2012/02/29

Corte di Giustizia: i prestatori dei servizi di hosting non sono tenuti a predisporre un sistema di filtraggio preventivo dei contenuti ai fini della tutela del diritto d’autore.

La Corte di Giustizia, con sentenza del 16 febbraio 2012, si è pronunciata sulla questione pregiudiziale sollevata dal Belgio in merito all’obbligo dei prestatori dei servizi di hosting di predisporre un sistema di filtraggio preventivo delle informazioni memorizzate sulla propria piattaforma.
Più precisamente, con la predetta questione, si chiedeva alla Corte se i giudici nazionali potessero ingiungere ad un prestatore di servizi di hosting di predisporre un sistema di filtraggio delle informazioni memorizzate sui server dagli utenti applicabile indistintamente nei confronti di tutti questi utenti, a titolo preventivo, a spese esclusive del prestatore, e senza limiti nel tempo, al fine di identificare i file elettronici contenenti opere musicali, cinematografiche o audiovisive rispetto alle quali il richiedente il provvedimento di ingiunzione affermi di vantare diritti di proprietà intellettuale, onde bloccare la messa a disposizione del pubblico di dette opere, lesiva del diritto d’autore.
Ebbene la risposta della Corte di Giustizia è stata molto chiara e si inserisce nel solco di una consolidata giurisprudenza: i giudici nazionali non possono imporre un sistema di filtraggio preventivo ai prestatori del servizio di hosting.
Adottando un’ingiunzione che costringa il prestatore di servizi di hosting a predisporre il sistema di filtraggio, infatti, il giudice nazionale non rispetterebbe l’obbligo di garantire un giusto equilibrio tra il diritto di proprietà intellettuale, da un lato, e la libertà di impresa, il diritto alla tutela dei dati personali e la libertà di ricevere o di comunicare informazioni, dall’altro.
Le norme dell’Unione Europea vietano, infatti, categoricamente, alle autorità nazionali di adottare misure che impongano ad un prestatore di servizi di hosting di procedere ad una sorveglianza generalizzata sulle informazioni che esso memorizza e ciò anche in relazione alla tutela della proprietà intellettuale.
Sebbene la tutela del diritto di proprietà intellettuale sia sancita dalla Carta dei diritti fondamentali dell’Unione europea non può desumersi né da tale disposizione né dalla giurisprudenza della Corte che tale diritto sia intangibile e che la sua tutela debba essere garantita in modo assoluto.
Una sorveglianza preventiva richiederebbe un’osservazione attiva dei file memorizzati dagli utenti presso il prestatore di servizi di hosting e riguarderebbe sia la quasi totalità delle informazioni così memorizzate sia ciascuno degli utenti dei servizi di tale prestatore, obbligando quest’ultimo a predisporre un sistema informatico complesso, costoso, permanente e unicamente a sue spese,  in violazione della direttiva a 2004/48, che richiede che le misure adottate per assicurare il rispetto dei diritti di proprietà intellettuale non siano inutilmente complesse o costose.
Tra l’altro detta ingiunzione rischierebbe di ledere la libertà di informazione, poiché tale sistema potrebbe non essere in grado di distinguere adeguatamente tra un contenuto illecito ed un contenuto lecito, sicché il suo impiego potrebbe produrre il risultato di bloccare comunicazioni aventi un contenuto lecito. Infatti, è indiscusso che la questione della liceità di una trasmissione dipende anche dall’applicazione di eccezioni di legge al diritto d’autore che variano da uno Stato membro all’altro. Inoltre, in determinati Stati membri talune opere possono rientrare nel pubblico dominio o possono essere state messe in linea a titolo gratuito da parte dei relativi autori.
Concludendo, dunque, i titolari di diritti di proprietà intellettuale potranno tutelarsi unicamente mediante la richiesta, ai giudici nazionali, di un provvedimento inibitorio nei confronti dei gestori di piattaforme di reti sociali in linea, ponendo fine alle violazioni già inferte ai diritti di proprietà intellettuale mediante i loro servizi della società dell’informazione, ma anche a prevenire nuove violazioni.

2012/02/14

Decreto legge 9 febbraio 2012: scompare il DPS, ma attenzione alle altre misure di sicurezza!

Il Decreto sulle Semplificazioni, attualmente in fase di conversione, elimina la "fotografia della privacy aziendale". Le imprese, a partire da quest'anno, non saranno più tenute alla redazione del documento programmatico della sicurezza. Ma attenzione! La circostanza che non esiste più l'obbligo di redazione annuale del DPS non significa che non dovranno essere rispettate più le misure di sicurezza! 
Al riguardo si rammenta, infatti, che permane l'applicazione delle misure di sicurezza contenute nel disciplinate tecnico di cui all'allegato B) al Codice Privacy, ovvero:
a) Sistema di autenticazione informatica
Il trattamento di dati personali con strumenti elettronici è consentito soltanto a soggetti dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
La parola chiave è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa è modificata almeno ogni sei mesi.
Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
b) Altre misure di sicurezza
I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente.
c) Misure di tutela e garanzia
Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. 
In sostanza, anche se non dovrà più essere redatto, il dps rimarrà utilmente nelle aziende anche sotto altra forma.  Ciascuna azienda dovrà disporre comunque di una documentazione interna in cui siano contenuti:
  • l'elenco dei trattamenti di dati personali;
  • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
  • l'analisi dei rischi che incombono sui dati;
  • le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
  • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
  • la previsione di interventi formativi degli incaricati del trattamento dei dati;
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all'esterno della struttura del titolare;
  •  l'individuazione dei criteri da adottare per la cifratura o per la separazione dei dati sensibili dagli altri dati personali dell'interessato.