Gli organismi internazionali hanno prodotto soft law, come attesta la copiosa produzione dell’UNCITRAL (United Nation Commission on International Trade Law) nell’ambito del commercio elettronico.

Il caso riguarda la sottoscrizione mediante point & click di un contratto di intermediazione finanziaria che veniva concluso dal cliente il quale, previa autenticazione nella propria area riservata del sito web della banca, premeva sul pulsante di accettazione. I giudici di primo grado contestavano tale modalità di sottoscrizione ai fini dell’integrazione del requisito della forma scritta, sostenendo che fosse necessaria la firma elettronica qualificata o la firma digitale. Il contratto veniva quindi dichiarato nullo per difetto di forma scritta.

La Corte di Cassazione, invece, confermando la pronuncia di secondo grado, ha sostenuto l’idoneità della firma elettronica semplice a soddisfare il requisito della forma scritta ad substantiam alla luce della normativa ratione temporis applicabile. La Corte ha infatti richiamato l’art. 10 d.p.r. 445/2000, come novellato dal d.lgs. 10/2002, vigente all’epoca della sottoscrizione, che recitava “il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta” (2° comma). In realtà si discute, sin dalla novella di tale disposizione, della portata e della funzione del vincolo formale ivi prescritto, dibattito dottrinale che tuttavia, per ragioni di sintesi, non è possibile approfondire in questa sede.

Come è noto, oggi vigono regole diverse in tema di validità dei documenti informatici.

La disciplina in materia è dettata dal d.lgs. 7 marzo 2005, n. 82 “Codice dell’Amministrazione digitale” che in particolare dedica gli artt. 20 e 21 alla validità e all’efficacia probatoria dei documenti informatici.

A tal proposito, il CAD non prevede più un riconoscimento ex lege dell’idoneità del documento informatico con firma elettronica semplice a soddisfare il requisito della forma scritta, bensì ne rimette la valutazione al libero apprezzamento del giudice. Così recita l’art. 20, comma 1-bis, ult. periodo: “l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità”.

A differenza della disciplina previgente, dunque, è il giudice a dover decidere, liberamente e sulla base delle concrete circostanze del caso, se un documento informatico sottoscritto con firma elettronica semplice sia idoneo o meno a integrare la forma scritta.

Questa regola, tuttavia, non si applica a tutti i documenti informatici.

La citata disposizione va infatti letta in combinato con il successivo art. 21, comma 2-bis del CAD, secondo il quale gli atti, che per legge devono farsi per atto pubblico o per scrittura privata, devono essere sottoscritti, a pena di nullità, esclusivamente con firma elettronica avanzata, qualificata o digitale: “le scritture private di cui all’articolo 1350, 1° comma, numeri da 1 a 12 c.c., se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13 c.c. redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale ovvero sono formati con le ulteriori modalità di cui all’articolo 20, comma 1-bis, primo periodo”.

In altre parole, questi atti non sarebbero validi se sottoscritti con firma elettronica semplice.

Gli atti a cui fa riferimento il richiamato art. 1350 c.c. sono atti aventi ad oggetto beni immobili (nn. da 1 a 12) nonché “altri atti specialmente indicati dalla legge” (n. 13). È chiaro come quest’ultima indicazione abbia l’effetto di estendere l’applicazione delle norme qui esaminate a qualsiasi atto, regolato anche al di fuori dell’impianto codicistico, per cui sia prevista la forma scritta ad substantiam. Ad esempio, quindi, i contratti bancari, ove in formato elettronico, dovrebbero essere sottoscritti almeno con firma elettronica avanzata, posto che la forma scritta è espressamente prevista sia dal TUB che dal provvedimento della Banca d’Italia del 29 luglio 2009 s.m.i. secondo cui espressamente “i contratti sono redatti in forma scritta. Il documento informatico soddisfa i requisiti della forma scritta nei casi previsti dalla legge”.

Alla luce di tutto ciò, sorprende quindi l’iter argomentativo della Corte di Cassazione che, testualmente, afferma: “solo per i contratti, in relazione ai quali l’art. 1350 c.c. prevede l’adozione della forma scritta a pena di nullità, si impone l’adozione della firma elettronica qualificata o digitale il che, come bene riflette la Corte d’Appello, vuol dire che ‘solo questa particolare forma integrerà il requisito dello scritto ad substantiam nella specifica casistica del codice civile, non anche al di fuori di questo, come appunto ad esempio nei contratti bancari o di investimento’”.

Se da un lato può condividersi la valutazione di idoneità del documento informatico a soddisfare la forma scritta sulla base della normativa previgente, altrettanto non può dirsi con riferimento all’esclusione dalla sfera di applicazione dell’art. 21, comma 2-bis del CAD dei contratti non esplicitamente citati nella norma codicistica. Come si è detto, infatti, l’art. 1350, n. 13 c.c. deve interpretarsi come rinvio ad altre norme, anche extra-codicistiche, che prevedono la forma scritta ai fini della validità dell’atto: in tutti questi casi, qualora l’atto soggetto al vincolo della forma scritta sia formato elettronicamente, dovrà essere sottoscritto con firma elettronica avanzata, qualificata o digitale, a pena di nullità.

Nata con l’obiettivo di rimuovere gli ostacoli alla circolazione in forma digitale dei titoli di credito, la legge modello contempla l’integrazione di nuove tecnologie, come i registri distribuiti, anche prevedendo che il documento elettronico possa contenere informazioni dinamiche come quelle provenienti da oracoli, ad esempio un sensore in un container o un dispositivo GPS su una nave. Queste caratteristiche pongono il modello di legge su un piano che abbraccia la gestione elettronica integrale della filiera di approvvigionamento. Lo scopo ultimo è sempre quello di favorire il commercio, e dunque rimuovere gli ostacoli giuridici, nel caso di specie, alla circolazione dei titoli di credito dematerializzati.

L’articolo pubblicato da Giusella Finocchiaro e Luca Castellani sul periodico giuridico Contratto ed Impresa, n.1, 2021 illustra i principali aspetti del modello di legge collocandoli nel contesto internazionale, anche in riferimento alla distanza fra gli ordinamenti di civil law e di common law.

L’estratto di Contratto e Impresa contenente l’articolo si può leggere QUI.

Le risposte del Garante chiariscono che il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali. Ciò non è consentito dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro né dalle disposizioni sull’emergenza sanitaria. Il consenso del dipendente, in questi casi, non rende lecito il trattamento dei dati. Il datore di lavoro può, invece, acquisire i giudizi di idoneità alla mansione specifica redatti dal medico competente.

Il Garante ha chiarito inoltre che – in attesa di un eventuale intervento del legislatore nazionale che imponga la vaccinazione anti Covid-19 quale condizione per lo svolgimento di determinate professioni, attività lavorative e mansioni – nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario, si applicano le disposizioni vigenti sulle “misure speciali di protezione” previste per tali ambienti lavorativi (art. 279 del d.lgs. n. 81/2008).

Anche in questi casi, solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario e il contesto lavorativo, può trattare i dati personali relativi alla vaccinazione dei dipendenti. Il datore di lavoro deve quindi limitarsi attuare, sul piano organizzativo, le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità.

“Il decreto ha accolto, in parte, il progetto elaborato dall’apposita Commissione che ho presieduto, incaricata dal Governo di adeguare il quadro normativo italiano alla normativa europea. Del testo redatto dalla Commissione è stata accolta la scelta di abrogazione espressa di molte norme del Codice privacy, che ha costituito un’operazione di semplificazione di grande rilievo, anche culturale”, spiega a CorCom Finocchiaro la quale, nel 2017 è stata nominata Presidente del Gruppo di lavoro, presso l’ufficio legislativo del Ministero della Giustizia, incaricato di provvedere alla predisposizione dei decreti legislativi in modo da garantire il tempestivo recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di protezione dei dati personali.

Finocchiaro come siamo messi in Italia?

Dal 2016 le imprese, anche a fronte delle severe sanzioni amministrative contenute dal Regolamento, si sono attivate per adeguarsi. In certi settori, tuttavia, si registrano ancora significativi ritardi oppure un’applicazione meramente formale della normativa vigente, senza averne colto le novità più interessanti e ancor meno lo spirito di riforma. Ancora pochi, per esempio, applicano il “legittimo interesse” come base giuridica del trattamento, pochi hanno compreso in pieno lo spirito dell’accountability e vedo poco applicato anche il bilanciamento che è al cuore dello stesso Gdpr, fra protezione dei dati personali e libera circolazione degli stessi.

La figura del Dpo è necessaria e fondamentale a livello di imprese e PA eppure non sempre ci si rivolge a figure qualificate dotate di certificazione a causa dei mancati obblighi. Non crede che invece sia necessario imporre vincoli stringenti nelle nomine affinché si eviti l’improvvisazione?

Il Gdpr non prevede specifiche attestazioni formali o l’iscrizione in appositi albi per svolgere il ruolo di Dpo. D’altronde, i requisiti sono già ben delineati nel Regolamento e la loro valutazione è rimessa in capo al titolare del trattamento che deve responsabilmente verificare che il soggetto possieda un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Certamente, una specifica formazione può essere assai rilevante. Se il titolare sceglie Dpo inadeguati, ne è responsabile sotto ogni profilo.

L’Europa ha appena approvato il nuovo pacchetto di misure sul Digital Services Act e il Digital Market: molte le critiche e le obiezioni, quali sono le principali novità sul fronte privacy e data protection?

-> CONTINUA SU CORCOM.IT

Questo il tema del webinar proposto dal Consiglio Nazionale delle Ricerche, Alma Mater Studiorum – Università di Bologna, Università degli Studi di Napoli Suor Orsola Benicasa e Fondazione Centro di Iniziativa Giuridica Piero Calamandrei.

Il webinar, che si terrà sulla piattaforma Zoom prevede 3 sessioni:

• 1ª Sessione •
12 novembre 2020 – 17:30-19:30
Servizi digitali e regolazione

• 2ª Sessione •
19 novembre 2020 – 17:30-19:30
Servizi digitali e responsabilità

• 3ª Sessione •
26 novembre 2020 – 17:30-19:30
Servizi digitali, mercato e concorrenza

Nel corso della 2ª Sessione dedicata ai servizi digitali presieduta da Guido Alpa,  Giusella Finocchiaro sarà tra i relatori insieme a Alberto Gambino, Oreste Pollicino, Angelo Mazzetti, Giangiacomo Olivi. Conclude la sessione Pasquale Stanzione, Presidente Garante per la protezione dei dati personali.

QUI il programma completo.

Link Zoom

Nel cuore dell’era in cui la velocità dello sviluppo della tecnologia digitale e la costante convergenza dei media rendono sempre più difficile identificare le regole legali applicabili ai nuovi media, si avverte un bisogno comune di trovare un tempo e uno spazio per affrontare le questioni normative , nuove tendenze giurisprudenziali e pratiche adottate dalle autorità dei settori pertinenti del diritto dei media.

Il tempo e lo spazio forniti da MediaLaws a tale dibattito sono caratterizzati da due caratteristiche: la qualità tecnica dei commenti e delle analisi (quindi la loro “neutralità politica”) e l’uso del punto di vista e del metodo del diritto comparato, potenziato dalla partecipazione di corrispondenti esteri .

La sentenza C623/17 della Corte di Giustizia europea ha stabilito che le esigenze di sicurezza nazionale e il contrasto alla criminalità non legittimano, per sé, la conservazione indiscriminata, da parte dei fornitori dei servizi di comunicazione elettronica, dei dati di traffico.

Sono dunque da ritenersi non conformi alla Direttiva sull’e-privacy le leggi nazionali di UK, Belgio e Francia che impongono alle società di telecomunicazione la trasmissione generalizzata dei dati personali alle agenzie di intelligence in nome della sicurezza nazionale.

La Corte ha altresì chiarito che nelle situazioni in cui uno Stato Membro stia fronteggiando serie minacce alla sicurezza nazionale che possano essere dimostrate come realmente presenti o prevedibili, può richiedere, in deroga all’obbligo della riservatezza dei dati nelle comunicazioni elettroniche, che i dati vengono trattenuti, in via generale e indiscriminata, per un periodo di tempo limitato allo stretto necessario, eventualmente esteso se la minaccia rilevata rimanesse presente.

La Corte, definendo questa deroga come “un’interferenza nei diritti fondamentali”, richiede la salvaguardia di questi ultimi, e sancisce l’obbligo di revisione da parte di una Corte o di un’autorità amministrativa indipendente.

In una prima nota sull’argomento il Garante della Privacy ha commentato: “La proporzionalità resta, dunque, la chiave per affrontare l’emergenza, in ogni campo, secondo lo Stato di diritto”.

La decisione della Corte, chiarisce il Garante, rappresenta la coerente conclusione del percorso iniziato “con le sentenze Digital Rights e Tele2 Sverige e in analogia con le posizioni più garantiste della CEDU”, escludendo “che quella dei trattamenti di dati funzionali a tali finalità possa essere una ‘zona franca’ impermeabile alle esigenze di tutela della persona. Si tratta di un principio di assoluta rilevanza, sotto il profilo democratico, nel rapporto tra libertà e sicurezza già delineato nella sentenza Schrems del luglio scorso, per evitare che una dilatazione (nell’ordinamento statunitense particolarmente marcata) della nozione di sicurezza nazionale finisca di fatto per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati”.

La Corte ha invalidato l’UE-USA Privacy Shield Framework, pur sostenendo, con serie riserve, la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems e ai suoi effetti.

L’Ufficio del Garante per la protezione dei dati personali ha elaborato una traduzione in italiano del documento, disponibile alla pagina www.garanteprivacy.it/temi/privacy-shield.