Privacy: normativa svizzera La prospettiva da un. osservatorio extra-europeo al centro d Europa

Transcript

1 Privacy: normativa svizzera La prospettiva da un osservatorio extra-europeo al centro d Europa Manifestazione ated ICT Ticino AIEA Associazione Italiana Information Systems Auditors ISACA Manno, 5 febbraio 2014 «Tecnologie, Innovazione e Regole antagonisti o alleati?» Avv. Stefano Codoni, LL.M. Walder Wyss SA v. Pelli Lugano stefano.codoni@walderwyss.com

2 Sviluppi legislativi: e pur si muove? Processo legislativo lento Legislazione tecnologicamente neutrale Parziale recepimento volontario del diritto europeo Garanzia di equivalenza -> Sviluppi giurisprudenziali 1

3 Recenti decisioni tra tecnologia e privacy Logistep TAF A-3144/2008, DTF 136 II 508 (1C_285/2009, ) Google Street View TAF A-7040/2009, DTF 138 II 346 (1C_230/2011, ) Spector Pro DTF 139 II 7 (8C_448/2012, ) 2

4 Logistep (1) Fatti: Logistep AG raccoglie gli indirizzi IP nelle reti Peer2Peer con contenuti che violano il diritto d autore Comunica tali indirizzi ai titolari dei diritti d autore Questi sporgono denuncia contro ignoti e si procurano poi l accesso agli atti per fare valere le pretese di risarcimento L Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) chiede di sospendere tale procedura Logistep non accetta, IFPDT avvia una causa davanti al TAF, che respinge l azione. IFPDT impugna la decisione davanti al TF 3

5 Logistep (2) - Decisione Tribunale Federale - Ambito applicativo della LPD: - Dati personali: informazioni relative a una persona indentificata o identificabile - Rilevanza dell impegno in termini di tempo e finanziari per identificare una persona - Indirizzi IP sono dati personali lo dimostra il modello di business stesso di Logistep! - Irrilevanza dell argomento che l indirizzo IP può essere usato da più persone o che i dati venivano trasferiti da Logistep a terzi 4

6 Logistep (3) - Violazione dei principi di trasparenza e finalità (art. 4 cpv. 3 e cpv. 4 LPD) - Motivi giustificativi che rendono lecita tale violazione? - Di principio approccio restrittivo - Ponderazione degli interessi - Interesse della persona i cui dati vengono trattati vs. interesse di Logistep (puramente economico), ma anche del mandante - Il metodo di Logistep crea troppe incertezze, i suoi limiti non sono regolati e non da garanzia di successo. Quindi l interesse del titolare dell indirizzo IP prevale 5

7 Logistep (4) - Conclusione del TF: «Va osservato che oggetto della presente procedura è unicamente il trattamento dei dati da parte di Logistep e non si tratta quindi di sancire una generale precedenza della protezione dei dati sul diritto d autore. È compito del legislatore e non del giudice adottare le eventuali misure necessarie a garantire una tutela del diritto d autore di fronte alle nuove tecnologie» - Svizzera sotto osservazione degli USA come paese che favorisce la pirateria 6

8 Google StreetView (1) - Fatti: - Riprese in Svizzera - Invio in Belgio per l anonimizzazione automatizzata - Invio negli USA -> Internet - Competenza IFPDT / TAF? Principio di territorialità - Riprese in Svizzera / trasferimento dalla Svizzera /accesso ai dati dalla Svizzera via internet - Conclusione: IFPDT / TAF sono competenti 7

9 Google StreetView (2) - Applicazione territoriale della LPD - Principio di territorialità? - Principio della scelta del danneggiato (art. 139 LDIP) - Particolarità dell azione d ufficio dell IFPDT - Scelta da parte dell IFPDT? - Soluzione: Scelta implicita dei danneggiati - Conclusione: LPD applicabile 8

10 Google StreetView (3) - Ambito applicativo della LPD - Concetto di dato personale: dato riferito a persona identificata o identificabile - Fotografie di persone; elementi che possono rendere riconoscibile una persona - Ma anche semplicemente la foto di una casa, un balcone - Foto di automobili - Dati «grezzi» / Dati anonimizzati - Conclusione: LPD applicabile 9

11 Google StreetView (4) - Analisi alla luce della LPD - Diritto all immagine come parte del diritto della personalità - Diritto di decidere se essere ripreso e se pubblicare le riprese - Nessuna eccezione di «Staffage» - Violazione del principio di liceità (art. 4 cpv. 1 LPD) - Violazione del principio della trasparenza e della finalità (art. 4 cpv. 3 e cpv. 4 LPD) - Conclusione: violazione della personalità - Tale violazione è però anche illecita? 10

12 Google StreetView (5) - Esistenza di motivi giustificativi? - Consenso degli interessati? - Ponderazione degli interessi - Interessi delle persone oggetto delle riprese - Interesse finanziario di Google nel continuare con una procedura di anonimizzazione automatizzata e non manuale - Interesse dei terzi ad un servizio utile quale Google Street View - Accettabilità di una quota di errore dell 1% se Google adotta determinate misure 11

13 Google StreetView (6) - Quindi: Google Street View sì, ma: - Chiara indicazione della possibilità di opposizione e richiesta di anonimizzazione - Anomizzazione accresciuta vicino a luoghi particolarmente sensibili (ospedali, scuole, tribunali, prigioni ) - Necessità del consenso per riprese di giardini, cortili ecc. effettuate con telecamera di ca m Continuo miglioramento della tecnologia di anonimizzazione - Informativa sulla stampa regionale prima delle riprese - Tre anni di tempo per conformarsi alla decisione 12

14 Spector Pro (1) Fatti Istallazione da parte del datore di lavoro di uno spyware (Spector Pro) sul PC di un impiegato nel settore pubblico Dall analisi risultava che 70% del tempo passato al PC (e 22% del tempo di lavoro totale) era dedicato ad attività private Licenziamento con effetto immediato Licenziamento contestato dall impiegato Governo Cantonale conferma il provvedimento Tribunale Amministrativo Cantonale lo revoca 13

15 Spector Pro (2) Tribunale Federale: Art. 26 Ordinanza 3 sulla Legge sul lavoro (OLL3) Sorveglianza delle prestazione vs. del comportamento Aiuto interpretativo della guida IFPDT sulla sorveglianza della posta elettronica e l uso di internet Programmi spia rappresentano una sorveglianza del comportamento Inoltre è una misura non necessaria e quindi non proporzionale (controllo logfiles e ammonimento sarebbe stato sufficiente) 14

16 Spector Pro (3) Raccolta delle prove avvenuta in modo illecito Utilizzo dei mezzi di prova raccolti illecitamente? Interesse alla verità materiale negato perché il datore di lavoro avrebbe potuto adottare misure meno incisive per appurare la verità Venendo meno la prova, il licenziamento era ingiustificato 15

17 Sviluppi futuri della LPD (1) : Consiglio Federale ha incaricato commissione di esperti di valutare la LPD - Dicembre 2011: Rapporto del Consiglio Federale Bilancio positivo - Interventi efficaci dell IFPDT - Praticamente inesistenti le iniziative dei privati - Sviluppi tecnologici dal 1992 hanno aumentato la quantità di dati personali raccolti e trattati - Protezione in alcune situazioni forse non più sufficiente 16

18 Sviluppi futuri della LPD (2) - Riforme dovranno comunque restare tecnologicamente neutrali - Privacy by Design - Rafforzare i poteri di sorveglianza dell IFPDT e la possibilità dell esecuzione collettiva della legge - Aumentare la sensibilizzazione delle persone interessate - Aumentare la trasparenza del trattamento e protezione minorenni - Seguire e conformarsi agli sviluppi Europei 17

19 Grazie per l attenzione

20