Tagged Posts ‘data retention’

ESCLUSIVO. I documenti Riservati del Governo Italiano su Privacy e sicurezza in discussione il 4 e 5 a Bruxelles. L’Italia propone le sue modifiche alle norme comunitarie sulla privacy.

privacyimages

 

Si tiene giovedì 4 e venerdì 5 dicembre a Bruxelles il secondo Consiglio Giustizia e affari interni del Semestre di Presidenza Italiano del Consiglio dell’Ue.

I lavori dei ministri europei sono presieduti dal Ministro della Giustizia Andrea Orlando, giovedì,  e dal Ministro degli Interni  Angelino Alfano, il giorno seguente.  http://italia2014.eu/it/news/post/dicembre/cons-gai-4_5-dic/

L’Italia ha pronto un ampio pacchetto di modifiche alle norme in tema di privacy e sicurezza, attualmente in discussione presso la UE,  che il sottoscritto ha potuto visionare, e che è contenuto in  tre documenti : uno “state of play”, un documento orientativo focalizzato sui principi dell’one stop shop,  ovvero dell’Autorità competente a decidere sulla violazione dei dati personali,  e quello più delicato che coinvolge il settore pubblico, ed è sottoposto dal Governo  Italiano alla clausola di riservatezza.

Il tema delle modifiche al complesso comunitario in tema di privacy  ha visto gli Sherpa Italiani  confrontarsi in maniera approfondita con gli altri Stati membri del Consiglio, e pur essendosi registrato un dibattito molto serrato, sembra che il dossier sia stato trattato in modo completamente  diverso   da  quello relativo al roaming ed alla  net neutrality, oggetto del’incontro tra I ministri delle tlc il 27  novembre scorso.

Il Governo Italiano, nonostante alcuni dubbi,  sembra infatti  aver approfondito in maniera adeguata il fascicolo, complice forse anche del fatto che le proposte pare siano state sottoposte anche all’attenzione degli Uffici  del Garante Italiano e che  l’ex segretario generale del Garante Privacy diretto all’epoca da  Stefano Rodotà, il Magistrato Giovanni Buttarelli, ( il vero ghostwriter del Codice per la protezione dei dati personali nel 2003)  sia stato nominato Garante Europeo dei dati personali http://www.ansa.it/europa/notizie/rubriche/altrenews/2014/11/27/da-capigruppo-pe-via-libera-a-buttarelli-garante-ue-dati_dd331730-60b9-43dc-ae55-686d260a8950.html .

Tra gli argomenti trattati si segnala  la questione dello sportello unico (one stop shop), ovvero dell’Autorità competente a decidere sulla violazione dei dati personali,  che è stato oggetto di un dibattito orientativo in occasione del consiglio GAI del 5 giugno 2014, e per il quale le delegazioni degli Stati membri non hanno trovato ancora un accordo, in particolare per quanto riguarda le competenze da attribuire a tale autorità, e il rapporto con le autorità nazionali garanti della protezione dei dati personali.

L’Italia propone una sorta di “compromesso”, che attribuisce di fatto la competenza a decidere delle controversie  in tema di privacy in ambito locale al Garante nazionale, mentre per quel che riguarda le controversie transfrontaliere si assisterebbe ad una procedura di co-decisione tra Autorità garante di diverse nazioni, con la possibilità per il Consumatore di avvalersi del Garante più vicino per ragioni di prossimità.

La soluzione di co-decisione e di appello  non era scontata dal momento che il servizio giuridico della Commissione Europea   aveva  sollevato   il dubbio che il meccanismo proposto non sarebbe stato  in linea con il principio di sussidiarietà.

Interessanti anche le soluzioni trovate dal Governo Italiano, questa volta nel  documento riservato, in ordine ai documenti detenuti dalle Pubbliche Amministrazioni per le quali si prevede:

“This Regulation allows the principle of public access to official documents to be taken into account when applying the provisions set out in this Regulation. Public access to official documents may be considered as a public interest. Personal data in documents held by a public authority or a public body should be able to be publicly disclosed by this authority or body if the disclosure is provided for by Union law or Member State law to which the public authority or public body is subject. Such laws should reconcile the interest of public access to official documents and public sector information with the right to the protection of personal data. The reference to public authorities and bodies should in this context include all authorities or other bodies covered by Member State law on public access to documents.

Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public sector information leaves intact and in no way affects the level of protection of individuals with regard to the processing of personal data under the provisions of Union and national law, and in particular does not alter the obligations and rights set out in this Regulation. In particular, that Directive should not apply to documents access to which is excluded or restricted by virtue of the access regimes on the grounds of protection of personal data, and parts of documents accessible by virtue of those regimes which contain personal data the re-use of which has been defined by law as being incompatible with the law concerning the protection of individuals with regard to the processing of personal data”.

E, senz’altro interessanti  appaiono le considerazioni svolte dal Governo Italiano nel documento riservato  in base alle quali appare necessario  bilanciare   il diritto alla privacy con l’attività giornalistica, e che può essere lasciato allo Stato Membro il compito di stabilire norme più favorevoli,  a protezione di interessi pubblici  diversi da quelli legati alla sola tutela della privacy:

Article 80

Processing of personal data and freedom of expression and information

1. The national law of the Member State shall (…) reconcile the right to the protection of personal data pursuant to this Regulation with the right to freedom of expression and information, including the processing of personal data for journalistic purposes and the purposes of academic, artistic or literary expression.”

Rimangono i dubbi sull’effettività del sistema messo in piedi dall’Italia in caso di trattamenti transfrontalieri e quelli relativi all’Autorità leader nella procedura di co-decisione in caso la controversia riguardi i giganti della Rete ed i singoli consumatori, dal momento che rimangono in piedi le regole sulla competenza del Garante del luogo di stabilimento dell’impresa.

Per il resto però la soluzione italiana appare essere un discreto compromesso tra le diverse sensibilità degli Stati Membri del Consiglio.

Fulvio Sarzana

www.fulviosarzana.it
Studio Legale Roma Sarzana & Associati
Share Button

Published by on dicembre 2nd, 2014 Commenti disabilitati su ESCLUSIVO. I documenti Riservati del Governo Italiano su Privacy e sicurezza in discussione il 4 e 5 a Bruxelles. L’Italia propone le sue modifiche alle norme comunitarie sulla privacy.

Wi fi. Garante- Fipe-confcommercio. Eco il testo della lettera spedita dal Garante il 5 febbraio.

Wi fi libero oppure no?

Il tutto nasce da una nota stampa della FIPE –confcommercio, ripresa da diversi organi di stampa.

La sensazione iniziale è che il garante privacy potesse aver “sbloccato” l’uso del wi fi adottando un provvedimento autorizzatorio a valenza generale .

Non è ovviamente cosi.

Analizziamo i fatti.

La nota è stata spedita il 5 febbraio.

Eccone i contenuti.

il Dipartimento Comunicazione e reti telematiche, attraverso il capo dello stesso Dipartimento, Luigi Montuori, invia il 5 febbraio alla FIPE la risposta al “quesito in materia di liberalizzazioni dell’accesso alla rete wifi.
La risposta è formulata in questi termini:

“L’abrogazione della revisione relativa alle “misure di preventiva acquisizione dei dati anagrafici riportati su un documento di identità dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad internet utilizzando tecnologia senza fili”, contenuta nel suindicato art. 7, comma 4 del decreto Pisanu, ha fatto venir meno l’obbligo, per i gestori dei c.d. Internet Point, di registrare i dati anagrafici e identificativi degli utenti e di monitorare le sessioni Internet.”

Attenzione che il garante adotta il termine “internet point” in una modalità che potrebbe sembrare atecnica.
La legge Pisanu e tutte le norme del settore delle comunicazioni elettroniche adottano una diversa terminologia perchè diverse sono le tipologie di fornitura di accesso al pubblico ( esercizi pubblici in via prevalente, esercizi pubblici e basta, hot spot wifi privati, hotspot pubblici).

Le distinzioni sono state colte praticamente da tutti gli esperti del mondo delle tlc http://blog.quintarelli.it/blog/2011/05/confusione-sul-wifi.html
In nessuna parte dell’abrogato decreto pisanu infatti si adotta il termine internet point, che, potrebbe indurre in errore, e che tra l’altro ovviamente non si applica a bar e pizzerie .
La risposta al quesito prosegue con un’analisi delle modalità di consenso da adottare nel settore delle comunicazioni elettroniche.
E’ un discorso generale che probabilmente segue una specifica richiesta della FIPE, dal momento che il garante ribadisce la necessità di richiedere il consenso quando le finalità della raccolta dei dati abbiano una precisa attinenza commerciale o pubblicitaria.

La parte più interessante di quello che evidentemente non è né un parere né un provvedimento, , è però contenuta nella parte finale della missiva.
Il garante specifica ( solo con riferimento alla posta elettronica e non ai dati di navigazione, non si sa perchè ndr)
“Quanto al monitoraggio e all’archiviazione dei dati relativi all’invio e alla ricezione di messaggi di posta elettronica, si richiama la disciplina contenuta nell’art. 132 del Codice, che riguarda però soltanto i fornitori di servizi comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione e non anche i gestori degli Internet point. Al riguardo, si ricorda anche il provvedimento del Garante in materia di “data retention” del 17 gennaio 2008 (G.U. 5 febbraio 2008 n. 30, doc. web n.1482111), successivamente aggiornato con quello del 24 luglio 2008 (G.U.13 agosto 2008, n.189, doc. web n. 1538224).”

Anche qui si fa riferimento peraltro al concetto di internet point che è del tutto atecnico.
Fortunatamente il garante richiama tutte le norme sulla data retention, ritenendo però che non si applichino agli internet point. ( e al wi fi? A e al wi fi pubblico? E ai bar?) eccettuate quelle più recenti, ovvero forse quelle più interessanti, ovvero gli art 32 e 32 bis del codice privacy emendato nel 2012, che anticipano quanto farà il legislatore comunitario a breve con il recepimento del regolamento comunitario unico sulla privacy.

La lettera non proviene dal Collegio del Garante ( ma da un Dipartimento) , non è un provvedimento, non è una prescrizione, non è un’autorizzazione generale, non può avere in altri termini efficacia generale e, non chiarisce di certo le diverse ipotesi di identificazione degli utenti diverse dalla raccolta ed archiviazione in via cartacea del documento di identità.

Fulvio Sarzana

www.fulviosarzana.it
Studio Legale Roma Sarzana & Associati
Share Button

Published by on febbraio 18th, 2013 Commenti disabilitati su Wi fi. Garante- Fipe-confcommercio. Eco il testo della lettera spedita dal Garante il 5 febbraio.

WI FI indietro tutta? I tecnici del Ministero dell’Interno coadiuvati dagli esperti della polizia postale starebbero lavorando “alacremente” in questi giorni per ridefinire gli obblighi di identificazione legati al wi fi.

 

La storia del Wi Fi “libero”  a quanto pare non è finita.

 E si perché l’abrogazione “fulminea”, in costanza natalizia,  dei commi 4 e 5 dell’art 7 della legge 155/2005, detta anche “volgarmente”  Decreto Pisanu, che come è noto prescrivevano gli obblighi di identificazione mediante documento di identità di chi navigava negli hotspot, e che rimandavano a norme del Ministero dell’interno successive,  sembrava in effetti aver lasciato il sistema in “balìa di sé stesso”.

Si erano levate voci  giustamente dubbiose  sia sulla permanenza in vita di alcune norme, sia sull’abrogazione totale o parziale delle stesse, sia sullo strano silenzio del legislatore in merito  alla presentazione in Parlamento di un disegno di legge Governativo pochi giorni prima dell’annunciata abrogazione per decreto legge ( che deve ancora essere convertito) di una parte dell’oramai noto decreto Pisanu.

Ebbene oggi  l’edizione on line di uno dei maggiori quotidiani italiani ( se non il più diffuso) ci informa testualmente che  lo “ staff del ministro dell’Interno Roberto Maroni, che pure aveva dimostrato fiuto politico nel cavalcare la liberalizzazione del wi-fi, è blindato in questi giorni al Viminale per trovare delle «soluzioni tampone» che, per certi versi, potrebbero essere un passo indietro. A riferirlo è una fonte dello stesso ministero.” http://www.corriere.it/economia/11_gennaio_15/wi-fi-libero-per-comuni-e-poste-ma-e-ancora-caos-sulle-regole-massimo-sideri_bf549be6-207b-11e0-bf27-00144f02aabc.shtml

Non si comprende bene se la frase sia una libera interpretazione del giornalista, o una espressa dichiarazione della fonte richiamata,  né se la “pretesa” soluzione tampone avrà a che fare con il decreto legge in fase di conversione o con il disegno di legge, ma in ogni caso sembra di trovarsi di fronte ad una storia infinita..

Fulvio Sarzana

www.fulviosarzana.it
Studio Legale Roma Sarzana & Associati
Share Button

Published by on gennaio 15th, 2011 Commenti disabilitati su WI FI indietro tutta? I tecnici del Ministero dell’Interno coadiuvati dagli esperti della polizia postale starebbero lavorando “alacremente” in questi giorni per ridefinire gli obblighi di identificazione legati al wi fi.

La pedofilia on line e il sistema di filtraggio IP. Una raccolta di dati “occulta”? Riflessioni in margine all’operazione della polizia postale “venice carnival”.

Una riedizione dei dialer in “salsa pedopornografica”, ovvero dei programmi installati all’insaputa dell’utente che  reindirizzavano questi ultimi  verso connessioni telematiche estere e a pagamento che hanno segnato i primi anni di applicazione della rete internet, –quella per intendersi che si basava sulla navigazione dial-up e non adsl- sembra sia stata alla base di un’indagine della polizia postale denominata “venice carnival”.

Secondo gli organi di stampa infatti un’organizzazione criminale basata in uno dei paesi dell’europa orientale aveva ideato un sistema semplice ma alquanto efficace per trovare clienti su Internet: mediante l’installazione involontaria  in oltre un migliaio di siti di un software che reindirizzavano gli utenti verso un altro sito, dove c’erano immagini e filmati pedopornografici. http://www.julienews.it/notizia/cyber-scienza-e-gossip/pedofilia-on-line-la-polizia-postale-pulisce-centinaia-di-siti/63016_cyber-scienza-e-gossip_5_1.html

Il sistema si sarebbe basato sull’invio di mail di spamming.

La vicenda spinge a varie riflessioni:

la prima e più ovvia constatazione  è che non si comprende come in un sistema fortemente interconnesso e controllabile con sistemi informatici semplici da reperire e tra l’altro obbligatori per legge, in virtù della disciplina del codice della privacy che dispone l’obbligo di adozione di misure di sicurezza  come quello odierno i gestori dei siti fossero del tutto all’oscuro di ciò che stava succedendo, come se se la vicenda avesse avuto ad oggetto  computer “zombie”  lasciati abbandonati magari un un’università americana.

Come è noto infatti, l’uso  di server antiquati e facilmente “bucabili” dalle organizzazioni criminali, costituisce uno degli strumenti preferenziali per commettere reati su internet sperando di “farla franca” .

La seconda riflessione riguarda l’uso dei sistemi di filtraggio dei siti pedopornografici previsto dalla legge 38/2006 e dalle successive modifiche ed integrazioni, che ha previsto un sistema di filtraggio IP operato dai provider su segnalazione del centro nazionale per il contrasto alla pedopornografia costituito presso il Ministero dell’interno, al fine di evitare agli utenti italiani l’accesso a tali siti.

Visto che il sistema di filtraggio  viene aggiornato quotidianamente dal Centro Nazionale e inviato ai provider in giornata viene spontaneo domandarsi il perché, una volta assodata la natura pedopornografica del sito in questione, non si sia semplicemente bloccato il contenuto della pagina pedopornografica  alla fonte, come la norma prevede, anziché consentire  l’accesso dei singoli utenti alla pagina con il rischio di trovarsi di fronte a situazioni di difficile soluzione normativa come l’ipotesi di colui che è stato reindirizzato alla pagina senza saperne nulla, visto che pare accertato che ad essere ignari fossero sia i gestori dei server infettati sia gli utenti che venivano reindirizzati presso la pagina.

Tutto ciò naturalmente se le informazioni di stampa, che appaiono però molto confuse dal punto di vista del diritto, corrispondono a verità.

Un ultimo profilo sembra essere estremamente interessante nella vicenda raccontata dagli organi di stampa,l’identificazione degli utenti che hanno avuto accesso alla pagina sarebbe avvenuta mediante la registrazione dei dati IP, consentita ( ed anzi) obbligata dalla normativa sulla tenuta  dei dati di traffico da parte dei provider a disposizione delle forze di polizia e della Magistratura.

Orbene nella pagina filtrata dai provider su ordine del Centro Nazionale per il contrasto alla pedopornografia  che appare a coloro che si recano sui siti  presuntivamente pedopornografici ( per caso o meno è una valutazione che deve naturalmente essere fatta dall’autorità giudiziaria) e che è stata riportata ( anche se impropriamente nella vicenda che ha dato origine a “venice carnival”)  dagli organi di stampa http://tg24.sky.it/tg24/cronaca/2011/01/08/pedofilia_pedopornografia_black_list_polizia_postale_maurizio_ciucci
_adescamento_on_line.html
appare però la scritta “Nessun dato relativo al tuo IP address od altra traccia utile ad identificarti verrà registrato”.

Ci si domanda a questo punto se il dato corrisponda effettivamente a ciò che succede in fatti come quelli narrati dagli organi di stampa in questi giorni.

Fulvio Sarzana

www.fulviosarzana.it
Studio Legale Roma Sarzana & Associati

Share Button

Published by on gennaio 9th, 2011 Commenti disabilitati su La pedofilia on line e il sistema di filtraggio IP. Una raccolta di dati “occulta”? Riflessioni in margine all’operazione della polizia postale “venice carnival”.

Italy Investigate Google

It is illegal in Italy for anyone to intercept data transmissions without authorization, and this provides the legal grounds for this investigation.  It seems that Google are aware they have stepped over the mark, by owning up to the privacy breach in a blog posting last week.  While this breach has been known for a while now, this new Italian investigation makes it more serious than previously thought.

In the post, Alan Eustace, senior vice president for engineering and research at Google said “In May we announced that we had mistakenly collected unencrypted Wi-Fi payload data using our Street View cars. We work hard at Google to earn your trust, and we’re acutely aware that we failed badly here.”

However, the case in question seems to be investigating ‘illicit interference in private life’, rather than the illegal interception of communications per se.  Italian legal expert Fulvio Sarzana di S. Ippolito is one of the people arguing that the magistrates involved should really change the focus of the case, although it seems that these two issues go hand in hand for many Italian people.

Follow on GEEKWITHLAPTOP

Fulvio Sarzana

www.fulviosarzana.it
Studio Legale Roma Sarzana & Associati
Share Button

Published by on novembre 6th, 2010 Commenti disabilitati su Italy Investigate Google