che il trattamento può condurre a rischi elevati, essa deve essere portata a conoscenza del Garante (prima la si coinvolgeva più spesso con questa notificazione, col GDPR solo dopo questa valutazione). “Security breach notification”, l’ordinamento parte dal punto di vista che la trasparenza sia indispensabile anche per quanto riguarda la conoscenza degli eventi, perché poi altri prendano esempio e si adoperino in senso positivo (anche nel diritto penale): questa logica di trasparenza che serve da stimolo ha bisogno di un meccanismo di comunicazione senza ritardo al Garante e anche all’interessato oppure del pubblico in senso ampio basato sulla security breach notification: bisogna valutare anche il momento concreto in cui divulgare la notizia di un attacco anche in concerto col Garante; ci sarà la verifica della messa in atto di tutte le misure organizzative. Liceità è anche adempimento delle misure di sicurezza, c’è anche l’obbligo specifico di trattare i dati in maniera da garantire un’adeguata sicurezza dei dati compresa la protezione mediante misure tecnico-organizzative: gli incaricati del trattamento devono rispettare le misure di sicurezza e devono collaborare per una politica di sicurezza. Si deve non soltanto adattare dei piani d’azione, ma valutarli, verificarli e aggiornarli; ci sono anche disposizioni speciali per la sicurezza delle reti. Oggi c’è la Direttiva 2002/58/CE, che domani sarà un regolamento e-privacy , che specifica e completa la disciplina per la protezione dei dati nel mondo dei servizi di comunicazione elettronica accessibili al pubblico, con particolare riferimento ai dati di traffico. Il nuovo regolamento e-privacy si occuperà dei metadati, cioè di quelli che sono al cavallo tra il contenuto e l’aspetto esteriore delle informazioni, e darà disciplina alla correttezza della localizzazione ( longitudine, latitudine, altitudine di un apparecchio terminale), alla direzione del viaggio ecc…; l’integrità e l’affidabilità di questi dati va oltre la tutela dei diritti della personalità e riguarda anche la prevenzione e la repressione dei reati. Anche in questa materia c’è il principio di minimizzazione: i dati devono essere trattati il meno possibile, meno dati ci sono meglio è; nella riservatezza si abbracciano anche persone giuridiche pubbliche o private abbonati a questi servizi. Si verifica come un fornitore del servizio deve collaborare col fornitore della rete: ci sono obblighi specifici agli abbonati (Art. 4 Direttiva). Nell’Art. 5 Direttiva c’è la riservatezza delle comunicazioni: la norma obbliga gli stati membri attraverso la legge a garantire in positivo di far si che le informazioni che circolano attraverso reti pubbliche siano sicuri; c’è l’obbligo per gli stati membri di vietare la captazione indebita e la memorizzazione da parte di terzi. E’ frequente la circostanza che il titolare nell’inversione dell’onere della prova può cagionare danno con un trattamento sbagliato, sono danni anche immateriali. La novità sono le sanzioni elevate a seconda della gravità dell’illecito: queste sanzioni devono avere carattere di effettività, proporzionalità e dissuasività. L’ordinamento si preoccupa anche della punizione penale di chi accede, capta, distrugge indebitamente dati e informazioni; la Conv. Di Budapest ha rivisto la legge applicabile e la proporzione di attività investigative; un danno alle infrastrutture critiche porta un danno alla collettività; con la Direttiva Nis ci si preoccupa di avere un approccio globale che guarda l’importanza strategica di queste reti per interessi pubblici e collettivi.