Appunti di Diritto dell'ambiente informatico (completi)

Approcci al diritto in rete

L'approccio law-based sostiene che il diritto continua a disciplinare le attività poste in essere in rete e che Internet sia un luogo in cui ogni azione è simmetrica e sovrapponibile a quelle svolte offline, quindi ogni azione online è disciplinata come se fosse stata eseguita nel mondo fisico. La teoria fa perno sul fatto che non vi sono differenze tra il mondo fisico e quello virtuale poiché i soggetti che agiscono nel primo sono gli stessi che agiscono nel secondo e quindi le azioni compiute possono essere regolate in qualsiasi caso, sia online che offline.

L'approccio code-based afferma che la Lex informatica ovvero le regole tecniche disciplinano meglio ed in modo più efficace la rete rispetto alle norme giuridiche convenzionali, pur non negando la funzione regolativa del diritto sul cyberspazio, come nel caso delle sanzioni previste dalle leggi sul copyright. Questa teoria si basa quindi sulla convinzione che gli Stati possono regolare il

cyberspazio in maniera efficace solo intervenendo imponendo regole by design all'architettura della rete, che in ogni caso non è mai neutrale.

Nella seguente tabella, elaborata da Reidenberg nel 1998, si mettono a confronto regolazione giuridica e Lex informatica:

Norme giuridiche	Norme tecniche (Lex informatica)
Cornice normativa	Diritto (legislazione)
Giurisdizione	Territori fisicamente delimitati
Contenuti	Espressione della legge dello Stato
Fonti del diritto	UE, Stato, legislatore ecc.
Norme contenute	Contratti
Sanzione primaria (enforcement)	Corti, tribunali

Lo stesso sito prevede sanzioni su azioni che potrebbero arrecare danno, in modalità self-executing.

Secondo Lessig esistono quattro elementi che rappresentano le costrizioni del comportamento umano, ovvero

Egli sostiene che gli esseri umani siano vincolati a tenere un certo comportamento dal diritto, che è l'elemento fondamentale nella regolazione dei comportamenti e che prevede obblighi e divieti; dalle norme sociali e morali, che pur non essendo giuridicamente vincolanti influenzano il comportamento dell'uomo nella società; dal mercato, in quanto detta i prezzi e i prodotti; e dall'architettura, in quanto essa determina l'organizzazione di uno spazio attraverso i materiali che si hanno a disposizione. Esempi di architettura sono, ad esempio, le barriere dei caselli autostradali che impongono all'automobilista di fermarsi e pagare per poter proseguire, le passerelle per l'accesso ai locali da parte di soggetti con disabilità o l'architettura ostile per ridurre l'impatto visivo dei senzatetto nelle città. Altri esempi importanti di architettura sono dati dai boulevard parigini, costruiti al posto di strade strette.

Per evitare che ci fossero assembramenti che avrebbero potuto causare altre rivolte, o le carceri progettate in modo che dalla torretta di guardia centrale si possano controllare tutti i detenuti. Prima dell'introduzione di Internet tutte e quattro le costrizioni avevano pari importanza ed influivano allo stesso modo sul comportamento del soggetto, oggi nell'era digitale è l'architettura a giocare un ruolo fondamentale nella determinazione del comportamento.

2.4 - Privacy e sicurezza digitale

Negli anni 70 del 1900 il diritto alla riservatezza trova pieno riconoscimento nel nostro ordinamento giuridico ed in quel momento era definito come il diritto ad essere lasciati soli. Gli ultimi anni sono stati segnati dalla diffusione degli smartphone che contribuiscono in maniera rilevante alla produzione dei big data, in corrispondenza di questo fenomeno sono state emanate numerose normative sia nazionali che sovranazionali con l'intento di disciplinare il trattamento dei

dati personali utilizzabili dai calcolatori elettronici. Attualmente la disciplina sul trattamento dei dati personali è contenuta in quattro principali atti normativi:

• Direttiva 2002/58/CE → trattamento dei dati personali e tutela della vita privata nel settore della comunicazione elettronica;
• D. lgs. 30 giugno 2003, n.196 → "codice della privacy";
• Regolamento (UE) 2016/679 → protezione dei dati personali delle persone fisiche e libera circolazione dei dati;
• D. lgs. 10 agosto 2018, n.101 → adeguamento delle leggi nazionali al Regolamento 2016/679.

La rivoluzione digitale comporta addirittura il cambiamento della nozione e del contenuto del diritto alla riservatezza: non più diritto a essere lasciati soli come negli anni settanta, ma diritto al controllo sui propri dati.

Il diritto alla protezione dei dati personali: il GDPR

Il Regolamento (UE) 2016/679, conosciuto anche con l'acronimo inglese GDPR (General Data Protection Regulation), è un regolamento dell'Unione Europea che disciplina la protezione dei dati personali delle persone fisiche e la libera circolazione di tali dati.

Regulation (GDPR), è il regolamento europeo che si occupa della protezione dei dati personali e risulta molto importante in quanto ha aggiunto un elemento alla classificazione dei diritti delle persone fisiche, l'articolo 1 prevede infatti la protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare esso tratta del diritto alla protezione dei dati personali. Si tratta di un regolamento unico che nasce dalla necessità di uniformare le normative di tutti i Paesi europei e di modificare, se non abrogare, le differenti e frammentate leggi nazionali in materia; il regolamento mira ad agevolare gli scambi di dati nell'economia digitale internazionale ed a promuovere in tutto il mondo standard elevati di protezione dei dati. Il GDPR quindi da una parte aumenta la sicurezza nelle comunicazioni elettroniche mentre dall'altra vengono garantire nuove opportunità commerciali per chi gestisce tali comunicazioni. Prima di trattare del

Regolamento europeo 2016/679 è opportuno chiarire la differenza tra il concetto di privacy e di protezione dei dati personali, che spesso vengono usati come sinonimi. Le regolamentazioni sulla protezione dei dati personali non sono progettate in modo da consentire una tutela completa della privacy individuale, tanto è vero che in nessuna parte del regolamento europeo viene usato il termine privacy se non in una nota, e questo perché si tratta di un diritto che non può dipendere da alcuna norma, ma dipende invece dalla volontà del soggetto di non rivelare informazioni relative alla sua vita privata. L'art. 1 stabilisce infatti che il regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali: cioè quanto avviene dopo che l'individuo ha già rinunciato alla sua privacy; non si può garantire la riservatezza dei dati a meno che i dati personali

Siano protetti dalla tecnologia. Si può dire che mentre il GDPR attua l'art. 8 della Carta dei diritti fondamentali dell'Unione europea, il quale prevede la protezione dei dati personali, il regolamento ePrivacy attua l'art. 7 della Carta, in base al quale ogni individuo ha diritto al rispetto della propria vita privata, familiare, domestica e delle comunicazioni. Il GDPR all'art. 4 definisce alcuni termini importanti nell'ambito della protezione dei dati personali, in particolare per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile che prende il nome di "interessato". In linea di principio è vietato trattare dati personali che rivelino l'origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, oltre ai dati genetici, biometrici, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.Quando si parla di trattamento dei dati personali sopra descritti si intende ogni stadio del ciclo di vita di un'informazione, che può essere suddiviso in quattro fasi che comprendono la raccolta e la registrazione, l'utilizzo dei dati, la circolazione e la diffusione, la conservazione e la cancellazione dei dati personali. Il trattamento dei dati coinvolge diversi soggetti tra cui l'interessato del trattamento (colui al quale i dati si riferiscono), il titolare del trattamento (la persona fisica o giuridica che decide i modi e le finalità del trattamento, per esempio un'azienda), il responsabile del trattamento (colui che tratta i dati personali dell'interessato per conto del titolare, può essere un dipendente o un'azienda terza), il responsabile per la protezione dei dati detto anche DPO (nominato dal titolare del trattamento in alcuni casi previsti dal GDPR con il compito di informare, fare consulenza e sorvegliare il trattamento).ed i destinatari del trattamento (la persona fisica o giuridica o l'ente pubblico che riceve comunicazione dei dati personali dell'interessato da parte del titolare). Il trattamento dei dati personali è lecito solo nel caso in cui l'interessato abbia espresso il proprio consenso, il trattamento fosse necessario all'esecuzione di un contratto, il trattamento fosse necessario per adempiere ad un obbligo legale del titolare, il trattamento fosse necessario per salvaguardare gli interessi vitali dell'interessato o di altri, il trattamento fosse necessario per l'esecuzione di un compito di interesse pubblico da parte del titolare o il trattamento fosse necessario per perseguire il legittimo interesse del titolare, laddove non prevalgono i diritti e le libertà dell'interessato. Il GDPR stabilisce dei principi che devono essere rispettati in fase di trattamento dei dati personali, secondo questi principi i dati personali devono essere trattati.

in modo lecito, corretto e trasparente nei confronti dell'interessato; raccolti e trattati conformemente a quelle che sono le finalità stabilite dal titolare; devono essere adeguati, pertinenti e limitati rispetto a quelle che sono le finalità del trattamento; esatti ed aggiornati; conservati per il tempo necessario al perseguimento delle finalità e poi eliminati, a meno che non servano per fini di ricerca e protetti anche mediante misure tecniche dall'utilizzo illegittimo.

Il GDPR riconosce all'interessato i seguenti diritti:

• diritto di informazione - al momento della raccolta dei dati il titolare del trattamento deve fornire una serie di informazioni all'interessato;
• diritto di accesso ai dati - l'interessato ha il diritto di sapere se sono in corso trattamenti di dati che lo riguardano ed in tal caso ha il diritto di ottenere l'accesso ad essi e ad altre informazioni tra cui la finalità del trattamento;

diritto di rettifica dei propri dati nel caso in cui siano errati o non più validi (es. cambio di residenza);

diritto di cancellazione dei dati (diritto all'oblio);

diritto di limitazione del trattamento;