Contratti Software e del Web
Consulenza legale per la redazione e gestione di contratti software e informaticiA cura dell'avvocato Nicola ferrante
Nel linguaggio legislativo, il termine banca di dati è usato per riferirsi ad una qualsiasi raccolta "di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti e individualmente accessibili mediante mezzi elettronici o in altro modo" (art. 2 della legge sul diritto d'autore, come modificata dal d.lgs. 169/1999).
La problematica attinente la creazione di banche di dati, e il loro accesso, si interseca con la tutela del diritto di autore, all'interno di una cornice molto ampia, non più limitata all'ambito nazionale ma che deve tenere in considerazione la normativa comunitaria e quella emanata in altri paesi a livello internazionale.
La disciplina di protezione delle banche dati è stata, infatti, introdotta con la direttiva 96/9/CE concernente la protezione legale delle banche di dati, poi attuata a livello nazionale con il D.Lgs 6 maggio 1999, n. 169. La Direttiva 96/9/CE, in linea con i principi dettati a livello internazionale, ha scelto di inquadrare il nuovo bene giuridico fra le opere dell'ingegno tutelate dal diritto d'autore. Essa, infatti, prevede una tutela giuridica delle "banche di dati che per la scelta o la disposizione del materiale costituiscono una creazione dell'ingegno propria del loro autore" (art. 3). Anche la normativa italiana si è adeguata a tale disposizione, definendo la banca di dati "una raccolta di opere, indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili grazie ai mezzi elettronici o in altro modo".
Partendo da questa formulazione è facile individuare due tipologie di banche di dati tutelabili: quelle i cui contenuti sono stati scelti in modo originale dall'autore (banche di dati selettive) e quelle in cui, pur non risultando creativa tale selezione, risulti però originale la disposizione dei materiali all'interno della banca stessa (banche di dati non selettive). L'originalità della banca di dati potrà risultare quindi dalla scelta dei materiali inseriti nell'opera, avendo riguardo ad eventuali precedenti raccolte con i medesimi contenuti, oppure dall'originale "disposizione del materiale" purché questa risulti sistematica e metodica. Il concetto di "disposizione del materiale" fa riferimento ai concetti di "coordination" e "arrangement" (coordinamento e organizzazione) rinvenibili nello statunitense Copyright Act del 1976, in cui il termine "coordinamento" raffigura collegamenti fra i dati (ad esempio attraverso rinvii o note), mentre con il termine "organizzazione" si riferisce ad un determinato ordine sequenziale di disposizione dei dati (ordine cronologico, tematico, ecc).
Per quanto riguarda il regime di tutela accordata alla banca dati, che presenta le caratteristiche appena descritte, la titolarità dei diritti d'autore sulla stessa spetterà al suo autore, secondo i principi generali della legge sul diritto d'autore. Essendo la banca di dati un'opera creata normalmente da più soggetti, i diritti d'autore potranno appartenere a colui che ha coordinato la sua realizzazione, se opera collettiva, oppure congiuntamente a tutti i coautori, se l'opera è in comunione. Generalmente secondo la disciplina nazionale sul diritto d'autore, questo è attribuito a persone fisiche mentre la titolarità ab origine in capo a persone giuridiche è un'eccezione, come nel caso dell'art. 12 bis della legge sul diritto d'autore secondo cui i diritti di utilizzazione economica sulle banche di dati create dal lavoratore dipendente, in esecuzione delle sue mansioni o sotto le istruzioni impartite dal datore di lavoro, spettano a quest'ultimo. In merito alla titolarità del diritto morale, questo rimarrà in ogni caso in capo al singolo autore, persona fisica, oppure alle persone fisiche qualificate come autori. Il contenuto dei diritti patrimoniali è invece disciplinato dall'art. 64 quinquies della legge sul diritto d'autore.
L'applicabilità alle banche di dati della tutela propria del diritto d'autore, ha però ben presto fatto emergere problemi legati alla natura "specifica" del bene tutelato e alle esigenze proprie del settore delle banche di dati, soprattutto di quelle elettroniche. Molte delle banche di dati elettroniche, infatti, risultavano (e risultano ancora) prive di qualunque originalità, spesso anche di qualsiasi selezione, tenendo quasi tutte ad essere esaustive piuttosto che selettive, grazie alle attuali possibilità di memorizzazione e gestione dei dati. Le banche di dati, infatti, si sono via via caratterizzate, non tanto per l'originalità, ma per il grande sforzo necessario a reperirne e predisporne i contenuti, cioè l'insieme dei dati e delle informazioni destinati ad essere inseriti nell'opera. Questo ha portato a riflettere sull'esigenza di dover garantire una protezione non solo allo sforzo creativo dell'autore, ma anche all'investimento economico e di risorse, necessario per la sua realizzazione. Questo requisito è stato preso in considerazione nella Direttiva citata che ha introdotto un nuovo diritto, in capo al costitutore di una banca di dati, volto proprio a tutelare l'investimento necessario per creare la banca di dati stessa. Questo diritto sui generis (come lo chiama la direttiva, o diritto del costitutore, secondo l'espressione scelta nel D.lgs 169/99) rappresenta la parte più innovativa della disciplina a tutela delle banche di dati. Si tratta, infatti, di un diritto totalmente indipendente dall'eventuale diritto d'autore esistente sulla stessa banca di dati, e totalmente svincolato dal carattere creativo o originale della stessa.
L'obiettivo dichiarato di questo diritto sui generis è la necessità di tutelare il suo costitutore ovvero quel soggetto che prende l'iniziativa e assume il rischio di effettuare gli investimenti, colui che "effettua investimenti rilevanti per la realizzazione di una banca di dati, ovvero per la sua verifica o presentazione, impegnando a tal fine mezzi finanziari, tempo o lavoro" (art. 102 bis della legge sul diritto d'autore). La valutazione riguardo alla rilevanza dell'investimento, deve essere effettuata prendendo in considerazione il settore di riferimento e il livello degli investimenti normalmente effettuati per analoghe operazioni. Se ricorre l'investimento rilevante, dal punto di vista qualitativo o quantitativo, al costitutore è attribuito il diritto di vietare le operazioni di estrazione ovvero reimpiego della totalità o di una parte sostanziale del contenuto della banca di dati.
Per informazioni sulla nostra consulenza per la redazione e gestione di contratti del web e dell'informatica visitate questa pagina o contattate lo studio alle mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. al numero 328-9687469 o tramite il modulo di contatto sottostante.
Le MTP, ovvero misure tecnologiche di protezione (o TPM acronimo di Technological Protection Measure) sono, secondo la normativa sul diritto d'autore, tutte quelle tecnologie, dispositivi o componenti che, nel normale corso del loro funzionamento, sono destinati a impedire o limitare atti non autorizzati dai titolari dei diritti sull'opera che si vuole proteggere. Le MTP offrono una tutela ex ante che controlla e blocca tecnologicamente il contenuto digitale impedendo all'utente di compiere operazioni lesive del diritto d'autore. Le MTP sono ricomprese nella più ampia categoria dei sistemi DRM, che oltre alle funzioni di controllo e di blocco tipiche delle MTP, offre anche importanti funzioni di reportistica e monitoring compiute sui file degli utenti, in modo da salvaguardare i diversi diritti di esclusiva spettanti sulle opere dell'ingegno.
Le misure tecnologiche di protezione sono considerate efficaci nel caso in cui l'uso dell'opera o del materiale protetto sia controllato dai titolari tramite l'applicazione di un dispositivo di accesso o di un procedimento di protezione, quale la cifratura, la distorsione o qualsiasi altra trasformazione dell'opera o del materiale protetto, ovvero sia limitato mediante un meccanismo di controllo delle copie che realizzi l'obiettivo di protezione. Si parla, infatti, di misure anti-accesso e di misure anti-copia. Le prime consentono l'accesso solo ai soggetti autorizzati e possono applicarsi sia a un servizio che ad un contenuto (ad esempio, la protezione dell'accesso a una pay-tv mediante un decoder o la fruizione del contenuto di un cd attraverso la registrazione). Le misure anticopia, invece, limitano il numero di copie che può essere effettuato di un'opera, ad esempio rendendo possibile effettuare solo una copia dell'opera o impedendo la copia della copia.
La storia delle MTP inizia negli anni 80 con i primi esempi di soluzioni informatiche creati per prevenire le copie pirata di software e in particolare di videogiochi distribuiti su cassetta a nastro magnetico o floppy disk. Le tecniche si sono evolute nel corso degli ani adattandosi ai nuovi supporti (CD, DVd, Blue Ray, ecc), ai differenti generi di opera da proteggere (audio, video, ebook, formati di file) a anche alle nuove piattaforme (videoregistratori, PC, pay-tv, consolle, ecc).
Sotto il profilo normativo le MTP hanno ricevuto il primo riconoscimento a livello internazionale con il WIPO Copyright Treaty (WCT) del 1996. Il primo ordinamento ad avere implementato le regole dettate dal WIPO è stato quello statunitense, emanando il Digital Millennium Copyright Act (DMCA) del 1998; il nostro ordinamento le ha regolate attraverso le norme inserite dal d. lgs. n. 68/2003 all'interno della legge n. 633 del 1941 sul diritto d'autore, in esecuzione degli obblighi comunitari dettati dalla fondamentale direttiva 2001/29/CE.
L'applicazione delle MTP può avvenire su vari contenuti (Audio, Video, documenti di testo, e-book, videogiochi) e su vari supporti. Se ci riferiamo in particolare al mondo dei videogiochi, queste possono essere applicate sia al videogioco inteso come software, sia al supporto utilizzato per eseguire il videogioco, ovvero la consolle.
Nel primo caso si tratta di misure che offrono la possibilità di tracciare l'uso di un software di proprietà e di limitarne gli utilizzi. In pratica sono metodi che vengono utilizzati per fronteggiare principalmente il fenomeno della pirateria, che però vengono osteggiati da più parti, sia perchè non frenano la pirateria, al massimo la rallentano, sia perchè limitano chi acquista il gioco in maniera troppo restrittiva. Questo genere di misure si riferiscono generalmente a videogiochi distribuiti su Internet o eseguiti su PC e vengono incorporate all'interno del software stesso. Consistono spesso nel limitare il numero di utilizzi effettuando controlli via server ogni volta che si riprova a installare o attivare lo stesso gioco. In questi casi a ogni copia del software viene associato solitamente un numero identificativo univoco per il quale si contano dai tre ai cinque utilizzi possibili che una volta consumati fanno perdere ogni diritto sul titolo acquistato. Un'altra forma di protezione si basa sull'autenticazione e obbliga il giocatore a rimanere continuamente online quando utilizza il videogioco acquistato. Un metodo originale, estrema definizione di MTO (e anche di DRM), è l'inserimento nel gioco, da parte degli stessi sviluppatori, di nemici invincibili o difetti insopportabili che prendono vita quando c'è il sospetto di utilizzo improprio del videogioco. Un esempio del genere, citato in rete, è quello del videogioco Dark Souls, quando i giocatori giapponesi trovati online prima del giorno del lancio della release ufficiale vennero penalizzati dall'apparizione di nemici talmente potenziati che non furono capaci di proseguire fino al giorno del lancio ufficiale del prodotto.
Per quanto riguarda invece la consolle, il discorso è un po' più complicato. Il punto da cui iniziare si trova nella Direttiva europea (Direttiva 2001/29/CE "sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione") che obbliga gli Stati membri a prevedere una protezione giuridica adeguata contro l'elusione di qualsiasi "misura tecnologica efficace" destinata ad impedire o a limitare gli atti non autorizzati di riproduzione, di comunicazione, di messa a disposizione del pubblico o di distribuzione delle opere. Sull'art. 6 di questa Direttiva si è pronunciata, il 23 gennaio 2014, la Corte di Giustizia dell'unione Europea dando risposta alle questioni pregiudiziali promosse dal Tribunale di Milano.
Il caso che ha originato il rinvio pregiudiziale vedeva opposta la società Nintendo alla PCBox S.r.l., azienda che commercializza consolle originali Nintendo e produce (installandole sulle consolle Nintendo) mod chips e game copiers, ovvero dispositivi che, se applicati ad una console, consentono di interagire con il suo sistema operativo in modo da renderlo interoperabile con i videogiochi prodotti da terzi, soggetti diversi rispetto al produttore delle console su cui tali dispositivi vengono applicati. La prima riteneva che i dispositivi di PCBox fossero diretti principalmente ad eludere le misure tecnologiche di protezione dei suoi giochi. Mentre PCBox lamentava che lo scopo di Nintendo fosse di impedire l'utilizzazione di software indipendenti destinati a permettere la lettura di film, video e file MP3 sulle consolle, sebbene tali software non consistessero necessariamente in una copia illegale di videogiochi.
La Corte nella sentenza ricorda che i videogiochi costituiscono un materiale complesso, che comprende non solo un programma per computer, ma anche elementi grafici e sonori che, sebbene codificati nel linguaggio informatico, hanno un proprio valore creativo, configurandole opere protette dal diritto d'autore oggetto della direttiva. La Corte sottolinea in particolare che, conformemente all'obbiettivo principale della direttiva (vale a dire l'istituzione di un livello elevato di protezione degli autori), occorre intendere la nozione di "efficaci misure tecnologiche" in un senso ampio, che comprenda l'applicazione di un codice di accesso o di un procedimento di protezione (cifratura, distorsione o qualsiasi altra trasformazione dell'opera). Di conseguenza, le misure tecnologiche che sono in parte incorporate nei supporti fisici dei videogiochi e in parte nelle consolle e che hanno bisogno di un'interazione tra di esse rientrano nella nozione di "efficaci misure tecnologiche" qualora il loro obiettivo consista nell'impedire o nel limitare gli atti che arrecano pregiudizio ai diritti del titolare.
La Corte constata poi che la protezione giuridica comprende esclusivamente le misure tecnologiche destinate ad impedire o ad eliminare gli atti non autorizzati di riproduzione, di comunicazione, di messa a disposizione del pubblico o di distribuzione delle opere, per i quali è richiesta l'autorizzazione del titolare di un diritto d'autore. Tale protezione giuridica deve rispettare il principio di proporzionalità senza vietare i dispositivi o le attività che hanno, sul piano commerciale, una finalità o un'utilizzazione diversa dall'elusione della protezione tecnologica a fini illeciti. La Corte sottolinea che non si deve valutare la portata della protezione giuridica delle misure tecnologiche in funzione dell'utilizzazione delle consolle definita dal titolare dei diritti d'autore, ma che si devono piuttosto esaminare i dispositivi previsti per l'elusione delle misure di Protezione, tenuto conto dell'uso che i terzi effettivamente ne fanno. La Corte invita quindi il giudice del rinvio a verificare se altre efficaci misure di protezione possano causare minori interferenze con le attività dei terzi o minori limitazioni di tali attività, pur fornendo una protezione analoga per i diritti del titolare.
A tal fine, il giudice del rinvio potrà tener conto del costo dei diversi tipi di misure tecnologiche, degli aspetti tecnici e pratici della loro attuazione nonché della comparazione della loro rispettiva efficacia per quanto riguarda la protezione dei diritti del titolare, restando inteso che tale efficacia non deve essere assoluta. Il giudice del rinvio può altresì esaminare se i dispositivi di PCBox siano frequentemente utilizzati per la lettura di copie non autorizzate di giochi Nintendo su consolle Nintendo o se, al contrario, essi siano piuttosto utilizzati a fini che non violano il diritto d'autore.
Da quanto detto appare chiaro che la Corte di Giustizia ha ritenuto applicabili i considerando della direttiva 2001/29 che incoraggiano "la compatibilità e l'interoperabilità dei diversi sistemi". La sentenza impatta inoltre fortemente sull'uso delle tecnologie di protezione e sui diritti dei consumatori, lasciando sperare ad un'apertura del mercato ad operatori indipendenti e professionisti che non saranno considerati più semplicemente "pirati informatici".
Per informazioni sulla nostra consulenza per la redazione e gestione di contratti del web e dell'informatica vi invitaimo a leggere questa pagina o contattare lo studio alla mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o tramite il modulo di contatto sottostante.
I sistemi di "Digital Rights Management" (DRM), ovvero sistemi di gestione dei diritti digitali, sono particolari sistemi tecnologici che si sono sviluppati soprattutto con riferimento al diritto d'autore, ma che permettono di influire anche sulla negoziazione telematica in ambito "Business to Consumer".
In via generale, i DRM sono nati per impedire usi illeciti di opere multimediali, permettendo ai titolari di un diritto d'autore (e dei diritti connessi) di gestire tali diritti nell'ambiente digitale e di distribuire contenuti digitali di qualsiasi tipo in maniera sicura.
A livello tecnico, i DRM sono misure di sicurezza che possono essere incorporate nei file digitali o in altri supporti, e rendono protette, identificabili, tracciabili, e in generale permettono di gestire, le opere dell'ingegno che si intendono tutelare. Alla base del funzionamento dei DRM ci sono due elementi fondamentali:
In questo modo, tramite i DRM, i file audio o video che si vogliono tutelare, vengono codificati e criptati così che la loro diffusione sia più controllata, la loro duplicazione più difficile e il loro utilizzo sia limitato e predefinito nella licenza d'uso fornita all'utente finale.
I principali scopi del DRM, in relazione al diritto d'autore, sono fondamentalmente quello di certificare la legittimità dell'uso e/o la piena titolarità dei diritti d'autore, controllare la regolarità dell'accesso al contenuto di un file e controllare le copie illegali, individuando eventuali violazioni del diritto d'autore, e attuando misure preventive di protezione legale in relazione all'utilizzo delle nuove tecnologie.
Ovviamente, la liceità di un sistema di DRM deve essere valutata alla luce del quadro giuridico, che in Italia trova il riferimento principale nella legge sul diritto d'autore (legge 633/41). La legge in questione permette ai titolari di diritti d'autore e di diritti connessi di apporre sulle opere dell'ingegno (brani musicali, film, software, ecc.) misure tecnologiche di protezione efficaci, che possono essere rimosse da chi le ha apposte solo in particolari casi stabiliti dalla legge (ad es. per fini di sicurezza pubblica o per assicurare il corretto svolgimento di un procedimento amministrativo, parlamentare o giudiziario). La legge prevede inoltre sanzioni penali nel caso queste misure vengano eluse (si veda gli articoli 171-bis, 171-ter e 174-ter della legge 633/41).
Inoltre, una delle questioni giuridiche più discusse degli ultimi tempi riguarda il c.d. "equo compenso". Infatti, secondo la legge chiunque sia il legittimo possessore di un'opera deve poter effettuare una copia privata della stessa, e ciò deve essere reso possibile anche in presenza di sistemi di DRM. Per rimborsare i titolari dei diritti d'autore dall'esercizio di tale facoltà, la legge prevede quindi un equo compenso che consiste in una somma imposta sul prezzo di apparecchiature idonee a registrare contenuti audio o video (masterizzatori, videoregistratori, audioregistratori, periferiche di memorizzazione come schede di memoria, ecc.) e sui relativi supporti vergini. Questo compenso viene riscosso dalla S.I.A.E., che poi lo distribuisce ai titolari dei diritti d'autore.
I sistemi di DRM, sia quelli che si riferiscono alla gestione delle informazioni e dei diritti sulle opere digitali, sia quelli volti a controllare e limitare l'accesso e l'utilizzo dell'opera, sono stati oggetto di analisi da parte di chi si occupa di diritto d'autore e di proprietà intellettuale, nonché, più in generale, di diritto industriale, giacché le implicazioni sono notevoli. L'indagine di tali sistemi, però, deve essere allargata anche alla loro rilevanza sotto il profilo della disciplina contrattuale, incidendo a diverso titolo nelle diverse fasi del rapporto negoziale, dalla fase precontrattuale a quella di instaurazione del contratto, nonché alla fase di esecuzione del rapporto. Ormai infatti le opere digitali sono vendute e distribuite secondo modelli diversi che generano problemi giuridici differenti da quelli tradizionali concernenti l'equo compenso o la copia pirata dell'opera.
Grazie infatti alla diffusione delle nuove tecnologie (dai pc ai tablet, dai lettori mp3 agli smarthphone) e grazie soprattutto all'ampia diffusione dell'accesso a Internet, la disponibilità e la distribuzione dei contenuti multimediali è alla portata di ogni singolo utente, venendosi così a modificare il tradizionale sistema autore-distributore-cliente. Con le possibilità offerte dalle misure tecnologiche di protezione e dalla stessa immaterialità delle opere digitali, si è profilato, in materia di distribuzione di prodotti digitali, uno scenario del tutto diverso da quello tradizionale, dove i prodotti erano ceduti insieme al supporto e venivano ceduti nello stesso momento anche i diritti di utilizzazione e riproduzione dell'opera.
Con l'acquisto di un libro, di un CD-rom o di un DVD infatti viene trasferita la proprietà esclusiva del supporto e, con esso, determinati diritti dell'opera incorporata, quali il diritto di fruire dell'opera tutte le volte che si desidera o di cederla ad altri. Tali operazioni, con l'avvento dei sistemi DRM diventano tecnicamente più difficili se non impossibili: la distribuzione delle opere prescindendo dal supporto, nel quale l'opera non risulta stabilmente incorporata, assume caratteristiche diverse, delineandosi strutture in grado di fornire opere digitali fruibili per esempio a tempo indeterminato oppure limitato nel tempo e nel numero, o ancora con la possibilità di essere memorizzate oppure no. Il combinarsi di questi elementi e variabili fanno si che contrattualmente si configuri un controllo sui diritti che vengono concessi in licenza al consumatore, con le stesse modalità che si ritrovano nella distribuzione dei software e delle banche dati, dove l'operazione è affidata alla licenze d'uso che risulta diversa in base alle caratteristiche che il consumatore vuole ottenere (licenze monoutenza o pluriutenza, tempo determinato, lato client/lato server, ecc).
Con la distribuzione delle opera digitali, tramite sistemi DRM, vengono quindi utilizzate le stesse logiche delle licenze d'uso alle opera digitali distribuite tramite Internet, e cambia in questo modo il modello di business di riferimento, dalla vendita di beni alla fornitura di servizi. L'attività di distribuzione e gestione dei diritti sulle opere digitali presuppone dunque una necessaria negoziazione dei diritti, dal momento che il consumatore dovrebbe essere messo in grado di scegliere, a fronte dell'informazione dei diritti concessi in licenza, a quali condizioni contrarre.
Per informazioni sulla nostra consulenza legale per la redazione e gestione di contratti del web e dell'informatica visita questa pagina o contatta lo studio alla mial Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. al numero 3289687469 o tramite il modulo di contatto sottostante.
L'identità personale, secondo le teorie giuridiche prevalenti, indica il complesso delle risultanze anagrafiche che servono ad identificare il soggetto nei suoi rapporti con i poteri pubblici e a distinguerlo dagli altri consociati. La Corte Costituzionale configura il diritto all'identità personale come "il diritto ad essere se stesso, inteso come rispetto dell'immagine di partecipe alla vita associata, con le acquisizioni di idee ed esperienze, con le convinzioni ideologiche, religiose, morali e sociali che differenziano, ed al tempo stesso qualificano, l'individuo".
Per contro, invece, la nozione di identità digitale non ha specifici riscontri normativi, ma è comunque entrata a far parte, in questi ultimi anni, dell'ambiente giuridico e viene declinata in diversi modi. In una prima, e più ampia accezione, l'espressione è utilizzata come sinonimo di identità "virtuale", essendo impiegata per spiegare la possibilità di assumere diverse identità personali in rete. In un'accezione più ristretta, più vicina a quella che giuridicamente viene definita come "identità informatica", l'espressione identità digitale è impiegata per designare l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto. Queste informazioni sono di norma protette da un sistema di autenticazione. A questa accezione dell'identità digitale fa comunemente riferimento il fenomeno di "furto di identità".
Da questi rilievi emerge chiaramente che quando si parla di identità digitale non si può prescindere dal parlare di due aspetti ad essa collegati: la tutela dell'identità personale in rete (soprattutto per quanto riguarda la c.d. reputazione web) e quello delle tecniche di identificazione/autenticazione del soggetto che utilizza gli strumenti informatici. L'identità digitale è una componente estremamente preziosa sia come elemento abilitante l'attività in rete, sia come elemento passivo da tutelare affinché altri non possano danneggiare l'interessato.
Il concetto di identificazione di persona mediante confronto con un documento di riconoscimento nell'era dell'informazione si evolve in una nuova forma: l'identificazione informatica dell'identità digitale. Uno dei problemi più attuali su Internet è il furto di identità digitale (c.d. phishing) ossia il furto delle credenziali digitali e la possibilità di un soggetto di impersonare un altro individuo nell'accesso ai sistemi informatici.
L'identità digitale è inoltre particolarmente importante se abbinata alla reputazione web ossia alla valutazione che il Semantic Web attribuisce ad un'identità digitale. Tale valutazione è effettuata da strumenti informatici automatici che elaborano i pareri positivi o negativi emergenti in rete legati ad un certo soggetto. In questo senso è molto importante che la propria identità in rete sia gestita in modo corretto e rispecchi i dati e le caratteristiche del soggetto fisico a cui appartiene. Sul tema, Rodotà ci ha ricordato spesso come la nostra identità digitale non sia univoca, ma muti rispetto ai vari soggetti presenti in rete con cui si relaziona l'individuo (es. l'identità digitale in Facebook, nel sistema del Comune di residenza, nel sistema informativo dell'Agenzia delle Entrate, etc.). La rete ci induce a frammentare la nostra identità e come in uno specchio rotto la ricompone creando effetti di distorsione. Sta a noi fare in modo che l'effetto ottico prodotto dalla dispersione in Internet delle nostre mutevoli identità digitali suggerisca un'immagine il più possibile fedele alla realtà.
Tutto ciò che riguarda la nostra identità digitale coinvolge, dunque, almeno tre aspetti: garantire l'identità della persona, tutelarne la privacy e assicurare la sicurezza. I sistemi informatici in grado di gestire il complesso flusso di operazioni che garantiscono l'identificazione, l'erogazione in sicurezza delle credenziali al destinatario, l'associazione di queste con l'individuo, la gestione delle richieste di autenticazione, la gestione dei permessi ed infine l'autorizzazione si chiamano Identity Management System (IMS). Questi sistemi, sempre più sofisticati e cardine di ogni sistema di e-Governement, devono gestire anche gli aspetti relativi alla privacy ossia impedire ai non addetti ai lavori di venire in contatto con le credenziali degli utenti e per i sistemisti limitarne l'accesso ai soli fini di servizio.
L'identità digitale è formata dall'insieme di due fattori: da una parte l'identificazione dell'esistenza del soggetto fisico; dall'altra, l'attribuzione a tale soggetto fisico di un insieme di codici elettronici tali che una volta introdotti in uno o più calcolatori, singoli o in rete, la persona possa essere identificata, collegando i codici alla sua identità. A livello informatico, l'identificazione si compone delle credenziali informatiche e delle attività poste in essere per la verifica, anche remota e indiretta, dell'identità dell'utente. Il primo passo da compiere riguarda l'identificazione fisica del soggetto che può avvenire in tre modalità: de visu, in modalità telematica o in modalità ibrida.
La modalità de visu prevede che il soggetto si presenti di persona dall'erogatore delle credenziali (es. Azienda, Comune, Università, etc.) e si identifichi con un documento di riconoscimento; l'ente rilascierà al soggetto (in busta chiusa e anonima) le credenziali o le spedirà via posta. La modalità telematica consiste nell'erogazione delle credenziali in maniera totalmente digitale: l'utente si registra via web mediante un portale e le credenziali arrivano mediante un SMS o un'email. Il rischio di recapitare le credenziali ad un falso mittente o ad un soggetto non reale è elevata. Si usa questa modalità in casi particolari ossia quando l'operazione da compiersi ha un'azione ridotta nel tempo o nello spazio (es. credenziali one-shot che valgono solo una volta per esempio per un servizio che poi non si ripete) o quando non vi sono particolari ragioni per pensare ad una sostituzione di persona (es. il pagamento di un tributo o di una tassa dove nessuno ha interesse a sostituirsi al titolare del pagamento). Infine, il metodo ibrido consiste nell'invio telematico di una parte o della totalità delle credenziali (es. una parte via email e una parte via SMS, oppure con raccomandata), e il completamento di tale procedura avviene mediante un'identificazione di persona con la consegna di qualche supporto fisico (es. badge) o di un ulteriore codice (es. PIN) che sblocca la rimanente parte delle credenziali.
Il secondo passo consiste nell'autenticazione, meccanismo tecnologico mediante il quale il sistema informatico, una volta che l'utente ha introdotto le credenziali, identifica digitalmente il soggetto abbinato ai codici informatici digitati. L'autenticazione può avvenire mediante tre modalità: inserendo cose che si posseggono (es. una carta di credito, una carta con chip, un certificato di firma, etc.); inserendo cose che si sanno (es. una password, un codice PIN, etc.); fornendo caratteristiche personali (es. dati biometrici, etc.). Mediante la fase di autenticazione il sistema informatico riesce a risalire all'identità digitale del soggetto richiedente e quindi a verificare se questi ha i diritti di accesso alle informazioni richieste e quali. I diritti di accesso sono definiti da un complesso incrocio di diverse informazioni: identità digitale, ruolo (es. amministratore delegato), status professionale (es. avvocato), arco temporale (es. professionista solo nel 2012). I sistemi di identity management moderni riescono a gestire i ruoli, le deleghe e l'incrocio di entrambe in un arco temporale anche se per un'ottimale gestione di tale problematica si sviluppano programmi informatici particolari e personalizzati in base alla realtà da gestire.
Il problema centrale e più importante che al momento appare meritevole di un discorso approfondito, riguarda comunque la tutela della nostra identità digitale in un ambiente (digitale) profondamente cambiato rispetto a pochi anni fa. Ormai la rete ha acquisito una valenza speculare rispetto alla vita reale, anzi sempre più spesso è diventata una estensione della vita reale stessa. Lo sviluppo dei social network, come facebook, ha modificato il modo di interagire con la rete, introducendo la consuetudine di utilizzare sempre i nostri dati personali e identificativi. La banda larga ha permesso l'inclusione di contenuti digitali di ogni tipo, e la geolocalizzazione ha permesso il tracciamento "live" della nostra attività (photo geotagging, Foursquare, ecc). Inoltre, dato il notevole aumento delle transazioni economiche attraverso la rete, si è emersa sempre di più l'esigenza di tutelare l'affidamento sull'identità degli interlocutori e di sviluppare progetti a tutela e garanzia dell'identità digitale. Permangono i rischi e i dubbi legati al tema, ovvero le dispute tra sicurezza e anonimato, certezza e libertà, conoscibilità e riservatezza.
A livello di privati cittadini, i rimedi e le precauzioni da adottare per tutelare la propria immagine in rete e per evitare problemi in relazione alla propria identità digitale, consistono nelle buone pratiche da utilizzare ogni volta che si utilizza un computer (o altro) collegato alla rete Internet: limitare il più possibile la diffusione dei dati personali in rete, evitare la diffusione dei dati finanziari, impostare un buon livello di privacy nei social network e ovviamente monitorare periodicamente la propria presenza sulla rete.
Per informazioni sulla nostra consulenza per la redazione e gestione di contratti software e del web visita questa pagina o contatta lo studio alla mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. al numero 328-9687469 o tramite il modulo di contatto sottostante.
La tematica della profilazione degli utenti, ovvero, la ricostruzione della sua personalità, delle sue abitudini e dei suoi gusti attraverso l'analisi dei dati raccolti, è molto delicata e coinvolge aspetti principalmente legati alla privacy e alla protezione dei dati personali. E' su Internet che si verifica una capillare azione di profilazione dell'utenza web. Tutte le applicazioni ICT sono piattaforme in cui ha luogo un continuo scambio di dati e le informazioni ricavate sono memorizzate e trattate tra loro per comporre un'immagine virtuale dell'utente, il suo profilo elettronico, sempre più simile e collegato alla sua vera personalità.
La profilazione, intesa come definizione dei gusti e delle propensioni all'acquisto di un consumatore, attuata mediante il monitoraggio della sua navigazione internet, rappresenta il più importante strumento di direct marketing che si caratterizza proprio per questa attività di raccolta e utilizzo di dati, con l'obiettivo di offrire alle imprese informazioni, sempre più aggiornate e complete, afferenti a soggetti ritenuti compatibili con i beni o i servizi proposti. L'utilizzazione dell'utente a fini informativi, di marketing e di induzione al consumo inizia, con o senza la sua consapevolezza e indipendentemente dal suo consenso, nel momento stesso in cui egli accede alla Rete.
Le tecniche utilizzate per raccogliere informazioni e costruire con queste un profilo dell'utente vanno dal tracciamento della navigazione Internet all'utilizzo dei cookies: basta accedere alla Rete, utilizzare un servizio specifico attraverso le proprie credenziali identificative, utilizzare un motore di ricerca, partecipare ad un social network e vengono raccolti moltissimi dati relativi all'utente, spesso senza che questo se ne renda conto. E' possibile andare ancora più in profondità analizzando i percorsi di navigazione dell'utente o le sue "query" di ricerca: cosa viene scritto, come, quando e quale risultato viene visualizzato in seguito al risultato della ricerca sono altri importanti elementi di profilazione. Questa operazione può essere resa ancora più semplice dalla proposta di installazione di specifici software, mascherati da "toolbar" da installare nel proprio browser internet, che si occupano di costruire lo storico delle ricerche effettuate dall'utente e delle sue attività sul web nonché di inviare questi dati a terzi. Infine l'utilizzo dei social network, dei forum o altro simile, rende ancora più agevole la collezione di dati che vengono ricavati direttamente da ciò che l'utente scrive o condivide, unitamente ad altre informazioni che si possono ricavare dalla sua rete sociale (contatti, amici, gruppi, ecc) e dalle sue modalità di interazione con le stesse, sia sotto il profilo soggettivo che spaziale e temporale (da dove, quando?).
Dato il rischio dell'appiattimento e dello svuotamento dei diritti della persona nella società dell'informazione, le istituzioni nazionali ed europee si stanno muovendo per solidificare sempre più il diritto dei cittadini alla protezione dei propri dati personali, sotto questi nuovi profili. La direttiva europea in materia di dati personali risale a un periodo in cui il fenomeno dell'accesso a internet e la condivisione dei dati personali online non aveva il significato di adesso. Per questa ragione la Commissione Europea ha proposto, nel gennaio 2012, una riforma generale in materia che coinvolgerà anche i social network, introducendo due importanti principi, quello della "privacy by default", la tutela della privacy delle informazioni caricate su un social network sarà impostata di default al massimo livello, e il "right to be forgotten", ovvero il diritto all'oblio, ad essere dimenticati dalla rete e alla cancellazione dei propri dati personali precedentemente immessi (dato che attualmente su alcuni social network è possibile solo la disattivazione dell'account ma non l'eliminazione del profilo e delle informazioni a esso collegate).
Sul lato italiano sono molto recenti due pronunce del Garante per la protezione dei dati personali che è intervenuto per dettare alcune regole chiare sull'utilizzo dei cookies e sulla profilazione effettuata dal motore di ricerca. Con un provvedimento generale, adottato al termine di una consultazione pubblica, il 4 giugno 2014, il Garante ha individuato modalità semplificate per rendere agli utenti l'informativa on line sull'uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.
I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook) dell'utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti alla visita successiva. Sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni sui siti (senza l'uso dei cookie "tecnici" alcune operazioni risulterebbero molto complesse o impossibili da eseguire). Ma attraverso i cookie si può anche monitorare la navigazione e raccogliere i dati necessari a creare dettagliati profili dei consumatori.
Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha dunque stabilito che, d'ora in poi quando si accede alla home page o ad un'altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:
Per quanto riguarda l'obbligo di tener traccia del consenso dell'utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa breve alla seconda visita dell'utente. L'utente mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l'informativa estesa, che deve essere linkabile da ogni pagina del sito.
In un'altra recente pronuncia (del 21 luglio 2014) Il Garante ha inoltre provveduto a dettare alcune regole chiare rivolte a Google. Il Garante ha rilevato che restano in piedi diversi profili critici in termini di inadeguata informativa agli utenti, di mancata richiesta di consenso per finalità di profilazione, di tempi incerti di conservazione dei dati e ha dettato una serie di regole, che si applicano all'insieme dei servizi offerti (Gmail, GooglePlus, Google Wallet, YouTube, Street View, Google Analytics). Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante che intanto monitorerà l'implementazione delle misure. La società dovrà, infatti, sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante, sulla base del quale verranno disciplinati tempi e modalità per l'attività di controllo che l'Autorità svolgerà nei confronti di Google.
Il Garante ha prescritto a Google l'adozione di un sistema di informativa strutturato su più livelli, in modo da fornire in un primo livello generale le informazioni più rilevanti per l'utenza (l'indicazione dei trattamenti e dei dati oggetto di trattamento, la localizzazione dei terminali e degli indirizzi IP, l'indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc); in un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi offerti.
Ma soprattutto Google dovrà spiegare chiaramente, nell'informativa generale, che i dati personali degli utenti sono monitorati e utilizzati, tra l'altro, a fini di profilazione per pubblicità mirata e che essi vengono raccolti anche con tecniche più sofisticate che non i semplici cookie, come ad esempio il fingerprinting. Quest'ultimo è un sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell'utente e, a differenza dei cookie che vengono istallati sul pc o nello smartphone, le archivia direttamente presso i server della società.
Per utilizzare a fini di profilazione e pubblicità comportamentale personalizzata i dati degli interessati, sia quelli relativi alle mail sia quelli raccolti incrociando le informazioni tra servizi diversi o utilizzando cookie, Google dovrà acquisire inoltre il previo consenso degli utenti magari con una modalità che, senza gravare eccessivamente sulla navigazione dell'utente, gli consenta di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.
Google dovrà definire tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi "attivi", sia successivamente archiviati su sistemi di "back up". Per quanto riguarda la cancellazione di dati personali, il Garante ha imposto a Google che richieste provenienti dagli utenti che dispongono di un account (e sono quindi facilmente identificabili) siano soddisfatte al massimo entro due mesi se i dati sono conservati sui sistemi "attivi" ed entro sei mesi se i dati sono archiviati sui sistemi di back up. Per quanto riguarda, invece, le richieste di cancellazione che interessano l'utilizzo del motore di ricerca, ha ritenuto opportuno attendere gli sviluppi applicativi della sentenza della Corte di giustizia dell'Unione europea sul diritto all'oblio.
Per avere informazioni sulla nostra consulenza legale per la redazione di contratti del web e dell'informatica visita questa pagina o contatta lo studio alla mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. ,al numero 328-9687469 o tramite il modulo di contatto sottostante.