di Elena Bassoli
[vc_row] [vc_column width=”5/6″]
Tribunale Napoli, sez. lavoro, Ordinanza 29/04/2014
L’ordinanza analizza il valore probatorio dei file di log, con le relative operazioni di conservazione ed estrazione, sancendo, anche per il diritto civile e non solo per quello penale, il principio dell’inattendibilità probatoria delle semplici copie di prove digitali.
[/vc_column][vc_column width=”1/6″]
[/vc_column] [/vc_row]
1- Introduzione
Con questa ordinanza del Tribunale di Napoli 1 , che potrebbe essere definita“epocale”, la giurisprudenza lavoristica si accorge dell’inattendibilità delle prove digitali acquisite senza il rispetto di procedure che ne garantiscano l’affidabilità, l’inalterabilità e l’originalità.
Il caso prende avvio da un ricorso presentato da un lavoratore che si ritiene ingiustamente licenziato, per giustificato motivo soggettivo, e chiede il reintegro sul posto di lavoro, nonché il risarcimento del danno. La società, datrice di lavoro, si difende introducendo nel giudizio copie di file di log del sistema aziendale che proverebbero, a suo dire, che il dipendente si fosse introdotto abusivamente in alcuni account e-mail aziendali attribuiti ad altri dipendenti, prendendo così cognizione di contenuti a lui non diretti 2 . La pronuncia, sotto il profilo probatorio, potrebbe quindi avere le medesime ripercussioni della ormai nota sentenza della Cassazione che sancì definitivamente l’inattendibilità del contenuto delle buste raccomandate a/r postali 3 . L’azienda, al fine di provare l’indubbia riconducibilità di tali accessi abusivi al dipendente licenziato, aveva prodotto in giudizio un CD contente copia dei file di log relativi al controllo di accesso dei PC al server aziendale e aveva offerto in prova direttamente al Giudice gli altri log, residenti sul sistema informatico aziendale, comprovanti l’accesso agli account e-mail altrui. Il punto nodale della vicenda appare quindi l’errata riferibilità degli accessi illegittimi al lavoratore, essendo invece l’azienda certa proprio della bontà del substrato probatorio offerto in giudizio.
2- Il sistema aziendale di posta elettronica
L’azienda in questione attribuiva ad ogni dipendente la possibilità di accedere alla propria casella postale anche da un PC, diverso dal proprio, attraverso la Web Mail, semplicemente digitando username e password. Ciò naturalmente implicava che l’intruso fosse a conoscenza di tali due elementi dei colleghi. Tutti gli accessi alle caselle postali in modalità Web Mail venivano poi tracciati in un database dedicato contenente i file di log, gestito da ogni singolo server, per cui era possibile risalire ai vari percorsi e accessi da e verso tutti i PC dei dipendenti nell’ultimo mese. Attraverso la verifica dei tracciati dei file di log della Web Mail sono stati individuati 3 indirizzi IP (attribuiti al ricorrente e ad altri due dipendenti anch’essi licenziati) che hanno effettuato sistematicamente accessi non autorizzati alle caselle di posta di altri dipendenti.
Incrociando tali dati, con quanto risultante dall’analisi dei log del DHCP, è emerso che, nel suddetto periodo, i tre indirizzi Ip sono stati assegnati sistematicamente sempre alle tre macchine in uso ai dipendenti licenziati.
3- La contestazione dell’azienda
L’azienda attribuisce al dipendente l’illegittimo accesso a e-mail aziendali di altri soggetti con correlata violazione delle norme di comportamento contenute nel Codice Disciplinare ed alle procedure vigenti in Azienda, le quali, tra l’altro, impongono il corretto utilizzo degli strumenti che sono messi a disposizione dei lavoratori per il fine unico dello svolgimento dell’attività lavorativa. Inoltre viene contestata la lesione della privacy informatica delle summenzionate persone, violando la normativa vigente in materia.
4- La natura dei file di log
I file di log, così come descritti all’interno della CTU sono quei “file in cui sono registrate le attività compiute per esempio da un’applicazione, da un server, o da un interprete di comandi. Ad ogni collegamento sul server, vengono scritte informazioni relative all’accesso dell’utente (Indirizzo IP, data, ora, pagina richiesta, login, account)”. In particolare, per la fattispecie che qui ci occupa, il CTU ha individuato :
i log del DHCP server del sistema Windows Microsoft Server (controllo accesso dei pc sulla rete aziendale) che sono stati prodotti in copia su cd allegato alla memoria;
i log del sistema di posta Lotus Domino Server (controllo accesso alle caselle sui sistemi di posta) che sono rimasti custoditi presso l’azienda e messi a disposizione del giudice.
5- La fase istruttoria
Il datore di lavoro, cui incombe l’onere di provare i fatti costitutivi posti a base del licenziamento ha allegato la descrizione di una complessa fattispecie, facendo riferimento a dati tecnici solo in parte prodotti in giudizio su un CD contenente solo alcuni file di log. In particolare, allegando quale prova della fondatezza del licenziamento documenti informatici sulla cui base è stata effettuata la contestazione disciplinare e il licenziamento stesso, ha chiesto, in caso di contestazione sulla veridicità dei file di log allegati alla memoria che il giudice disponga accesso alla sede della società. Ha chiesto inoltre, in via subordinata disporsi CTU informatica per la verifica dei dati oggetto dell’audit aziendale e sui quali è stata effettuata la contestazione disciplinare.
Il ricorrente, dal canto suo, ha contestato la riferibilità degli accessi alla sua persona, negando di averli mai realizzati e contestando l’intera procedura di acquisizione dei dati da parte dell’azienda e la riferibilità alla sua persona e al suo PC.
Aderendo alle richieste delle parti, tenuto conto che l’intera architettura del licenziamento poggia sull’estrazioni dei log dai sistemi che avrebbero consentito all’azienda l’individuazione di accessi illegittimi e la loro riferibilità al ricorrente, log in parte prodotti in giudizio, in parte posti a disposizione del giudice presso l’azienda, è stato nominato un CTU. Questi ha, con una relazione tecnica estremamente dettagliata e attendibile, chiarito la natura e la provenienza sia dei dati prodotti, sia dei dati non prodotti ma messi a disposizione presso il sistema nativo aziendale.
6- La Consulenza tecnica d’ufficio
La Consulenza Tecnica d’Ufficio, in questa causa, ha avuto senz’altro un’importanza decisiva per il corretto inquadramento del problema. In particolare è riuscita ad evidenziare e chiarire al giudice la totale inattendibilità di dati digitali prodotti in giudizio senza garanzie di inalterabilità e di conformità all’originale.
Per fare ciò il Consulente è partito da alcune nozioni tecniche fondamentali, concentrandosi sul sistema aziendale e rilevando che ogni PC ottiene un indirizzo IP (corredato della corretta netmask) dal server DHCP. Il meccanismo di rilascio dell’indirizzo IP è basato sul riconoscimento del MAC address della scheda di rete del PC; l’indirizzo MAC, detto anche indirizzo fisico, è un codice assegnato in modo univoco dai produttori di hardware ad ogni scheda di rete Ethernet o Wireless prodotta al mondo. Il MAC address è indispensabile per ogni PC, portatile o fisso, che ha necessità di collegarsi ad una rete LAN o ad una rete Wireless e rappresenta anche un identificativo unico a livello di rete locale.
Di conseguenza ogni MAC address di ogni PC riceve, all’atto della registrazione sulla rete, un indirizzo IP che identifica il PC stesso all’interno della rete locale (LAN). Il meccanismo del sistema Windows prevede che, in linea di massima, venga attribuito lo stesso indirizzo IP al medesimo MAC address presente sulla rete in un certo intervallo di tempo (tempo di lease). È stato inoltre chiarito che, all’epoca dei fatti, il PC portatile del Dipendente licenziato aveva in dotazione una scheda di rete per il collegamento, via cavo, alla LAN. Inoltre il CTU ha sottolineato che, sulla scorta delle informazioni desunte dai documenti di consegna e dalle indicazioni dei tecnici, a detto PC era stato assegnato un nome che lo identificava all’interno della rete: AEPWA2ZP. In buona sostanza era presente una terna di informazioni che identificava il PC, vale a dire:
- numero seriale del PC
- nome macchina assegnato dalle configurazioni al PC
- MAC address della scheda di rete del PC.
L’individuazione del PC sulla rete LAN, però, spiega il CTU, risente di due di queste tre indicazioni. In pratica il server DHCP rilascia sulla base del MAC address l’indirizzo IP dinamico e “pro tempore” al PC. Ciò che è stato tracciato sui log di accesso riportati nelle documentazioni di processo e sui dati del CD depositato presso il tribunale è la doppia informazione “nome macchina”/MAC Address.
7- Prova digitale: la quadratura del cerchio
Sulla base di tali assunti diventa possibile comprendere che questi dati, isolatamente considerati, non provano in maniera certa la esistenza di accessi illegittimi né, tantomeno, la loro riferibilità al ricorrente. Che i log in discorso riconducano all’indirizzo IP, ma non provino gli accessi illegittimi, era del resto ben chiaro all’azienda convenuta, che infatti ha fondato il licenziamento non su questi log, ma sul loro “incrocio” con gli altri log, quelli nativi residenti sul server aziendale. Diventa allora fondamentale, per poter ritenere provati i fatti allegati dal datore di lavoro, vale a dire scaturenti dall’incrocio dei due tipi di log che riconducono gli accessi al computer del ricorrente e quindi presumibilmente al ricorrente, comprendere la natura e l’attendibilità dei dati informatici posti a base del licenziamento.
Ora, poiché pacificamente, così come ammesso dalla stessa società, i dati informatici posti a base del licenziamento, non sono più residenti nei sistemi nativi, mentre sono disponibili solo copie unilateralmente formate dal datore di lavoro, risulta di tutta evidenza la loro inattendibilità.
Per entrambi gli ambienti la memorizzazione dei log, infatti, avviene a “ricopertura”: una volta esaurito lo spazio a disposizione per la memorizzazione dei vari log, si procede, per l’appunto, a ricopertura di quelli più vecchi. Per questa ragione il personale tecnico dell’azienda ha ritenuto utile trasportare al di fuori dei sistemi, mediante copia, i file di log relativamente ai fatti dell’epoca per evitarne la perdita.
A ben vedere tale prassi aziendale appare compatibile con la disciplina della tutela dei dati personali 4 che prescrive la sovrascrittura dei dati e la cancellazione di quelli non più necessari entro 6 mesi dall’acquisizione del dato. Ma non basta.
Infatti acutamente osserva il CTU, che pur potendosi prospettare in astratto varie modalità di conservazione dei dati che avrebbero inconfutabilmente determinato la loro immodificabilità e attendibilità, le stesse non sono state adottate dal datore di lavoro. Come dire “va bene conoscere e applicare la normativa sulla privacy, ma sarebbe opportuno avere anche nozioni di digital forensics sulla corretta acquisizione della prova digitale”.
In relazione al primo tipo di file (quelli che ricollegano al PC del ricorrente l’indirizzo IP) l’unica soluzione sarebbe stata far sì che il sistema producesse log firmati digitalmente e marcati temporalmente. Solo in questo caso si sarebbe potuta stabilire l’esatta identicità con il dato originale. In assenza di tale attenzione, e considerando che il file copiato è in formato testo, diventa consistente la possibilità di alterazione del contenuto del file.
Con riguardo al secondo tipo di log (quelli che collegano l’indirizzo IP agli accessi illegittimi) ha osservato il CTU che nel momento in cui si è stata effettuata la copia, il contenuto dei file non è stato sottoposto a nessun controllo di integrità che ne avesse potuto sancire l’identità assoluta con il dato nel suo contenuto originale: vale a dire assenza di firma e marcatura temporale. In questo caso, però, la struttura del dato nella sua complessità è tale che, anche se non è possibile stabilirne la congruenza effettiva con i dati nativi, è possibile avanzare l’ipotesi di una bassa probabilità di alterazione del dato copiato.Tuttavia, benché vi sia una bassa probabilità di alterazione, il processo di ricostruzione è contaminato da una sostanziale confutabilità di ogni elemento. Ed è su questo punto che l’impianto probatorio mostra tutta la sua inconsistenza, non avendo provveduto il datore di lavoro a fornire dati attendibili e quindi non avendo adempiuto al proprio preciso onere che certo non muta nella sua essenza in ragione del tipo di documenti o dati da esaminare.
Ed infatti entrambi i tipi di log sono andati distrutti nei loro originali in quanto pacificamente sovrascritti, mentre le copie degli stessi non sono state estratte con modalità tali da garantirne, in caso di contestazione, l’attendibilità, la provenienza e l’immodificabilità, né sono stati cristallizzati “giuridicamente e processualmente in altro modo” (CTUpreventiva, ATP, etc). Tutto il giudizio si basa dunque su copie, giuridicamente non attendibili, o della cui attendibilità che scaturirebbe dalla conformità degli stessi ad un originale non più esistente, è lecito dubitare in presenza di contestazione da parte del lavoratore, e in relazione alle osservazioni svolte dal CTU.
Spostando il ragionamento tecnico su un piano meramente processuale appare corretto affermare che, essendo l’onere della prova in capo al datore di lavoro, ed essendo il datore di lavoro privo di documenti di provenienza e attendibilità certa, ed anzi essendo emerso dalla miglior scienza ed esperienza che i documenti prodotti sono alterabili almeno quelli che fanno riferimento al ricorrente, ed essendo inutili i secondi in assenza dei primi, appare non adempiuto l’onere probatorio del datore, perché nemmeno vi sono sufficienti elementi indiziari che consentano di pervenire alla prova in via presuntiva.
Tale pronuncia, dunque, appare esemplare per avere adottato un’argomentazione rigorosa che valorizza correttamente le caratteristiche dei dati informatici considerati, attribuendo agli stessi la relativa attendibilità e collegando a quest’ultima la valutazione del valore probatorio degli stessi.
8- Conclusioni
Il commento alla pronuncia giudiziale potrebbe così dirsi concluso, con una vittoria evidente di coloro che da anni si battono nelle aule di tribunale, e non solo, per una seria e decisa presa di coscienza sui rischi insiti nell’allegazione di prove digitali, ma così non è. Pur nella sua quasi perfezione l’ordinanza evidenzia due coni d’ombra che meritano di essere indagati, non per trovare risposte, ma semmai, per porre ulteriori quesiti.
La prima “macchia” nella pronuncia è squisitamente procedurale e attiene, ancora oggi, alla necessità, per un giudice, di doversi affidare ciecamente ad una CTU, seppur magistralmente redatta, per arrivare a conclusioni che dovrebbero apparire ovvie ai più e che invece sono misconosciute sia in ambito giudiziario, sia forense, se è vero, come è vero, che esistono ancora condanne penali che si basano su prove digitali acquisite in maniera a dir poco approssimativa, o se vengono ancora emessi decreti ingiuntivi sulla base di semplici stampate di e-mail.
Il secondo “neo” concerne le possibili soluzioni alternative per l’acquisizione corretta della prova digitale aziendale nel giudizio de quo, espresse dal CTU e fatte proprie dall’ordinanza. Nel passaggio riguardante “il come l’azienda avrebbe dovuto acquisire le prove”, non viene fatto alcun riferimento alle reali tecniche di acquisizione della prova digitale, come espresse nelle best practices internazionali in materia, richiamate dalla L. 48/2008 5 .
Qui infatti il CTU si limita ad affermare che sarebbe stato sufficiente apporre una firma digitale e una marca temporale, per dare certezza alla prova inerente ai file di log. Ma così non è. Infatti anche una firma digitale e una marca temporale, in mancanza di possibilità di matching (attuabile solo con un’acquisizione ad esempio tramite un write blocker 6 e il calcolo dell’hash 7 ) con i file originali, avrebbe semplicemente attestato che in quel dato momento il datore di lavoro aveva acquisito dei file, senza dare conto se essi fossero stati manomessi prima dell’apposizione di firme e marcature temporali. Qui sarebbe occorso andare oltre, riuscire cioè a dare prova dell’inalterabilità del dato copiato rispetto al dato originale dei sistemi, il che, senza un dato originale da confrontare con la copia in corso di giudizio, risulta impossibile.
Apprezzabile in questo senso è invece il tentativo di “correggere il tiro” suggerendo la necessità di un accertamento tecnico preventivo o di una consulenza tecnica di parte ante causam, non con la semplice apposizione di firma e marcatura 8 . ©
NOTE
- Ord. Trib. Napoli, 29.04.2014.
- In particolare “le vittime”, appartenevano alla funzione Risorse Umane, e in ragione delle loro funzioni ricevevano via e-mail corrispondenza inerente all’attività produttiva e documenti aziendali di natura riservata sull’organizzazione, sugli interventi meritocratici, sulla gestione del personale; pertanto, nel corso delle intrusioni, è stata presa illegittima visione e conoscenza di documentazione altamente riservata, quali ipotesi di ricollocazione del personale, piani di interventi retributivi, ordini di servizio in corso di elaborazione.
- Il riferimento è qui alla nota sentenza Cass. civ. 12.5.2005 n. 10021.
- “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008).
- Legge 18 marzo 2008, n. 48, “Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno”, pubblicata nella Gazzetta Ufficiale n. 80 del 4 aprile 2008 – S. o. n. 79.
- A titolo approssimativo si può affermare che il write blocker ha lo scopo di assicurare che durante la copia la memoria di massa sorgente (reperto originale) non venga in nessun modo alterata dalla scrittura di dati, a prescindere dal fatto che siano dati dell’utente o dati di sistema/file system.
- Tale stringa rappresenta l’impronta digitale del contenuto in chiaro e se questo venisse alterato anche in minima parte, la sua impronta non corrisponderebbe più a quella effettuata in precedenza. Quindi due sequenze di input identiche generano lo stesso codice hash, due sequenze diverse generano codici hash diversi.
- Se la procedura è corretta ed il write blocker opera nel modo migliore ci si aspetta che il valore dell’hash dell’immagine e quello della memoria di massa sorgente (prima della copia) risultino, a fine processo, identici. ◊
Altri articoli di Elena Bassoli
Divieto di utilizzo fino al 2024 di sistemi di videosorveglianza con riconoscimento facciale di Elena Bassoli Legge 3 dicembre 2021, n. 205 Conversione in legge, con modificazioni, del decreto-legge 8 ottobre 2021, n. 139, recante disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali. Il nuovo testo prevede la sospensione, fino all’entrata in …
La proposta di Regolamento europeo in materia di Intelligenza Artificiale (IA) di Elena Bassoli (N. II_MMXXI)
Commissione Europea - Comunicazione del 21 aprile 2021. Di fronte al rapido sviluppo tecnologico dell'IA e a un contesto politico globale in cui sempre più paesi stanno investendo massicciamente nell'IA, l'Unione Europea intende agire per sfruttare le numerose opportunità e affrontare le relative sfide. Per promuovere lo sviluppo e affrontare i rischi potenziali elevati che comporta per la sicurezza e per i diritti fondamentali, la Commissione Europea ha presentato sia una proposta per un quadro normativo sia un piano coordinato rivisto sull'IA.
Captatore informatico: è utilizzabile la registrazione avvenuta all’estero di Elena Bassoli (N. IV_MMXX)
Corte di Cassazione, Sezione II Penale, sentenza n. 29362 del 22 luglio 2020 e pubblicato il 22 ottobre 2020. La difesa eccepisce che le conversazioni ambientali acquisite sarebbero inutilizzabili in quanto la relativa captazione è stata resa possibile tramite rete wi-fi estera (sita in Canada), rilevando che atteso che le conversazioni in questione (estero su estero) non transitavano attraverso nodi telefonici italiani ma si svolgevano esclusivamente tramite ponte telefonico canadese, la mancanza di rogatoria aveva determinato l’inutilizzabilità dei risultati dell’attività d’indagine per violazione dell’art. 729 cod. proc. pen. I giudici della Corte hanno invece rilevato che la registrazione della conversazioni tramite wi-fi sito in Canada abbia costituito una fase intermedia di una più ampia attività di captazione iniziata nella sua fase iniziale e conclusiva sul territorio italiano.
Inapplicabilità del Privacy Shield nei trasferimenti dei dati verso gli USA di Elena Bassoli (N. III_MMXX)
Nella sentenza C-311/18 - Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems, la Corte di giustizia dell’Unione europea ha esaminato la validità della decisione n. 2010/87/CE della Commissione europea sulle CCS (“Clausole contrattuali tipo”) e ne ha ritenuto la validità. La validità di tale decisione discende dalla palmare constatazione che le clausole tipo di protezione dei dati non sono vincolanti per le autorità del Paese terzo verso il quale i dati possono essere trasferiti, avendo esse natura contrattuale. Tale validità, ha aggiunto la Corte, dipende dall’esistenza all’interno della decisione 2010/87/CE di meccanismi efficaci che consentano, in pratica, di garantire il rispetto di un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR all’interno dell’Unione europea, e che prevedano la sospensione o il divieto dei trasferimenti di dati personali ai sensi di tali clausole in caso di violazione delle clausole stesse o in caso risulti impossibile garantirne l’osservanza. A tale riguardo, la Corte rileva, in particolare, che la decisione 2010/87/CE impone al mittente e al destinatario dei dati l’obbligo di verificare, prima di qualsiasi trasferimento, alla luce delle circostanze del trasferimento stesso, se tale livello di protezione sia rispettato nel Paese terzo in questione (sulla sentenza in Commento si è espresso l’EDPB, adottate il 23 luglio 2020 e tradotte dal Garante per la protezione dei dati personali).
La lotteria degli scontrini (rinviata per il Covid-19) ed il parere del Garante privacy di Elena Bassoli (N. II_MMXX)
Tutti i cittadini maggiorenni e residenti in Italia potranno partecipare alla lotteria dei corrispettivi o degli scontrini, effettuando un acquisto di importo pari o superiore a 1 euro ed esibendo il loro codice lotteria. Per ottenere il codice lotteria occorre inserire il proprio codice fiscale nell’area pubblica del “portale lotteria”. Una volta generato, il codice potrà essere stampato su carta o salvato su dispositivo mobile (telefoni cellulari, smartphone, tablet, ecc.) e mostrato all’esercente. L’articolo 141 del Decreto Legge n. 34 del 19 maggio 2020 (Decreto rilancio) ha modificato la data di avvio della lotteria degli scontrini, spostandola al 1° gennaio 2021.
Garante privacy: sanzione milionaria a TIM per violazioni reiterate della disciplina sul trattamento dei dati dei clienti di Elena Bassoli (N. I_MMXX)
Il Garante privacy con provvedimento del 15 gennaio 2020 ha sanzionato TIM per oltre 27 milioni di euro per la rilevata illiceità del trattamento dei dati dei propri clienti sotto vari profili: per aver contattato clienti che avevano già espresso il “diniego” nonché quelli presenti in black list; per aver profilato numerazioni relative a soggetti “referenziati” in assenza di un idoneo consenso; per aver raccolto le informazioni mediante le applicazioni “My TIM”, “TIM Personal” e “TIM Smart Kid” in assenza di un idoneo consenso; per aver raccolto dati mediante i moduli di autocertificazione del possesso di linea prepagata in assenza di un idoneo consenso. Il trattamento dei dati personali effettuato da TIM risulta ancor più grave se si considera che la medesima Società è stata già destinataria anche in tempi recenti (2016 e 2017) di vari provvedimenti inibitori, prescrittivi e sanzionatori proprio con riguardo alla stessa tipologia di violazioni.
La corte di giustizia europea e la deindicizzazione geografica del motore di ricerca nel diritto all’oblio di Elena Bassoli (N. IV_MMXIX)
Corte di Giustizia Europea - Sentenza del 24 settembre 2019 - Causa C 507/17. Il gestore di un motore di ricerca, nel dare seguito a una richiesta di cancellazione, non è tenuto ad eseguire tale operazione su tutti i nomi di dominio del suo motore, talché i link controversi non appaiano più indipendentemente dal luogo dal quale viene effettuata la ricerca avviata sul nome del richiedente. Il gestore di un motore di ricerca è tenuto a sopprimere i link controversi che appaiono in esito a una ricerca effettuata, a partire dal nome del richiedente, da un luogo situato all’interno dell’Unione europea. In tale contesto, detto gestore è tenuto ad adottare tutte le misure a sua disposizione per garantire una cancellazione efficace e completa. Ciò include, in particolare, la tecnica detta del «blocco geografico» da un indirizzo IP che si ritiene localizzato in uno degli Stati membri assoggettato alla direttiva 95/46, e ciò indipendentemente dal nome di dominio utilizzato dall’utente di Internet che effettua la ricerca.
VERIFICA BIOMETRICA DELL’IDENTITÀ E VIDEOSORVEGLIANZA DEGLI ACCESSI PER COMBATTERE L’ASSENTEISMO di Elena Bassoli (N. III_MMXIX)
Legge 19 giugno 2019, n. 56. La Legge 19 giugno 2019, n. 56 recante "Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo", prevede l'istituzione del “Nucleo della concretezza”, norme di contrasto all’assenteismo con l’introduzione di sistemi di verifica biometrica dell’identità e di videosorveglianza per gli accessi, procedure per accelerare il ricambio generazionale delle Pubbliche Amministrazioni.
L’ACCESSO ABUSIVO A SISTEMA INFORMATICO E LA VIOLAZIONE DI DOMICILIO DIGITALE di Elena Bassoli (N. I_MMXIX)
Corte di Cassazione, Sezione V Penale, sentenza n.2905 del 2 ottobre 2018 e depositata il 22 gennaio 2019. Corte di Cassazione, Sezione V Penale, sentenza n.2942 dell'8 novembre 2018 e depositata il 22 gennaio 2019. Le due sentenze nn. 2905 e 2942 del gennaio 2019 della Suprema Corte di Cassazione ribadiscono che il reato di accesso abusivo a sistema informatico o telematico di cui all’art. 615-ter del codice penale si configura non solo quando il colpevole violi le misure di sicurezza poste a presidio del sistema informatico o telematico altrui, ma anche quando, pur inizialmente legittimato all’accesso da colui che aveva il diritto di ammetterlo o escluderlo, vi si mantenga per finalità differenti da quelle per le quali era stato inizialmente facoltizzato all’accesso.
LA TUTELA DELLA PRIVACY NON PUO’ ESCLUDERE L’ACCERTAMENTO SINTETICO PER LA DETERMINAZIONE DEL REDDITO DEL CONTRIBUENTE di Elena Bassoli (N. IV_MMXVIII)
Corte di Cassazione, Sezione I Civile, sentenza n. 17485 del 21 marzo 2018 e depositata il 4 luglio 2018. La tutela della privacy non può escludere l’applicazione del metodo dell’«accertamento sintetico», ovvero la determinazione del reddito del contribuente sulla base delle spese sostenute nell’anno fiscale, che trova il suo fondamento nell’art. 38, commi 4 e 5, del d.P.R. n. 600/1973, nel contesto della potestà impositiva dell’Amministrazione che si fonda sull’art. 53 Cost. e nell’attività di accertamento e di raccolta di dati attuata presso l’Anagrafe tributaria.
FRANCIA: WHATSAPP A RISCHIO MULTA PER LA CESSIONE DEI DATI A FACEBOOK di Elena Bassoli (N. I_MMXVIII)
Commission Nationale de l’Informatique et des Libertés (CNIL) - Decisione n. MED-2017-075 del 27.11.2017. Con la decisione n. MED-2017-075 del 27 novembre 2017, la Cnil, l’equivalente francese del nostro Garante della privacy, ha emanato un preavviso di sanzione amministrativa a Facebook per il servizio di messaggistica Whatsapp, dalla stessa gestito. Whatsapp è presente sul mercato della messaggistica mondiale dal 2009, e nel 2014 è stata acquistata da Facebook. Di tale accordo Whatsapp ha reso noti i contenuti all’utenza, aggiornando le condizioni d’uso e la privacy policy, solo nell’agosto del 2016. In applicazione della decisione n. 2016-295 C del 14 ottobre 2016 del Presidente della Commission Nationale de l’Informatique et des Libertés (CNIL), una sua delegazione ha effettuato tre controlli online, rispettivamente il 4 e il 9 novembre 2016 ed il 23 ottobre 2017 al fine di verificare l’osservanza della legge del 6 gennaio 1978 modificata relativa a dati, file e libertà. Un’udienza di WhatsApp si è svolta nei locali della CNIL il 14 giugno 2017.
IL BADGE DEVE ESSERE UTILIZZATO DAL DATORE DI LAVORO PER VERIFICARE LE PRESENZE E NON PER CONTROLLARE IL DIPENDENTE di Elena Bassoli (N. IV_MMXVII)
Corte di Cassazione, Sezione Lavoro, Sentenza n. 17531 del 22 marzo 2017 e depositata il 14 luglio 2017. La Corte ha rigettato il ricorso della Società che denunciava la violazione o la falsa applicazione dell’art. 4 L. n. 300/1970, lamentando che la sentenza impugnata ha ritenuto che il meccanismo del badge (a radio frequenza), che si limita a leggere le informazioni contenute nella tessera dei dipendenti, costituisse un illegittimo strumento di controllo a distanza dell’attività dei lavoratori.
NUOVE DISPOSIZIONI A TUTELA DEI MINORI PER LA PREVENZIONE ED IL CONTRASTO AL CYBERBULLISMO di Elena Bassoli (N. III_MMXVII)
Legge 29 maggio 2017, n. 71. Pubblicato in GU Serie Generale n.127 del 03-06-2017 la Legge 29 maggio 2017 n. 71 recante “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo” in vigore dal 18 giugno 2017. Il provvedimento intende contrastare il fenomeno in tutte le sue manifestazioni, con azioni a carattere preventivo e con una strategia di attenzione, tutela ed educazione nei confronti dei minori coinvolti, sia nella posizione di vittime sia in quella di responsabili di illeciti.
UK: approvato l’investigatory powers act di Elena Bassoli (N. II_MMXVII)
Investigatory Powers Act 2016. È entrato in vigore il 30 dicembre 2016, avente l’obiettivo di ampliare i poteri della British Intelligence Community a discapito della tutela dei dati personali dei cittadini. Nuovi poteri particolarmente invasivi simili ad un controllo di massa, in aperto contrasto con il nuovo Regolamento privacy europeo n. 679/2016.
AGENZIA DELLE ENTRATE: AL BITCOIN NON SI APPLICA L’IVA MA PRODUCE TASSAZIONE DIRETTA di Elena Bassoli (N. I_MMXVII)
Decreto Legislativo del 25 maggio 2016, n. 97 (GU Serie Generale n.132 del 8-6-2016). Il 23 giugno 2016 è entrato in vigore il Freedom Of Information Act che rende libero e gratuito l’accesso all’informazione pubblica e agli atti della P.A. Tutti i cittadini avranno la possibilità di richiedere documenti e atti della Pubblicazione Amministrazione. Fanno eccezione le documentazioni considerate sensibili, secondo uno specifico iter per il quale verrà comunque data risposta ai cittadini che ne faranno richiesta.
IL FREEDOM OF INFORMATION ACT (FOIA) di Elena Bassoli (N. IV_MMXVI)
Decreto Legislativo del 25 maggio 2016, n. 97 (GU Serie Generale n.132 del 8-6-2016) Il 23 giugno 2016 è entrato in vigore il Freedom Of Information Act che rende libero e gratuito l’accesso all’informazione pubblica e agli atti della P.A. Tutti i cittadini avranno la possibilità di richiedere documenti e atti della Pubblicazione Amministrazione. Fanno eccezione le documentazioni considerate sensibili, secondo uno specifico iter per il quale verrà comunque data risposta ai cittadini che ne faranno richiesta.
FACEBOOK DEVE BLOCCARE I PROFILI FAKE PER L’EVENTUALE INTERVENTO DELLA MAGISTRATURA di Elena Bassoli (N. III_MMXVI)
Garante della Privacy - Provvedimento dell’11 febbraio 2016. Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano anche quelli inseriti e condivisi da un falso account, il cosiddetto fake, e dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura. Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente.
IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI di Elena Bassoli (N. II_MMXVI)
Regolamento 2016/679 e Direttiva 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016. Dopo un iter durato quattro anni il 4 maggio 2016 sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del cd. “Pacchetto protezione dati”, vale a dire il Regolamento europeo in materia di protezione dei dati personali e la Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini, che costituiscono il corpus normativo che definisce il quadro comune europeo in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.
PER UNA TEORIA DELLA RESPONSABILITÀ ALGORITMICA GLOBALE di Elena Bassoli (N. IV_MMXV)
Il mondo è pieno di decisioni algoritmicamente guidate. Un’informazione errata o discriminatoria può rovinare irrimediabilmente le prospettive di lavoro o di credito di qualcuno. Gli algoritmi rimangono impenetrabili agli osservatori esterni perché protetti dal segreto industriale. Risulta quindi fondamentale che i cittadini possano conoscere e contribuire alla regolamentazione della pratiche commerciali dei giganti dell’informazione.
ACCESSO ABUSIVO A SISTEMA INFORMATICO: IL LOCUS COMMISSI DELICTI COINCIDE CON QUELLO DEL SOGGETTO CHE ACCEDE di Elena Bassoli (N. III_MMXV)
Corte di Cassazione, Sezioni Unite Penali, sentenza n. 17325 del 26 marzo 2015 e depositata il 24 aprile 2015. Con sentenza depositata il 24 aprile 2015, le Sezioni Unite Penali della Corte di Cassazione, risolvendo un conflitto di competenza, hanno affermato che “il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico di cui all’art. 615-ter cod. pen. coincide con quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”.
VALENZA GIURIDICA DEL TWEET DI UN MINISTRO di Elena Bassoli (n.II_MMXV)
Il Consiglio di Stato, con la sentenza n. 769/2015, si è pronunciato sulla natura dell’atto amministrativo emesso verso l’esterno nel caso in cui si utilizzi il servizio di Twitter, osservando che “gli atti dell’autorità politica debbono pur sempre concretarsi nella dovuta forma tipica dell’attività della pubblica amministrazione... “.
GLI STATI MEMBRI NON POSSONO OBBLIGARE LE SOCIETÀ STABILITE IN UN ALTRO STATO A CREARE SUL LORO TERRITORIO SUCCURSALI O FILIALI di Elena Bassoli (N.III_MMXIV)
Corte di giustizia dell’Unione europea, sentenza nella causa C-475/12 del 30 aprile 2014: gli Stati membri non possono imporre a tali fornitori la creazione di una succursale o di una filiale sul loro territorio, in quanto un siffatto obbligo sarebbe contrario alla libera prestazione dei servizi.
GOOGLE VIDEO NON HA L’OBBLIGO DI SORVEGLIANZA DEI DATI IMMESSI DA TERZI di Elena Bassoli (N. I_MMXIV)
Corte di Cassazione, Sezione III Penale, sentenza n. 5107 del 17 dicembre 2013 e depositata il 3 febbraio 2014. La Suprema Corte ha affermato che l’Internet Hosting Provider, per la mancanza di un obbligo generale di sorveglianza, non è responsabile della liceità del trattamento dei dati personali memorizzati a richiesta degli utenti su una piattaforma video accessibile sulla rete Internet.
GOOGLE HA UN RUOLO DI MERO INTERMEDIARIO NELLA PUBBLICAZIONE DI CONTENUTI RITENUTI DIFFAMATORI di Elena Bassoli ( n.IV_MMXIII )
Opinione of Advocate General- Case C 131/12 - Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD). Il 25 giugno 2013 l’avvocato generale della Corte di Giustizia dell’Unione Europea ha riconosciuto a Google un ruolo di semplice intermediario rispetto ai contenuti ritenuti diffamatori immessi da terzi.
PROPOSTA DI LEGGE DI RATIFICA ED ESECUZIONE DEL TRATTATO DI NEW YORK SUL COMMERCIO DELLE ARMI di Elena Bassoli ( n.III_MMXIII )
Camera dei Deputati, proposta di legge n. 1239 del 12 luglio 2013. Il 12 luglio 2013 il Consiglio dei Ministri ha approvato il disegno di legge di ratifica ed esecuzione del Trattato sul commercio delle armi “Arms Trade Treaty” (ATT), adottato nel marzo 2013 dall’Assemblea Generale delle Nazioni unite e firmato a New York il 2 aprile 2013. L’ATT risponde alla urgente necessità di colmare le lacune del commercio non regolamentato di armi convenzionali e di intensificare gli sforzi volti al consolidamento della pace e dell’assistenza umanitaria, perseguendo l’obiettivo di rendere il commercio, l’esportazione e il trasferimento delle predette armi più responsabili e trasparenti. L’Italia, pur disponendo in materia di una delle normative più avanzate a livello mondiale, ha svolto un ruolo importante in ogni fase del negoziato per raggiungere, sul piano legislativo, il migliore risultato possibile. Con riferimento alla compatibilità del Trattato con la normativa europea, l’Italia, come gli altri Paesi membri, ha firmato l’ATT previa autorizzazione del Consiglio europeo, il quale sta ora procedendo all’elaborazione della decisione che autorizzerà gli Stati al deposito dello strumento di ratifica presso il Segretariato generale delle Nazioni unite.
RIORDINO DELLA DISCIPLINA CIRCA GLI OBBLIGHI DI PUBBLICITÀ, TRASPARENZA E DIFFUSIONE DA PARTE DELLE PUBBLICHE AMMINISTRAZIONI di Elena Bassoli ( n.II_MMXIII )
Decreto legislativo 14 marzo 2013, n. 33. Con il decreto legislativo 14 marzo 2013, n. 33, entrato in vigore il 20 aprile 2013, in attuazione della delega conferita al Governo dall’art.1, comma 35, Legge 190/2012, il legislatore ha provveduto al riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.
Rapporto sulla trasparenza di Google: statistiche delle richieste di rimozione Url per violazione Copyright nel II semestre 2012 di Elena Bassoli (N. I_MMXIII)
Google riceve da titolari del copyright e organizzazioni di reporting che li rappresentano richieste di rimozione di risultati di ricerca che rimandano a materiali in presunta violazione dei copyright. In ogni richiesta sono riportati gli URL specifici da rimuovere.
