94277b8b

Rome 4 Future 2024 - Future Week

Fri, 25 Oct 2024 08:33:03 GMT

Rome 4 Future 2024 - Future Week. Studium Cives | Studio Legale - Law Firm grazie alla sua anima rivolta alla digital transformation è stato invitato all'opening party di Rome Future Week.

Studium Cives | Studio Legale - Law Firm grazie alla sua anima rivolta alla digital transformation è stato invitato all'opening party di Rome Future Week. Un particolare ringraziamento va all'incontro con yourscienceEDU e con il dott. Francesco Sirolli che ha saputo magistralmente condurre una serata volta al confronto con i vari stakeholder. Menzione gradita al talentuoso artista dott. paolo signore e al centro di ricerca Knowledge and Innovation . Luca Sanna Tiziana Pica #romefutureweek #romeisfuture #humans #ai #studiumciveslife

L'ANALISI La privacy in pandemia è un diritto fluido: i dubbi sugli interventi del Garante

avv.lucasanna@gmail.com (Luca Sanna) — Sat, 22 Jan 2022 11:21:07 GMT

Didattica a distanza, Green Pass e Super Green Pass : la privacy in pandemia sembra essere un diritto fluido. Gli ultimi interventi del Garante per la protezione dei dati personali evidenziano in maniera marcata come i diritti costituzionali di “nuova creazione” siano tutelati in maniera arbitraria e a volte nebulosa.

L’audizione istituzionale del 07 Dicembre scorso, in occasione dell’approvazione del Super Green Pass ha visto l’Autorità Garante per la protezione dei dati personali esprimere i propri dubbi in merito all’introduzione del super Green Pass.

In particolare il Garante della privacy ha inteso evidenziare il proficuo dialogo con il Legislatore in merito “ […] all’equilibrio sostenibile raggiunto tra i vari interessi in gioco (segnatamente: sanità pubblica, autodeterminazione terapeutica, riservatezza), garantendo che le misure di contenimento dei contagi (e le certificazioni verdi in primo luogo) non degenerassero in strumenti di sorveglianza di massa.”(Così si legge all’interno della memoria pubblicata sul sito istituzionale https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9725434 ) ma allo stesso tempo ha espresso dubbi sulla possibilità inserita all’interno del testo normativo di procedere con la consegna del Green Pass dei dipendenti al proprio datore di lavoro in quanto “[…] La prevista ostensione (e consegna) del certificato verde a un soggetto, quale il datore di lavoro, al quale dovrebbe essere preclusa la conoscenza di condizioni soggettive peculiari dei lavoratori come la situazione clinica e convinzioni personali, pare infatti poco compatibile con le garanzie sancite sia dalla disciplina di protezione dati, sia dalla normativa giuslavoristica (artt.. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003).”

Ebbene questo morbido intervento è farcito di espressioni verbali (“pare” – ndr) che certamente non aiutano a fare chiarezza sul tema e che lasciano sempre la porta aperta a diverse interpretazioni.

Tale atteggiamento appare, mi si perdoni il termine, in linea con tutti gli interventi leggeri del Garante durante il periodo pandemico che di fatto hanno relegato il diritto alla riservatezza ad una sorta di gonfalone da esporre durante gli incontri istituzionali, senza in verità, alcun tipo di conseguenza in caso di vilipendio. Se il diritto alla riservatezza rappresenta davvero l’espressione di libertà costituzionali da garantire all’individuo, non si comprende per quale ragione tale diritto debba in qualche modo essere oggetto di compromessi e trattative di natura politica che ne degradano la forza e l’impatto sulla società.

GLI INTERVENTI DEL GARANTE DURANTE Il COVID

Didattica a distanza:

Il primo intervento del Garante durante il Covid frutto di tale politica del compromesso risale al mese di marzo del 2020 e attiene alla didattica a distanza. All’interno delle linee guida era dato leggersi come “[…] qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento- utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato”.

In questo caso il fornitore della piattaforma sarebbe stato esonerato dalla ricezione di una nomina ai sensi dell’art. 28 del GDPR in quanto il servizio sarebbe stato rivolto direttamente agli utenti.

Ebbene lo scrivente è stato interessato in un caso da uno studente che non voleva utilizzare il servizio scelto dall’istituto scolastico e, essendo il trattamento basato sul libero consenso, avrebbe potuto esprimere il proprio diniego. Tale elemento non è stato preso in considerazione.

Ricette mediche a distanza:

Così è dato leggersi sul sito del Garante [1] “[…] Il Garante ha espresso parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze secondo cui l’assistito che abbia ricevuto dal medico gli estremi della ricetta per posta elettronica, via sms o telefonicamente, può comunicarla, con le stesse modalità, alla farmacia.

Lo schema di decreto prevede inoltre che, nel periodo emergenziale, l’assistito possa delegare il medico a inviare la ricetta direttamente alla farmacia, tramite posta elettronica o attraverso lo stesso sistema che genera la ricetta. Allo stato lo schema di decreto sottoposto al parere del Garante non è stato ancora adottato dal Mef.”

Allo stato degli atti sul sito del Garante non appare esserci ulteriore indicazione.

Ad ogni modo si deve evidenziare come le valutazioni del Garante in ambito medico non abbia rilevato l’assenza del Ministero della Salute all’interno del processo decisionale. Appare ictu oculi come le categorie di dati da proteggere poco attengono alle competenze del Ministero dell’economia delle finanze e allo stesso tempo come un cotal decreto ministeriale necessitasse di una base legislativa che potesse tenere conto del digital divide particolarmente evidente in considerazione della platea e degli attori coinvolti.

Il piano vaccinale. Le vaccinazioni nel luogo di lavoro.

Il Garante ha successivamente espresso le proprie linee guida in merito al piano vaccinale e alla possibilità per i datori di lavoro di offrire il servizio di vaccinazione in loco.

Nel Documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali” (allegato al provvedimento n. 198 del 13 maggio 2021, viene stabilito come “[…] il datore di lavoro, attraverso le competenti funzioni interne, potrà fornire al professionista sanitario indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali, senza però trattare dati personali relativi alle adesioni di lavoratrici e lavoratori identificati o identificabili.”

Nel successivo paragrafo però tale prescrizione appare subito smentita con una eccezione di carattere generale, laddove è dato leggersi “[…] Resta salvo che ove dall’attestazione prodotta dal dipendente sia possibile risalire al tipo di prestazione sanitaria da questo ricevuta, il datore di lavoro, salva la conservazione del documento in base agli obblighi di legge, dovrà astenersi dall’utilizzare tali informazioni per altre finalità nel rispetto dei principi di protezione dei dati (v. tra gli altri, il principio di limitazione della finalità di cui all’art. 5, par. 1, lett. b), del Regolamento) e non potrà chiedere al dipendente conferma dell’avvenuta vaccinazione o chiedere l’esibizione del certificato vaccinale”

Anche in questo caso, evidentemente un trattamento esiste (la conservazione della certificazione medica). Sul punto si comprende l’equilibrio e la fune sulla quale camminava il Garante, ma, si chiede lo scrivente, non sarebbe stato meglio semplicemente sospendere le guarentigie costituzionali piuttosto che elaborare un provvedimento contraddittorio e di difficile lettura.

IL GREEN PASS E IL SUPER GREEN PASS:

Sul Green Pass e sul Super Green Pass la politica del compromesso ha raggiunto un livello davvero difficile da contemperare. E’ la stessa audizione del Garante del 7 dicembre del 2021 a certificare le difficoltà del Garante laddove nell’incipit l’Autorità cerca di giustificare le proprie scelte in aderenza ai trattati e principi europei sul trattamento dei dati personali, con un esercizio retorico che si concretizza in una sorta excusatio non petita preventiva.

Per tale ragione tutti osservatori sono molto critici sul contegno dell’Autorità che di fatto ha generato moltissime problematiche da parte di tutti gli operatori. Basti riflettere sulla circostanza che ciò che era impedito il 15 ottobre con l’introduzione del green pass per ragioni di tutela dell’individuo in merito alla consegna e all’ostensione del certificato verde al datore di lavoro, dopo solo 45 giorni appare superato con l’introduzione del super green pass.

Allo stesso modo appare davvero difficile oggi credere che con l’introduzione del super green pass non si possa risalire allo stato di salute degli interessati e alla loro condizione di vaccinati o non vaccinati.

Conclusioni

Nel sec. XVI sant’Ignazio ha scritto una serie di regole contenute nel libro del Esercizi spirituali oggi seguite dalle regole gesuitiche.

Tra queste regole vi è il principio del doppio discernimento: al fine di valutare l’adeguatezza di una scelta, anche legislativa, non si dovrebbe tenere in considerazione il male minore. In altri termini, se tra il bene e il male esistono una serie di step intermedi, il riferimento, in merito alla tutela di un principio che si pretende essere costituzionale, non dovrebbe mai essere il compromesso. Non si tratta di una opinione di merito, come potrebbe sembrare, bensì del metodo: se il diritto alla riservatezza deve degradare in un periodo di emergenza, sarebbe sufficiente ritirare lo stendardo per un periodo limitato, esponendo le ragioni di diritto sottese alla degradazione del diritto o alla limitazione dello stesso, così come avviene laddove il diritto alla riservatezza viene in contrasto con il principio di trasparenza o con il diritto di cronaca.

Avv. Luca Sanna

Studium Cives

[1] https://www.garanteprivacy.it/temi/coronavirus/faq (domanda numero 7)L’audizione istituzionale del 07 Dicembre scorso, in occasione dell’approvazione del Super Green Pass ha visto l’Autorità Garante per la protezione dei dati personali esprimere i propri dubbi in merito all’introduzione del super Green Pass.

GLI INTERVENTI DEL GARANTE DURANTE Il COVID

Didattica a distanza:

Ricette mediche a distanza:

Allo stato degli atti sul sito del Garante non appare esserci ulteriore indicazione.

Il piano vaccinale. Le vaccinazioni nel luogo di lavoro.

Il Garante ha successivamente espresso le proprie linee guida in merito al piano vaccinale e alla possibilità per i datori di lavoro di offrire il servizio di vaccinazione in loco.

IL GREEN PASS E IL SUPER GREEN PASS:

Conclusioni

Nel sec. XVI sant’Ignazio ha scritto una serie di regole contenute nel libro del Esercizi spirituali oggi seguite dalle regole gesuitiche.

Avv. Luca Sanna

Studium Cives

[1] https://www.garanteprivacy.it/temi/coronavirus/faq (domanda numero 7)

Scam finanziario, difendere l’investitore: i consigli per evitare di essere truffati

Fri, 03 Dec 2021 16:16:18 GMT

Le truffe informatiche e lo scam finanziario nella maggior parte dei casi inducono l’investitore a cadere nella rete dei truffatori attraverso promesse di facile guadagno contenute all’interno di portali considerati affidabili. Ecco alcuni accorgimenti che permettono di individuare fin da subito la truffa on line

The body content of your post goes here. To edit this text, click on it and delete this default text and start typing your own or paste your own from a different source.

Semplificazioni bis, come sopravvivere alla giungla degli appalti

avv.lucasanna@gmail.com (Luca Sanna) — Fri, 03 Dec 2021 15:37:37 GMT

Semplificazioni bis, come sopravvivere alla giungla degli appalti rispettando le norme di tracciabilità

Con il Decreto Semplificazioni bis n. 77/2021 il Codice dei Contratti Pubblici è stato parzialmente riformato in tema di affidamento diretto innalzando le soglie per permettere alla Pubbliche Amministrazioni di poter usufruire più agevolmente dei finanziamenti legati al Recovery Fund e al PNRR . Ma non tutto è stato ancora modificato in tema di tracciabilità e permangono alcuni dubbi in merito alla compilazione e al perfezionamento dei CIG.

Dal primo giugno del 2021 è vigente il decreto legge n. 77 del 2021, meglio noto come Decreto Semplificazioni bis che ha introdotto nuove disposizioni al fine di realizzare i traguardi e gli obiettivi imposti all’interno Piano Nazionale di Ripresa e Resilienza (PNRR) e Piano Nazionale Complementare (PNC). Gli articoli dal 47 al 56 del DL 77/2021 prevedono, da un parte nuove semplificazioni per gli affidamenti dei contratti pubblici sotto soglia valide fino al 30 giugno 2023, dall’altra sia alcune modifiche alla disciplina del subappalto e sia ulteriori previsioni di semplificazione e accelerazione delle procedure di affidamento.

Gli affidamenti sotto soglia

In particolare l’art. 51 derubricato come “Modifiche al decreto-legge 16 luglio 2020 n. 76” ha infatti in parte emendato le norme in merito agli affidamenti sotto soglia indetti ai sensi del DL Semplificazioni. In particolare, è stata trasformata la disciplina dell’affidamento diretto che ora prevede la possibilità di affidare direttamente servizi e forniture per un valore fino a 139.000 euro, anziché 75.000 euro come previsto dal primo Decreto Semplificazioni.

In altre parole sotto la soglie di 139.000 euro è possibile oggi procedere attraverso affidamento diretto, senza necessità di alcuna procedura negoziata, usufruendo peraltro della possibilità di utilizzare la disposizione di cui all’art. 32 del D.Lgs. 50/2016 che prevede l’ipotesi semplificata di affidamento: “[…] la stazione appaltante può procedere ad affidamento diretto tramite determina a contrarre, o atto equivalente, che contenga, in modo semplificato, l’oggetto dell’affidamento, l’importo, il fornitore, le ragioni della scelta del fornitore, il possesso da parte sua dei requisiti di carattere generale, nonché il possesso dei requisiti tecnico-professionali, ove richiesti”.

L’impatto sulle stazioni appaltanti

Con un unico atto, senza alcun bando, la Pubblica Amministrazione ha oggi la possibilità di affidare appalti anche di notevole valore attraverso un unico provvedimento amministrativo. Per i servizi e le forniture di importo superiore a 139.000 euro ed inferiore alla soglia comunitaria è invece stata introdotta la procedura negoziata senza bando con confronto competitivo di 5 operatori economici e contestualmente è stata eliminata la fascia intermedia (dai 350.000 euro).

Ebbene, tali modifiche hanno colpito indirettamente le Stazioni Appalti in merito agli obblighi comunicativi relativi alla trasparenza e tracciabilità dei flussi finanziari. In altri termini, seppur non direttamente, le modifiche hanno influenzato le procedure relative all’emissione del CIG (Codice Identificativo di Gara), del CIG semplificato (detto anche Smart CIG) e dei derivati (CIG Padre e CIG Figlio).

Cig e Smart Cig, le incongruenze tra norme e applicazioni

Il Cig recita ANAC è un codice alfanumerico generato dal sistema SIMOG dell’ANAC con tre funzioni principali: una prima funzione è collegata agli obblighi di comunicazione delle informazioni all’Osservatorio ed alle successive deliberazioni dell’Autorità, per consentire l’identificazione univoca delle gare, dei loro lotti e dei contratti; una seconda funzione è legata al sistema di contribuzione posto a carico dei soggetti pubblici e privati sottoposti alla vigilanza dell’Autorità, derivante dal sistema di finanziamento dettato dall’articolo 1, comma 67, della legge 266/2005 , richiamato dall’art. 213, comma 12, del Codice dei contratti pubblici; una terza funzione è attribuita dalla legge n. 136/2010 che affida al codice CIG il compito di individuare univocamente (tracciare) le movimentazioni finanziarie degli affidamenti di lavori, servizi o forniture, indipendentemente dalla procedura di scelta del contraente adottata, e dall’importo dell’affidamento stesso.

Il Codice CIG è obbligatorio per gli appalti superiori a 40.000 euro e tale soglia non è stata modificata da alcuna normativa di riferimento. Sotto l’importo di 40.000 euro la stazione appaltante può invero accedere ad una procedura più semplice detta Smart CIG che contiene un numero inferiore di informazioni e che viene letto anche in combinato disposto con l’art. 32 del D.Lgs. 50/2016, che, come detto, introduce una procedura semplificata di affidamento diretto senza bando.

Ebbene, tale procedura ha visto innalzare la propria soglia fino a 139.000 euro in virtù delle modifiche introdotte dal Decreto Semplificazioni bis, sicché la Pubblica Amministrazione può oggi procedere ad un affidamento diretto importi superiori a 40.000 euro, ma contestualmente non è esentata dalla creazione di un Codice Identificativo di Gara completo .

Come si crea un CIG

In tal senso occorre precisare come la procedura di ottenimento del CIG necessiti per il perfezionamento (da compiersi entro 90 giorni dalla creazione ) l’indicazione di alcuni dati che la stessa Stazione Appaltante potrebbe ignorare in virtù della legittima scelta di procedere senza indizione di bando. Ai fini di un corretto perfezionamento l’ANAC infatti richiede:

La data di pubblicazione del Bando;
La data di scadenza per la presentazione delle offerte;
Ora di Scadenza delle offerte;
Data di scadenza per la presentazione della richiesta di invito;
Data della lettera di invito.

Con evidenza alcuni di questi dati non sono in possesso della Stazione Appaltante non avendo la stessa potuto o voluto procedere per mezzo di una procedura negoziata. Come compilare questi campi?

Per saperne di più vai su https://www.agendadigitale.eu/procurement/semplificazioni-bis-come-sopravvivere-alla-giungla-degli-appalti-rispettando-le-norme-di-tracciabilita/

Settimana della Legalità 2021

Tue, 16 Nov 2021 16:39:00 GMT

Studium Cives ha moderato con l'avv. Tiziana Pica e l'avv. Luca Sanna la Settimana della Legalità presso la Sala Fellini di Cinecittà S.p.A. Si ringrazia il Consigliere presso la Corte dei Conti Dott.ssa Rossana Rummo e il Segretario Generale della Corte Costituzionale Dott. Carlo Visconti, nonché tutti i consiglieri, i dirigenti, gli avvocati di Cinecittà che hanno reso possibile questa iniziativa. #studiumcives #Cinecittà #legalità #trasparenza #diritto #giornatadellalegalitàetrasparenza #formazione #culturadellalegalità

Nuovo paragrafo

Le ultime indicazioni del Garante Privacy per i Cookies e gli strumenti di tracciamento digitale

Wed, 22 Sep 2021 11:43:01 GMT

A TRE ANNI DALL’APPLICAZIONE IN ITALIA DEL REGOLAMENTO UE N. 2016/679 ERA PREVEDIBILE E QUANTO MAI NECESSARIO UN INTERVENTO DEL GARANTE PRIVACY SULLA DISCIPLINA DEI COOKIE.

Premessa

Nel mondo informatico e digitale, nella navigazione tra siti e app mobile, hanno assunto un ruolo da protagonisti i famigerati “cookies”, i pionieri dei sistemi di tracciamento dell’utente del web.

Fino a pochi giorni fa la disciplina dell’uso corretto dei cookies era quella tracciata dalle Linee guida adottate dal Garante per la Protezione dei Dati Personali nel 2014.

Tuttavia, di fronte al persistere di uno sconfinato utilizzo dei cookie in violazione delle Linee Guida del Garante nonché dei principi stabiliti dal Regolamento UE n. 2016/679 (il GDPR), l’Autorità è nuovamente intervenuta sul punto per delineare in modo più chiaro e netto l’impiego dei “biscotti digitali” affinché il “barattolo” dei cookies si riduca a un mero baratto tra accesso a piattaforme, siti web e servizi in cambio dei dati personali dell’Interessato navigatore.

La disciplina dei Cookies prima del Regolamento UE n. 2016/679

Come noto, il Garante Privacy con provvedimento dell’8 maggio 2014 aveva adottato le Linee guida per un uso dei cd. Cookies conforme a quella che all’epoca, ante GDPR, era la normativa vigente in materia di privacy e tutela dei dati personali.

Perseguendo l’obiettivo di tutelare gli utenti da profilazioni effettuate a loro insaputa sulla base dei loro comportamenti in rete, il Garante aveva adottato un provvedimento per chiarire e semplificare l’osservanza della disciplina sul corretto utilizzo di tali strumenti di tracciamento e profilazione derivante dalla normativa comunitaria che in Italia era stata recepita nel 2012.

Ebbene, l’ambito applicativo della normativa sui cookie rileva per tutti i siti web e le web app che, a prescindere dalla presenza di una sede nel territorio italiano, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato” (così recitava il vecchio testo dell’art. 5, comma 2, del Codice privacy, abrogato con il d.lgs. n. 101/2018).

In particolare, secondo i capisaldi delle linee guida del 2014:

• i siti che non utilizzano cookie non sono soggetti ad alcun obbligo;

• per l´utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner;

• i cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità;

• se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (tra cui in primis la notificazione al Garante) qualora: i) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell´IP) e ii) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone;

• se sul sito ci sono link a siti di terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l´installazione di cookie di profilazione non c´è bisogno di informativa e consenso;

• nell´informativa estesa il consenso all´uso di cookie di profilazione potrà essere richiesto per singole categorie (es. viaggi, sport);

• È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell´ambito dello stesso dominio;

• gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

Le novità introdotte dal provvedimento del Garante Privacy del 10 giugno 2021

Il quadro giuridico di riferimento attualmente è costituito tanto dalle disposizioni della direttiva 2002/58/Ce (cd. direttiva ePrivacy) e successive modifiche, come recepita nell’ordinamento italiano all’art. 122 del Codice Privacy, quanto dal Regolamento UE n. 2016/679 per ciò che concerne specificamente la nozione di consenso di cui agli artt. 4, punto 11) e 7) e al Considerando 32, come da ultimo interpretati dalle Linee Guida del WP29 adottate il 10 aprile 2018, ratificate dal Comitato europeo per la Protezione dei dati personali (di seguito, EDPB) il 25 maggio 2018 e sostituite, da ultimo, dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020.

Sennonchè, la figura dell’Interessato sempre più esigente e propenso a perfezionare o massimizzare la navigazione sul web e i profili personali delle app attivate sui propri dispositivi, da una lato, e le novità del GDPR, incentrato sui principi di privacy by design e privacy by default, e le sempre più numerose segnalazioni prevenute all’Autorità di Controllo negli ultimi due anni, dall’altro latro, hanno inevitabilmente condotto il Garante privacy all’adozione di un aggiornamento della disciplina.

L’upgrade delle Linee guida del 2014, passa per i seguenti punti fermi e le relative considerazioni.

Anzitutto, osserva il Garante, i cookie e gli altri strumenti di tracciamento possono avere caratteristiche diverse sotto il profilo temporale e dunque essere considerati in base alla loro durata (di sessione o permanenti), ovvero dal punto di vista soggettivo (a seconda che il publisher agisca autonomamente o per conto della “terza parte”).

La loro classificazione poggia essenzialmente su due macro categorie:

a) i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (art. 122, comma 1 del Codice);

b) i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile inviare messaggi pubblicitari sempre più mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

Anche per gli altri strumenti di tracciamento si può ricorrere al criterio della finalità per la quale sono utilizzati, ovvero quella meramente tecnica e quella commerciale, per procedere alla loro classificazione.

Ciò premesso, il Garante ha chiarito che per l’impiego di cookie tecnici, in virtù della funzione assolta e nei limiti ed alle condizioni richiamate, il titolare del trattamento sarà assoggettato al solo obbligo di fornire l’informativa, anche eventualmente inserita all’interno dell’informativa di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato. Invece, per i cookie di profilazione e gli altri strumenti di tracciamento potranno essere utilizzati esclusivamente dopo la previa acquisizione del consenso informato dell’interessato utente così come prevede ancora oggi l’art. 122 del Codice privacy. Tale norma è stata introdotta nel d.lgs. n. 196/2003 a seguito del recepimento in Italia della direttiva ePrivacy n. 2002/58/Ce, che, come le norme di diritto interno che la recepiscono, è tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche.

Difatti, il Garante sottolinea come ad esclusione delle fattispecie disciplinate in via esclusiva ed esaustiva dalla direttiva ePrivacy, molte attività di trattamento devono dunque essere ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento UE n. 2016/679, con la specificazione tuttavia che, per la parte di potenziale sovrapposizione ogniqualvolta la direttiva renda più specifiche le regole del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sugli articoli del Regolamento. Le disposizioni del GDPR sono invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti, come appunto quella sull’acquisizione del consenso.

Ebbene, le Linee guida del 10 giugno 2021 fissano le seguenti novità:

a) ai fini della corretta acquisizione del consenso dell’utente al trattamento dei dati il solo “scrolling” (ovvero l’azione consistente nel lasciare scorrere la pagina così da mostrarne sullo schermo la parte sottostante al banner contenente la c.d. informativa breve) non è sufficiente ad integrare un valido consenso dell’interessato all’installazione e all’utilizzo di cookie di profilazione nonché all’utilizzo del c.d. cookie wall che vincolano l’utente a cliccare solo su “ok” pena l’impossibilità di navigare sul sito. Mentre tale ultima tecnica è ritenuta illegittima dal Garante, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta all’utente l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori, con riferimento allo scrolling l’Autorità ritiene possa essere utilizzata ma solo come componente di un più articolato processo che consenta comunque all’utente di segnalare al titolare del sito una scelta inequivoca nel senso di prestare il proprio consenso all’uso dei cookie.

b) sempre nell’ambito dell’acquisizione del consenso è stato evidenziato che, al fine di evitare ridondanti richieste del consenso all’utilizzo dei cookies effettuati da alcuni siti web ad ogni singolo accesso dell’utente che già aveva espresso le sue preferenze al primo accesso – riproposizione della richiesta del consenso e delle preferenze che integra peraltro una sorta di pratica defatigante che mira a sfiancare l’utente del web, che aveva già espresso le sue preferenze, inducendolo a dare in maniera forzosa il consenso all’utilizzo di tutte le diverse tipologie di cookies – , i gestori di siti web debbano evitare di attivare il banner per la raccolta delle preferenze dell’interessato ad ogni accesso. Una volta che l’utente non ha fornito il proprio consenso o lo abbia fornito solo per l’impiego di alcuni cookie, il banner non dovrà più essere ripresentato salvo che in specifici casi, ovvero: i) quando cambiano significativamente una o più condizioni del trattamento, ad esempio le “terze parti”; ii) quando è impossibile per il provider sapere se un cookie tecnico è già stato posizionato nel dispositivo dell’utente (ad esempio nel caso in cui sia l’utente stesso a cancellare i cookie, ricordando che la cancellazione dei cookie dalla cronologia effettuata dall’utente non integra la revoca del consenso dell’interessato); iii) quando sono trascorsi almeno sei mesi dalla precedente presentazione del banner.

c) per impostazione predefinita (privacy by design e privacy by default), al momento del primo accesso dell’utente a un sito web, alcun cookie diverso da quelli tecnici può essere posizionato all’interno del dispositivo dell’utente, né può essere utilizzata alcuna altra tecnica attiva o passiva di profilazione. Tuttavia, poiché occorre assicurare anche la libertà di scelta di chi invece intenda accettare di essere profilato, il Garante suggerisce che i gestori dei siti web implementino un meccanismo in base al quale l’utente, accedendo alla home page (o ad altra pagina) del sito web, visualizzi immediatamente un’area di dimensioni sufficienti da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che sta visitando, che sia parte integrante di un meccanismo che, pur non impedendo il mantenimento delle impostazioni di default, permetta anche l’eventuale espressione di una azione positiva nella quale deve sostanziarsi la manifestazione del consenso dell’interessato.

d) Dunque, secondo il Garante, l’utente che sceglie di mantenere le impostazioni di default e dunque di non prestare il proprio consenso al posizionamento dei cookie o all’impiego di altre tecniche di profilazione, dovrebbe dunque limitarsi a chiudere tale finestra o area cliccando sulla famosa “X” del comando “annulla” posizionata in alto a destra del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate. In tal modo, il Titolare del trattamento opererebbe nel rispetto dei principi della privacy by default e il consenso potrà intendersi come validamente prestato soltanto se sarà conseguenza di un intervento attivo, libero e consapevole dell’utente, riscontrabile e dimostrabile da parte del Titolare (accountability), che consenta di qualificarlo come in linea con il Regolamento.

e) Già nelle Linee guida del 2014 ha affermato che i cookie identificativi, ovvero i cookie analytics, possono essere ricompresi nella categoria di quelli tecnici, e come tali essere utilizzati in assenza della previa acquisizione del consenso dell’interessato, al verificarsi di determinate condizioni. Ma, affinché il Titolare operi anche nel rispetto dell’art. 25, paragrafo 1, del Regolamento ovvero attuando “in modo efficace i principi di protezione dei dati”, dovrà anche adottare misure di minimizzazione del dato che riducano significativamente il potere identificativo dei cookie analytics, qualora il loro utilizzo avvenga ad opera di “terze parti”. Ciò implica, a parere dell’Autorità di Controllo italiana, che i cookie analytics possano essere equiparati ai cookie tecnici solo laddove attraverso il loro utilizzo non sia possibile risalire all’identificazione dell’interessato (cd. single out): dunque bisogna impedire l’uso di cookie analytics che, per le loro caratteristiche, possano risultare identificatori diretti ed univoci. Infine, il Garante ricorda che l’uso dei cookie analytics deve essere limitato alla produzione di statistiche aggregate e deve avvenire in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.

f) Anche l’informativa, antefatto della raccolta del consenso e delle eventuali preferenze dell’interessato, deve essere migliorata affinché gli utenti ricevano un’informativa conforme ai rinnovati requisiti di trasparenza imposti dagli articoli 12 e 13 del Regolamento, compresa l’indicazione circa gli eventuali altri soggetti destinatari dei dati personali ed i tempi di conservazione delle informazioni acquisite. Al riguardo il Garante suggerisce il ricorso a modelli di informativa che sia multilayer, ovvero dislocata su più livelli, e che al contempo possa essere resa, eventualmente in relazione a specifiche necessità, anche per il tramite di più canali e modalità (cd. multichannel), in modo da sfruttare al massimo più canali comunicativi dinamici (es. canali video, pop-up informativi, interazioni vocali, assistenti virtuali, all’impiego del telefono, etc.).

I soggetti che in qualità di Titolari del trattamento gestiscono siti web, siti app o app mobili dovranno adeguarsi al testo definitivo delle Linee Guida sottoposte entro il termine di 6 mesi dalla pubblicazione sulla Gazzetta Ufficiale.

Apple Store, concessioni solo di facciata (per ora) agli sviluppatori: ecco perché

avv.lucasanna@gmail.com (Luca Sanna) — Fri, 03 Sep 2021 14:52:25 GMT

Al momento i passetti avanti di Apple, sulle regole del proprio store, sembrano solo di facciata. Ma il bello dello scontro deve ancora arrivare. Ecco le parti e le ragioni in campo

Da una parte le ragioni di Apple, per anni indiscusse. Dall’altra, quelle degli sviluppatori. Le cui pressioni cercano di smuovere un castello – quello degli app store, quello di Google incluso – che finora sembrava destinato a restare intatto in eterno.

Al momento il castello sembra resistere bene agli assalti. Resilienza, la parola giusta.

Primi segnali di cedimento di Apple o è solo un trucco?

Lo scorso 26 agosto, quando Apple ha proposto un accordo in transazione con un’associazione di sviluppatori, all’interno di una class action, che è stato definito epocale dalla stampa, ma che in realtà mantiene lo status quo dell’azienda fondata da Steve Jobs per i prossimi tre anni.

L’accordo prevede l’impegno della Mela di lasciare invariata la percentuale della commissione sulle transazioni per i prossimi tre anni, di basare la visualizzazione delle app su criteri oggettivi di download e valutazione degli utenti ed infine di aumentare il prezzario delle App e dei servizi associati dal numero di 100 al numero di 500 (in altre parole il prezzo applicato per le App e per i servizi può essere scelto sulla base di 500 possibilità).

Dall’altra parte cade l’obbligo per gli sviluppatori di far pagare un contenuto o un abbonamento in app.

Molti commentatori, tra cui Jack Nicas del New York Times, hanno definito tale accordo una “farsa”, perché, seppur decada l’obbligo di acquisto all’interno dell’applicazione, ancora non è prevista la possibilità di inserire all’interno delle app un sistema diverso di transazioni.

Nei fatti sarà possibile per le aziende informatiche comunicare al cliente la possibilità di usufruire di altri sistemi di pagamento diversi da quello di Apple, così come già stava accadendo dopo che persino Spotify aveva iniziato ad indirizzare i clienti all’interno del proprio sistema interno.

Con l’accordo Apple ha proposto il pagamento di 100 milioni di dollari alle aziende querelanti, che però ne richiedono altri 30. Il pagamento non sarà a titolo risarcitorio, ma come un incentivo ai piccoli sviluppatori a proseguire la loro opera meritoria.

Da una indiscrezione del NY Times pare che il patto di quota lite tra la difesa dei querelanti e gli sviluppatori si aggiri intorno alla percentuale del 25%. Sicché, dei circa 70 milioni di euro attesi, ogni azienda dovrebbe ricevere da 250 dollari a 30.000 dollari ciascuno in proporzione al fatturato.

Occorre precisare che l’accordo del 26 Agosto attende ancora l’approvazione del Giudice Yvonne Gonzalez Rogers della Corte Distrettuale degli Stati Uniti d’America per il distretto della California.

Concessione a Netflix, Spotify

Un passetto ulteriore è arrivato a inizi settembre, quando Apple ha proposto che le reading app, come Netflix e Spotify, permettano in effetti di pubblicare sistemi di pagamento alternativi all’interno delle app.

Ma ancora dalle carte del processo con Fortine – riporta il NYTimes – risulta che i ricavi Apple da questo tipo di app sono trascurabili; il grosso viene dai videogiochi, infatti.

Le diverse ragioni

Apple sostiene che la percentuale di commissione applicata sulle transazioni, 30 per cento che crea un mercato di 20 miliardi di dollari, è il prezzo che lo sviluppatore paga per appoggiarsi su un negozio che ha una vetrina dalla quale passano potenzialmente 7 miliardi di persone. Così come un negozio nelle vie centrali delle grandi metropoli ha un costo di affitto molto alto, allo stesso modo la presenza all’interno dello Store più famoso del mondo sconta un prezzo elevato.

Simili gli argomenti che Google ha sempre sostenuto (con la differenza che permette, a differenza di Apple, di installare app al di fuori del sistema store): la commissione ci permette di mantenere un ambiente sicuro.

Gli sviluppatori, soprattutto delle Big Tech, dall’altra parte non sono più disposti a rinunciare ad una parte importante dei loro profitti e hanno così iniziato numerosissime battaglie legali all’interno dei Tribunali distrettuali americani.

Il sistema di Apple è semplice. Al momento della immissione all’interno dello Store, l’azienda californiana costringe lo sviluppatore ad usare il suo sistema di pagamento interno, riscuotendo così la propria commissione, in modo automatico. Apple per un lungo tempo ha anche impedito alle aziende di App di inviare mail ai propri clienti per destinarli ad altri sistemi esterni di pagamento.

E’ evidente che la maggioranza delle aziende informatiche preferirebbe fare sterzare il cliente al proprio sistema di pagamento, evitando di dover pagare il gettone ad Apple.

La prima ribellione

Una delle prime aziende che si è lamentata di tale sistema è stata Spotify, l’azienda svedese che offre il servizio di streaming musicale on demand nei confronti di quasi 140 milioni di utenti di cui 70 milioni di abbonati.

E’ ironico che un’azienda musicale, evoluzione dell’I-Tunes store, sia stata la prima a rompere il sistema di pagamento interno, facendo registrare i proprio utenti all’interno dell’applicazione, ma impedendo agli stessi di sottoscrivere un abbonamento direttamente dalla App.

Laddove un utente Spotify volesse sottoscrivere un abbonamento ha la necessità di andare direttamente sul sito internet dell’azienda. Per favorire ”l’esodo”, Spotify invia una e-mail agli account dei registrati dove pubblicizza semplicemente i servizi, con i relativi link di collegamento, senza mai violare i termini e le condizioni con Apple.

Apple e Fortnite: La Royale Battle

Non è certo finita qui. Curiosamente lo stesso giudice distrettuale è anche investito di dover decidere la querelle legale tra Epic Games, la società sviluppatrice di Minecraft e Fortnite, e Apple.

La ragione della battaglia legale si può facilmente intuire: Fortnite è il gioco online più diffuso tra gli adolescenti e ha avuto il suo debutto nel mercato delle App il 2 aprile del 2018.

Il gioco è gratuito, ma prevede una serie di servizi legati al gameplay acquistabili attraverso micropagamenti. Dopo solo il primo mese di pubblicazione si calcola che i guadagni abbiano superato i 25 milioni di Dollari, ed il gioco ha velocemente salito la classifica in termini numerici di download dello store. La genesi dello scontro avviene quando Epic Games decide di introdurre un metodo alternativo di pagamento aggirando Itunes ed impedendo a Apple di riscuotere la propria commissione.

Apple si difende dicendo che il proprio Store non è differente rispetto a quello di altri colossi come Playstation o X-Box (Sony e Microsoft) che hanno anche loro un sistema nativo per i pagamenti che non può essere eluso e non comprende le ragioni di tale decisione. La App viene sospesa dallo store per qualche tempo e le parti finiscono innanzi al Tribunale.

Uno degli aspetti importanti di questa vicenda sarà quindi la valutazione del giudice in merito ai terminali, I-Phone e I-Pad: se considerare tali device beni “generalisti”, cioè funzionali a più aspetti della vita, oppure devono rientrare in quella definizione che potremo chiamare “special purpose”.

Epic Games ha citato a testimonio Lori Wright, responsabile della Xbox Business Development di Microsoft, la quale ha definito console come Xbox un dispositivo special purpose, perché viene utilizzata per uno scopo specifico, mentre un Computer Windows invero si presta ad un numero infinito di scopi.

Un altro aspetto che emerso dal dibattimento riguarderebbe la tutela del consumatore. Mentre Epic Games ha imposto il limite di tre rimborsi per account, Apple ha una policy nei confronti dei consumatori molto più permissiva e non pone limiti ai rimborsi.

Inoltre c’è un altro aspetto da considerare: Fortnite è accusato da molti osservatori, anche istituzionali, di essere uno strumento che aumenta la compulsività degli utenti più giovani, specie in termini di acquisti effettuati all’interno del gioco.

In tal senso Epic Games, così come fatto da Spotify, avrebbe potuto indirizzare gli utenti ad effettuare i pagamenti esterni, e non in app, ma tale scelta avrebbe certamente ridotto gli introiti in maniera rilevante, perché avrebbe probabilmente smorzato “l’entusiasmo” del giocatore. In altre parole, il giocatore avrebbe potuto razionalmente decidere di non effettuare l’acquisto una volta smessi i panni del proprio eroe.

Ci sarà un Giudice in California?

Così come il mugnaio di Bertold Brecht che lotta contro l’imperatore per difendere i propri diritti, nella battaglia legale più attesa dell’anno si attende un verdetto che potrebbe non apparire più così storico, alla luce dell’accordo tra gli sviluppatori e Apple che potrebbe influenzare il Giudice Rogers verso una sentenza più conservativa. Non ci resta che attendere.

https://www.agendadigitale.eu/mercati-digitali/apple-e-gli-sviluppatori-chi-vincera-la-battaglia-degli-store/

L’obsolescenza programmata, dalle lampadine ai device digitali: cosa ci insegna il caso Apple

avv.lucasanna@gmail.com (Luca Sanna) — Tue, 31 Aug 2021 14:47:53 GMT

È lecito che un’azienda attui delle pratiche commerciali che impediscono un uso prolungato dei suoi prodotti, così da venderne di nuovi? Si chiama obsolescenza programmata e non è certo un’abitudine nuova. Ma con il digitale è diventato un fenomeno molto più evidente: anche per questo Apple è stata multata dall’AgcmThis is a subtitle for your new post

A causa di un furto di un tablet che utilizzavo principalmente come hub per gestire il lavoro durante le lunghe trasferte, ho deciso di rispolverare un vecchio iPad 3, scoprendo, mio malgrado, che un prodotto informatico basato su una tecnologia un po’ vecchiotta è oggi inutilizzabile: in altri termini non è possibile scaricare alcuna applicazione compatibile all’interno dello store nel caso in cui si utilizzi un nuovo account.

In realtà ancora oggi il prodotto, da un punto di vista hardware, seppure datato, può essere considerato un tablet entry level – eppure non c’è stato modo di poterlo utilizzare a causa della incompatibilità con le applicazioni.

Ebbene tale vicenda sarebbe oggi chiamata dai Geek “obsolescenza programmata”, una definizione, ormai divenuta di uso comune, che identifica quel processo dei grandi produttori di elettrodomestici e di devices informatici, che impedisce un uso prolungato del proprio bene di consumo, permettendo al mercato di avere sempre una domanda stabile e crescente del medesimo bene.

Le pratiche commerciali mirate a far invecchiare anzitempo prodotti di recente costruzione sono tornate alla ribalta della cronaca in seguito alle sanzioni comminate proprio a Apple, ma non sono certo una cosa recente.

Ricostruiamone l’origine prima di arrivare ai casi più recenti.

La cospirazione delle lampadine

Eppure, il più eclatante caso di obsolescenza programmata non è quello degli smartphone, come si potrebbe immaginare, bensì quello delle lampadine.

Il cartello Phoebus (in inglese Phoebus cartel «cartello Febo») fu un famoso episodio nel quale i maggiori produttori di lampadine nel 1924 costituirono un “trust”, ovvero un cartello.

WHITEPAPER

Guida per il rientro in ufficio: come ripensare la gestione degli spazi in azienda

Scarica il White Paper

Scarica il Whitepaper

Un cartello economico è un patto tra più operatori di un settore che mira a limitare la concorrenza di un mercato, fissa alcuni parametri, quali prezzo e condizioni di vendita, determina alcuni target produttivi e stabilisce una logistica distributiva che garantisca un equo guadagno tra i partecipanti all’accordo.

Ebbene nel lontano 1924 diverse società concordarono dei parametri per il controllo e la vendita di lampadine. Il nome Febo deriva dalla società svizzera registrata nel 1916 con il nome di la Phoebus S.A. Compagnie Industrielle pour le Développement de l’Éclairage.

La costituzione di tale cartello è considerato il primo grande passo nella moderna storia dell’economia in relazione alla obsolescenza pianificata in quanto i partecipanti decisero di pattuire la vita media di una lampadina permettendo così un aumento del numero dei prodotti venduti.

I membri del cartello erano la General Electric Company, la Tungsram, la Compagnie di Lampes, la OSRAM e la Philips i quali decisero che una lampadina dovesse avere una durata media di 1000 h.

Prima di tale cartello la vita media di un lampadina era decisamente superiore: è famoso il caso della lampadina che si trova attualmente all’interno della caserma dei Vigili del Fuoco di Livermore, in California, che è accesa da ben 120 anni e fu addirittura nomenclata come Centennial Light.

Il cartello si sciolse alla fine degli anni ’30 e in seguito tale vicenda arrivò addirittura innanzi alla Corte Suprema Americana che condannò la General Electric ad un salato risarcimento nella causa civile n. 1364 iniziata nel 1942 e conclusa nel 1953.

L’obsolescenza programmata nei devices elettronici

Un esempio fastidioso di obsolescenza pianificata riguarda quello delle cartucce delle stampanti, nelle quali è ormai presente un chip che determina il termine finale della cartuccia anche laddove sia ancora presente inchiostro.

Ebbene, l’esempio è ancora più eclatante nelle cartucce incluse all’interno delle scatole della stampante che hanno una vita media decisamente inferiore a quelle acquistate successivamente, in quanto il modello di business è propriamente basato sul guadagno derivante dai prodotti accessori, piuttosto che dall’utile marginale del singolo device.

Eppure, quasi tutti gli elettrodomestici si basano sui medesimi principi, così come per esempio le automobili acquistate possiedono un libretto di manutenzione che stabilisce la vita media dei prodotti consumabili, che a volte esula dalla reale necessità di sostituzione meccanica di un determinato componente.

Il caso Apple: le sanzioni dell’Agcm

Nel gennaio del 2018 l’Autorità Garante della Concorrenza e del Mercato ha inteso iniziare una procedura di infrazione nei confronti della società Apple per le seguenti ragioni:

“A) la proposta insistente, ai consumatori in possesso di iPhone 6/6plus/6s/6splus, di procedere ad installare il sistema operativo iOS 10 e i successivi aggiornamenti (tra cui iOS 10.2.1) le cui caratteristiche e impatto sulle prestazioni degli smartphone stessi sono state descritte in maniera omissiva ed ingannevole, senza offrire (se non in misura limitata o tardiva) alcun mezzo di ripristino dell’originaria funzionalità degli apparecchi in caso di sperimentata diminuzione delle prestazioni a seguito dell’aggiornamento. In particolare, secondo informazioni acquisite ai fini dell’applicazione del Codice del Consumo e le segnalazioni di alcuni consumatori 5 pervenute nel dicembre 2017, Apple, in occasione della release del sistema iOS 10.1, non ha informato i clienti dei possibili inconvenienti di funzionamento che il nuovo SO avrebbe potuto provocare attesa la configurazione hardware degli smartphone in cui sarebbe stato installato (ed in particolare del grado di usura della batteria) in determinate condizioni d’uso comune. Inoltre, in occasione della release del sistema iOS 10.2.1, Apple ha omesso di informare preliminarmente i consumatori, in maniera chiara e immediata, che per evitare alcuni rilevanti inconvenienti (quali l’improvviso spegnimento/riaccensione del proprio iPhone) tale release includeva un sistema di gestione delle prestazioni dello smartphone che avrebbe opportunamente rallentato tali prestazioni per evitare lo spegnimento inatteso – sistema mantenuto anche in successivi aggiornamenti di iOS;

B) la mancata informazione sulle caratteristiche della batteria e specificamente in merito alle condizioni per mantenere un adeguato livello di prestazioni degli iPhone, alla sua durata e alle modalità per la sua corretta gestione al fine di rallentarne la naturale usura e, quindi, in merito alla sostituzione della medesima batteria.”

A seguito di una lunga istruttoria nella quale Apple si è difesa sostenendo fondamentalmente come (così si legge all’interno del provvedimento dell’AGCM):

“ […] Non vi sarebbero prove dirette riguardo una strategia di obsolescenza programmata. Al contrario, il piano di sostituzione annuale di Apple – rispondente ad una sua libera scelta commerciale e attuato principalmente attraverso appositi accordi con gli operatori telefonici – mirerebbe unicamente ad allettare la clientela con nuovi modelli e non vi sarebbe alcuna coartazione della volontà dei consumatori che scelgono di optare per la permuta annuale del proprio dispositivo utilizzato dalle aziende produttrici di stampanti si basa sul guadagno derivante dalle cartucce.

Apple evidenzia inoltre che, nel periodo dal giugno 2016 al gennaio 2018, il graduale calo del numero di sostituzioni gratuite dei modelli interessati – cui peraltro non si accompagna un aumento di quelle a pagamento – sarebbe collegato al progressivo esaurimento della garanzia. Inoltre, il grande numero di sostituzioni gratuite nel periodo considerato testimonierebbe la volontà di Apple di favorire l’accesso degli utenti a un dispositivo nuovo, anche oltre la durata della garanzia.

Apple sottolinea che le contestazioni formulate in esito all’istruttoria avrebbero dovuto essere suffragate da un’analisi economica volta a esaminare la posizione dei professionisti nel mercato rilevante, per rintracciare un’eventuale posizione dominante. Anche la conservazione del valore degli iPhone nel mercato dei prodotti di seconda mano dimostrerebbe la mancanza di prove circa l’esistenza di una strategia di obsolescenza

programmata.”

Malgrado le difese svolte l’AGCM ha riscontrato le violazioni in merito alle pratiche commerciali secondo tali conclusioni:

“ […] Da quanto affermato in precedenza emerge che ai consumatori che avevano acquistato iPhone 6/6Plus/6s/6sPlus è stato insistentemente proposto l’aggiornamento del sistema operativo iOS 10 e del successivo aggiornamento 10.2.1, senza che fossero adeguatamente informati degli inconvenienti che tali installazioni avrebbe potuto comportare e senza provvedere, se non tardivamente ed in maniera limitata, a rimediare a tali inconvenienti. Apple ha potuto indurre i consumatori ad accettare tali aggiornamenti anche grazie all’asimmetria informativa esistente con essi, che porta tali consumatori a essere costretti a riporre la loro fiducia in quanto affermato da Apple sulla utilità e bontà di tali aggiornamenti. 162. Per i motivi sopra esposti, la pratica commerciale in esame risulta scorretta ai sensi degli artt. 20, 21, 22 e 24 del Codice del Consumo, in quanto Apple ha sviluppato e suggerito aggiornamenti firmware iOS 10 e 10.1.2 per gli iPhone 6/6Plus/6s/6sPlus già acquistati dai consumatori che ne modificano le caratteristiche funzionali già ampiamente pubblicizzate e ne riducono in maniera sensibile le prestazioni, nonché ha indotto in errore i consumatori nella decisione di procedere all’installazione di tali aggiornamenti. Infine, sotto altro profilo, il professionista ha indebitamente condizionato i consumatori, da un lato, inducendoli ad aggiornare il firmware mediante l’insistente richiesta di procedere ad effettuare il download e l’installazione degli aggiornamenti, dall’altro, non prestando un’adeguata assistenza ai consumatori per ripristinare la funzionalità preesistente dei loro apparecchi, in tal modo accelerando il processo di sostituzione di tali apparecchi con nuovi modelli di iPhone.

La seconda pratica commerciale consiste nella mancata ed insufficiente informazione su alcune caratteristiche essenziali delle batterie, quali la vita media e deteriorabilità delle batterie e la loro correlazione con le prestazioni degli iPhone, specificamente con riferimento alle batterie degli iPhone 6/6Plus/6s/6sPlus. Essa riguarda inoltre la mancata indicazione di corrette procedure per verificare e/o mantenere un adeguato livello di prestazioni della batteria e quindi dei propri dispositivi cellulari, della necessità di procedere alla sostituzione della stessa in relazione alle modalità di utilizzo e alle eventuali maggiori richieste degli aggiornamenti iOS. Tali informazioni sono state fornite dal professionista solo a partire dagli ultimi giorni di dicembre 2017.”

Per le ragioni sopra espresse l’Agcm ha multato la Apple per 5 milioni di euro per ogni infrazione contestata, ai sensi dell’art. 27 comma 9 del Codice del Consumo, applicando la pena massima edittale prevista per un importo totale di € 10.000.000,00.

Il Tar del Lazio

Apple ha deciso di impugnare il provvedimento dell’Agcm innanzi al competente Tribunale Amministrativo del Lazio – Roma, seppur dopo aver pagato la sanzione, per le ragioni che il TAR nel provvedimento n. 5736 del 29.05.2020 ha così riassunto:

“[…] Con una prima e unica sostanziale censura la parte ricorrente lamenta, in estrema sintesi, il difetto di istruttoria sui vari profili tecnici sulla base dei quali l’AGCM ha ritenuto che la pratica sub A) configuri una pratica scorretta (motivi I, II, e III). Secondo Apple l’Autorità sarebbe giunta a conclusioni erronee, in assenza di prove tecniche, sul peggioramento delle performance dei dispositivi Apple e sul presunto danno arrecato dal download di IOS 10. L’Autorità, al contempo, avrebbe omesso di considerare spiegazioni alternative più plausibili e fondate su dati tecnico-scientifici, presentati nel corso dell’istruttoria da parte delle ricorrenti.

Con un secondo gruppo di motivi si sostiene che la complessiva condotta di Apple non integrerebbe gli estremi dell’aggressività e della scorrettezza, anche in considerazione dei limitati effetti che avrebbe prodotto e della durata della condotta, che sarebbe stata erroneamente stimata dall’Autorità (motivi IV, V, VI, VII, VIII e IX).

Con l’ultimo motivo, riferito alla pratica sub B), la parte ricorrente contesta di essere stata lacunosa rispetto all’informativa sulla durata della batteria affermando che le informazioni relative al normale invecchiamento delle batterie e alla conseguente necessità di sostituirle sarebbero inidonee a integrare una pratica commerciale omissiva. In ogni caso, lamenta che l’AGCM avrebbe introdotto nel provvedimento conclusivo condotte mai considerate prima, in violazione del principio del contraddittorio (motivo X).”

All’interno del presente articolo si eliminano le censure effettuate con motivi aggiunti, di natura formale, che nulla arricchiscono rispetto al focus dell’approfondimento.

Il Tar all’esito del giudizio ad ogni modo ha confermato la sanzione dell’Agcm specificando quanto segue: “le pratiche commerciali aggressive non sono necessariamente connotate dal ricorso alla violenza fisica o verbale, ma sono certamente accomunate dal fatto che il consumatore viene a trovarsi in situazione di “stress” che lo condiziona nel decidere e tale “stress” può essere determinato sia da condotte del professionista ripetute e irriguardose della volontà del cliente, sia dalla esistenza di vincoli contrattuali percepiti come opprimenti”(T.A.R. Lazio, Roma, Sez. I, 20 febbraio 2020, n. 2245).

È stato anche chiarito che “l’espressione «pratiche commerciali scorrette» designa le condotte che formano oggetto del divieto generale sancito dall’art. 20 del D.Lgs. 6 settembre 2005 n. 206 (Codice del consumo), in attuazione della direttiva del Parlamento europeo e del Consiglio 11 maggio 2005, n. 2005/29/CE. La finalità perseguita dalla direttiva europea consiste nel garantire, come si desume dal «considerando 23», un elevato livello comune di tutela dei consumatori, procedendo ad un’armonizzazione completa delle norme relative alle pratiche commerciali sleali delle imprese, ivi compresa la pubblicità sleale, nei confronti dei consumatori.

Scopo della normativa è quello di ricondurre l’attività commerciale in generale entro i binari della buona fede e della correttezza. Il fondamento dell’intervento è duplice: da un lato, esso si ispira ad una rinnovata lettura della garanzia costituzionale della libertà contrattuale, la cui piena esplicazione si ritiene presupponga un contesto di piena “bilateralità”, dall’altro, in termini analisi economica, la trasparenza del mercato è idonea ad innescare un controllo decentrato sulle condotte degli operatori economici inefficienti. Le politiche di tutela della concorrenza e del consumatore sono sinergicamente orientate a promuovere il benessere dell’intero sistema economico.

Per «pratiche commerciali» ‒ assoggettate al titolo III della parte II del Codice del consumo ‒ si intendono tutti i comportamenti tenuti da professionisti che siano oggettivamente «correlati» alla «promozione, vendita o fornitura» di beni o servizi a consumatori, e posti in essere anteriormente, contestualmente o anche posteriormente all’instaurazione dei rapporti contrattuali.

Quanto ai criteri in applicazione dei quali deve stabilirsi se una determinata pratica commerciale sia o meno «scorretta», il comma 2 dell’art. 20 del Codice del consumo stabilisce in termini generali che una pratica commerciale è scorretta se «è contraria alla diligenza professionale» ed «è falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori».

Nella trama normativa, tale definizione generale di pratica scorretta si scompone in due diverse categorie: le pratiche ingannevoli (di cui agli artt. 21 e 22) e le pratiche aggressive (di cui agli artt. 24 e 25). Il legislatore ha inoltre analiticamente individuato una serie di specifiche tipologie di pratiche commerciali (le c.d. ‘liste nere’) da considerarsi sicuramente ingannevoli e aggressive (art. 23 e 26, cui si aggiungono le previsioni ‘speciali’ di cui ai commi 3 e 4 dell’art. 21 e all’art. 22-bis), senza che si renda necessario accertare la sua contrarietà alla «diligenza professionale» nonché dalla sua concreta attitudine «a falsare il comportamento economico del consumatore»” (Cons. Stato, Sez. VI, 14 aprile 2020, n. 2414).

Alla stregua dei declinati principi si può senz’altro concludere che correttamente l’Autorità ha fatto applicazione, nel caso di specie, delle norme di cui artt. 21, 22, 24 e 25 del Codice del Consumo, avendo ritenuto violate, da parte di Apple, le regole di diligenza professionale esigibili da un operatore del settore di primaria importanza mondiale.”

Conclusioni

Le sanzioni comminate alla Apple hanno riguardato in verità pratiche commerciali mirate a far invecchiare anzitempo prodotti di recente costruzione e non riguardano evidentemente il mancato coordinamento tra gli aggiornamenti software e gli hardware datati di terminali acquistati in un periodo lontano del tempo.

Ad ogni modo chi scrive si domanda se sia lecito o meno impedire il download delle applicazioni (anche di precedenti versioni non più supportate dai produttori) che rendono device datati utili poco più di tavolette che si illuminano e se non fosse più utile conservare la possibilità, evidentemente non priva di rischi in merito alla sicurezza informatica, di proseguire l’utilizzo dell’apparecchio.

Tutti conosciamo le difficoltà di funzionamento di strumenti elettronici vintage, come amplificatori fuori produzione o automobili d’epoca, legate principalmente alle difficoltà di reperire nel mercato i componenti elettronici/meccanici ormai degradati. Ma anche gli strumenti più vintage hanno invero una nicchia di distribuzione che consente almeno l’utilizzo originario del bene acquistato. Riguardo gli Smartphone e i tablet in realtà ciò non è possibile.

La stessa Apple, innanzi al procedimento celebrato innanzi all’AGCOM, descrive i-phone “Sin dal lancio nel 2007 […] come una piattaforma integrata di hardware, software e servizi”. E quindi mi domando, se viene a mancare l’integrazione, possiamo sempre parlare del medesimo prodotto?

Criptovalute, perché il mercato è così volatile

avv.lucasanna@gmail.com (Luca Sanna) — Thu, 29 Jul 2021 09:29:20 GMT

All’aspetto emozionale degli investitori si somma una completa deregolamentazione normativa: lo strumento è lasciato alla libera scelta di persone poco preparate, non istituzionali, che si lasciano coinvolgere dalle fluttuazioni momentanee poiché il loro stesso orizzonte temporale è limitato

Trovare le ragioni della volatilità del mercato delle criptovalute è sempre difficile, in quanto dietro le criptovalute non esiste un mercato dell’economia reale, non esiste un prodotto o una materia prima venduta, non esiste un’entrata indipendente dal mercato finanziario e allo stesso tempo non vi è nemmeno l’impiego di manodopera che possa generare un contesto stabile.

Allo stesso tempo è difficile comprendere le curve tra domanda e offerta in un ambito nel quale è sempre possibile la creazione di moneta. Per tale ragione il “sentiment” e il “feeling” del compratore e dell’investitore in criptovalute determina il suo valore, ma non in quanto acceleratore di comportamenti, quali la fiducia nei mercati, ma in virtù proprio dell’emozione del momento.

La volatilità delle criptovalute

Se all’aspetto emozionale si somma una completa deregolamentazione normativa ci si accorge che lo strumento è lasciato alla libera scelta di persone poco preparate, non istituzionali, che si lasciano coinvolgere dalle fluttuazioni momentanee poiché il loro stesso orizzonte temporale è limitato.

Giovani, millennials, influencer, speculatori geek e programmatori rappresentano la base di un mercato speculativo privo di disciplina governativa. Questo può spiegare la volatilità delle criptovalute.

Il MEF – Ministero dell’economia e della finanza, in una risposta del 26.05.2021 a una interpellanza parlamentare promossa dal Movimento 5 Stelle ha inteso riferirsi alle criptovalute come “ […] criptoattività di natura altamente speculativa e senza alcun sottostante a sostegno del suo valore” e allo stesso tempo ha auspicato l’intervento del legislatore in quanto l’assenza di normative di riferimento si riverbera in perdita di occasioni per gli imprenditori della new economy (Miner, Yel-Farming, NFT, ecc.).

Ma di che valore stiamo parlando in termini di perdita di chance economica?

Il valore delle criptovalute

Seppur storicamente precedente il valore delle criptovalute inizia il proprio rally nel 2008 con la crisi bancaria mondiale. Gli investitori, scottati dai mercati tradizionali, rifuggono dagli investimenti bancari per trovare una alea deregolamentata nelle criptovalute.

Nel 2016 la criptovaluta Ethereum (la seconda per ordine di importanza) era scambiata con il prezzo di 13 dollari. Il 7 maggio del 2021 aveva raggiunto il suo apice di 3.483 dollari, per subire successivamente un calo vertiginoso.

Bitcoin ha avuto un’evoluzione simile ma con una forbice che è andata da 5 dollari nel 2012 a 55.000 dollari nel 2021, perdendo però come detto ben 20.000 dollari negli ultimi giorni.

Litecoin ha avuto anch’essa un andamento simile passando da 3 dollari del 2016 agli attuali 189 dollari con picchi di quasi 400 dollari il mese scorso.

Dogecoin, criptovaluta di nuova creazione, quest’anno ha invece guadagnato oltre il 12.000%.

Quanto sono inquinanti le criptovalute

L’economista americano Alexander Benfield, analista delle criptovalute di Weiss Ratings, intervistato da Jurica Djumovic di Market Watch ha specificato come il mining dei Bitcoin impieghi circa 130 Terawattora all’anno (tutti gli Stati Uniti D’America consumano circa 4.000 Terawattora annui, un impiego smisurato di energia. 1 Terawattora corrisponde a 1000 Gigawattora). Ma ciò che i dati nascondono è la provenienza di tale consumo energetico, che varia dal 39% al 73% in energia rinnovabile. Inoltre, gran parte di tale energia rinnovabile è consumata direttamente alla fonte, senza essere trasportata dalle aree rurali (specialmente cinesi) e rappresenta pertanto energia in surplus.

Peraltro, il concetto di mining sotteso alla creazione dei blocchi è proprio quello della complessità crescente e quindi proporzionale al consumo di energia: semmai la sfida del futuro è quella di creare sistemi che possano ottimizzare il consumo energetico o incentivare l’indipendenza energetica di criptovalute complesse. Le criptovalute cosiddette “green” evidentemente possiedono un grado di complessità irrilevante e come tale sono basate su reti sottodimensionate o addirittura inesistenti.

Il movimento $Stopelon per fermare la volatilità delle criptovalute

Se è sufficiente un annuncio di Elon Musk su Twitter per manipolare il mercato delle criptovalute, occorre difendersi dagli annunci “wow” anche attraverso lo stesso “sentiment” che svolge un ruolo di primaria importanza nell’effetto valanga derivato da singoli tweet di personaggi influenti.

Per questa ragione è sul mercato da pochi giorni la moneta virtuale $Stopelon i cui membri, miner e investitori, avversando la politica della volatilità richiedono alla comunità di comprare e tenere (Buy&Hold) e in poche ore il token ha raggiunto ben 34 milioni di dollari di capitalizzazione, mentre il canale Telegram già conta più di 17mila iscritti.

Il nuovo token è emerso sulla blockchain di Binance Smart Chain e ha già registrato una crescita del 5.000% da 0,0000019 a 0,00009450 dollari.

Conclusioni

Sono molto lontani i tempi del baratto e l’idea di diventare ricchi improvvisamente, anche senza merito, pervade la storia dell’uomo in maniera costante. Immaginare che gli stati si privino della possibilità di istituzionalizzare il mercato delle criptovalute e di rinunciare alle entrate derivanti dal mercato è da ingenui, ma trovare il modo di regolare un sistema non regolabile con le categorie mentali della vecchia economia è altrettanto utopistico. Fintanto che il mondo sarà governato dai “boomers”, tra i quali lo scrivente, non vi sarà modo di comprendere il fenomeno e di provare a regolarlo senza ucciderlo

LINK: https://www.blockchain4innovation.it/criptovalute/criptovalute-perche-il-mercato-e-cosi-volatile/

Bitcoin, come ti raggiro gli investitori: le ultime truffe e come difendersi

avv.lucasanna@gmail.com (Luca Sanna) — Thu, 15 Jul 2021 11:26:50 GMT

CRIPTOVALUTE

’idea di arricchirsi senza sudare troppo è innata nell’uomo, ma non è detto che sia tanto facile. Lo dimostra il numero crescente di truffe che prende di mira gli investitori in bitcoin e altre criptovalute. Di che numeri parliamo? Facciamo il punto.

La vertiginosa crescita delle criptovalute viene vista e anche presentata da alcuni servizi online come un’occasione di facile guadagno.

Bitcoin e la sua crescita dai 5 dollari nel 2012 fino agli oltre 100.000 dollari del 2019 rappresenta il caso più eclatante, ma non l’unico, e certamente è indicativo di un fenomeno attrattivo da parte dell’investitore che, attraverso gli strumenti tradizionali, non potrebbe minimamente avvicinarsi a tale tipo di rendimenti.

Il mercato delle truffe

Accanto alla crescita vertiginosa delle lotterie e dei soldi facili, così come in un moderno gioco delle tre carte, si è accompagnata la crescita dei truffatori, aiutati peraltro dalla mancanza di regolamentazione statale e internazionale delle criptovalute e dall’anonimato che contraddistingue lo strumento del mercato digitale.

Secondo la Federal Trade Commission, un’agenzia federale americana che si occupa fin dal primo dopoguerra di tutela dei consumatori, le perdite legate alle truffe informatiche in relazione al mercato della moneta digitale ammontano ad 82 milioni di dollari durante il quarto trimestre del 2020 e il primo trimestre del 2021, oltre 10 volte l’importo rispetto allo stesso semestre dell’anno precedente.

Certamente il periodo di lockdown ha incrementato le occasioni di incontro tra malintenzionati online e consumatori bramosi di ottenere la propria fetta di fortuna.

I truffatori hanno inteso prendere di mira tutta la platea di destinatari della propria azione, dai piccoli investitori che perlustrano i social media in cerca di consigli sui loro piccoli investimenti, ai veterani di Wall Street che hanno sostenuto un gestore di fondi di criptovalute australiano recentemente accusato di aver eseguito una frode da 90 milioni di dollari.

Fare fortuna senza fatica, un’idea innata

È una idea innata nell’essere umano quella di poter fare fortuna senza fatica e senza difficoltà fin dai tempi degli antichi romani. L’imperatore Vespasiano durante le feste per le Kalendae Martiae distribuiva alcuni biglietti che venivano chiamati apophoreta il cui autore si diceva fosse Marziale, che con tale nome ha successivamente pubblicato una raccolta.

Gli apophoreta in gergo letteralmente indicavano “cose da portar via”. Infatti, alla fine delle occasioni conviviali i bigliettini a volte venivano distribuiti e scombinati affinché gli ospiti portassero via i doni, come una vera e propria riffa. Si racconta di Elagabalo, imperatore romano della dinastia dei Severi, il quale mise in palio dieci cammelli e dieci mosche, dieci libbre d’oro e dieci di piombo.

Si può facilmente sostenere come il desiderio di “diventare ricchi” non sia minimamente cambiato nella storia dell’uomo, dalla lotteria nazionale, al superenalotto passando per il totocalcio e infine alla lotteria degli scontrini.

Il caso lub token

Alcuni creatori e speculatori nei primi mesi del 2021 hanno lanciato un servizio per scambiare criptovalute: per la prima volta consumatori e utilizzatori avrebbero potuto comprare il token LUB attraverso un exchanger disponibile sul servizio di messaggistica Telegram.

Il guadagno promesso variava dall’1% al 10% al giorno e questo ha attirato numerosissime adesioni, ma malgrado i grandi investimenti privati dopo qualche mese il servizio è sparito dal web e il sito internet oggi appare disattivo. Precisiamo come il LUB Token si basasse su tecnologia Ethereum, la seconda criptovaluta in ordine di importanza oggi in circolazione.

“Mi vergogno e ancora non riesco a capire quanto sono stato stupido”, ha detto Sebastian, che ha investito ingenti somme sul servizio LUB e che ha chiesto che il suo cognome non fosse pubblicato dal Wall Street Journal in modo da non essere preso di mira dai troll di Internet.

Sono migliaia le esperienze che si trovano online simili a quelle di Sebastian e sono nati addirittura numerosissimi gruppi Telegram come “Lub Token=scam!!!” per denunciare la pratica commerciale scorretta.

Il Wall Street Journal ha stimato che le vittime nella sola Germania hanno perso tra 500.000 e 1,5 milioni di euro a causa dello schema. La polizia tedesca sta indagando sulle denunce relative allo schema LUB in tutto il paese, ha affermato un portavoce della polizia nella città di Aalen, che ha ricevuto una denuncia a maggio.

Come difendersi dalle truffe

Partendo dal presupposto che una truffa basata sullo schema LUB TOKEN è difficile da intuire, poiché ha ingannato anche gli investitori più attenti, i consumatori o i semplici utilizzatori di moneta digitale dovrebbero prestare alcuni necessari accorgimenti.

Difendersi dalle truffe online sta diventando sempre più difficile, ma prima di investire soldi in criptovalute false comprate attraverso siti fake, i consumatori dovrebbero seguire alcuni semplici consigli.

A differenza, infatti, dei pagamenti con carte di credito, molte transazioni in criptovalute non sono annullabili o revocabili, sicché anche se il sito presenta caratteristiche del tutto simili al portale generalmente utilizzato occorre prestare attenzione alla presenza del lucchetto prima dell’indirizzo URL.

Può succedere inoltre di fare clic su un link che sembri identico al sito originale in tutto e per tutto, mentre gli autori dell’attacco hanno creato un URL falso con uno zero al posto di una lettera ‘o’. Controllare anche due volte potrebbe far risparmiare molti soldi.

Lo stesso principio vale per le app del telefono false (il rischio maggiore è sul market Android), sebbene gli store ufficiali riescano spesso a individuare e rimuovere queste app.

Migliaia di persone hanno già scaricato app di criptovaluta false, come segnalato da Bitcoin News; anche in questo caso, le app fake presentano errori di ortografia evidenti nella copia o addirittura nel nome dell’app, il marchio commerciale sembra a volte contraffatto con colori diversi o più sbiaditi rispetto all’originale. Una ulteriore verifica prima del download è opportuno.

Una nuova moda è quella di lanciare aggiornamenti o news attraverso account social (twitter, facebook, instagram, ecc.) falsi di personaggi famosi: attenzione alla spunta blu vicino al nome che contraddistingue il più delle volte un account ufficiale.

Di che numeri parliamo?

È difficile stimare quanti soldi perdono gli investitori a causa delle frodi online. Le cifre della FTC si basano sull’autodichiarazione delle vittime di truffe e sono in gran parte limitate agli Stati Uniti, quindi probabilmente riflettono solo una parte delle perdite totali.

Peraltro, non sempre i truffati sporgono denuncia, un po’ per vergogna, un po’ perché i soldi investiti nelle scommesse informatiche sono considerati dagli investitori come un rischio calcolato.

CipherTrace, una società di analisi blockchain che tiene traccia delle segnalazioni di crimini crittografici in tutto il mondo, afferma che i truffatori stanno guadagnando meno di quanto non facessero in passato, da 4,1 miliardi di dollari nel 2019 a 432 milioni durante i primi quattro mesi di quest’anno. I conteggi di CipherTrace per il 2019 e lo scorso anno sono stati elevati a causa dell’esposizione di alcuni grandi schemi Ponzi in Asia.

Conclusioni

I dati rappresentati dal Wall Street Journal sono solo la punta di un iceberg che nel tempo emergerà sempre più. La agognata regolamentazione del mercato probabilmente cercherà di trovare una soluzione al problema, anche se gli alti guadagni fin’ora registrati scoraggiano l’intervento statale.

Ci troveremo a breve di fronte a un crollo come nel 1929 e come nel 2008? Solo la storia potrà dirlo, di certo per adesso sappiamo che da una forte deregolamentazione è sempre seguita una veloce speculazione e una inevitabile caduta.

https://www.agendadigitale.eu/cittadinanza-digitale/pagamenti-digitali/bitcoin-come-ti-raggiro-gli-investitori-le-ultime-truffe-e-in-che-modo-difendersi/

ANTITRUST Abuso di posizione dominante nel digitale: il caso Agcm contro Google e altre distorsioni

avv.lucasanna@gmail.com (Luca Sanna) — Thu, 24 Jun 2021 09:45:25 GMT

Il Caso EnelX

La prima legge che mirava a superare i monopoli è canadese ed è datata 1889. Da allora ne è passata di acqua sotto i ponti: ora siamo nell’era digitale e molte delle normative varate anche in tempi recenti cominciano a essere inadatte a sanare le storture del mercato digitale. Il caso Google-Enel X è solo l’ultimo.

La sanzione da oltre cento milioni di euro recentemente comminata dall’Autorità Garante della Concorrenza e del Mercato a Alphabet Inc., Google LLC e Google Italy rappresenta solo l’ultimo episodio di limitazione della concorrenza all’interno del mercato globale che però assumerà per il futuro connotati ulteriori e sempre diversi, anche nei mercati fisici (si pensi al posizionamento organico dei negozi virtuali), vedendo coinvolti non solo colossi – come nel caso specifico Enel X – ma anche singoli operatori che non avranno né la disponibilità economica né la forza politica di incidere su atteggiamenti abusivi.

Ritorniamo pertanto sulla questione per approfondire il tema dell’abuso di posizione dominante declinato all’era digitale e lo stato dell’arte dell’antitrust in Italia dal momento che le circostanze in esame sono certamente un punto di partenza per migliorare una normativa che ormai inizia a sentire il peso degli anni.

Articolo Intero pubblicato su Agenda Digitale: https://www.agendadigitale.eu/mercati-digitali/abuso-di-posizione-dominante-nel-digitale-il-caso-agcm-contro-google-e-altre-distorsioni/

Procurement e libera concorrenza, perché eliminare il Codice appalti non è la soluzione

avv.lucasanna@gmail.com (Luca Sanna) — Mon, 21 Jun 2021 16:54:58 GMT

Approfondimento sul Codice degli Appalti

La discussione sulla possibilità e la necessità di bloccare l’applicazione del Codice appalti per migliorare la concorrenza è un tema d’attualità che è bene approfondire analizzando il contesto normativo nazionale e il tessuto produttivo italiano: vediamo la situazione.

Il dibattito è acceso sulla necessità di interrompere l’applicazione del Codice dei Contratti Pubblici in Italia per migliorare la concorrenza. Per poter sostenere una simile ipotesi, dovremo analizzare il tipo di economia italiana, la composizione del mondo imprenditoriale e quanto il Codice degli Appalti sia, oggi, limitante in termini di concorrenza nei confronti delle aziende italiane, in rapporto alla loro composizione.

Probabilmente, un Paese che mira alla libera concorrenza dovrebbe rendere obbligatorio il principio di rotazione e inesistente un contratto stipulato in spregio a tale principio, se davvero si vuole avere una pubblica amministrazione fondata sull’imparzialità, sulla terzietà delle stazioni appaltanti e sull’economicità degli affidamenti.

L’intervento dell’AGCM

Da rilevare che ha fatto molto scalpore la segnalazione del presidente dell’Autorità Garante della Concorrenza e del Mercato, Roberto Rustichelli, che ha evidenziato al presidente del Consiglio, Mario Draghi, alcune proposte da inserire nel disegno di legge per la concorrenza nel mese di marzo 2021. L’AGCM ha infatti accolto il suggerimento del Presidente Mario Draghi il giorno dell’insediamento e ha formalizzato attraverso un vero e proprio parere alcune soluzioni di rapida esecuzione che, secondo il Garante stesso, migliorerebbero la concorrenza del sistema Italia.

L'articolo completo è presente sulla rivista Agenda Digitale a firma dell'Avv. Luca Sanna al seguente Link: https://www.agendadigitale.eu/procurement/procurement-e-libera-concorrenza-perche-eliminare-il-codice-appalti-non-e-la-soluzione/

Dati personali e pratiche commerciali, ecco dove si nasconde l’illecito

Fri, 04 Jun 2021 12:59:02 GMT

Sicurezza Digitale

Ricade sotto le tutele previste dal GDPR e dal Codice del Consumo la protezione delle informazioni digitali, nuova moneta di scambio fra operatori di mercato. Analizziamo i principali passaggi e vediamo come una maggior “cultura del consumatore” rappresenti una leva di efficienza. E di correttezza. Un nuovo intervento dell'Avv. Tiziana Pica sulle pratiche commerciali illecite pubblicato su agenda digitale: https://www.agendadigitale.eu/sicurezza/dati-personali-e-pratiche-commerciali-ecco-dove-si-nasconde-lillecito/

***

Che i dati personali abbiano un valore economico non è certo un segreto. La spinta evolutiva del dato personale è legata alle attività commerciali: sia quelle svolte all’interno di locali commerciali sia quelle realizzate al di fuori, a distanza (e-commerce), o alle pratiche commerciali realizzate tra professionisti e consumatori e tra professionisti e piccole imprese. Un’analisi dei dettagli normativi di GDPR e Codice del Consumo mirati a difendere dati personali e consumatori.

La persona fisica che agisce al di fuori della propria attività commerciale artigianale, professionale – ovvero il consumatore – è al centro di due distinte forme di tutele che mirano contemporaneamente a tutelarne, sotto profili diversi, i suoi dati personali. Il trattamento illecito del dato personale e/o delle categorie particolari di dati personali si intreccia con l’esercizio di quelle pratiche commerciali rilevate per essere ingannevoli o aggressive, ovvero scorrette.

Consumatori e pratiche commerciali scorrette

La politica dei consumatori ha segnato un traguardo significativo con la direttiva 2005/29/CE sulle pratiche commerciali sleali[1] che è stata recepita in Italia con i decreti legislativi nn. 145 e 146 del 2 agosto 2007, in vigore dal 21 settembre 2007.

Il D.lgs. n. 146/2007 ha introdotto all’interno del Codice del Consumo (agli artt. 18 – 27quater) la normativa sulle pratiche commerciali scorrette. Venendo al destinatario di tale tutela si ricorda che il consumatore è “la persona fisica che agisce per scopi estranei all’attività imprenditoriale, commerciale, artigianale o professionale eventualmente svolta” (art. 3, comma 1, lett. a) Cod. Consumo) e, nell’ambito delle pratiche commerciali – ovvero di “qualsiasi azione, omissione, condotta o dichiarazione, comunicazione commerciale ivi compresa la pubblicità e la commercializzazione del prodotto, posta in essere da un professionista, in relazione alla promozione, vendita o fornitura di un prodotto ai consumatori” (art. 18, comma 1, lett. d) Cod. Consumo) – è “qualsiasi persona fisica che, nelle pratiche commerciali oggetto del presente titolo, agisce per fini che non rientrano nel quadro della sua attività commerciale, industriale, artigianale o professionale” (art. 18, comma 1, lett. a) Cod. Consumo).

Ogni singolo individuo agisce come consumatore quando, in maniera libera, informata e consapevole assume delle decisioni di natura commerciale – “decisione presa da un consumatore relativa a se acquistare o meno un prodotto, in che modo farlo e a quali condizioni, se pagare integralmente o parzialmente, se tenere un prodotto o disfarsene o se esercitare un diritto contrattuale in relazione al prodotto; tale decisione può portare il consumatore a compiere un’azione o all’astenersi dal compierla” (art. 18, comma 1, lett. m) Cod. Consumo) – a seguito della condotta, attiva od omissiva, realizzata nei suoi riguardi dal professionista[2].

Se il consumatore è il soggetto che quotidianamente, entrando in un negozio oppure nell’ambito dei contratti conclusi a distanza[3] o mediante la sottoscrizione dei contratti conclusi fuori dai locali commerciali[4], compie delle scelte sulla base delle offerte commerciali trasmesse mediante posta cartacea, email, annunci pubblicitari che lo inseguono navigando sui siti web, telefonate dei call center, appare evidente come la realizzazione della pratica commerciale sia veicolata, strutturata e formulata anche e proprio grazie all’utilizzo dei dati personali di quel consumatore. Basti solo pensare alla profilazione.

Ciò premesso è opportuno focalizzare quali siano le condotte da cui l’utente deve essere messo nelle condizioni di difendersi, ovvero le pratiche commerciali “scorrette” che rilevano come ingannevoli e/o aggressive.

Presupposti a pratiche commerciali scorrette

Il consumatore medio[5], e non quello disinformato e pigro, viene posto al centro della tutela delineata dall’art. 20 cod. cons., ovvero dalla clausola generale del divieto di pratiche commerciali scorrette. Ai sensi dell’art. 20, comma 2, l’accertamento della scorrettezza verte su due presupposti, ovvero la contrarietà della pratica alla diligenza professionale da un lato, ed il fatto che la stessa falsi o “sia idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che essa raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta ad un determinato gruppo di consumatori” dall’altro. Nella prima ipotesi si valuta la competenza e l’attenzione che nello specifico caso ogni consumatore si aspetta dal professionista in relazione ai principi di correttezza e buona fede nel settore di attività proprio della sfera professionale di quest’ultimo.

Il secondo parametro è finalizzato all’esame della potenzialità del comportamento del professionista di alterare in misura rilevante la libertà e la capacità del consumatore medio di adottare scelte economiche. Laddove si accerti il ricorrere di entrambi i criteri, la pratica commerciale è senza dubbio sleale.

Le pratiche commerciali scorrette possono essere ingannevoli, e a loro volta distinguersi sulla base della loro natura attiva (art. 21 cod. cons.) od omissiva (art. 22 cod. cons.), oppure aggressive (art. 24 cod. cons.). Invece, gli artt. 23 e 26, cod. cons., enucleano, rispettivamente, le pratiche che in ogni caso sono sempre qualificabili, e dunque sanzionabili dall’Autorità Antitrust, come ingannevoli e aggressive (le black list).

L’art. 21 cod. cons., stabilisce che una pratica commerciale, di carattere commissivo, è ingannevole quando contiene informazioni non rispondenti al vero o che, seppur di fatto corrette, in qualsiasi modo, anche nella sua presentazione complessiva, induce o è idonea ad indurre in errore il consumatore medio riguardo ad uno o più elementi indicati alle lettere da a) a g) del comma 1 dell’art. 21, e che, in ogni caso, lo induca o sia in grado di far assumere allo stesso una decisione commerciale che in altre circostanze non avrebbe assunto.

Informazioni false o “ingannatrici”

Il giudizio di ingannevolezza della condotta attiva mediante la quale si integra la fattispecie della pratica ingannevole verte su due elementi: i) la falsità dell’informazione resa dal professionista, ovvero una falsità oggettiva frutto della “scorrettezza professionale”, la quale è inibita senza che sia necessario procedere ad ulteriori indagini che vertano sul profilo soggettivo della vicenda; e ii) la sua “capacità decettiva”, ossia l’attitudine insita nel tipo di informazione, nel suo contenuto, o legata al modo o agli strumenti impiegati perché giunga a determinati destinatari, a trarre in inganno il consumatore medio. La valutazione dell’ingannevolezza avrà esito positivo solo ove i due elementi sussistano contemporaneamente. Infatti un’informazione falsa, non veritiera, ma che al contempo non è idonea a fuorviare il consumatore mediamente accorto e diligente, è un’informazione legittima, che non degenera nella pratica commerciale ingannevole. Questa, invece, ricorre laddove l’informazione, pur veritiera e di fatto corretta, sia stata formulata in modo tale da essere idonea a far cadere in errore il destinatario del messaggio.

L’art. 21, comma 1, cod. cons., definisce le “azioni ingannevoli” come quelle pratiche che inducono o sono idonee ad indurre in errore il consumatore medio riguardo a uno o più elementi, tra i quali ad esempio il prezzo, l’esistenza, la natura, i rischi del prodotto, gli impegni assunti dal professionista, e che in ogni caso lo inducono o sono idonee ad indurlo ad assumere una decisione commerciale che altrimenti non avrebbe preso[6]. Ai fini dell’individuazione di una pratica commerciale ingannevole non si deve accertare l’esistenza di un danno patrimoniale, ma è sufficiente che la pratica contenga informazioni non rispondenti al vero, o corrette, astrattamente idonee ad indurre in errore e far assumere decisioni che in altri contesti non sarebbero state adottate.

La scorrettezza della pratica commerciale prescinde dalla circostanza che il consumatore abbia subito una perdita patrimoniale (danno emergente), o un mancato guadagno (lucro cessante). Quel che rileva è la sua influenza sull’agire del consumatore, il condizionamento della sua libertà di valutare, scegliere e decidere, dal quale sia scaturita, o possa scaturire, quale conseguenza immediata e diretta, l’adozione di una decisione discordante con la sua condotta normalmente razionale, avveduta ed informata, nonché con lo scopo da egli perseguito e che era all’origine del suo rapporto con il professionista.

Ogni decisione commerciale è il risultato di un continuo bilanciamento tra agire o astenersi da un’azione in favore di un’altra, dove la regola generale è il corretto esplicarsi del libero autodeterminarsi del consumatore. Questo viene meno laddove si innesti nel bilanciamento degli interessi una pratica ex se idonea a falsare la valutazione e la scelta finale. Ed è evidente che nella libertà di autodeterminazione del consumatore, nelle sue valutazioni strumentali all’adozione di una scelta commerciale finale, i dati personali trattati dal professionista (e in particolare dal suo ufficio marketing e dai protocolli e algoritmi utilizzati dal suo sito web anche mediante tecniche di profilazione) giochino un ruolo decisivo.

I rischi per il consumatore

Ai sensi dell’art. 21, comma 1, cod. cons., l’ingannevolezza della pratica commerciale subentra laddove l’informazione non veritiera, o quella corretta, sia idonea ad ingannare il consumatore medio riguardo ad uno o più dei seguenti elementi:

l’esistenza o la natura del prodotto;

le caratteristiche principali del prodotto (quali la sua disponibilità, i vantaggi, i rischi, l’assistenza post-vendita al consumatore, la provenienza geografica, la composizione, l’idoneità allo scopo o agli usi, ecc.);

la portata degli impegni del professionista, i motivi della pratica commerciale e la natura del processo di vendita, qualsiasi dichiarazione o simbolo relativi alla sponsorizzazione o all’approvazione dirette o indirette del professionista o del prodotto;

il prezzo, come calcolarlo, o l’esistenza di uno specifico vantaggio sul prezzo;

la necessità di manutenzione, ricambio, sostituzione o riparazione del prodotto;

le informazioni sulla natura, le qualifiche del professionista, sulla sua identità e sui suoi ausiliari;

i diritti del consumatore, tra i quali il diritto di sostituzione e rimborso previsti dall’art. 130 cod. cons.

Tra i criteri in relazione ai quali l’informazione resa dal professionista può essere idonea ad ingannare il consumatore medio, l’induzione in errore sull’“esistenza o la natura del prodotto” oppure sulle caratteristiche funzionali e strutturali del prodotto. Un primo insieme delle caratteristiche che concorrono alla realizzazione di azioni ingannevoli è costituito dalla “disponibilità, i vantaggi, i rischi, l’esecuzione e la composizione” del prodotto.

Tra le caratteristiche del prodotto vi sono i “rischi”, ovvero le conseguenze negative, nocive per la salute, la sicurezza personale del consumatore e della sua famiglia, o per l’integrità dei suoi beni, del suo patrimonio. Si tratta di fattispecie in cui l’etichetta, il foglio illustrativo del prodotto, la brochure pubblicata sul sito web, illustrano le proprietà benefiche e omettono, o sono poco puntuali, nelle indicazioni delle sostanze la cui assunzione determina disturbi fisici, l’insorgere di complicazioni fisiologiche, o in merito alle dosi e alla durata massima del trattamento oltre la quale è opportuno sospenderne l’uso o rivolgersi ad un medico. Si tratta di ipotesi frequenti in cui il consumatore, attratto dal risultato promesso diviene vulnerabile, in quanto riduce la sua normale vigilanza decisionale e trascura le regole di avvedutezza e prudenza.

Come nell’informativa privacy, l’indicazione dei diritti dell’interessato e le diverse finalità dei consensi devono essere chiaramente – anche sotto il profilo grafico/visivo – ben riconoscibili e distinguibili, così l’“assistenza post-vendita” ed il “trattamento dei reclami”, ovvero i diritti del consumatore, devono avere una collocazione chiara, precisa ed esauriente all’interno di ogni comunicazione commerciale, spot, catalogo illustrativo di beni o servizi.

Idoneità allo scopo del prodotto

Tra le caratteristiche del prodotto l’“idoneità allo scopo” è quella che, insieme alla promessa dei vantaggi, cattura e condiziona con maggiore incisività l’attenzione e la scelta finale dei destinatari del messaggio; o ancora l’“Origine geografica o commerciale” del bene. Su tali aspetti il consumatore, se non adeguatamente informato poiché non è un esperto del settore in cui opera la sua controparte, è maggiormente indifeso.

Infine, un’ultima caratteristica è quella dei “risultati che si possono attendere dall’uso” del prodotto. Attraverso i vari canali (social networks, email, gli invasivi pop-up durante la navigazione sul web) si susseguono incessantemente i messaggi, gli slogan e le promozioni di prodotti incentrati esclusivamente sulla promessa di risultati straordinari derivanti dall’uso di un certo bene. Promesse che spesso sono costruite facendo leva su una particolare vulnerabilità dell’Interessato Consumatore (il minore che poi condiziona il genitore, l’adolescente, la persona affetta da una patologia o da una situazione di disagio socio economico).

Cosa comporta la “condotta omissiva”

Il diritto dei consumatori a ricevere informazioni corrette, veritiere e chiare, sancito dall’art. 5, comma 3, cod. cons., assume un ruolo centrale in materia di pratiche commerciali ingannevoli al punto che le omissioni informative integrano un autonomo divieto di condotta ingannevole.

L’art. 22, cod. cons., riconosce come omissione ingannevole quella “pratica commerciale che nella fattispecie concreta, tenuto conto di tutte le caratteristiche e circostanze del caso, nonché dei limiti del mezzo di comunicazione impiegato, omette informazioni rilevanti di cui il consumatore medio ha bisogno in tale contesto per prendere una decisione consapevole di natura commerciale e induce o è idonea ad indurre in errore in tal modo il consumatore medio ad assumere una decisione di natura commerciale consapevole che non avrebbe altrimenti preso” .

Il primo comma fissa i tratti costitutivi delle pratiche “omissive”: i) nell’omissione di una o più informazioni “rilevanti” e ii) nell’idoneità di tale omissione ad indurre il consumatore a prendere una decisione commerciale che altrimenti non avrebbe adottato.

Dunque, non rileva qualunque omissione, bensì solo quella avente ad oggetto un dato esplicativo qualificabile come “rilevante” (ovvero quelle informazioni che permettono ad un consumatore medio di adottare scelte consapevoli) e, al contempo, deve sussistere un nesso di causalità tra tale “dimenticanza” e la determinazione negoziale del consumatore medio.

Il comma 3 dell’art. 22, cod. cons., completa la definizione di omissione ingannevole, disponendo che ai fini della rilevanza dell’omissione informativa si debba tener conto delle limitazioni “in termini di tempo e spazio” imposte dal mezzo di comunicazione impiegato per la pratica commerciale e delle misure, qualunque esse siano, adottate dal professionista “per rendere disponibili le informazioni ai consumatori con altri mezzi”.

Nell’espressione “mezzo di comunicazione” viene ricondotto qualunque strumento (o supporto) divulgativo impiegato dal professionista per realizzare o diffondere una pratica nelle fasi del primo contatto commerciale, pre-contrattuale, negoziale e post-contrattuale. Ricorre la condotta ingannevole prevista dal comma 3 anche qualora l’omissione informativa rinvii ad altre fonti d’informazione di non facile o immediata consultazione e ogni qual volta il rinvio ad altre fonti concerna indicazioni che attenuano l’appeal o riducono la convenienza della promessa oggetto del claim principale.

Pratiche commerciali aggressive

Le pratiche commerciali sono considerate “aggressive” quando “nella fattispecie concreta, tenuto conto di tutte le caratteristiche e circostanze del caso, mediante molestie, coercizione, compreso il ricorso alla forza fisica o indebito condizionamento, limita o è idonea a limitare considerevolmente la libertà di scelta o di comportamento del consumatore medio in relazione al prodotto e, pertanto, lo induce o è idonea ad indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso” (art. 24, Cod. consumo).

L’art. 25 Cod. Consumo individua una specifica black list delle pratiche commerciali considerate in ogni caso aggressive:

A: creare l’impressione che il consumatore non possa lasciare i locali commerciali fino alla conclusione del contratto;

B: effettuare visite presso l’abitazione del consumatore, ignorando gli inviti del consumatore a lasciare la sua residenza o a non ritornarvi, fuorché nelle circostanze e nella misura in cui siano giustificate dalla legge nazionale ai fini dell’esecuzione di un’obbligazione contrattuale;

C: effettuare ripetute e non richieste sollecitazioni commerciali per telefono, via fax, per posta elettronica o mediante altro mezzo di comunicazione a distanza, fuorché nelle circostanze e nella misura in cui siano giustificate dalla legge nazionale ai fini dell’esecuzione di un’obbligazione contrattuale,

D: imporre al consumatore che intenda presentare una richiesta di risarcimento del danno in virtù di una polizza di assicurazione di esibire documenti che non possono ragionevolmente essere considerati pertinenti per stabilire la fondatezza della richiesta, o omettere sistematicamente di rispondere alla relativa corrispondenza, al fine di dissuadere un consumatore dall’esercizio dei suoi diritti contrattuali;

E: salvo quanto previsto dal decreto legislativo 31 luglio 2005, n. 177, e successive modificazioni, includere in un messaggio pubblicitario un’esortazione diretta ai bambini affinché acquistino o convincano i genitori o altri adulti ad acquistare loro i prodotti reclamizzati;

F: esigere il pagamento immediato o differito o la restituzione o la custodia di prodotti che il professionista ha fornito, ma che il consumatore non ha richiesto, salvo quanto previsto dall’articolo 66-sexies, comma 2;

G: informare esplicitamente il consumatore che, se non acquista il prodotto o il servizio saranno in pericolo il lavoro o la sussistenza del professionista;

H: lasciare intendere, contrariamente al vero, che il consumatore abbia già vinto, vincerà o potrà vincere compiendo una determinata azione un premio o una vincita equivalente, mentre in effetti non esiste alcun premio né vincita equivalente.

L’aggressività della condotta è data dallo sfruttamento di una circostanza di fatto in cui il consumatore non è nel pieno delle sue facoltà di discernimento in relazione a offerte, messaggi, proposte legati alla fonte del suo stato di maggiore vulnerabilità. E la possibilità di realizzare una pratica commerciale aggressiva, e in particolare quelle delle lett. b), c), e), f) e g) dell’art. 25 Cod. Consumo – che fanno leva su aspetti relativi alla condizione lavorativa, economica, stato di salute o sui desiderata dei minori ecc. -, avviene proprio grazie allo “sfruttamento” di dati personali e sensibili del singolo consumatore e dei componenti il suo nucleo familiare, sfociando in condotte che incidono in modo più invasivo sull’autodeterminazione del singolo individuo, pressandolo emotivamente e psicologicamente sul piano affettivo, emotivo, sociale ed economico.

Il ruolo centrale dell’informazione

Per quanto sin qui esaminato, è lampante come la persona fisica che agisce come consumatore e che al contempo è interessato dal trattamento dei suoi dati personali abbia il diritto di ricevere da parte del professionista, il quale potrebbe agire come Titolare (art. 25 GDPR) o Contitolare (art. 26 GDPR) del trattamento nell’esercizio della sua attività commerciale, artigianale, imprenditoriale o professionale, un’informazione chiara, semplice, completa.

Da un lato l’art. 5, commi 2 e 3, del Codice del Consumo, stabilisce che “sicurezza, composizione e qualità dei prodotti e dei servizi costituiscono contenuto essenziale degli obblighi informativi” e che “le informazioni al consumatore, da chiunque provengano, devono essere adeguate alla tecnica di comunicazione impiegata ed espresse in modo chiaro e comprensibile, tenuto anche conto delle modalità di conclusione del contratto o delle caratteristiche del settore, tali da assicurare la consapevolezza del consumatore”.

E difatti, la struttura stessa della pratica commerciale scorretta si fonda su un’informazione idonea ad indurre in errore limitando la libertà di autodeterminazione. Dall’altro, il combinato disposto degli artt. 12, 13, 14 e 15 del Regolamento UE n. 2016/679 evidenzia il costante diritto dell’Interessato a ricevere un’informativa sul trattamento dei dati personali realizzato (o realizzati) dal Titolare del trattamento – autonomamente o mediante Responsabili e/o sub responsabili del trattamento – “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”.

Come due sfere concentriche, dunque, il soggetto qualificabile come Titolare del trattamento di dati personali nell’ambito dell’esercizio di attività professionali, qualificabili come pratiche commerciali ai sensi del Codice del Consumo, deve garantire contemporaneamente un diritto all’informazione chiara, completa, corretta dal duplice volto.

Dati personali: veicolo e oggetto del commercio

Rileggendo le definizioni e gli esempi pratici delle condotte, attive e omissive, qualificabili “pratiche commerciali scorrette”, emerge come tali condotte si realizzano sempre più frequentemente attraverso il trattamento di dati personali che possono assumere un duplice ruolo: essere lo strumento, il “veicolo” attraverso cui costruire la pratica commerciale, strutturandola per renderla particolarmente interessante, appetibile per una determinata schiera di utenti, oppure essere l’oggetto stesso della pratica, in maniera il più delle volte velato, ovvero omesso nella privacy policy o nello slogan di invito all’acquisto formulato dal Titolare del trattamento (dunque condotta omissiva ingannevole).

Si pensi al caso dell’azienda che offre servizi di informazione e approfondimento on line, alla piattaforma social oppure alla società che conclude contratti a distanza con un sito di e-commerce: tutte fattispecie dove il professionista ufficialmente vende beni o servizi ma in realtà mediante l’iscrizione on line del consumatore Interessato acquisisce un insieme di dati personali e/o sensibili che, come riconosciuto nella recente sentenza del T.A.R. Lazio sez. I, 18 dicembre 2019/10 gennaio 2020, n. 261, hanno un autonomo e ben preciso valore economico che li rende a tutti gli effetti un bene di consumo oggetto di pratiche commerciali.

Ebbene, quei dati sono un ulteriore prezzo, un’ulteriore controprestazione che l’Interessato Consumatore accetta inconsapevolmente di, rispettivamente, cedere/eseguire in favore del professionista. Pertanto le condotte del Titolare del trattamento realizzate in violazione del dovere di informazione e di raccolta di un consenso informato, consapevole ed espresso dell’Interessato, ovvero un trattamento di dati personali illecito e in contrasto con il GDPR, possono integrare una pratica commerciale scorretta, ingannevole o aggressiva, ai sensi del Codice del Consumo.

Quanto valgono i dati personali: il caso Facebook

I dati personali, infatti, sono economicamente valutabili, sono parte del patrimonio del professionista Titolare del loro trattamento, divenendo una vera e propria banca dati da rivendere a soggetti terzi, ma anche una banca dati su cui costruire e sviluppare il know-how del Titolare progredendo nel mercato concorrenziale.

E difatti, nel caso affrontato dal T.A.R. Lazio nella pronuncia 261/2020[7], si afferma che “il valore economico dei dati dell’utente impone al professionista”, ovvero a Facebook, “di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali che vanno al di là della utilizzazione del social network: in assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può quindi qualificarsi come ingannevole.

La prima condotta sanzionata presenta effettivamente tale carattere, in quanto il “claim” utilizzato da Facebook nella pagina di registrazione per invogliare gli utenti a iscriversi (“Iscriviti E’ gratis e lo sarà per sempre”) lasciava intendere l’assenza di una controprestazione richiesta al consumatore in cambio della fruizione del servizio. (…) La pratica è stata sanzionata in ragione della incompletezza delle informazioni fornite, che a fronte del “claim” di “gratuità” del servizio non consentivano al consumatore di comprendere che il professionista avrebbe poi utilizzato i dati dell’utente a fini remunerativi, perseguendo un intento commerciale”.

Se l’informazione non è chiara né “percepibile”

E ancora, secondo il Giudice Amministrativo l’Autorità Antitrust “nel provvedimento impugnato ha anche ampiamente confutato le tesi di parte ricorrente circa la completezza e chiarezza delle informazioni successivamente accessibili tramite link alla Normativa dati, alle Condizioni d’uso e Normativa Cookie, rilevando, alla stregua di un giudizio logicamente formulato, come le informazioni in questione non fossero né chiaramente né immediatamente percepibili.

Quanto al “banner cookie”, inserito successivamente all’avvio del procedimento, è stato legittimamente ritenuto dall’Autorità inidoneo a far venire meno l’omissione e l’ingannevolezza riscontrata, in quanto “oltre a non essere contestuale alla registrazione in FB, risulta generico oltreché scarsamente esplicativo e, laddove visualizzato in tale fase, nemmeno adiacente al pulsante di creazione dell’account”. Dunque, il giudizio di ingannevolezza della condotta formulato nel provvedimento impugnato si sottrae ai vizi denunciati, risultando corretta la valutazione della Autorità circa l’idoneità della pratica a trarre in inganno il consumatore e a impedire la formazione di una scelta consapevole, omettendo di informarlo del valore economico di cui la società beneficia in conseguenza della sua registrazione al “social network”.

Come precisato dalla sentenza in esame, “non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del Regolamento privacy e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole.

Per le medesime ragioni, non esiste neppure il paventato rischio di un effetto plurisanzionatorio della medesima condotta (intesa come identico fatto storico) posta in essere dal professionista che gestisce il social network. L’oggetto di indagine da parte delle competenti autorità riguarda, infatti, condotte differenti dell’operatore, afferenti nel primo caso al corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma e nel secondo caso alla chiarezza e completezza dell’informazione circa lo sfruttamento del dato ai fini commerciali”[8].

Per i consumatori più “cultura dei dati”

Nell’era del mondo digitale, dove mai come in queste settimane segnate dalla pandemia del Covid-19 il singolo individuo deve lavorare, comunicare con i propri cari e concludere negozi giuridici per acquisti di beni di consumo rigorosamente “a distanza” (on line e via webcam), è anche in forza della cd. accountability, pilastro fondante l’intero assetto determinato dal GDPR, che il Titolare del trattamento, che al contempo è un professionista autore di pratiche commerciali, deve non solo mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR, ma deve altresì operare nel mercato rivolgendosi agli Interessati Consumatori rispettando un imprescindibile obbligo di informazione sui dati personali trattati che rileva, a seconda delle finalità del trattamento, sia ai sensi del Regolamento Privacy, sia ai sensi del Codice del Consumo affinché la singola pratica commerciale non rilevi come ingannevole o aggressiva sfruttando eventuali stati di maggiore vulnerabilità del singolo individuo (integranti dati personali o sensibili).

La pronuncia del TAR Lazio offre l’ennesimo spunto per incentivare la diffusione di una maggiore “cultura” della tutela dei dati personali ma anche della tutela del consumatore, avendo essa il pregio di cristallizzare una verità ineluttabile: accanto alla tutela del dato personale quale espressione di un diritto della personalità dell’individuo – che in quanto tale è soggetto a specifiche forme di protezione, tra cui il diritto di revoca del consenso (art. 7, parag. 3 GDPR), di accesso, rettifica, oblio ovvero tutti i diritti dell’Interessato di cui agli artt. 15/21 Regolamento UE 2016/679 – sussiste una distinta sfera di protezione del dato stesso, inteso quale possibile oggetto di una compravendita tra gli operatori del mercato e/o tra questi e gli Interessati.

Per tale ragione è fondamentale far comprendere e radicare una maggiore consapevolezza dell’Interessato affinché, come per il consumatore medio, si possa parlare di un sistema di tutele predisposto dal Regolamento privacy e del Codice privacy italiano (D.lgs. n. 196/2003 adeguato al GDPR dal 19.09.2019) realmente accessibile (compreso e fruibile) all’Interessato “medio”.

La persona fisica alla quale i dati personali e sensibili e giudiziari si riferiscono deve essere adeguatamente sensibilizzata sugli strumenti a sua disposizione e sul valore economico dei dati che sempre più spesso sono merce di scambio, al punto da divenire una vera e propria valuta monetaria, come nel caso Facebook oggetto della citata sentenza del TAR Lazio e del recente notizia che ha visto la piattaforma Zoom vendere, omettendone l’indicazione nella propria informativa privacy, i dati personali – tra i quali immagini fotografiche dei propri utenti – a Facebook integrando dunque una pratica commerciale ingannevole ai sensi del Codice del Consumo italiano.

Note

Il provvedimento, inseritosi nell’ambito del piano di revisione dell’acquis comunitario del diritto dei consumi, aveva puntato all’armonizzazione massima delle legislazioni nazionali in materia di pratiche commerciali sleali al fine di limitarne le divergenze di recepimento, ridurre gli ostacoli alla commercializzazione transfrontaliera di beni e servizi e rafforzare, così, la fiducia dei consumatori e delle imprese nel mercato interno.

Ovvero da “persona fisica o giuridica che, nelle pratiche commerciali oggetto del presente titolo, agisce nel quadro della sua attività commerciale, industriale, artigianale o professionale e chiunque agisce in nome o per conto di un professionista” – art. 18, comma 1, lett. b) Codice del Consumo.

Definito come “qualsiasi contratto concluso tra il professionista e il consumatore nel quadro di un regime organizzato di vendita o di prestazione di servizi a distanza senza la presenza fisica e simultanea del professionista e del consumatore, mediante l’uso esclusivo di uno o più mezzi di comunicazione a distanza fino alla conclusione del contratto, compresa la conclusione del contratto stesso” (art. 45, lett. g) Cod. Consumo) .

Ovvero “qualsiasi contratto tra il professionista e il consumatore: 1) concluso alla presenza fisica e simultanea del professionista e del consumatore, in un luogo diverso dai locali del professionista; 2) per cui è stata fatta un’offerta da parte del consumatore, nelle stesse circostanze di cui al numero 1; 3) concluso nei locali del professionista o mediante qualsiasi mezzo di comunicazione a distanza immediatamente dopo che il consumatore è stato avvicinato personalmente e singolarmente in un luogo diverso dai locali del professionista, alla presenza fisica e simultanea del professionista e del consumatore; oppure; 4) concluso durante un viaggio promozionale organizzato dal professionista e avente lo scopo o l’effetto di promuovere e vendere beni o servizi al consumatore” (art. 45, lett. h) Cod. Consumo).

Il concetto di “consumatore medio” è tra i criteri fondamentali alla base della valutazione della scorrettezza di una pratica commerciale. Nato dall’attività della Corte di giustizia (Corte giust CE, 13 dicembre 1990, C-238/89; Corte giust. CE, 2 febbraio 1994, C-315/92; Corte giust. CE, 16 luglio 1998, C-210/96; Corte giust CE, 26 ottobre 1995, C-51/94), è stato poi elaborato dal legislatore comunitario, fino divenire il parametro sulla base del quale costruire, di volta in volta, il metro di paragone del consumatore di riferimento con cui raffrontare e valutare il comportamento del consumatore protagonista del caso concreto. Come recita la lettera del considerando n. 18 della direttiva «(…)la presente direttiva prende come parametro il consumatore medio che è normalmente informato e ragionevolmente attento ed avveduto, tenendo conto dei fattori sociali, culturali e linguistici (…). La nozione di consumatore medio non è statica. Gli organi giurisdizionali e le autorità nazionali, dovranno esercitare le loro facoltà di giudizio tenendo conto della giurisprudenza della Corte di giustizia, per determinare la nozione tipica del consumatore medio nella fattispecie». Il criterio del consumatore di riferimento è stato poi modulato nell’eventualità che la pratica scorretta si rivolga specificatamente ad un gruppo particolare di destinatari, come ad esempio gli adolescenti, o le persone anziane, o comunque categorie di soggetti più vulnerabili (art. 20, comma 3, cod. cons.).

La disciplina dell’azione ingannevole introdotta dal d.lgs. 146/2007 nell’art. 21, comma 1, cod. cons., ha ripreso la ratio e la definizione di ingannevolezza poste alla base del d.lgs. 25 gennaio 1992, n. 74, attuativo in Italia della normativa comunitaria contro i messaggi pubblicitari ingannevoli, che anche solo potenzialmente sono in grado di influenzare le scelte economiche dei loro destinatari.

In data 6 aprile 2018 l’Autorità Garante della Concorrenza e del Mercato aveva avviato il procedimento istruttorio PS1112 nei confronti di Facebook Inc. e Facebook Ireland Limited in relazione a presunte pratiche commerciali scorrette in violazione degli articoli 20, 21, 22, 24 e 25 del d.lgs. n. 206/2005 (“Codice del Consumo”). L’AGCM, nello specifico, aveva ipotizzato l’esistenza di due distinte pratiche commerciali aventi ad oggetto la raccolta, lo scambio con terzi e l’utilizzo, a fini commerciali, dei dati dei propri utenti consumatori, incluse le informazioni sui loro interessi on line. La prima pratica, ritenuta “ingannevole”, consisteva nell’avere adottato, nella fase di prima registrazione dell’utente nella Piattaforma Facebook, un’informativa ritenuta dall’AGCM stessa priva di immediatezza, chiarezza e completezza, in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti. La seconda pratica, qualificata come “aggressiva”, si concretizzava nella applicazione, in relazione agli utenti registrati sulla piattaforma, di un meccanismo che, secondo la ricostruzione dell’Autorità, comportava la trasmissione dei dati degli utenti dalla Piattaforma del social network ai siti “web/app” di terzi e viceversa, senza preventivo consenso espresso dell’interessato, per l’uso degli stessi a fini di profilazione e commerciali. Il procedimento si concludeva con il provvedimento n. 27432 del 29.11.2018 con il quale l’AGCM, conformemente al parere espresso dall’Autorità per le garanzie nelle comunicazioni (AGCOM) deliberava che: la prima pratica posta in essere da Facebook Inc. e Facebook Ireland Ltd. costituiva una pratica commerciale scorretta ai sensi degli artt. 21 e 22, del Codice del Consumo; la seconda, invece, era scorretta ai sensi degli artt. 24 e 25, del Codice del Consumo. Vietava quindi la continuazione di entrambe le pratiche e applicava ad entrambe le società, in solido, due distinte sanzioni amministrative in relazione alle due pratiche, ciascuna pari a € 5.000.000,00. Era, inoltre, imposta la pubblicazione, a loro cura e spese, di una dichiarazione rettificativa allegata al provvedimento, ai sensi dell’articolo 27, comma 8, del Codice del Consumo. Avverso il provvedimento sanzionatorio Facebook Inc aveva presentato ricorso al T.A.R. Lazio.

Cfr. anche la sentenza del Consiglio di Stato Sezione VI Sentenza 11 novembre 2019, n. 7699.

DPIA: Quando è necessario fare la valutazione di impatto

Fri, 04 Jun 2021 12:54:51 GMT

Un vademecum sulla DPIA, la valutazione d’impatto prevista dal GDPR come strumento per garantire l’accountability. Tutti i casi in cui la procedura è obbligatoria, come farla e a che cosa serve

Un articolo dell'Avv. Tiziana Pica sulla DPIA pubblicato da Cyber Security 360: https://www.cybersecurity360.it/legal/privacy-dati-personali/dpia-quando-e-obbligatoria-e-chi-sono-i-soggetti-coinvolti/

La DPIA è uno strumento fondamentale per l’adeguamento alla normativa sulla privacy e per garantire la sicurezza nella protezione dei dati. La procedura può risultare complessa, diverse sono le necessità a seconda degli ambiti produttivi di riferimento.

Cerchiamo di fare chiarezza sull’obbligatorietà di questa pratica e su quali soggetti debbano essere coinvolti.

Il contesto normativo

Come proclamato unanimemente in Europa e oltreoceano, la base fondante della vigente normativa europea per la protezione e la sicurezza dei dati personali stabilita dal Regolamento UE n. 2016/679 (General Data Protection Regulation – GDPR) è l’accountability, ovvero la responsabilizzazione.

Il concetto di accountability permea l’intero GDPR riecheggiando in ogni suo articolo: dall’art. 5 (Principi applicabili al trattamento dei dati personali) – dove al paragrafo 2 si ribadisce come “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)” -, passando per l’art. 7 (Condizioni per il consenso) – il paragrafo 1 stabilisce che laddove il trattamento sia basato sul consenso, “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali” – e l’art. 24, paragrafo 1 (Responsabilità del titolare del trattamento) – “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” – fino all’art. 33 che in merito all’obbligo di notificare il data breach all’autorità di controllo entro il termine di 72 ore dal momento in cui il titolare ne è venuto a conoscenza – obbligo che peraltro viene meno qualora il titolare del trattamento sia “in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (Considerando (85) del Regolamento UE n. 2016/679) – prevede anche che il titolare del trattamento debba documentare qualsiasi violazione dei dati personali (paragrafo 5 dell’art. 33).

L’accountability, ovvero la responsabilizzazione, assume forma ed espressione anche, e soprattutto, attraverso una serie di novità introdotte dal GDPR, quali il registro dei trattamenti (art. 30), la scelta scrupolosa da parte del titolare del trattamento di chi assumerà il ruolo di Responsabile da formalizzare attraverso un contratto o altro atto scritto di nomina con precise istruzioni (art. 28) nonché la Valutazione d’Impatto sulla protezione dei dati (art. 35).

La valutazione d’impatto

Ebbene, proprio in merito a quest’ultima novità, nota con l’acronimo “DPIA” (Data Protection Impact Assessment), è opportuno dedicare lo spazio necessario per comprenderne il significato e il contenuto. Il Titolo VI (“Adempimenti”) del D.lgs. n. 196/2003 (il Codice privacy italiano) – abrogato il 19 settembre 2018 con l’entrata in vigore del D.lgs. n. 101/2018 che ha adeguato il Codice privacy italiano al GDPR – prevedeva in capo al Titolare del trattamento l’obbligo di notificare al Garante privacy il trattamento di dati personali ogni qualvolta il trattamento avesse riguardato:

dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

Dunque, prima del GDPR, il titolare del trattamento agiva nel rispetto della normativa sulla tutela dei dati personali trasmettendo al Garante la richiesta di autorizzazione ad iniziare una serie di trattamenti di dati cd. sensibili e/o di dati personali archiviati e trattati ricorrendo a particolari banche dati e strumenti innovativi sotto il profilo delle nuove tecnologie.

Nell’era ante GDPR, non c’era un’assunzione di responsabilità in prima persona del titolare del trattamento, ma la “fatidica” decisione sulla possibilità di intraprendere trattamenti di dati personali potenzialmente rischiosi, frutto di uno studio e di una serie di valutazioni sulla loro pericolosità per la sicurezza del dato e per i diritti e le libertà dell’interessato, era rimessa al Garante privacy.

Il titolare, una volta ricevuta l’autorizzazione, non percepiva di aver assunto una diretta responsabilità relativa alla valutazione e successiva attuazione del trattamento, perché questo era a monte stato autorizzato da un altro soggetto, il Garante.

L’avvento del Regolamento UE n. 2016/679, con l’art. 35, ha definitivamente incastonato nel quadro normativo europeo lo strumento della valutazione d’impatto sul trattamento dei dati personali, che dona forma concreta all’accountability.

Dal 25 maggio 2018, infatti, il Titolare del trattamento deve in prima persona compiere – in una serie di ipotesi suscettibili di future integrazioni – una serie di riflessioni, approfondimenti e valutazioni che dovranno fondare la sua decisione finale circa la fattibilità, con quali modalità e strumenti, o la non possibilità di avviare determinati trattamenti di dati oppure di utilizzare determinate tecnologie.

Viene meno il “filtro”, il placet dell’autorizzazione del (terzo) Garante che, ove concessa, poteva indurre il titolare a una sorta di deresponsabilizzazione[1]. Da poco più di un anno il titolare assume fin da subito la responsabilità delle proprie scelte, valutazioni e decisioni che confluiscono nella realizzazione di trattamenti di dati personali e solo lui, ed eventualmente il o i responsabili del trattamento, ne risponderà in prima persona.

Si sposta il focus decisionale e si passa dalla previa autorizzazione del Garante a un immediato coinvolgimento a 360 gradi del Titolare del trattamento, proprio nel solco della responsabilizzazione.

Quando e come procedere alla DPIA

Secondo il legislatore comunitario, in linea generale, il titolare “prima di procedere al trattamento” deve svolgere una valutazione dell’impatto che i trattamenti dei dati personali potrebbero avere sulla protezione dei medesimi dati qualora “un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, par. 1 GDPR).

La norma prosegue specificando:

i casi in cui la valutazione d’impatto è obbligatoria (par. 3) e, in ogni caso,

rimette alle autorità di controllo il compito di redigere e rendere pubblico un elenco delle tipologie dei trattamenti per i quali la DPIA divenga un requisito preliminare imprescindibile per l’avvio del trattamento stesso.

Ebbene, è evidente che con tali premesse il titolare del trattamento, in prima persona e in autonomia oppure con il supporto del responsabile della protezione dei dati (DPO) eventualmente designato, a monte, prima ancora della valutazione sull’impatto che potrebbero avere i trattamenti insiti nell’attuazione di un progetto, di un’attività istituzionale o economica, sui dati coinvolti, debba svolgere una vera e propria prevalutazione d’impatto[2].

Infatti, deve inizialmente porre in essere una sommaria raccolta di informazioni su tipologia dei dati personali e sulla categoria degli interessati coinvolti nonché su caratteristiche, strumenti, durata, modalità e misure organizzative che coinvolgeranno e caratterizzeranno i trattamenti per poter (pre)valutare se la (le) sua (sue) attività ricadano nell’ambito delle fattispecie per le quali è obbligatorio procedere ai sensi dell’art. 35, parag. 1, 3 e 7 del GDPR.

Il titolare del trattamento deve pertanto fare un’analisi preliminare per comprendere se il o i trattamenti di dati personali che si accinge a porre in essere consistano in:

una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, tra cui la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

un trattamento su larga scala di categorie particolari di dati personali (art. 9 par. 1 GDPR) o di dati relativi a condanne penali e a reati (art. 10 GDPR);

nella sorveglianza sistematica su larga scala di una zona accessibile al pubblico e rientrino conseguentemente nel novero di quei trattamenti che non possono avere inizio se non alla stregua dell’esito della valutazione d’impatto di cui all’art. 35 del Regolamento UE n. 2016/679.

Come articolare la valutazione d’impatto

Appurata la sussistenza di tale condizione preliminare, si dovrà procedere alla valutazione d’impatto che il titolare del trattamento dovrà articolare seguendo un contenuto minimo composto da:

discrezione “sistematica” dei trattamenti che dovrà svolgere e delle relative finalità tra cui, ove ricorra, anche l’indicazione del cd. legittimo interesse di cui alla lett. f) del par. 1 dell’art. 6 del GDPR;

analisi del rispetto o meno da parte delle sue attività dei principi di finalità, minimizzazione e proporzionalità del trattamento di cui all’art. 5 del GDPR;

valutazione dei rischi ai quali i diritti e libertà degli interessati (sia in materia di privacy, sia intesi come libertà di espressione e di pensiero, libertà di movimento, libertà di coscienza e religione e il diritto a non subire discriminazioni di alcuna sorta) sono esposti attraverso i trattamenti dei dati personali che effettuerà;

susseguente individuazione delle misure tecniche, organizzative e di sicurezza presenti e/o da implementare o adottare per gestire i rischi di cui al precedente periodo e per garantire la protezione dei dati personali al fine di poter dimostrare una condotta responsabilizzata, ovvero tracciabile e conforme al Regolamento, che non leda i diritti e gli interessi degli interessati e di eventuali altri soggetti indirettamente coinvolti.

Per agevolare la realizzazione di una DPIA efficiente è indubbiamente utile dotarsi di protocollo interno avente ad oggetto la schematizzazione del funzionamento delle aree di trattamenti suddivise sulla base della natura dei dati trattati, delle finalità, categorie dei soggetti interessati dai trattamenti nonché delle soluzioni tecniche (nuove tecnologie, sistemi di monitoraggio, software, personal computer, notebook, tablet, smartphone, telefoni ecc.) ed organizzative (struttura fisica degli uffici, schedari, assegnazione di dispositivi ai dipendenti, gestione della chiusura – chiavi, serrature, pass – distribuzione di ruoli tra il personale interno).

È poi altresì utile affiancare al protocollo una checklist di verifica preliminare in funzione della quale individuare la “misurazione” del rischio derivante dall’impatto dei trattamenti sui dati e, successivamente, messa a punto la procedura dei trattamenti affinché sia rispondente e argini il livello d’impatto valutato, predisporre una nuova checklist di verifica periodica.

Il caso della videosorveglianza

Per meglio coadiuvare il Titolare del trattamento in questo nuovo obbligo, sinonimo di un operare secondo accountability, il dato normativo dell’art. 35 è stato necessariamente integrato e completato dai Considerando del Regolamento (in particolare i Considerando nn. 84, 89, 90, 91, 92, 94), dalle Linee Guida del Gruppo di Lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali (ovvero del Gruppo di Lavoro “Articolo 29” – WP29) nonché dall’intervento delle autorità di controllo di cui al paragrafo 4 dell’art. 35 del GDPR.

In particolare, le Linee Guida WP29, adottate il 4 aprile 2017, hanno precisato che una DPIA può essere rivolta ad un singolo trattamento oppure può avere ad oggetto più trattamenti che siano tra loro analoghi sotto il profilo della natura del contesto, finalità e rischi.

Caso pratico tra i più diffusi è quello dei sistemi di videosorveglianza: se più soggetti diversi (quindi distinti titolari del trattamento) devono utilizzare un sistema di videosorveglianza dal livello tecnologico e strutturale analogo per raccogliere e trattare la stessa tipologia di dati per le medesime finalità oppure un titolare del trattamento debba adottare un sistema di videosorveglianza da installare in luoghi diversi, si può procedere ad una sola valutazione sull’impatto dei trattamenti effettuati attraverso questo sistema di videosorveglianza.

Nel primo caso si tratterà di una DPIA condivisa tra i diversi titolari[3] e nel secondo caso sarà applicata nell’organizzazione e gestione dei trattamenti nei vari contesti territoriali coinvolti dalle attività dell’unico titolare.

L’utilità della DPIA

La DPIA è inoltre uno strumento particolarmente utile per i titolari del trattamento che, ad esempio, stanno elaborando con un proprio ufficio tecnico, oppure stanno per acquistare da un terzo produttore, una licenza d’uso per nuovi dispositivi tecnologici (licenze software, banche dati, hardware).

Si pensi al titolare che eroga servizi di formazione on line, cosiddetto e-learning, che debba decidere se e a quali condizioni concludere un accordo commerciale con un produttore di sistemi di riconoscimento biometrico che possano implementare la piattaforma dei servizi in questione.

In tal caso, prima di sottoscrivere un contratto e avviare l’utilizzo di una tecnologia che implica la raccolta e il trattamento del dato biometrico, il titolare dovrà fare una DPIA per inquadrare allo stato attuale il livello di rischio al quale sarebbero esposti i dati personali coinvolti nei trattamenti oggetto del servizio di formazione e-learning[4] e, una volta definito il rischio, dovrà organizzarsi – e in questa fase ovviamente rientra anche la predisposizione del contratto con il fornitore della nuova tecnologia (previsioni di obblighi, penali, istruzioni ecc.) – per assumere la decisione finale: essere nelle condizioni di poter assumere responsabilmente trattamenti che si svolgano con la nuova tecnologia potendone contenere e gestire i rischi, oppure non intraprendere, per il momento, queste nuove forme di trattamento dei dati a causa di un esito della DPIA che attualmente fotografa una situazione non ottimale per un trattamento sicuro o quanto meno responsabile secondo accountability, fermo restando che in tale ultima ipotesi il titolare potrà coinvolgere l’autorità di controllo invocandone l’esercizio dei poteri di consultazione preventiva, come stabilito dall’art. 36 del Regolamento UE n. 2016/679.

Dunque, come già aveva avuto modo di chiarire il WP29 nel parere n. 04/2013 adottato in merito al modello di DPIA elaborato dalla task force nominata dalla Commissione europea per l’introduzione dei sistemi di misuratori intelligenti nei mercati dell’energia elettrica e del gas[5], la valutazione d’impatto deve descrivere il trattamento previsto, individuarne i rischi per i dati e per i diritti e le libertà degli interessarti, focalizzandosi sulla persona interessata, ma in ogni caso deve avere quale obiettivo ultimo del procedimento di analisi del rischio, l’individuazione dei controlli, delle misure che riducano entro limiti ragionevoli e tollerabili l’impatto negativo per i diritti e le libertà degli interessati.

Ed è proprio questo obiettivo ultimo ad essere di vitale importanza affinché la DPIA risponda alla sua funzione e sia completa ed esaustiva.

Quando è obbligatoria la DPIA

Venendo alle ipotesi in cui il Titolare del trattamento è tenuto a svolgere la valutazione d’impatto sui dati personali, l’intervento del WP29 – che ha individuato nove criteri fondanti il riconoscimento e la qualifica di un trattamento di dati personali “a rischio elevato” e, dunque, desumere l’obbligatorietà della DPIA – ha poi permesso la tempestiva adozione da parte dell’Autorità di controllo italiana, e ovviamente delle Autorità degli altri Stati membri, del provvedimento n. 467 contenente l’elenco delle tipologie dei trattamenti, soggetti al meccanismo di coerenza, che devono necessariamente essere oggetto di valutazione d’impatto[6].

Il Garante privacy, partendo dalle Linee guida del WP29 – secondo cui il ricorrere di almeno due dei nove criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati – ritiene che debbano essere obbligatoriamente sottoposti a DPIA i trattamenti:

valutativi o di scoring su larga scala[7], nonché trattamenti che comportano la profilazione[8] degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato” [9];

automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi);

che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza ecc.;

su larga scala di dati aventi carattere estremamente personale, ovvero dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);

effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si pensi all’utilizzo di dispositivi che geolocalizzano il dipendente per distribuire delle consegne);

non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);

effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il Wi-Fi tracking) ogniqualvolta ricorra anche almeno un altro dei nove criteri individuati dal WP29 nel provvedimento n. 248/2017;

che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;

di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);

di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;

sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento,

sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento[10].

Sul punto, il Comitato europeo per la protezione dei dati[11] ha ribadito come tali elenchi, adottati dagli Stati membri, siano uno strumento rilevante per l’applicazione coerente del GDPR, ferma restando la facoltà per ogni titolare del trattamento di (pre)valutare e decidere, in forza della propria struttura, delle circostanze e caratteristiche oggettive della fattispecie concreta in cui opera, se una valutazione d’impatto sia necessaria prima di avviare l’attività di trattamento[12].

Settore sanitario e attività a fini statistici

A poco meno di un anno dalla diretta applicabilità del GDPR, la Relazione annuale 2018 presentata dall’Autorità di controllo italiana il 7 maggio 2019 ha reso un ulteriore contributo sulle ipotesi in cui è necessario porre in essere una DPIA. Sicuramente, rileva tra le novità introdotte con il D.lgs. n. 101/2018 per l’adeguamento del D.lgs. n. 196/2003 al GDPR, la previsione dell’applicazione della sanzione amministrativa pecuniaria di cui all’art. 83, par. 4 del GDPR (ovvero quella appartenente allo scaglione di 10 milioni di euro, o per le imprese, del 2% del fatturato mondiale totale annuo dell’esercizio precedente) nei confronti di colui che trattando dati relativi alla salute, alla ricerca scientifica in campo medico, biometrico, epidemiologico non abbia svolto la valutazione d’impatto come stabilito dall’art. 110, comma 1 del Codice Privacy o non abbia sottoposto il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del medesimo comma 1, dell’art. 110 (così il novellato art. 166 del D.lgs. n. 196/2003).

Sempre nel settore sanitario, il Garante privacy ha ribadito come il Titolare del trattamento debba porre in essere la DPIA, ad esempio proprio con riferimento a case di cura o associazioni che intendevano adottare sistemi integrati di monitoraggio (mediante timbratura badge) e di videosorveglianza di pazienti (soggetti affetti da condizioni di disabilità o particolari patologie di salute) [13].

Un altro settore attenzionato dalla necessità di procedere alla valutazione d’impatto è stato quello delle attività per fini statistici che contemplino il trattamento dei dati di soggetti minori di età: in tale contesto il Garante ha invitato il titolare a “valutare con estrema attenzione, anche nell’ambito di una specifica valutazione d’impatto effettuata ai sensi dell’art. 35 del RGPD, l’opportunità di trattare dati personali riferiti a tale particolare categoria vulnerabile di interessati e ad adottare appropriate garanzie (ad esempio, innalzando l’età per la quale la raccolta dei dati viene effettuata tramite proxy e rendendo anonimi i dati al termine del trattamento statistico per il quale sono stati raccolti)”[14]. La valutazione d’impatto è stata incentivata anche nelle attività di studio per fini statistici realizzati mediante i cd. big data.

Sul punto, con riferimento alle sperimentazioni che prevedono l’utilizzo di fonti di telefonia mobile, il Garante ha precisato che l’impiego di queste informazioni comporta specifici rischi per la riservatezza e la protezione dei dati personali degli interessati, in quanto con le nuove tecnologie e le nuove tecniche di analisi che permettono l’elaborazione e l’interconnessione dei dati, diviene sempre più frequente la re-identificazione di un interessato (cd. single-out) anche attraverso informazioni apparentemente anonime[15]. Da ultimo, si segnala che il Comitato europeo per la protezione dei dati sta portando avanti un importante lavoro in materia di intelligenza artificiale proprio evidenziando il ruolo centrale della valutazione d’impatto preventiva in tale settore[16].

Gli attori della valutazione d’impatto

Come emerge chiaramente dal testo normativo nonché dalle successive Linee guida e dai provvedimenti adottati in questi mesi da alcuni enti, la valutazione d’impatto ha un solo attore protagonista: deve essere condotta, e dunque sottoscritta, dal soggetto titolare del trattamento dei dati.

Dunque, l’autore della DPIA sarà la società privata in persona del legale rappresentante pro tempore, il Ministero in persona del Ministro pro tempore, la fondazione in persona del Presidente, e così a seguire, e ne sarà responsabile unicamente il titolare del trattamento.

Tuttavia, come delineato dal combinato disposto degli artt. 35 e 39, par. 1 lett. c), del Regolamento UE n. 2016/679, il titolare del trattamento può coinvolgere, ove lo abbia designato, il responsabile per la protezione dei dati e, in particolare, qualora nella fase di cd. prevalutazione emergano dei dubbi o delle difficoltà sull’obbligatorietà o meno della DPIA oppure laddove, al termine della valutazione condotta dal titolare, risulti lampante un rischio elevato per i dati personali trattati e/o per i diritti e le libertà degli interessati coinvolti dai trattamenti.

In tali ipotesi il titolare può chiedere al DPO un supporto nella fase di valutazione, soprattutto con riferimento all’elaborazione dei relativi esiti. Difatti, come illustrato dalla recente circolare del Ministero della Giustizia[17], si instaura un dialogo cooperativo tra titolare e responsabile per la protezione dei dati, al termine del quale il soggetto che risponde della DPIA sarà unicamente il titolare dei trattamenti, indipendentemente dal parere reso dal DPO (parere che non è vincolante e che, anche qualora il titolare se ne discosti, dovrà essere allegato al documento/file della valutazione d’impatto).

Non solo. Laddove, la valutazione d’impatto svolta dal titolare, con o senza il supporto del parere del responsabile per la protezione dei dati, individui un livello di rischio elevato e/o l’assenza di strumenti e misure organizzative e di sicurezza adeguate per mitigare o attenuare i rischi, è altresì opportuno che il titolare non intraprenda o non prosegua il trattamento se non dopo aver ricevuto il parere scritto dell’Autorità di controllo.

Il titolare dovrà infatti coinvolgere il Garante privacy ricorrendo allo strumento della consultazione preventiva di cui all’art. 36 del GDPR. Ebbene, una volta compiuta la valutazione d’impatto non da sola non è sufficiente a garantire la conformità dei trattamenti ai principi e ai livelli adeguati di sicurezza.

Proprio perché essa è obbligatoria laddove ricorrano anche solo due criteri tra quelli individuati dalla Linee Guida del WP29, ovvero quando i dati – personali o particolari – siano coinvolti in attività di profilazione, scoring, valutazione, monitoraggio attraverso dispositivi, strumenti e soluzioni innovative dal punto di vista tecnologico, ovvero siano oggetto di trattamenti in continua evoluzione, la DPIA deve essere anch’essa uno strumento “in continuo movimento” e non un mero adempimento statico fine a se stesso.

Una DPIA “in evoluzione”

La valutazione d’impatto, nel fluire continuo dell’approccio olistico dell’accountability, dovrà periodicamente essere rimessa in moto attraverso l’aggiornamento trimestrale, semestrale o annuale (cadenzato tenendo conto dell’articolazione degli uffici che compongono la struttura operativa del titolare del trattamento, della tipologia e dei flussi dei dati trattati nonché del livello di rischio dei trattamenti) delle altre “voci” della responsabilizzazione: il registro dei trattamenti, condotte strutturate e poste in essere secondo la privacy by design (protezione fin dalla progettazione) e la privacy by default (protezione per impostazione predefinita), la registrazione di eventuali data breach (o tentativi di data breach) sinonimi di lacune o falle nel sistema.

Alla luce di questi elementi, il titolare del trattamento, con l’eventuale supporto di uno o più responsabili del trattamento e dell’intervento consultivo del proprio DPO (qualora nominato), dovrà rivedere e, se del caso, integrare e implementare la check list con cui verificare la rispondenza delle misure organizzative e di sicurezza a eventuali mutamenti del livello del rischio derivante dai trattamenti in essere (o da eventuali nove attività che implicano nuovi trattamenti) con susseguente implementazione delle misure tecniche e/o organizzative da mettere in campo.

Estremamente utili in questo approccio olistico proattivo sono gli audit periodici svolti dai responsabili e/o dai referenti delle aree dell’organigramma aziendale o della PA con gli eventuali designati autorizzati al trattamento delle varie aree in cui si sviluppano i trattamenti di dati personali realizzati dall’ente, pubblico o privato che sia.

Conclusione

Da quanto sin qui esaminato, appare evidente il ruolo della valutazione d’impatto: non deve essere intesa né vissuta dai titolari del trattamento come un onere, o un mero formalismo burocratico, ma deve essere affrontata come un’opportunità fino a divenire un modus operandi propositivo collaudato all’interno dell’ente.

Il titolare del trattamento, unico autore e responsabile finale della DPIA, deve comprenderne il vero significato, ovvero quello di strumento che permette di realizzare un documento che, creato seguendo un ordine logico calato nella realtà concreta e reso attuale mediante verifiche e aggiornamenti, permette al titolare di dimostrare l’approccio, il metodo, le iniziative seguiti per operare non solo nel rispetto delle norme, ma anche, e soprattutto, secondo l’approccio circolare proattivo di accountability delineato dagli artt. 24, 25, 30 e 35 del GDPR.

NOTE

[1] In ogni caso, l’Autorità di controllo italiana con il provvedimento n. 497 del 13.12.2018 ha riassunto quali prescrizioni delle Autorizzazioni generali nn. 1, 3, 6, 8 e 9 rese nel 2016 sono compatibili, e dunque utilizzabili, con il GDPR (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068972).

[2] Così Mauro Formato, Quando procedere ad una DPIA ex art. 35 GDPR: la “prevalutazione d’impatto”, pubblicato su ICT Security Magazine, 24 luglio 2018 (http://www.ictsecuritymgazine.com)

[3] Qualora poi ricorra anche la contitolarità, il documento con cui ai sensi dell’art. 26 del Regolamento UE n. 2016/679 due o più soggetti contitolari dovranno determinare congiuntamente le diverse finalità e modalità del trattamento dei dati e stabilire i confini delle rispettive responsabilità, dovranno altresì articolare la DPIA cristallizzandovi le rispettive responsabilità in ordine alle specifiche misure organizzative e di sicurezza che ciascuno adotterà per la propria area di trattamenti.

[4] Sarà sicuramente utile ai fini di una completa DPIA richiedere al fornitore la sua valutazione d’impatto elaborata al momento della messa a punto della nuova tecnologia.

[5] Parere n. 04/2013 adottato dal Gruppo di lavoro Articolo 29 il 22 aprile 2013.

[6] Provvedimento n. 467 dell’11 ottobre 2018.

[7] Sull’interpretazione del concetto di “larga scala” si veda il Considerando 91 del Regolamento UE n. 2016/679 – dove si ricorda che i trattamenti su larga scala sarebbero quelli che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti”; nonché l’intervento chiarificatore del WP29 con le Linee Guida del 4 aprile 2017, dove il Gruppo di lavoro annovera fra i criteri fondanti la qualifica “su larga scala” di un trattamento: i) il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; ii) il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; iii) la durata, ovvero la persistenza, dell’attività di trattamento; iv) la portata geografica dell’attività di trattamento.

[8] Il GDPR definisce la profilazione come qualunque forma di “trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” (art. 4, parag. 1, n. 4), Reg. UE 679/2016). Su questo genere di trattamenti per i quali è obbligatorio procedere alla DPIA, il Garante privacy italiano si è più volte espresso con i provvedimenti 22 maggio 2018, n. 319, doc. web n. 9018611; n. 320, doc. web n. 9018628; n. 321, doc. web n. 9019882; n. 322, doc. web n. 9019890; n. 323, doc. web n. 9019902; n. 324, doc. web n. 9020242; n. 325, doc. web n. 9020250.

[9] Così le Linee Guida del WP29 riprendendo il passaggio dei Considerando 71 e 91 del Regolamento UE n. 2016/679, pubblicato sul sito del Garante per la protezione dei dati personali.

[10] Così il provvedimento del Garante Privacy italiano n. 467/2018.

[11] Istituito come nuova veste del Gruppo di Lavoro articolo 29 (WP29) ai sensi degli artt. 68 e ss. del Regolamento UE n. 2016/679.

[12] Il Comitato ha in ogni caso precisato che gli elenchi dei trattamenti di dati personali per i quali è obbligatoria la DPIA devono presentare almeno due criteri di rischio per ciascuna tipologia di trattamento e contenere un “nucleo comune” obbligatorio di tipologie di trattamenti. Tra di essi, in particolare, ricorrono i trattamenti che hanno ad oggetto dati genetici, biometrici e di localizzazione. Il Comitato, richiamando le Linee guida (wp248) in materia di valutazione d’impatto sulla protezione dei dati (adottate quando operava come WP29), ha chiarito peraltro che non possono essere considerati quali criteri di rischio una specifica base giuridica o il trattamento ulteriore dei dati e che le liste non devono contenere una definizione numerica o percentuale del concetto di “larga scala”.

[13] Cfr. paragrafo 5.4.2., pag. 83 della Relazione 2018 del Garante Privacy.

[14] Così il Garante a pag. 91 della Relazione 2018, dove si legge che “vista la delicatezza delle informazioni rilevate presso minori, relative anche alle discriminazioni eventualmente subite in diversi ambiti (origine etnica, identità di genere, genere, religione o credo, aspetti relativi alla salute, orientamento sessuale), sono stati richiesti specifici chiarimenti sui questionari utilizzati nell’ambito del lavoro IST-02726-Indagine sulle discriminazioni, nonché alla conservazione dei dati identificativi diretti per la “creazione di un archivio per ritorni sull’argomento”, prima di avviare il trattamento”.

[15] Pag. 91 Relazione 2018.

[16] Le Linee guida adottate il 25 gennaio 2019 (T-PD(2019)01) dove il Comitato afferma che “Dovrebbero essere incoraggiate forme partecipative di valutazione del rischio, basate sul coinvolgimento attivo degli individui e dei gruppi potenzialmente interessati dalle applicazioni I.A.” (intelligenza artificiale) e che “le procedure di appalto pubblico dovrebbero imporre a sviluppatori, produttori e fornitori di servizi di IA specifici obblighi di trasparenza, una valutazione preliminare dell’impatto del trattamento dei dati sui diritti umani e sulle libertà fondamentali e l’obbligo di vigilanza sugli effetti negativi e le conseguenze potenzialmente derivanti dalle applicazioni IA”.

[17] Circolare adottata dal Ministero della Giustizia in data 31 maggio 2019.

DEMOCRAZIA DIGITALE: E-Voting, come realizzare un’assemblea in remoto a norma di legge

avv.lucasanna@gmail.com (Luca Sanna) — Mon, 24 May 2021 17:50:51 GMT

This is a subtitle for your new post

In un periodo in cui la pandemia ci ha allontanato e le riunioni sono difficili da effettuare, una guida per districarsi nella normativa emergenziale per effettuare una riunione valida senza rischi di impugnazioni a firma dell'Avv. Luca Sanna #agendadigitale #covid19 #evoting #studiumciveslife

https://www.agendadigitale.eu/cit.../votazioni-elettroniche/

DEMOCRAZIA DIGITALE

E-Voting, come realizzare un’assemblea in remoto a norma di legge.

Open data e pandemia: i dati aperti sono davvero un bene comune?

avv.lucasanna@gmail.com (Luca Sanna) — Fri, 26 Mar 2021 11:13:35 GMT

Gli open data sono essenziali per incentivare la trasparenza dei governi e la collaborazione dei cittadini. La pandemia ne ha evidenziato l’assoluta necessità. Da dove vengono, quanto valgono, come vengono usati, la classificazione a 5 stelle.

Di seguito l'Art. dell'Avv. Luca Sanna pubblica dalla rivista digitale Agenda Digitale:

https://www.agendadigitale.eu/cittadinanza-digitale/open-data-pandemia/

Hacking “civico” per il benessere della comunità: cos’è e chi lo pratica

avv.lucasanna@gmail.com (Luca Sanna) — Tue, 09 Feb 2021 15:08:21 GMT

This is a subtitle for your new post

Gli hacker sono da sempre considerati i pirati informatici che si intrattengono sulla rete spargendo terrore negli ignari utenti. L'Avv. Luca Sanna in questo articolo pubblicato su AgendaDigitale.eu ci spiega come non sempre sia così e come l'hacking civico sia un tassello importante dello sviluppo della comunità e della collettività. #datibenecomune #civichacking #agendadigitale #studiumciveslife

https://www.agendadigitale.eu/cittadinanza-digitale/hacking-civico-per-il-benessere-della-comunita-cose-e-chi-lo-pratica/

Libra e le altre criptovalute, come nascono, cosa sono, quanto valgono

Mon, 24 Aug 2020 16:52:24 GMT

Pubblicato su Blockchain4innovation.it un contributo dell'Avv. Luca Sanna che tratta della nuova valuta elettronica di Facebook. https://www.blockchain4innovation.it/criptovalute/libra-e-le-altre-criptovalute-come-nascono-cosa-sono-quanto-valgono/

I dati personali dell’interessato consumatore tra GDPR e Codice del Consumo

Mon, 24 Aug 2020 16:51:14 GMT

Pubblicato dall'Avv. Tiziana Pica un importante contributo sul diritto dei consumatori e tutela della privacy all'interno della testata riskmanagement360.it:

https://www.riskmanagement360.it/analisti-ed-esperti/i-dati-personali-dellinteressato-consumatore-tra-gdpr-e-codice-del-consumo/

Corona Virus: cosa deve aspettarsi chi trasgredisce

Sun, 15 Mar 2020 23:38:26 GMT

Restate a Casa.

Se non siamo stati chiari, RIMANETE A CASA. Solo così il virus si potrà fermare. Ma ad ogni modo, se avete violato il periodo di quarantena e siete sprovvisti di adeguata giustificazione, cosa succede?

In tutta Italia, nessun territorio escluso, le regole da seguire sono le seguenti:

● è vietato muoversi se non per «comprovate esigenze lavorative» «situazioni di necessità» oppure «motivi di salute». Tali motivi devono essere inseriti all’interno di un modulo in autodichiarazione da fornire agli organi controllori.

● vi è divieto assoluto per chi è risultato positivo al test di uscire di casa;

● Tutti i negozi commerciali, non essenziali, devono rimanere chiusi.

Se non si rispettano queste semplici regole si va incontro a sanzioni penali. Quali?

L’Art. 650 del Codice Penali prevede che per il mancato rispetto di uno qualunque degli obblighi descritti è punito con l’arresto fino a tre mesi o con l’ammenda fino a 206 euro.

Inoltre un’autodichiarazione falsa costituisce il reato descritto dall’art. 483 c.p. che prevede una pena che può arrivare con la reclusione fino a due anni.

Ebbene a queste piccole sanzioni possono aggiungersi delle altre. Se siete positivi e siete coscienti di esserlo e uccidete con il contagio un’altra persona potreste rispondere di omicidio. Se non siete coscienti della vostra contagiosità risponderete di omicidio colposo.

Se, oltre al caso limite, invece producete dei piccoli danni risponderete del reato di lesioni, colpose o dolose, a seconda del vostro grado di coscienza e volontà nella commissione del reato.

Chi “ci prova” a commettere uno dei due reati, ma non riesce, potrebbe essere accusato di uno di questi delitti nella forma del tentativo.

Ebbene se vi fermano cosa succede? La polizia non rilascia un verbale come per una sanzione del codice della strada, bensì trasmette tutto in procura.

Per le condotte descritte dall’art. 650 c.p., certamente, per evitare che si intasino le aule giudiziarie, si provvederà tramite decreto penale di condanna: una sanzione pecuniaria irrogata dal GIP, cioè dal Giudice che svolge le indagini preliminari, su proposta del Pubblico Ministero che a formulato l’accusa, la quale se non opposta diventerà esecutiva.

Siccome però l’art. 650 c.p. è una contravvenzione punita con pena alternativa (detentiva o pecuniaria), l’imputato potrà opporsi al decreto penale chiedendo l’oblazione che, laddove sia concessa, specie se il soggetto è incensurato, permetterà l’estinzione del reato attraverso pagamento di un importo in denaro pari alla metà del massimo della pena, più precisamente 103 euro.

Il Governo abilita lo smart working rapido con una procedura telematica semplice per inoltrare le richieste di lavoro agile.

Fri, 13 Mar 2020 16:58:44 GMT

Tra le misure del Governo per il periodo di emergenza da COVID-19, il 1° marzo 2020 il Presidente del Consiglio dei ministri ha emanato un Decreto che interviene sulle modalità di accesso allo smart working.

Tra le misure prese c’è l’estensione del lavoro agile. Il lavoro agile, introdotto dal Governo Renzi, è in realtà un vero e proprio contrato di lavoro. Ebbene per snellire le procedure burocratiche di attivazione, sul sito cliclavoro, è disponibile una procedura semplificata emergenziale che permette i datori di lavoro di comunicare i dati dei dipendenti che svolgono le mansioni in smart working.

Come sappiamo il lavoro agile (o smart working) è una modalità di esecuzione dell’attività lavorativa che prevede la possibilità di avere un luogo diverso dove effettuare la propria prestazione lavorativa rispetto alla sede aziendale.

La procedura normale per l’adozione dello smart working prevede un accordo scritto tra dipendente e datore di lavoro (un vero e proprio contratto di lavoro), accordo che deve essere trasmesso attraverso la procedura telematica presente sul sito cliclavoro.

All’interno di tale accordo vi deve essere altresì una manleva rispetto alle condizioni del luogo di lavoro prescelto, attraverso una dichiarazione del lavoratore che cetifica che il luogo scelto è in linea con la normativa sulla sicurezza dei luoghi di lavoro.

L’emergenza epidemiologica da COVID-19 ha portato il Governo ad estendere, in via emergenziale, lo smart working anche in assenza di accordi fra le parti e ad attivare, sul sito cliclavoro, una procedura semplificata per il caricamento massivo delle comunicazioni di smart working.

Da Giustiniano alle pandemie dell’era digitale: il malato tra diritto di cronaca e diritto alla tutela dei dati personali

avv.lucasanna@gmail.com (Luca Sanna) — Thu, 05 Mar 2020 17:19:56 GMT

Il Diritto alla Riservatezza ai tempi del Corona Virus

Ogni qual volta un giovane discente si avvicina allo studio del diritto alla riservatezza viene inondato da nozioni giuridiche che fanno discendere i primi casi di privacy sin dal diritto romano: Tizio, Caio e Sempronio si sono ritrovati a formare un famoso terzetto e, non solo rappresentano i soggetti giuridici per eccellenza, ma si può sostenere siano il primo caso verificabile di pseudonimizzazione del dato.

Questi tre nomi si trovano per la prima volta insieme, come pseudonimi per rappresentare casi tipici trattati nella giurisprudenza romana classica nelle opere d'Irnerio, famoso giureconsulto dello Studio di Bologna.

Mentre il nome “Tizio” fu un’invenzione propria di Irnerio - ma per onore di verità il nome di Sempronio era già usato a tale scopo nell'antichità classica e specialmente nel 'Digesto' -, Caio (Gaius) invero rappresentava la citazione di un nome di un giureconsulto famoso. In ogni caso, è Irnerio il primo autore a fare uso dell'unione classica “Titius, Gaius et Sempronius” che da lui si è trapiantato nella letteratura dei glossatori, e poi nell'uso moderno.

Mevio, che appare nei testi moderni di diritto, è invece una invenzione dell’epoca moderna.

Ebbene l’utilizzo di questi pseudonimi era necessario per nascondere le vicende private di vita di persone realmente vissute.

Tra esigenza di cronaca ed esigenza della riservatezza, i commentari e i glossari di diritto romano hanno privilegiato un utilizzo parco della storia, proponendo una soluzione che nascondesse al grande pubblico il dato del nome proprio o di famiglia, focalizzandosi sulla vicenda giuridica in astratto.

Ma ciò che è stato storicamente riservato per l’amministrazione della giustizia, possiamo sostenere essere stato riservato anche per la tutela della pubblica sicurezza?

2. Pandemie e tutela del dato personale

L’argomento è di stretta attualità, poiché con l’aumentare di casi positivi di COVID-19 (acronimo di Corona Vius Disease 2019) è divenuta più ricorrente l’esigenza (che talvolta può sfociare in ingerenza) giornalistica e dell’opinione pubblica di conoscere i nominativi delle persone infette al fine di poter rendere noto alla collettività non solo l’identikit del soggetto risultato positivo al tampone, ma anche il vissuto del contagiato per poter valutare concretamente la possibilità di un eventuale contatto con lo stesso ai fini dell’esclusione o meno di un’occasione di contagio.

Ebbene è curioso che la prima pandemia ricordata dai testi antichi sia la peste giustinianea che ha imperversato tra il 541 e il 750 d.C., durane il medesimo periodo in cui si ricorda il primo caso di pseudonimizzazione. Infatti, durante l’Impero di Giustiniano il diritto alla riservatezza non ebbe necessità di essere trattato. Nessun si chiedeva se fosse il caso di pubblicare i nomi o meno dei contagiati durante il picco dell’epidemia.

Occorre ricordare che durane l’estate dell’anno 541 d.C. le città più colpite furono le città costiere (il paziente “0” dice Evagrio, dovrebbe essere risalito attraverso il Nilo dall’attuale Etiopia), decimando i piccoli centri abitati costieri.

L’epidemia si spostò nel corso del 541, raggiungendo Gaza e Alessandria, mentre la Siria venne toccata nell’estate del 542. A causa dell’enorme traffico navale del suo porto, Costantinopoli fu colpita nella primavera del 542.

Colpita la città di Costantinopoli, l’epidemia propagò in grande velocità. Dobbiamo immaginare che gli abitanti fossero già terrorizzati, visto che avevano seguito l’avvicinarsi del morbo tramiti dispacci, missive di parenti e commercianti.

La tragedia arrivò in poche settimane. La popolazione morì in una percentuale vicino al 50% e l’unica preoccupazione fu organizzare la sepoltura dei cadaveri che riempirono tutte le tombe della città, le fosse comuni, le torri di guardia, i fienili e le fortificazioni.

Nessuno pensò a fare liste di proscrizione, poiché tutti venivano colpiti.

La seconda pandemia che ha decimato la popolazione mondiale è senza dubbio la peste nera del 1347/1352.

Dobbiamo ricordare come tale pestilenza durò circa 5 anni e decimò intere città. Il caso di Firenze è emblematico: si calcola che su 5 persone ne morissero 3: “Se vuolsi reputare esagerato quello che il Boccaccio stesso e l’Ammirato scrissero, che centomila persone mancassero in Firenze ne’ sei mesi che durò la pestilenza, non può per altro negarsi fede a Matteo Villani, il quale scrive come allora delle cinque persone ne morirono tre : sicché fatto il ragguaglio alla popolazione della città, che allora era di 90,000 anime, bisogna pure inferirne che 54,000 perissero vittime della moria”.

Ebbene a Firenze non ci fu un vero e proprio controllo pubblico, ma ebbe gran rilievo la Venerabile Arciconfraternita della Misericordia di Firenze (abbreviato Ven. Arc. Misericordia di Firenze), una confraternita laica fondata a Firenze nel XIII secolo da San Pietro martire con lo scopo di operare verso i bisognosi gesti di evangelica misericordia. È oggi la più antica Confraternita per l'assistenza ai malati e, in generale, la più antica istituzione privata di volontariato esistente al mondo ancora attiva dalla sua fondazione, datata nel 1244 secondo i registri conservati nel suo archivio. I suoi membri laici, detti fratelli continuano ancora a fornire parte del servizio di trasporto infermi nella città, e fino all'aprile 2006 indossavano ancora la tradizionale veste nera (risalente al XVII secolo).

Ebbene tale Compagnia era composta da soggetti, nascosti dalla veste nera, che serviva appunto per garantire l’anonimato. La riservatezza non doveva essere quella del malato, ma del curatore, il quale - più soggetto al contagio - indossava una lunga veste nera che era comunque utile anche per impedire il contatto con il batterio pestilenziale.

Milano, governata dai Visconti, ebbe una gestione rigida dell’epidemia. Ogni ingresso veniva registrato e posto in isolamento in campagna. Ciò provocò una diffusione minore del contagio e l’accesso in città, una volta permesso al singolo, non diventava più un pericolo collettivo, bensì una vicenda strettamente soggettiva, sicché non si sentiva l’esigenza di alcuna comunicazione dei dati personali.

La peste Veneziana del 1423 (secondo focolaio della peste nera) ebbe un decorso tragico. Venezia, polo “commerciale” per eccellenza anche in antichità, crocevia tra oriente e occidente, tenne nascosto il focolaio, per non subire le ripercussioni economiche del secolo precedente.

Di conseguenza i forestieri appestati in ingresso in città, mai controllati, erano liberi di imperversare provocando nei fatti migliaia di vittime. Sicché, quale misura di contenimento, si decise di isolare il focolaio in un’isola, quella intitolata a Santa Maria di Nazareth (da qui Nazarethum - Lazzaretto ). Ma come noto i Lazzaretti venivano creati per tutelare chi era fuori, non chi si trovava dentro. Anche in questo caso i dati sanitari degli appestati non furono oggetto di diffusione. Non c’era tempo. Né nessuno voleva scatenare il panico.

In tempi più recenti, la pandemia più ricordata, anche in questo momento di sgomento, è la peste manzoniana. La peste seicentesca di Milano che fa da scenario ai Promessi Sposi si è unita alla carestia del 1628/1629, di cui si ricorda l’assalto al Forno del Grucce: molti cittadini per sfuggire alla fame preferivano il ricovero nel Lazzaretto. Ebbene per riuscire ad organizzare il ricovero ad circa 16.000 persone, si affidò la gestione del Lazzaretto ai frati Cappuccini, i quali numerarono ogni posto letto e imposero rigide regole per impedire il diffondersi dell’epidemia all’interno dell’ospedale. Ogni ala del Lazzaretto aveva diversi trattamenti a seconda della tipologia di soggetto trattato.

Le regole rigide imposero il ricovero coatto all’interno del Lazzaretto anche ai sospettati di peste e l’opinione pubblica diffidente ricercava le origini del morbo pestilenziale: così vennero create le liste e appesi i nomi di personaggi che si credeva diffondessero volontariamente a peste attraverso alcuni unguenti.

Gli untori vennero additati e i nomi degli untori furono registrati per sempre su una colonna, la “colonna infame”, oggi ormai andata distrutta. Oggi si dubita dell’esistenza degli untori, ma la lapide posta vicino alla “colonna” oggi è conservata all’interno del Castello Sforzesco, con i nomi di tutti gli untori.

Nel 1804 ci fu la pubblicazione postuma delle Osservazioni sulla tortura (1777) di Pietro Verri, saggio incentrato sull'uso della tortura nel processo agli untori e realizzato negli anni precedenti all'abbattimento della colonna infame: l’autore decise di omettere la citazione dei nomi per evitare di offendere la memoria dei discendenti delle famiglie ancora presenti a Milano.

3. Considerazioni finali.

Ogni qual volta l’operatore giuridico si trova a dover parametrare il diritto alla riservatezza con un altro diritto inviolabile, la privacy viene sempre degradata perché diritto assunto a rango costituzionale solo in un recente periodo, sicché in qualche modo è un diritto meno “costituzionale” rispetto ad altri diritti personalissimi e inviolabili.

Il diritto alla cronaca prevale sul diritto alla riservatezza tanto da permettere al giornalista di indugiare su alcuni particolari in delitti sanguinosi dei quali si farebbe volentieri a meno oppure comunicando nomi di indagati in delitti che possono compromettere la reputazione dell’interessato .

Addirittura degrada il diritto alla riservatezza di fronte ad un meme che prolifera sui social che sfrutta l’immagine di una persona che si è trasformata in tormentone.

La pubblica sicurezza prevale sul diritto alla riservatezza laddove l’installazione di un sistema di videosorveglianza prevalica il concetto di “pubblica strada” (Cass. 20527/19) e si ritiene lecito purché l’uso delle immagini non sia molesto o improprio.

E veniamo al centro del nostro interesse: fin’ora il diritto alla riservatezza non è mai sfociato nella barbarie dell’esporre alla pubblica persecuzione il dato del malato, la cui unica colpa è quella di aver contratto un morbo che mette in pericolo in primis la sua persona.

Si auspica che, in un’epoca nella quale tutte le barriere del decoro stanno cadendo in modo rovinoso, non si superi per la prima volta questo limite.

Per questa ragione si confida che il Garante della Privacy prenda tutti i più rigorosi provvedimenti nel rispetto della propria funzione, nel rispetto di una malattia che lascerà certamente tracce indelebili nell’esistenza di tutti e anche nel rispetto della storia dell’uomo.

Avv. Luca Sanna – Studium Cives.

Multa Eccesso di velocità. Una buona ragione per impugnare.

Sat, 06 Apr 2019 22:48:31 GMT

Fare opposizione a una Multa per eccesso di velocità.

Affinché una strada urbana possa essere qualificata come strada urbana di scorrimento è necessario che, alla sua destra, vi sia la banchina pavimentata che, come precisato dal Tribunale di Firenze nella sentenza numero 3055/2017 assolve alla funzione di garantire la sosta di emergenza dell'automobilista senza ostacolare la scorrevolezza del traffico.

Sicché se hai preso una multa non contestata immediatamente per eccesso di velocità, puoi impugnarla innanzi il Giudice di Pace se la strada non ha una banchina o una corsia di emergenza.

Nel caso di specie, la vicenda aveva ad oggetto la contestazione di una sanzione per eccesso di velocità rilevata tramite autovelox su una strada che per il Comune aveva le caratteristiche della strada urbana di scorrimento, mentre per l'automobilista, in assenza di intersezioni semaforizzate, area di sosta con immissioni e uscite concentrate e banchine pavimentate a destra, non doveva essere considerata tale.

Il Giudice di Pace, in primo grado, aveva deciso di accogliere la posizione del Comune, ma il Tribunale di Firenze, con la sentenza in commento, ha ribaltato tale conclusione sposando la tesi del sanzionato.

La dichiarazione di successione. Come presentarla.

Wed, 03 Apr 2019 10:56:13 GMT

Dichiarazione di Successione On Line. Contattaci.

La morte di un congiunto è un momento triste che accompagna sfortunatamente ogni persona durante la propria esistenza.

Un brocardo popolare recita che esistono solo due circostanze che ogni uomo deve affrontare durante il proprio cammino di vita: la morte e il pagamento delle tasse.

Ebbene nel caso delle imposte di successione questi due momenti coincidono, rendendo ancora più nefasto l’evento del trapasso a miglior vita di un proprio caro.

La successione come abbiamo detto è quell’insieme di norme che regolano questo passaggio: Il patrimonio del defunto si trasferisce al momento della morte a coloro i quali saranno eredi.

La successione si apre così al momento della morte. Con l’apertura della successione viene individuato il momento preciso dal quale decorrono gli effetti della trasmissione dei diritti ereditari e i termini prescritti per l’espletamento delle varie formalità previste dalla legge. In altre parole il giorno della morte si traccia una linea, a partire dalla quale i beni cessano di essere intestati al defunto e i chiamati all’eredità dovranno affrontare le procedure burocratiche richieste dal nostro ordinamento, relative anche al pagamento delle imposte.

Sicché, per poter calcolare al meglio le imposte di successione, lo Stato italiano individua il momento della morte del de cuius come momento a far data dal quale l’erede/chiamato all’eredità più diligente dovrà ricostruire l’intero asse ereditario del de cuius, comprensivo sia di attività (immobili, buoni fruttiferi postali, conti corrente, azioni, ecc…) sia di passività e inserirlo in un apposito modulo chiamato “Dichiarazione di successione”.

Così facendo, il presupposto del tributo viene individuato nell’incremento patrimoniale del beneficiario, mentre il trasferimento del patrimonio ereditario - elemento costitutivo dell’imposta sulle successioni – rappresenta il mezzo di realizzazione dell’incremento e il criterio di attribuzione al beneficiario dell’onere tributario.

In parole più semplici l’imposta successoria si applicherà per legge e colpirà i beni non singolarmente e obiettivamente considerati, ma in quanto parte del patrimonio ereditario, nella somma algebrica degli elementi attivi e passivi, da cui potrà o meno derivare l’arricchimento dell’erede.

Per fare un esempio, se Giuseppe Garibaldi avesse avuto come patrimonio un mutuo, la cui rimanenza fosse ammontata ad € 500,00, e una casa del valore di € 1.000 , la sig.ra Anita, moglie ed unica erede dell’eroe dei due mondi, avrebbe pagato l’imposta di successione solamente sulla differenza algebrica tra gli importi sopra considerati.

Il carattere reale del tributo, che incide immediatamente sull’asse ereditario, si interseca con il suo carattere personale, determinato da diversi fattori, tra cui l’ammissione del passivo ereditario, la considerazione del grado di parentela, il sistema proporzionale dell’imposta, i criteri di accertamento, che solo successivamente analizzeremo.

1.1. La storia

L’imposta di successione, così come poc’anzi spiegata, non è una novità nei nostri ordinamenti giuridici. Il primo che introdusse in Europa la tassa di Successione fu l’imperatore Augusto nel 6 secolo avanti Cristo.

La storia vuole che nell'anno 6 d. C. Cesare Augusto introdusse una imposta del cinque per cento (vigesima pars "un ventesimo") sulle successioni e legati d'ogni genere (vigesima hereditatum et legatorum) tra cittadini romani.

Si ebbero forti resistenze in senato, giacché, fatta astrazione da un progetto subito abbandonato di Cesare, l'imposta non aveva precedenti: anzi da secoli i cittadini non pagavano più alcun tributo allo stato, mentre la vigesima li metteva, in parte, allo stesso livello dei provinciali.

Il gettito era devoluto all'aerarium militare, una cassa speciale di recente istituzione, che pagava, all'atto del congedo, le pensioni dovute ai militari: mentre prima, specie durante le guerre civili, il trattamento dei veterani era stato sempre una questione aperta, fonte di gravi difficoltà.

Dalla vigesima erano eccettuate le successioni fra parenti strettissimi (ma non si conosce sicuramente quali) e per somme al disotto di 100.000 sesterzi.

Augusto regolò, altresì, la procedura relativa all’apertura del testamento, stabilendo che le tabulae testamentariae dovevano essere aperte dinanzi all’ufficio preposto alla riscossione dell’imposta.

Durante l’impero di Antonino Caracalla (212 d.C.), la rinnovata necessità di risanare le casse pubbliche portò all’estensione della cittadinanza a tutti gli abitanti dell’Impero, con la conseguenza che anche costoro furono gravati della tassa sull’eredità, successivamente aumentata ad un decimo del valore imponibile.

Ebbene, così pensata, l’imposta di successione, almeno per quanto attiene la franchigia per i parenti più stretti è arrivata ai giorni nostri.

L’imposta di successione moderna invero è stata introdotta per la prima volta in Francia. ll moderno prelievo sulle successioni nacque nel 1704 come una costola dell’imposta di registro. Il semplice compenso per il servizio di autenticazione e datazione dei testamenti fu trasformato in un’imposta sulle quote ereditarie articolata per grado di parentela, “avuto riguardo alle considerazioni morali che fanno giudicare maggiore il vantaggio che si acquista, se minore e meno legittima era l’aspettativa di lucro, e più lontana o inesistente affatto la relazione di famiglia e di parentela”, come avrebbe sintetizzato uno stampato parlamentare italiano del 1863. In altre parole tutti i trasferimenti proprietari erano gravati da un imposta di registro, sia quelli tra vivi, si quelli a causa di morte.

L’esempio francese (da ultimo, legge 22 frimaio dell’anno VII – 12 dicembre 1798) fece scuola in quasi tutta Italia durante il periodo napoleonico. Dopo la Restaurazione, sei dei sette Stati preunitari avevano un’imposta modellata su quella d’oltralpe; se ne distingueva solo il Regno delle Due Sicilie, dove vi erano lievi diritti fissi sui testamenti.

Con l’Unità si estese a tutto il paese il sistema piemontese, ritenuto il più oneroso di tutti, se non altro perché colpiva anche all’interno del nucleo familiare.

La prima legge del 1862 (legge 585) risultò molto esosa e fu corretta nel 1866 (regio decreto 3121), dopo l’emanazione del nuovo codice civile. Tale normativa ha introdotto l’impianto dell’imposta di ipotecaria e catastale così come noi oggi le conosciamo.

1.2. Come si paga l’imposta di successione

La presentazione della dichiarazione di successione

L’unica modalità per adempiere ai propri obblighi fiscali per parti di patrimonio che si trovano sul territorio italiano è la presentazione di un’apposita dichiarazione di successione, una dichiarazione di scienza prevista per legge, secondo termini e modalità prescritte, i cui effetti non sono legati alla volontà del dichiarante ma allo stesso testo normativo.

La dichiarazione o denuncia di successione rappresenta lo strumento di conoscenza degli elementi che compongono la base imponibile cui applicare le aliquote, a seconda del grado di parentela o di affinità intercorrente tra beneficiario e dante causa, ai fini del calcolo dell’imposta di successione e, pertanto, costituisce il presupposto per il pagamento dell’imposta.

La denuncia è volta a rappresentare la situazione dei rapporti personali tra il de cuius e i suoi eredi e legatari: l’eventuale presenza di rapporti di parentela, di sangue o civile, ed esistenza del vincolo matrimoniale o unione civile.

Tale circostanza deve rapportarsi al momento dell’apertura della successione, per il coordinamento della misura dell’imposta con il valore dell’imponibile, in funzione del sistema delle aliquote e della distribuzione della ricchezza. Per tale ragione, molte prescrizioni normative nel corso degli anni hanno disposto che la denuncia dovesse contenere una particolareggiata notizia dei beni compresi nella successione, volta a farne emergere natura, situazione e importanza.

La dichiarazione di successione permette all’amministrazione finanziaria di venire a conoscenza dell’apertura della successione (momento imponibile) e dei suoi connotati quantitativi (base imponibile) e qualitativi (circostanze di fatto e di diritto).

Una caratteristica introdotta fin dal XIX secolo consiste nel fatto che la dichiarazione di successione debba essere redatta su un modello predefinito e secondo regole specifiche e debba essere sottoscritta dai soggetti obbligati. Il suo contenuto, quanto mai composito, è stato determinato analiticamente dalla legge sì che l’amministrazione finanziaria potesse conoscere i fatti relativi al de cuius, all’apertura della successione, ai rapporti tra il de cuius e gli eredi, ai fatti rilevanti per l’applicazione dell’imposta. A fronte della dichiarazione di successione l’amministrazione finanziaria liquida l’imposta, ove dovuta, e ne richiede il pagamento.

Per il fatto che il diritto al tributo nasce nel momento in cui si verifica la delazione dell’eredità, soggetti obbligati alla presentazione della dichiarazione di successione sono:

- i chiamati all’eredità;

- i legatari;

- i loro rappresentanti legali;

- gli immessi nel possesso dei beni, in caso di assenza del defunto o di dichiarazione di morte presunta;

- gli amministratori dell’eredità;

- i curatori delle eredità giacenti;

- gli esecutori testamentari;

- i trustee;

Se più persone sono obbligate alla presentazione della dichiarazione è sufficiente presentarne una sola.

La dichiarazione deve essere presentata entro 12 mesi dalla data di apertura della successione che coincide, generalmente, con la data del decesso del contribuente. Decorso tale termine può intervenire un accertamento della Agenzia delle Entrate. Se ciò avviene è' previsto il pagamento di una sanzione tra il 120 e il 240% dell'imposta dovuta, liquidata dall'ufficio.

Anche con ritardo però l’ordinamento italiano permette di presentare la dichiarazione di successione pagando una piccola mora. Sicché con il cosiddetto “Ravvedimento Operoso” l’amministrazione finanziaria dello stato italiano sanziona il contribuente/erede ritardatario applicando una percentuale di sanzione sull’imposta dovuta, percentuale che è minima se la dichiarazione di successione viene presentata entro 30 giorni, fino ad arrivare al 16,67% se presentata oltre 2 anni dalla scadenza oltre gli interessi.

In altri termini la nostra amministrazione finanziaria punisce l’erede distratto che si autodenuncia con una sanzione decisamente minore rispetto all’erede che subisce un accertamento.

I soggetti che devono pagare le imposte di successione sono i chiamati all’eredità e i legatari contenuti all’interno della dichiarazione tutti i solido. In parole semplici allo Stato italiano non importa chi pagherà tra gli eredi le tasse, è sufficiente che uno solo erede paghi per tutti quanti per liberare anche gli altri eredi.

Allo stessa stregua se nessuno paga le imposte di successione, lo Stato Italiano potrà agire nei confronti di tutti gli eredi, ma anche nei confronti di un solo erede.

ES: Muore Tizio e lascia due figli come eredi Caio (residente in Italia) e Sempronio (residente in Uganda). Se Caio e Sempronio non pagano le tasse di successione, l’Amministrazione Finanziaria potrà agire nei confronti di Caio, residente in Italia, per riscuotere forzosamente le imposte dovute, anche per la quota che avrebbe dovuto pagare Sempronio.

La dichiarazione di successione si presenta all’ufficio dell’agenzia delle Entrate competente per territorio, più precisamente quello dell’ultima residenza del defunto.

Se il defunto risiede all’estero ed è iscritto all’A.I.R.E. si dovrà verificare quale indirizzo era abbinato al contribuente all’epoca dell’iscrizione all’anagrafe italiani residenti all’estero.

In caso in cui questo indirizzo non fosse noto la dichiarazione va presentata presso la Direzione Provinciale II di ROMA - Ufficio Territoriale ROMA 6 - EUR TORRINO, in Via Canton 20 - CAP 00144 Roma.

Entro trenta giorni dalla presentazione della dichiarazione di successione, il chiamato all’eredità dovrà volturare gli immobili al catasto.

Il catasto è l’ufficio nel quale sono presenti tutti i documenti, mappe e atti, che descrivono i beni immobili (indicando luoghi e confini), nome dei possessori, rendite. Con le rendite si calcolano tasse e imposte. Sicché la voltura catastale non è nient’altro che la variazione presso il suddetto ufficio dell’intestatario degli immobili. Al catasto la proprietà verrà intestata agli eredi del defunto, i quali potranno così iniziare a pagare le imposte sulla proprietà/possesso dei beni immobiliari ereditati.

A far data dal 01 gennaio 2019 sarà obbligatorio presentare con modalità telematiche la dichiarazione di successione e contestualmente si potrà richiedere la voltura automatica degli immobili caduti in successione.

Cos'è e come redigere un Testamento

Tue, 12 Mar 2019 14:53:24 GMT

A nessuno piace parlare del suo testamento, ma si tratta di una questione legale da non sottovalutare. Dopotutto, potrebbe provocare una frattura insanabile in famiglia, a cui non si potrebbe poi rimediare. In presenza di figli nati da matrimoni diversi, di figli adottati, oppure in assenza di figli, l'importanza di predisporre un testamento molto chiaro assume un'importanza ancora maggiore. La disponibilità di un parere competente può risparmiare ai tuoi cari dolore e incomprensioni, proprio nel momento in cui avrebbero bisogno di sostegno morale.

In Italia esistono 3 tipi di testamenti:

il testamento pubblico, il testamento olografo ed il testamento segreto.

Il testamento pubblico (art. 603 c.c.) è ricevuto da un notaio, alla presenza di due testimoni. Il testatore, alla continua ed ininterrotta presenza dei testimoni, dichiara al notaio le sue volontà che verranno ridotte in iscritto a cura del notaio medesimo ed, al termine, il notaio ne dà lettura. Il testamento pubblico verrà conservato nel repertorio del notaio sino a quando non verrà a conoscenza del decesso del testatore.

Il testamento olografo (art. 602 c.c.) è la forma più “semplice” di testamento, ma, pur non richiedendo l'atto pubblico, non esonera certamente dal rispetto di determinati formalismi. Il testamento olografo deve presentare (a pena di invalidità) tre requisiti essenziali: l’autografia (deve essere interamente scritto di pugno dal testatore, senza l'ausilio di terze persone), l’ indicazione della data e la firma del testatore alla fine delle disposizioni.

Il testamento segreto deve il suo nome al fatto che il Notaio e i testimoni ignorano il contenuto delle disposizioni espresse. Detto testamento viene consegnato dal testatore già sigillato al Notaio o viene sigillato dal Notaio nel momento in cui lo riceve. La consegna deve avvenire alla presenza di due testimoni. Sull’involucro che sigilla il testamento si scrive l’atto di ricevimento, dando atto della consegna al Notaio e della dichiarazione che si tratta di un testamento segreto. Esso può essere interamente scritto di pugno dal testatore e sottoscritto in calce, ma è valido anche se scritto da terzi o a macchina, o con il computer, purché firmato in ogni mezzo foglio. Il legislatore prevede che il soggetto che non sappia o non possa leggere non possa fare testamento segreto.

Dopo avere esaminato le forme che un testamento può assumere, analizziamo ora il suo possibile (ed ammesso) contenuto.

Innanzitutto precisiamo che il complesso dei rapporti patrimoniali attivi e passivi caduti in successione prende il nome di “asse ereditario”, anche noto con il termine “massa ereditaria”.

Al testatore è riconosciuta la facoltà di attribuire l’intero asse ereditario ad uno o più soggetti (in quest’ultimo caso la successione avverrà “per quote”: es. “lascio a Tizio, Caio e Sempronio 1/3 ciascuno di tutto il mio patrimonio”), ovvero mediante assegnazione di specifici beni (o diritti) ai singoli soggetti individuati nel testamento.

Quest’ultima considerazione ci permette di introdurre un’altra importante tematica legata alla successione testamentaria: ossia la distinzione tra la successione a titolo universale e quella a titolo particolare e dunque tra i concetti di erede e di legatario.

Il legatario non subentra in una quota dell’asse ereditario, come viceversa accade per l’erede, ma acquista solo ed esclusivamente i beni e/o i diritti espressamente attribuitigli dal testatore attraverso la disposizione testamentaria chiamata “legato”.

La differenza principale tra erede e legatario riguarda la responsabilità del beneficiario rispetto ai debiti del defunto.

Il legatario non risponde dei debiti ereditari, salvo diversa volontà del testatore e comunque non oltre il limite del valore della cosa legata.

Gli eredi, subentrando in tutti i rapporti del de cuius e rispondono illimitatamente dei debiti di quest’ultimo (ciascuno in proporzione alla propria quota), salvo abbiano accettato con beneficio di inventario (sul quale istituto, come detto, si tornerà).

Mentre l’istituzione di un erede è necessaria (abbiamo visto che, in assenza di eredi testamentari e parenti entro il sesto grado, l’eredità sarà devoluta allo Stato), il legato è meramente eventuale (rare sono le ipotesi di legato necessario previste direttamente dalla legge; esempio: diritto di abitazione della casa adibita a residenza coniugale e del relativo arredamento in favore del coniuge superstite).

Altra differenza tra l’istituzione di erede ed il legato riguarda la modalità di acquisto. Il legatario acquista di diritto ed automaticamente il lascito (senza che sia necessario alcun esplicito atto di accettazione), ma può rifiutarlo. L’erede, viceversa, deve accettare l’eredità (formalmente o tacitamente, come vedremo in seguito) se intende succedere nel patrimonio del de cuius, mentre deve rifiutarla prima che sia intervenuta l’accettazione, laddove non intenda succedere al defunto.

Tornando al contenuto del testamento, oltre alle disposizioni prettamente patrimoniali, esso può contenere anche disposizioni rilevanti sotto un profilo non strettamente patrimoniale: ad esempio, è possibile che il testatore utilizzi il proprio testamento per domandare la cremazione del suo cadavere oppure per compiere il riconoscimento di un figlio naturale.

Il testamento può inoltre contenere disposizioni che non hanno alcun rilievo giuridico ma solo un valore morale o religioso, come ad esempio, l’esortazione a determinati comportamenti (non infrequente è il caso del defunto che abbia domandato nel testamento la celebrazione di funzioni religiose a suo suffragio).

DOMANDA: Ma quali sono i limiti che incontra la volontà del testatore?

Il limite più importante è rappresentato dall’impossibilità per il testatore di escludere dalla successione alcune categorie di soggetti o di ridurre le quote di eredità loro attribuite dalla legge: stiamo parlando dei cc.dd. “eredi legittimari” che, in virtù dello stretto legame affettivo che li unisce al defunto, godono di una tutela giuridica particolare.

Detti soggetti, sono esclusivamente il coniuge, i figli ed i genitori del de cuius, non anche i parenti in linea collaterale (es. i fratelli del defunto).

Gli artt. 537 e seguenti del codice civile individuano le varie quote necessariamente spettanti alle categorie di legittimari (definite “quote di legittima o di riserva”), anche nelle diverse ipotesi di concorso tra loro.

DOMANDA: Che tutela è riconosciuta all’erede che sia stato leso nella sua quota di legittima? (ad esempio perché il defunto con testamento o con donazioni effettuate in vita abbia disposto dei propri beni non rispettando i limiti appena indicati)

Il rimedio processuale predisposto dalla legge è l'azione di riduzione, che può essere promossa esclusivamente dai legittimari, nonché dai loro rispettivi eredi o aventi causa, contro i beneficiari delle disposizioni testamentarie o delle donazioni eccedenti la quota disponibile.

I legittimari che propongono azione di riduzione hanno l'onere di determinare l'entità della lesione della propria quota di riserva, specificando altresì il valore della massa ereditaria e della quota di legittima stessa.

Al fine di comprendere se c’è stata effettivamente l’invocata lesione e di individuarne l’entità, pertanto, l’erede che agisce per la propria tutela dovrà prima di tutto ricostruire nel modo più corretto e dettagliato possibile l’intera massa ereditaria,” riunendo astrattamente” tutto il patrimonio attivo ed i debiti residui, nonché gli eventuali beni donati in vita dal de cuius.

Nel caso in cui si accerti la lesione della quota di legittima, si procederà alla riduzione delle quote e delle disposizioni effettuate in favore dei soggetti non legittimari al fine di reintegrare quelle dei legittimari lesi.

Lo scopo dell'azione è quello di rendere inoperanti gli effetti della disposizione impugnata nei confronti del legittimario leso.

L’ordine in cui devono operarsi le riduzioni è stabilito dalla legge: prima le quote che spetterebbero agli altri successibili eventualmente in concorso con i legittimari – es. fratelli – se manca il testamento o questo ha disposto solo per una parte del patrimonio, poi le disposizioni testamentarie (senza differenze tra le attribuzioni fatte in favore di eredi o legati) ed infine le donazioni effettuate in vita dal de cuius, a partire dalla più recente.

Riducendo le attribuzioni effettuate agli altri, si riestende la quota attribuita all’erede legittimario leso, sino al raggiungimento delle misure percentuali previste dalle norme che abbiamo appena sopra schematizzato.

L’erede legittimario leso ha tempo 10 anni dall’apertura della successione per ottenere la reintegrazione della propria quota di riserva: decorso tale termine non sarà più possibile, l’azione si intenderà prescritta.

Data Protection Officer - Privacy e normativa

Mon, 11 Mar 2019 14:55:30 GMT

Il DPO in realtà è l'evoluzione del responsabile della privacy o "privacy officer", figura prevista dalla direttiva europea 95/46 laddove, all'art. 18, che permetteva gli Stati dell'Unione Europea di avere delle semplificazioni in caso dell'individuazione di un soggetto terzo che garantiva il rispetto della Privacy. Di fatto il DPO acronimo di Data Protection Officer è un soggetto esperto di trattamento dei dati personali che affianca il titolare nella gestione delle problematiche del trattamento dei dati personali.

Devono nominare obbligatoriamente un Responsabile della Protezione dei Dati tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie. L'obbligo riguarda anche tutti i soggetti (enti e imprese) che nelle loro attività principali trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che non ricadono invece nell'obbligo di legge, possono comunque decidere di dotarsi ugualmente di un data protection officer. Il titolare del trattamento deve comunicare i dati di contatto del data protection officer all'Autorità di Controllo attraverso l'apposita procedura online.

l responsabile della protezione dei dati deve possedere conoscenza della normativa sulla gestione dei dati personali nel paese in cui opera (Legge sulla privacy).

Deve poter offrire la consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo coi sistemi di gestione aziendali, per curare l'adozione di misure di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge e per evitare i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

In ragione del fatto che l'acquisizione e la gestione dei dati personali avviene in modo preponderante per mezzo digitale, il responsabile della protezione dei dati deve possedere, oltre che competenze legali, anche competenze di carattere informatico.

Compiti

Secondo il testo del regolamento europeo sulla protezione dei dati personali, quando una persona viene designata come "responsabile della protezione dei dati", il titolare del trattamento dei dati (l'azienda o l'ente) deve assicurarsi che sia prontamente coinvolto, che adempia alle funzioni in piena indipendenza allo scopo di non creare un conflitto di interesse nello svolgimento del suo compito di vigilanza sull'attuazione e l'applicazione della normativa.[5] Il responsabile della protezione dei dati riferisce direttamente alla dirigenza e risponde gerarchicamente ad essa. Il responsabile del trattamento sostiene il titolare della protezione dei dati nel suo ruolo per l'esecuzione dei suoi compiti, fornendogli tutte le risorse necessarie, quali risorse finanziarie, personale, locali, attrezzature e quanto occorrente per adempiere alle funzioni.[6]. A seconda dell'organigramma stabilito dall'azienda o dall'ente, uno o più responsabili della protezione dei dati possono operare anche in gruppo, specialmente nei casi di grandi aziende e multinazionali, nelle quali può essere necessario ricorrere a più soggetti.

Ai sensi dell'art. 39 del regolamento europeo sulla protezione dei dati, il responsabile della protezione dei dati:

a. deve essere adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;

b. deve essere sostenuto dal titolare del trattamento e dal responsabile nell'esecuzione dei compiti assegnati;

c. deve avere le risorse necessarie per adempiere ai compiti assegnati;

d. deve poter accedere ai dati personali e ai trattamenti che riguardano la struttura in cui è inserito;

e. deve mantenere la sua conoscenza specialistica (corsi di aggiornamento);

f. deve essere indipendente nell'esercizio delle sue funzioni;

g. non deve essere penalizzato o rimosso per l'adempimento dei propri compiti;

h. è tenuto al segreto e alla riservatezza in merito all'adempimento dei propri compiti;

i. non può svolgere altre funzioni o compiti che determino un conflitto di interessi.

L'articolo 39 del regolamento europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati, che sono almeno i seguenti:

a. informare e consigliare il titolare del trattamento o il Responsabile nonché i dipendenti;

b. sorvegliare l'osservanza del Regola-mento e delle altre leggi vigenti nell'Unione Europea in materia nonché delle policy;

c. fornire se richiesto un parere sulla valutazione di impatto sulla prote-zione dei dati personali e sorvegliare lo svolgimento;

d. fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento di dati personali.

Come si può notare, è raro che una azienda di piccole o medie dimensioni abbia l'obbligo di nominare un DPO, ma è anche vero che oggi esistono aziende di piccole dimensioni che comunque trattano grandissime quantità di dati, grazie a strumenti informatici. Gli esempi possono essere parecchi, come un call center, oppure un centro commerciale che ha un impianto di videosorveglianza e che rientra nell'ipotesi di cui al numero 2.

Requisiti

Per la selezione del DPO sicuramente ci si può rifare alla norma UNI 11697:2017.

Obblighi del titolare verso il DPO

Vi sono numerosi obblighi che il titolare (o il responsabile) hanno verso il responsabile per la protezione dei dati, se nominato:

- supportare il DPO nell'esecuzione dei suoi compiti;

- fornire le risorse necessarie per l'esecuzione dei suoi compiti;

- consentire l'accesso ai dati e alle operazioni di trattamento;

- assicurare l'accesso del DPO ai massimi livelli manageriali dell'azienda;

- assicurarsi che gli altri compiti del DPO non interferiscano con la sua responsabilità primaria quale DPO;

- non fornire alcuna istruzione al DPO sui suoi compiti;

- non penalizzare o licenziare il DPO per l'esecuzione dei suoi compiti.

Compiti e responsabilità

Il DPO ha un ruolo consultivo, e svolge i seguenti compiti:

- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia;

- verificare l’attuazione e l’applicazione delle norme;

- se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

- cooperare con le autorità di controllo;

- fungere da punto di contatto, non solo per l'autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all'esercizio dei loro diritti;

- consultare l'autorità di controllo anche di propria iniziativa.

Il DPO non è, però, personalmente responsabile dell'inosservanza degli obblighi in materia di protezione dei dati personali, infatti è compito del titolare (art. 24) mettere in atto le misure tecniche ed organizzative adeguate. Il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, che è (eventualmente in solido col responsabile) l'unico soggetto responsabile del rispetto della normativa. Il titolare, quindi, potrà solo avanzare pretese risarcitorie basate sulla responsabilità contrattuale, nei confronti del DPO.

Comunicazione all'Autorità di controllo

In base all'articolo 37, paragrafo 7 del regolamento europeo, il nominativo del DPO eventualmente designato deve essere comunicato all'Autorità di controllo (Garante per la protezione dei dati). Infatti, uno dei compiti principali del DPO è di fare da collegamento con l'Autorità.

L'obbligo scatta nel momento in cui si effettua la nomina.

Il nome del DPO andrà sicuramente inserito nel sito web dell'azienda, con i relativi contatti.

Sul sito del Garante è disponibile un modulo per la comunicazione del nominativo (link alla procedura online).

DPO nella prassi

Nella prassi il DPO definisce la policy (che ovviamente sarà approvata dal management) in materia di privacy dell'azienda, redigendo apposite istruzioni alle quali possano far riferimento i dipendenti che sono in dubbio. Questo è importante anche per evitare che ognuno si crei una propria interpretazione applicativa della normativa in materia. Nel documento saranno indicati gli obiettivi dell'azienda (in materia di data protection), le definizioni dei termini chiave della normativa, i principi della protezione dei dati, i ruoli e le responsabilità dei vari soggetti. Se il Data Protection Policy viene utilizzato anche per i trasferimenti dei dati tra le filiali dell'azienda, dovrà essere sottoposto all'approvazione dell'autorità di controllo, e poi potrà valere quale Binding Corporate Rules.

Il passo successivo è di condurre l'audit dei vari settori aziendali, per verificare se i trattamenti posti in essere sono conformi alla Policy. I membri di riferimento di ciascun settore, ovviamente, dovranno essere appositamente istruiti e preparati in materia.

Il DPO deve assicurarsi che l'azienda tenga il registro dei trattamenti e che sia costantemente aggiornato, anche se sono il titolare e il responsabile ad essere obbligati a tale adempimento e responsabilità nei confronti degli interessati e delle autorità di controllo. Inoltre, dovrà assicurarsi che l'azienda mantenga un registro o log delle richieste degli interessati, dei consensi ottenuti ed eventualmente revocati, Oltre ovviamente al registro dei data breach.