Riforma Cartabia: le novità in tema di notificazioni civili
Per i procedimenti instaurati a partire dal 28 febbraio 2023 sono entrate in vigore le novità apportate dalla Riforma Cartabia in tema di notificazioni civili
Le notificazioni civili e la Riforma Cartabia
Con il D. Lgs. n. 149 del 2022, il Governo ha esercitato la delega conferitagli dal Parlamento con l’approvazione della L. n. 206 del 2021[1]. Sono state apportate modifiche rilevanti in tema di notificazioni[2] civili, entrate in vigore per i procedimenti instaurati a partire dal 28 febbraio. La Riforma Cartabia, infatti, ha introdotto importati novità in tema di notificazioni civili, intervenendo:
- sulla L. n. 53/1994 “Facoltà di notificazioni di atti civili, amministrativi e stragiudiziali per gli avvocati e procuratori legali”;
- sulle disposizioni del Codice di procedura civile;
- sulle Disposizioni di attuazione del codice di procedura civile.
Modifiche apportate alla L. n. 53/1994
La modifica di maggior rilievo apportata alla L. n. 53/1994 riguarda l’introduzione del nuovo articolo 3 ter.
In questo articolo sono state disciplinate le ipotesi in cui sorge in capo all’avvocato l’obbligo di notificare gli atti con modalità telematiche, tramite posta elettronica certificata (“PEC”) o servizio elettronico certificato qualificato[3] (“SERCQ”).
Tale obbligo sussiste se il destinatario:
- ha l’obbligo di munirsi di domicilio digitale risultante dai pubblici elenchi (si tratta di soggetti quali gli avvocati, gli altri professionisti iscritti in albi, le imprese individuali e collettive, le pubbliche amministrazioni);
- pur non essendo obbligato per legge, ha eletto spontaneamente domicilio digitale nell’indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato, non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese (“INAD”)[4].
Il legislatore ha, poi, disciplinato le conseguenze derivanti dall’impossibilità di eseguire la notificazione telematica e del suo mancato perfezionamento.
Occorre, in questo caso, distinguere due ipotesi:
- la notifica non è possibile/non ha avuto esito positivo per cause imputabili al destinatario (ad es. la PEC è “piena”):
- se il destinatario è un’impresa o un professionista iscritti nell’indice INI-PEC[5], la notifica si esegue inserendo l’atto da notificare nell’area web riservata prevista dall’art. 359 del Codice della Crisi d’Impresa e dell’Insolvenza[6] (“CCII”), in tal caso la notifica si ha per eseguita trascorsi 10 giorni dall’inserimento.
- se il destinatario ha eletto spontaneamente domicilio si procede alla notifica con le modalità ordinarie (per posta o tramite l’Ufficiale Giudiziario).
- La notifica non è possibile o non ha esito positivo per cause non imputabili al destinatario (ad es. malfunzionamento del servizio), in questo caso si procede alla notifica con le modalità ordinarie.
Anche l’art. 3 della L. n. 53/1994 è stato modificato e, in particolare, il nuovo comma 1 bis reintroduce l’IPA (Indice delle Pubbliche Amministrazioni) quale pubblico elenco valido ai fini dell’individuazione dell’indirizzo PEC delle Pubbliche Amministrazioni.
Modifiche al Codice di procedura civile
È stato modificato il secondo comma dell’art. 137 c.p.c., prevedendo che «L’ufficiale giudiziario o l’avvocato esegue la notificazione mediante consegna al destinatario di copia conforme all’originale dell’atto da notificarsi».
Rispetto alla precedente formulazione, viene introdotto espressamente il riferimento alla figura dell’avvocato nella categoria dei soggetti che possono eseguire notifiche degli atti del processo.
Viene inoltre richiamato l’obbligo di notifica telematica da parte dell’avvocato, specificando che egli esegue le notificazioni “nei casi e con le modalità previste dalla legge”, ossia così come previsto dalla L. n. 53/1994.
Di conseguenza, all’obbligo di notifica telematica dell’avvocato corrisponde il divieto imposto all’Ufficiale giudiziario di eseguirla.
L’Ufficiale potrà eseguire la notifica su richiesta dell’avvocato solo se quest’ultimo non deve eseguirla a mezzo PEC o SERCQ, o con altra modalità prevista dalla legge, oppure, quando vengono meno i presupposti del già menzionato obbligo, cioè non è stato possibile eseguire la notifica / non ha avuto esito positivo per cause non imputabili al destinatario. In questo caso l’avvocato deve formulare una dichiarazione attestante le difficoltà riscontrate, di cui l’Ufficiale darà atto nella relazione di notificazione.
Sempre in un’ottica di implementazione del processo civile telematico è stato modificato l’art. 149 bis.
In base alla nuova previsione normativa, anche l’Ufficiale dovrà eseguire le notifiche telematicamente se il destinatario ha l’obbligo di munirsi di una PEC o SERCQ oppure ha eletto spontaneamente domicilio digitale nell’INAD.
Questo varrà quindi anche per quegli atti tipicamente propri dell’ufficiale giudiziario, come il pignoramento presso terzi.
Un’altra modifica rilevante ha riguardato l’art. 147 c.p.c. in cui sono stati inseriti due commi che prevedono che le notificazioni a mezzo PEC o SERCQ:
- possono essere eseguite senza limiti orari;
- si perfezionano:
- per il notificante, nel momento in cui è generata la ricevuta di accettazione
- per il destinatario, nel momento in cui è generata la ricevuta di avvenuta consegna. Ma attenzione: se quest’ultima è generata tra le 21 e le 7 del mattino del giorno successivo, la notificazione si intende perfezionata per il destinatario alle 7.
Modifiche alle Disposizioni di attuazione del Codice di procedura civile
Infine, è stato introdotto un nuovo capo alle Disposizioni per l’attuazione del codice di procedura civile, intitolato “Della conformità delle copie agli originali” (contenente gli artt. dal 196 octies al 196 undecies).
A differenza dell’art. 196 decies, i nuovi articoli 196 octies, 196 nonies e 196 undecies disp. att. c.p.c. recepiscono, sostanzialmente, il contenuto di quanto già prescritto da alcuni articoli del D.L. n. 179/2012.
L’inserimento dell’art. 196 decies, invece, si è reso necessario in un’ottica di coordinamento con il nuovo art. 149 bis c.p.c. e prevede che, quando si trasmettono telematicamente all’ufficiale giudiziario le copie informatiche di atti, provvedimenti o documenti in formato analogico, se ne attesti la conformità all’originale.
Le altre novità riguardano l’ampliamento del potere di certificazione di conformità, che viene steso anche al liquidatore giudiziale e la possibilità di attestare la conformità anche degli allegati alle comunicazioni telematiche.
Cercando di riassumere brevemente il contenuto degli articoli sopra citati, essi prevedono:
- la possibilità di estrarre copie o duplicati informatici degli atti e dei provvedimenti contenuti nel fascicolo informatico o allegati alle comunicazioni telematiche e di certificare la conformità delle copie ( 196 octies disp. att. c.p.c.);
- che qualora la copia informatica di un atto o di un provvedimento in formato analogico siano depositati telematicamente, se ne debba attestare la conformità ( 196 nonies disp. att. c.p.c.);
- che le attestazioni di conformità delle copie analogiche siano apposte in calce o a margine delle stesse o su un foglio separato ad esse congiunto ( 196 undecies disp. att. c.p.c.);
- che le attestazioni di conformità delle copie informatiche siano apposte nel medesimo documento informatico o su uno separato, con i riferimenti al file di cui si attesta la conformità ( 196 undecies disp. att. c.p.c.);
- che qualora la copia informatica sia destinata alla notifica, l’attestazione di conformità debba essere inserita nella relazione di notificazione ( 196 undecies disp. att. c.p.c.);
- che i soggetti che compiono le attestazioni di conformità sono considerati pubblici ufficiali ( 196 undecies disp. att. c.p.c.).
Schema riassuntivo sulle modalità di notifica alla luce della Riforma Cartabia
DESTINATARIO DELLA NOTIFICA | MODALITÀ DI NOTIFICA | NOTIFICA NON POSSIBILE PER CAUSA IMPUTABILE AL DESTINATARIO | NOTIFICA NON POSSIBILE PER CAUSA NON IMPUTABILE AL DESTINATARIO |
Privato che non ha eletto domicilio digitale | Notifica ordinaria | x | x |
Pubblica Amministrazione | Obbligo di notifica PEC | Notifica ordinaria | Notifica ordinaria |
Professionista o impresa obbligati ad eleggere domicilio digitale | Obbligo di notifica PEC | Inserimento nell’area web riservata prevista dal CCII | Notifica ordinaria |
Soggetto che, pur non avendo alcun obbligo, ha eletto spontaneamente domicilio nell’INAD | Obbligo di notifica PEC | Notifica ordinaria | Notifica ordinaria |
Informazioni
L. 26 novembre 2021, n. 206 “Delega al Governo per l’efficienza del processo civile e per la revisione della disciplina degli strumenti di risoluzione alternativa delle controversie e misure urgenti di razionalizzazione dei procedimenti in materia di diritti delle persone e delle famiglie nonché’ in materia di esecuzione forzata”
D. Lgs. 10 ottobre 2022, n. 149 “Attuazione della legge 26 novembre 2021, n. 206”
Relazione illustrativa al D. Lgs. 10 ottobre 2022, n. 149
L. n. 53/1994 “Facoltà di notificazioni di atti civili, amministrativi e stragiudiziali per gli avvocati e procuratori legali”
Codice di procedura civile
D. Lgs. 12 gennaio 2019, n. 14 “Codice della Crisi d’Impresa e dell’Insolvenza”
D.L. n. 179/2012 “Ulteriori misure urgenti per la crescita del Paese”
Regolamento UE 910/2014 “eIDAS”: <P (europa.eu)
[1] “Delega al Governo per l’efficienza del processo civile e per la revisione della disciplina degli strumenti di risoluzione alternativa delle controversie e misure urgenti di razionalizzazione dei procedimenti in materia di diritti delle persone e delle famiglie nonché in materia di esecuzione forzata”. Per un approfondimento: https://www.dirittoconsenso.it/2022/01/25/riforma-cartabia-del-processo-penale-e-del-processo-civile/
[2] L’attività della “notificazione” ha lo scopo di far conoscere un atto processuale all’interessato (si può trattare sia di atti di parte, come un atto di citazione, sia di provvedimenti del giudice o verbali d’udienza). Generalmente la notifica è eseguita dall’ufficiale giudiziario competente o, nei casi previsti dalla legge, dall’avvocato.
[3] Il legislatore prende in considerazione il Servizio elettronico di recapito qualificato, introdotto dal Regolamento UE 910/2014 “eIDAS” (Electronic IDentification, Authentication and trust Services), che a differenza della PEC garantisce, con un elevato livello di sicurezza, l’identificazione del mittente e l’identificazione del destinatario prima della trasmissione dei dati.
[4] Ad oggi, pur essendo state emanate, da parte dell’Agid, le Linee Guida datate 7 luglio 2022 per l’implementazione dell’INAD, non è stato ancora creato.
[5] Ossia, l’Indice nazionale della posta elettronica certificata.
[6] Al momento quest’area non risulta ancora attiva.
I principali "documenti" privacy
Quali sono i documenti privacy da adottare per poter essere conforme al trattamento di dati personali?
I “documenti” privacy
Al fine di poter dare vita ad un’organizzazione compliant al Regolamento UE 679/2016 (c.d. “GDPR”) i titolari del trattamento devono innanzitutto individuare tutti i dati personali che vengono trattati e valutare i rischi connessi al loro trattamento, oltre a definire i ruoli che vengono ricoperti dai vari soggetti coinvolti. Solo al termine di queste indagini il titolare procede con la predisposizione e l’adozione di una documentazione privacy adeguata.
Vediamo, quindi, in generale, quali sono i principali documenti privacy di cui ci si deve munire.
L’informativa sul trattamento dei dati personali
L’art. 12 del GDPR prevede che il titolare del trattamento debba fornire agli interessati le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Queste informazioni vengono fornite tramite l’informativa[1], che dovrà necessariamente contenere:
- i dati identificativi del titolare del trattamento e, ove presente, del DPO;
- le finalità e le basi giuridiche del trattamento;
- i destinatari (anche per categorie) dei dati personali;
- l’indicazione dell’eventuale trasferimento dei dati personali a un paese estero;
- il periodo di conservazione dei dati personali o, se non è possibile determinarlo, i criteri utilizzati per determinare tale periodo;
- i diritti dell’interessato;
- la natura del conferimento dei dati (facoltativa o obbligatoria);
- l’esistenza di un eventuale processo decisionale automatizzato e le informazioni che riguardano quel processo.
La lettera di designazione
Il Codice Privacy prevede la figura del “designato”, ossia un soggetto che opera sotto l’autorità e responsabilità del titolare del trattamento, effettuando materialmente le operazioni di trattamento dei dati personali. Il GDPR, invece, non menziona tale figura e di conseguenza non impone alcun obbligo di nomina o designazione espressa. Tuttavia, ai sensi dell’art. 29 GDPR chiunque tratti dati personali deve ricevere istruzioni operative specifiche e la necessaria formazione. Questo avviene con un’apposita lettera di designazione.
I contratti con i responsabili del trattamento
Il GDPR prevede che il titolare del trattamento possa avvalersi di responsabili che trattino per suo conto dati personali. I trattamenti effettuati dal responsabile, su istruzione documentata del titolare, sono disciplinati da un apposito contratto o un altro atto giuridico, di cui il GDPR detta il contenuto[2].
Il registro dei trattamenti: finalità e contenuto
I titolari e i responsabili del trattamento sono tenuti a tenere il registro delle attività di trattamento in forma scritta anche elettronica.
In ambito privato, i soggetti obbligati alla tenuta sono:
- imprese o organizzazioni[3] con almeno 250 dipendenti;
- qualunque titolare o responsabile che effettui trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato;
- qualunque titolare o responsabile che effettui trattamenti non occasionali;
- qualunque titolare o responsabile che effettui trattamenti delle categorie particolari di dati o relativi a condanne penali e a reati.
Tuttavia, oltre ai casi per i quali è previsto un obbligo di tenuta del registro, anche alla luce del considerando 82 GDPR, il Garante per la protezione dei dati ne raccomanda la redazione a tutti i titolari e responsabili del trattamento. Questo in quanto si tratta di uno strumento che, fornendo una fotografia del tipo di trattamenti svolti, contribuisce ad attuare il principio di accountability[4] e, al contempo, ad agevolare l’attività di controllo del Garante.
L’art. 30 del Regolamento prevede che il registro debba contenere:
- il nome e i dati di contatto del titolare del trattamento (e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del DPO);
- le finalità del trattamento;
- la descrizione delle categorie di interessati e le categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- i trasferimenti verso un paese terzo o un’organizzazione internazionale;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
Registro delle violazioni
L’art. 4 del GDPR definisce la violazione dei dati personali (c.d. data breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“.
Il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante tramite un’apposita procedura telematica, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche[5].
Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati.
Il titolare del trattamento, a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali, ed è incoraggiato a tenere un apposito registro delle violazioni[6], che dovrà contenere le circostanze relative alla violazione (data e ora in cui è avvenuta), data e ora in cui la notifica è stata effettuata al Garante, le conseguenze e i provvedimenti adottati per porvi rimedio e, qualora la violazione sia stata ritardata o non sia stata notificata al Garante, i motivi di tale decisione.
Altri documenti privacy
Vi sono poi altri documenti privacy che possono essere adottati dal titolare del trattamento:
- il Modello Organizzativo Privacy, ossia un documento in cui viene descritta l’organizzazione lato privacy del titolare e le varie attività intraprese per adeguarsi al GDPR;
- la Procedura che disciplina l’utilizzo degli strumenti informatici;
- la Procedura per agevolare l’esercizio dei diritti[7] da parte degli interessati e un registro che documenti le richieste ricevute;
- l’Organigramma privacy;
- la Valutazione d’Impatto (c.d. DPIA[8]), ossia una procedura prevista dall’art. 35 del GDPR che descrive un trattamento di dati per valutarne la necessità e la proporzionalità e i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Deve essere effettuata dal titolare prima di procedere al trattamento di dati personali qualora il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone interessate.
Informazioni
https://www.garanteprivacy.it/
https://edpb.europa.eu/edpb_it
Decreto Legislativo n. 196/2003
Decreto Legislativo n. 101/2018
Regolamento UE 679/2016
[1] Per un ulteriore approfondimento si veda: L’informativa sulla privacy ex art. 13 GDPR – DirittoConsenso.
[2] Si veda l’articolo: Gli “attori” della privacy – DirittoConsenso.
[3] Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.
[4] In base al “principio di accountability”, introdotto dal GDPR, coloro che trattano dati devono adottare comportamenti proattivi e tali da dimostrare l’adozione di misure di sicurezza finalizzate ad assicurare l’applicazione del GDPR.
[5] Invece, il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare in modo tempestivo il titolare.
[6] Come spiegato nelle Guidelines 9/2022 on personal data breach notification under GDPR adottate dall’EDPB: https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_202209_personal_data_breach_notification_targetedupdate_en.pdf
[7] Per un approfondimento circa i diritti riconosciuti agli interessati dal GDPR si veda: I diritti presenti nel GDPR – DirittoConsenso.
[8] Data Protection Impact Assessment.
Gli "attori" della privacy
Il Regolamento UE 679/2016 individua diversi “attori” della privacy che agiscono in materia di trattamenti di dati personali, ciascuno con funzioni e compiti diversi
Gli attori in materia di trattamento di dati personali
Il Regolamento UE 679/2016 prevede e disciplina diverse figure, che possiamo considerare degli “attori” della privacy:
- l’interessato;
- il titolare del trattamento;
- il responsabile del trattamento;
- il sub-responsabile del trattamento;
- l’autorizzato al trattamento;
- il Data Protection Officer (spesso noto con la sigla DPO).
Cerchiamo ora di definire quali sono i ruoli dei vari attori coinvolti nel trattamento dei dati personali.
Gli interessati ed il titolare del trattamento
Innanzitutto, gli interessati sono persone fisiche, identificate o identificabili, ai quali si riferiscono i dati personali oggetto di trattamento.
Quindi l’interessato è una persona identificata o identificabile, cioè che “può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, generica, psichica, economica, culturale o sociale” (art. 4 Regolamento UE 679/2016).
L’interessato è, quindi, il destinatario della tutela predisposta dal Regolamento UE 679/2016 per quanto riguarda le operazioni di trattamento dei dati personali.
La normativa europea attribuisce specifici diritti all’interessato, il quale, per esercitarli, può rivolgersi direttamente al titolare del trattamento.
Alla luce della definizione data dal Regolamento UE 679/2016, così come precisato dal Considerando (26), i principi di protezione dei dati non si applicano alle informazioni anonime, che non si riferiscono a persone identificate o identificabili oppure a dati personali resi anonimi, tali da impedire quindi l’identificazione dell’interessato[1].
Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica o ogni altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, ossia “perché” e “come” devono essere trattati i dati.
Il Regolamento UE 679/2016 onera il titolare del trattamento al rispetto di tutti i principi applicabili al trattamento dei dati e prevede che costui debba essere in grado di “comprovarlo” (c.d. principio di accountability).
Per questa ragione, il titolare deve adottare misure di sicurezza idonee e adeguate a garantire (ed essere in grado di dimostrare) che il trattamento sia stata effettuato in conformità con quanto previsto dalla normativa europea e che le misure messe in atto siano efficaci.
La tutela dei diritti degli interessati, quindi, richiede l’adozione di misure tecniche ed organizzative idonee, attraverso politiche interne e misure che soddisfino i principi della protezione dei dati.
Il responsabile del trattamento ed il sub-responsabile
Il titolare del trattamento può ricorrere ad un soggetto (persona fisica o giuridica, autorità pubblica, o un altro organismo) che tratti per suo conto dati personali, il c.d. responsabile del trattamento.
Il Regolamento UE 679/2016 prevede che il titolare si avvalga di responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento stesso e che garantiscano la tutela dei diritti dell’interessato.
I trattamenti che il responsabile effettua – necessariamente su istruzione documentata del titolare – sono disciplinati da un apposito contratto o un altro atto giuridico, che:
- vincola il responsabile del trattamento al titolare del trattamento;
- circoscrive la materia disciplinata;
- stabilisce la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Il contratto o altro atto giuridico può anche basarsi su clausole contrattuali tipo adottate dalla Commissione Europea o da un’autorità di controllo e deve prevedere che il responsabile:
- garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adotti le misure per garantire un livello di sicurezza adeguato al rischio;
- assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile;
- su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
- metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi posti a suo carico rispetto al rapporto con il responsabile e contribuisca alle attività di revisione realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.
Il responsabile, a sua volta, può ricorrere ad un altro responsabile ossia il c.d. sub responsabile del trattamento, solo qualora vi siano un’autorizzazione scritta, specifica o generale, del titolare del trattamento a procedere in tal senso.
L’autorizzato al trattamento
Pur non prevedendo espressamente la figura dell’autorizzato al trattamento (originariamente previsto dall’art. 30 del Codice Privacy), il Regolamento UE 679/2016 non ne esclude la presenza in quanto, all’art. 4 n. 10) fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile“.
Il Codice Privacy, novellato dal D. Lgs. n. 101/2018, ha invece introdotto l’art. 2 quaterdecies in cui è espressamente prevista la figura del “designato”: una persona fisica che opera sotto l’autorità e responsabilità del titolare del trattamento, al quale possono essere delegati specifici compiti e funzioni. Si tratta quindi di una persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.
Come abbiamo visto, il Regolamento UE 679/2016 non impone alcun obbligo di nomina o designazione espressa, tuttavia è fondamentale fornire agli autorizzati le istruzioni operative e la necessaria formazione.
La normativa non prevede dei requisiti per essere considerati “autorizzati”: anche la semplice presa visione di un dato personale si qualifica come trattamento.
Il Data Protection Officer
Un altro “attore” della privacy è il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO).
Il Regolamento UE 679/2016 prevede un elenco di casi in cui la nomina di un DPO è obbligatoria, ossia qualora:
- il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Il DPO agisce in piena autonomia e indipendenza e senza alcun vincolo rispetto al titolare e al responsabile del trattamento.
Il DPO, infatti, deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti alla protezione dei dati personali, devono essergli fornite le risorse necessarie per assolvere i suoi compiti, accedere ai dati personali e al loro trattamento e mantenere la propria conoscenza specialistica della normativa in materia di protezione di dati personali e può essere contattato dagli interessati per le questioni relative al trattamento dei loro dati personali o all’esercizio dei loro diritti.
L’art. 39 del Regolamento UE prevede che il DPO debba essere incaricato almeno dei seguenti compiti:
- informare e fornire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento UE, nonché da altre disposizioni in materia;
- sorvegliare l’osservanza del Regolamento UE 2016/679, di disposizioni in materia nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con il Garante;
- rappresentare il punto di contatto per il Garante per questioni connesse al trattamento.
Informazioni
Decreto Legislativo n. 196/2003
Decreto Legislativo n. 101 del 2018
Regolamento (UE) 679/2016
[1] Per un approfondimento circa le tecniche, ambiti e rischi applicativi relativi a pseudonimizzazione e anonimizzazione dei dati personali si veda: https://www.dirittoconsenso.it/2022/01/13/pseudonimizzazione-e-anonimizzazione-dei-dati/
Quali sono le fonti in materia di protezione dei dati personali?
Oltre al Regolamento (UE) 679/2016 e al Codice italiano ci sono diverse fonti in materia di protezione dei dati personali, vediamo quali
Che cosa si intende con “dati personali”?
Prima di vedere quali sono le fonti in materia di protezione dei dati personali, cerchiamo di capire a cosa ci si riferisce quando si parla di “dati personali”.
Così come indicato nel Regolamento (UE) 679/2016 (c.d. GDPR[1]), con il termine dati personali s’intende:
“qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Si tratta, quindi, di dati quali, ad esempio, il nome, il cognome, il codice fiscale, l’indirizzo IP, i riferimenti bancari, l’indirizzo di residenza, i dati che consentono la geolocalizzazione o relativi alle comunicazioni elettroniche.
Assumono poi particolare rilevanza e necessitano di una maggiore tutela i dati personali:
- c.d. particolari, ossia quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale, i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
- c.d. giudiziari, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato e quelli relativi alle condanne penali e ai reati o a misure di sicurezza.
Fonti in materia di protezione dei dati personali: evoluzione europea e nazionale
Nel nostro ordinamento non vi è una norma costituzionale che si occupa di tutelare il c.d. diritto alla privacy.
Numerose sono state le interpretazioni fornite negli anni e i tentativi di riconoscere un suo fondamento in alcuni articoli della Carta Costituzionale[2]; ciò che è certo, è che si tratti di un diritto essenziale della persona, riconducibile a quei diritti inviolabili tutelati dall’art. 2 della Costituzione.
Anche a livello europeo è considerato un diritto fondamentate: l’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e l’articolo 16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea “c.d. TFUE” stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
La prima direttiva europea (c.d. Data Protection Directive) che si è occupata di regolare il trattamento dei dati personali risale al 1995, in seguito, nel 2002, alla luce delle mutate esigenze del tempo, la direttiva sull’e-Privacy, ha adeguato le norme a tutela della privacy.
La rapida evoluzione tecnologica e la globalizzazione hanno poi comportato nuove sfide per la protezione dei dati personali.
Era quindi necessario che fosse individuato un adeguato livello di protezione dei dati personali in tutti gli Stati membri, tramite il rafforzamento e la disciplina dei diritti degli interessati e degli obblighi di chi effettua il trattamento dei dati personali, nonché l’attribuzione di poteri per controllare e assicurare il rispetto delle norme e oltre che di sanzioni per le violazioni.
L’adozione del Regolamento (UE) 679/2016 (c.d. GDPR), divenuto efficace in tutti gli Stati membri dell’Unione a decorrere da 25 maggio 2018, ha risposto proprio a queste esigenze di tutela ed ha creato un quadro normativo omogeneo in materia.
Dal canto suo, l’Italia, con la legge n. 675 del 1996 si è dotata di una propria disciplina (in attuazione della Data Protection Directive) e ha istituito la figura del Garante per la protezione dei dati personali.
Successivamente, nel 2004, è entrato in vigore il Decreto Legislativo n. 196/2003, denominato Codice in materia di protezione dei dati personali, poi integrato e modificato in seguito all’entrata in vigore del GDPR, dal Decreto Legislativo n. 101 del 2018.
Con l’adozione GDPR si è infatti completamente modificato l’approccio alla tutela della privacy contenuto nel vecchio Codice privacy italiano e si è quindi reso necessario un suo adeguamento.
La nuova normativa europea ha promosso, in primo luogo, la responsabilizzazione dei soggetti che trattano i dati personali di persone fisiche[3] (c.d. principio di accountability)[4].
Pertanto, non basta più che titolari del trattamento adottino misure minime di sicurezza per la protezione dei dati, ma è necessario che questi ultimi assumano comportamenti proattivi che tengano costantemente conto dei rischi per i diritti e le libertà degli interessati, che possono derivare dal trattamento dei loro dati personali.
Le altre fonti in materia di protezione dei dati personali
Oltre al GDPR e al Codice in materia di protezione dei dati personali, vi sono, poi, altre fonti che regolano la materia:
- i Codici di condotta, che hanno lo scopo di aiutare coloro che sono i soggetti coinvolti nell’applicazione del GDPR, in funzione delle specificità delle attività di trattamento o del settore interessato. Ad oggi, ve ne sono 3:
- codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale;
- codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti;
- codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica.
- le Regole Deontologiche, promosse e approvate dal Garante. Ad oggi, il Codice in materia di protezione dei dati personali prevede le seguenti:
- regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica;
- regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria;
- regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica;
- regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale;
- regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.
- Linee guida, decisioni vincolati, pareri e raccomandazioni emanati dal Gruppo di Lavoro articolo 29 (WP29), oggi sostituito dal Comitato Europeo per la protezione dei dati (c.d. EDPB[5]). L’EDPB, organismo europeo indipendente, fornisce orientamenti generali per l’applicazione della normativa privacy e adotta pareri e decisioni rivolti alle Autorità di vigilanza nazionali.
- Linee guida, autorizzazioni generali, provvedimenti e pareri emanati dal Garante per la protezione dei dati personali, ossia l’Autorità di controllo nazionale indipendente designata ai fini dell’attuazione del GDPR.
Informazioni
Costituzione italiana
GDPR
[1] General Data Protection Regulation.
[2] Ossia, artt. 3, 13, 14, 15 e 21 della Costituzione.
[3] In quanto, occorre ricordarlo, il GDPR disciplina il trattamento dei dati personali riferiti alle sole persone fisiche.
[4] Per un approfondimento dei principi sulla protezione dei dati personali: I principi sulla protezione dei dati nel GDPR – DirittoConsenso.
[5] European Data Protection Board.
Dove l'omosessualità è reato
L’omosessualità, ad oggi, è ancora un reato in circa 70 Paesi ed è punita persino con la pena di morte in alcuni di essi
Omosessualità e radici culturali dell’omofobia
L’enciclopedia Treccani definisce l’omofobia come “avversione ossessiva per gli omosessuali e l’omosessualità”.
Le manifestazioni omofobiche, come ben si legge nella Risoluzione del Parlamento europeo sull’omofobia in Europa (2006), si manifestano “nella sfera pubblica e privata sotto forme diverse, quali discorsi intrisi di odio e istigazioni alla discriminazione, dileggio, violenza verbale, psicologica e fisica, persecuzioni e omicidio, discriminazioni in violazione del principio di uguaglianza, limitazioni arbitrarie e irragionevoli dei diritti, spesso giustificate con motivi di ordine pubblico, libertà religiosa e diritto all’obiezione di coscienza”.
Solo in seguito alla rimozione dell’omosessualità dall’elenco dei disturbi mentali e grazie alla maggiore sensibilità sul tema mostrata negli ultimi decenni, oltre che all’impegno dei movimenti culturali a sostegno dei diritti delle persone omosessuali, si è prestata maggiore attenzione alle forme di discriminazione omofobiche, anche sotto il profilo della repressione penale.
Il processo di decriminalizzazione dell’omosessualità
Si pensi che la concezione dell’omosessualità quale atto “contro natura” affonda le sue radici nel lontano periodo storico in cui si diffuse il Cristianesimo. Gli atti omosessuali oltre ad essere ritenuti un “peccato” dal punto di vista religioso, venivano considerati illegali e quindi repressi dalle legislazioni dell’epoca.
Solo con la Rivoluzione Francese e con la diffusione delle idee illuministiche, la qualificazione dell’omosessualità come reato è venuta meno, non essendo caratterizzata, secondo i giuristi del tempo, dal requisito della dannosità sociale del fatto.
La criminalizzazione dell’omosessualità in Germania è cessata solo con la delimitazione dell’ambito di operatività del § 175 StGB, nel 1969. In Gran Bretagna l’incriminazione è venuta meno soltanto nel 1981, in seguito alla celebre sentenza della Corte europea dei diritti dell’uomo nel Caso Dudgeon, che ha ravvisato nella previsione del reato di sodomia un’interferenza dello Stato nella sfera privata del cittadino e, dunque, una violazione dell’art. 8 CEDU[1]. Negli Stati Uniti l’abolizione definitiva del crimine di sodomia risale al vicinissimo 2003, quando la Corte Suprema, nel Caso Lawrence, sulla base della separazione tra morale e diritto, ha affermato l’incostituzionalità della previsione dell’omosessualità come reato[2], ribaltando l’orientamento espresso, in un altro caso, dalla medesima Corte.
Se prima che l’omosessualità venisse estromessa dal Diagnostic and Statistical Manual of Mental Disorders, i Paesi che la condannavano erano più di un centinaio, nei primi anni 2000 sono scesi a 92, per poi diminuire progressivamente fino ad essere, ad oggi, circa 70[3] (numero che, anche se diminuito, rappresenta un campanello d’allarme).
Paesi in cui l’omosessualità è punita con la pena di morte
Per quanto paradossale, considerato il periodo storico in cui viviamo, in alcuni Paesi l’omosessualità è ancora punita con la pena di morte. Tra questi vi sono l’Arabia Saudita, lo Yemen, l’Iran, l’Afghanistan, la Mauritania, la Somalia, il Qatar e gli Emirati Arabi Uniti.
Alcuni recenti interventi normativi di segno positivo
Tra i Paesi in cui negli ultimi anni si sono verificati cambiamenti in senso positivo vi sono:
- il Libano: un articolo del codice penale libanese punisce i cosiddetti “rapporti contro natura” con la reclusione. A marzo 2019 una corte libanese ha stabilito che l’omosessualità non costituisce reato ed ha quindi rifiutato di perseguire 4 individui accusati di questo “crimine”. Si tratta di una decisione storica, che cede il passo ad una giurisprudenza progressista.
- l’India: la Corte Suprema di Nuova Delhi ha deciso, con voto unanime, di cancellare la sezione del codice penale che puniva i rapporti sessuali tra persone del medesimo sesso.
- il Botswana: nel 2019 la Corte Suprema ha dichiarato incostituzionali due sezioni del codice penale che punivano con il carcere qualsiasi “conoscenza carnale con un’altra persona contro l’ordine della natura” e con due anni “atti indecenti” in luogo pubblico e privato.
- il Bhutan: le camere del Parlamento del Bhutan hanno, nel 2020, approvato un disegno di legge per legalizzare i rapporti omosessuali.
- il Gabon: nel 2020 il Presidente ha firmato l’abrogazione di una legge che criminalizzava le relazioni omosessuali.
- l’Angola: nel 2021 è ufficialmente entrata in vigore la legge (promulgata già nel 2019) che ha modificato il codice penale, rimuovendo tutti i riferimenti che criminalizzavano l’omosessualità.
Conclusioni
Alla luce dei dati e delle informazioni riportate nei paragrafi precedenti, che offrono un quadro generale della situazione a livello internazionale, è evidente che il percorso per riuscire a realizzare una società che sia davvero rispettosa dei diritti delle persone omosessuali è ancora lungo e insidioso. È essenziale che vi sia un impegno volto a cancellare qualsiasi discriminazione basata sull’omosessualità o meno di una persona, oltre che sociale e culturale, anche politico.
Informazioni
[1] Corte EDU, sentenza 21 ottobre 1981, Dudgeon c. Gran Bretagna; la Corte di Strasburgo ha dichiarato che “il presente caso riguarda uno degli aspetti più intimi della vita personale. Ne consegue che devono esistere ragioni particolarmente gravi prima che l’ingerenza da parte delle autorità pubbliche possa essere legittimata per gli scopi previsti dal paragrafo 2 dell’art. 8”; ed una tale legittimazione non veniva rinvenuta neppure nella protezione della morale.
[2] Supreme Court USA, 26 giugno 2003, Lawrence e Garner vs. Texas
La tutela dei diritti LGBT nell'Unione Europea
Nel marzo 2021 l’Unione Europea è stata dichiarata una zona di libertà per le persone LGBTI. Quale è la situazione dei diritti LGBT nell’Unione Europea?
Interventi per tutelare i diritti delle persone LGBTI nell’Unione Europea
La parità di trattamento e la non discriminazione sono diritti fondamentali dell’Unione Europea. L’uguaglianza è, infatti, un valore fondante dell’Unione e comune a tutti i suoi Stati membri.
L’art. 21 della Carta dei Diritti Fondamentali dell’Unione Europea vieta “qualsiasi forma di discriminazione fondata, in particolare, sul sesso, la razza, il colore della pelle o l’origine etnica o sociale, le caratteristiche genetiche, la lingua, la religione o le convinzioni personali, le opinioni politiche o di qualsiasi altra natura, l’appartenenza ad una minoranza nazionale, il patrimonio, la nascita, la disabilità, l’età o l’orientamento sessuale.”.
Da anni le istituzioni europee si adoperano per combattere le discriminazioni delle persone LGBTI nell’Unione Europa attraverso interventi legislativi, programmi di sensibilizzazione, finanziamenti e ricerche.
Il Parlamento europeo, in diverse occasioni, ha invitato gli Stati membri ad intraprendere qualunque azione essi ritengano opportuna per lottare contro l’omofobia e la discriminazione basata sull’orientamento sessuale.
L’11 marzo 2021, con una risoluzione, l’Unione europea è stata dichiarata una zona di libertà per le persone LGBTI.
Uno degli interventi più significativi ha riguardato la parità di trattamento in materia di occupazione: è stata vietata la discriminazione, in materia di occupazione e formazione, fondata sulla religione o le convinzioni personali, la disabilità, l’età o l’orientamento sessuale (direttiva 2000/78/CE)[1].
Inoltre, nel 2015 la Commissione europea ha presentato un programma politico per combattere la discriminazione nei confronti delle persone LGBT nell’Unione Europa, la “List of Actions to Advance LGBTI Equality“[2].
La Commissione europea ha poi, nel maggio del 2016, concordato con Facebook, Microsoft, Twitter e YouTube un “Codice di condotta per contrastare l’incitamento all’odio illegale online”, a cui hanno poi aderito anche Instagram, Snapchat, Dailymotion, Jeuxvideo.com, TikTok e LinkedIn.
LGBTIQ Equality Strategy 2020 – 2025
L’11 novembre 2020 la Commissione Europea ha adottato, per la prima volta, una “LGBTIQ Equality Strategy” per il periodo relativo al 2020 – 2025[3].
La strategia si basa su quanto contenuto nella “List of Actions to Advance LGBTI Equality”.
Sono state previste una serie di misure atte ad intensificare l’azione di integrazione delle persone LGBT nell’Unione Europea.
L’obiettivo è quindi quello di affrontare la discriminazione LGBTI in modo più efficace entro il 2025 e sono quattro i punti sui quali si basa questa strategia:
- combattere la discriminazione nei confronti delle persone LGBTI;
- garantire la sicurezza delle persone LGBTI;
- costruire società inclusive per le persone LGBTI;
- guidare l’appello per l’uguaglianza LGBTI nel mondo.
La preoccupante situazione in Polonia
Nonostante l’impegno per eliminare qualsiasi tipo di discriminazione anti-LGBT nell’Unione Europea, negli ultimi anni, la situazione polacca non fa che peggiorare.
Dal 2019, sono state istituite delle aree “libere dall’ideologia LGBTI” da parte di decine di comuni, contee e regioni del sud-est della Polonia.
Le amministrazioni locali sono state invitate ad astenersi dall’intraprendere campagne anti-discriminazione dall’erogare i fondi a sostegno delle organizzazioni che si battono per l’uguaglianza.
Le istituzioni europee hanno preso sin dal primo momento una posizione di netta opposizione a queste dichiarazioni.
Tuttavia, è stata di recente approvata la cosiddetta “legge Czarnek”, che ha l’obiettivo di eliminare i contenuti non conformi alle ideologie sostenute dal governo (ultraconservatore) nelle scuole.
Lo Stato è quindi in grado di bloccare tutto ciò che, a parere dell’autore della legge, il ministro Czarnek, può costituire “una minaccia per la moralità dei bambini”; si tratta di una legge a contenuto manifestatamente anti-LGBTI.
Sarà, inoltre, consentito ai presidi degli istituti scolastici di ritirare qualsiasi materiale didattico fornito alle scuole da gruppi esterni considerato non adatto e potranno licenziare gli insegnanti che proporranno temi di insegnamento LGBTI.
L’Annual Review dell’ILGA
Nel mese di febbraio di quest’anno, è stato pubblicato dall’ILGA l’Annual Review of the Human Rights Situation of Lesbian, Gay, Bisexual, Trans, and Intersex People 2022.
Il Rapporto documenta quanto accaduto nell’arco del 2021 a livello mondiale, europeo e nazionale, in merito alla tutela dei diritti delle persone LGBTI, in diversi ambiti e secondo diversi criteri, ossia l’uguaglianza e non discriminazione, il riconoscimento della famiglia (matrimonio, adozione, previsioni costituzionali), l’incitamento all’odio, il riconoscimento giuridico del genere, l’integrità corporea, lo spazio della società civile e il diritto di asilo.
Oltre all’Annual Review è stata stilata da Rainbow Europe, come ogni anno, una classifica che si basa unicamente sull’impatto delle leggi e delle politiche di ciascun paese europeo sulla vita delle persone LGBTI.
Ciò che emerge è sicuramente, un’anomalia.
Nonostante, ad esempio, la situazione per i richiedenti asilo LGBTI in alcuni Paesi è segnata da ingiustizie e difficoltà, questi si collocano ai primi posti nella classifica dei cambiamenti legislativi positivi.
Danimarca, Estonia, Francia, Germania, Grecia, Malta, Paesi Bassi, Portogallo, Spagna, Svezia e Regno Unito sono infatti tra i Paesi in cui i richiedenti asilo LGBTI subiscono una doppia discriminazione[4].
Ciò accade in quanto, il grafico – che si riporta di seguito – prende in considerazione unicamente alcuni aspetti ed offre, per tale ragione, una panoramica solo parziale della situazione, ciò, a differenza dell’Annual Review, che descrive più dettagliatamente ciò che è accaduto all’interno di ciascun Paese.
Come emerge chiaramente da questo grafico, il riconoscimento e la tutela dei diritti LGBT nell’Unione Europea non è uniforme.
I Paesi della parte orientale dell’Unione Europea sono certamente quelli che presentano le percentuali più basse di tutela dei diritti LGBTI, secondo gli studi dell’ILGA.
Si pensi, tra l’altro che, ad oggi, sono ancora 6 gli Stati membri a non avere alcuna legge sulle unioni civili o sulle coppie di fatto: Polonia, Romania, Bulgaria, Lettonia, Lituania e Slovacchia.
Informazioni
[1] https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32000L0078
[2] https://ec.europa.eu/info/sites/default/files/lgbti-actionlist-dg-just_en.pdf
[3] https://ec.europa.eu/info/sites/default/files/lgbtiq_strategy_2020-2025_en.pdf
[4] Per un approfondimento sul tema dei richiedenti asilo e i rifugiati SOGI: I rifugiati SOGI e la protezione internazionale – DirittoConsenso.
LGBTI e stato di diritto in Italia
Diritti delle persone LGBTI in Italia: facciamo il punto della situazione
Evoluzione normativa in Italia dei diritti LGBTI
Cercheremo di ripercorrere brevemente l’evoluzione legislativa in materia di diritti LGBTI in Italia.
- Il primo codice penale adottato dopo l’unità d’Italia, ossia il Codice Zanardelli, decriminalizzò l’omosessualità: essere omosessuali non costituiva più, di per sé, una fattispecie di reato. Tuttavia, benché non costituisse reato, nella pratica la repressione di quelle condotte ritenute “scandalose”, come quelle degli omosessuali, non si placò.
- Durante il periodo fascista, seppur fosse previsto nel Progetto del nuovo codice penale il reato di “relazioni omossessuali“, non fu introdotto nella versione definitiva del Codice Rocco. Ciononostante, era previsto il confino, ossia una misura di prevenzione di carattere amministrativo, per coloro che venivano ritenuti omosessuali.
- Negli anni a venire, l’opinione prevalente considerava l’omosessualità come una malattia, un disturbo da curare, tant’è che fu compresa nel Diagnostic and Statistical Manual of Mental Disorders tra i “disturbi sociopatici di personalità” (solo nel 1994 l’omosessualità venne estromessa dai disturbi mentali).
- Il Decreto Legislativo n. 216 del 9 luglio 2003 (“Attuazione della direttiva 2000/78/CE per la parità di trattamento in materia di occupazione e di condizioni di lavoro”) pose finalmente fine alle discriminazioni sulla base dell’orientamento sessuale in ambito lavorativo, che divennero illegali in tutto il Paese.
- Nel 2008, l’art. 8-septies del Decreto Legge n. 59 del 8 aprile 2008, recante disposizioni urgenti per l’attuazione di obblighi comunitari e l’esecuzione di sentenze della Corte di giustizia delle Comunità europee, convertito nella L. n. 101/2008, abolì la disposizione che attribuiva rilevanza all’orientamento sessuale nel valutare l’idoneità o meno per poter entrare o permanere nelle Forze armate, in quelle di Polizia e nei Vigili del Fuoco.
- A partire dagli anni 80, furono presentati numerosi disegni di legge che si prefiggevano l’obiettivo di riconoscere una serie di importanti i diritti alle coppie omosessuali e, in generale, alle persone LGBTI.
- Solo nel 2016, il disegno di legge Cirinnà riuscì ad essere discusso in Parlamento e successivamente, la Legge n. 76/2016 (c.d. Legge Cirinnà), di cui parleremo nel prossimo paragrafo, ad essere approvata.
- Da ultimo, nel novembre del 2020 la Camera dei Deputati aveva approvato con 265 voti favorevoli e 193 contrari il Disegno di Legge Zan (c.d. DDL Zan), il quale prevedeva l’inasprimento delle pene contro i crimini e le discriminazioni contro omosessuali, transessuali, donne e disabili.[1] Tuttavia, nell’ottobre 2021 il DDL Zan è stato bocciato al Senato con 154 voti contrari, 131 favorevoli, più 2 astenuti.
Unioni civili: un breve cenno alla Legge Cirinnà
La Legge n. 76/2016, meglio nota come Legge Cirinnà[2], ha regolamentato per la prima volta nel nostro Paese l’unione tra persone dello stesso sesso, definendola come una “specifica formazione sociale” ai sensi degli artt. 2 e 3 della Costituzione.
La disciplina sulle unioni civili è regolata dai commi da 1 a 35 dell’unico articolo della Legge Cirinnà[3], la quale si occupa, inoltre, di regolare la convivenza definita “di fatto” (applicabile sia alle persone di sesso diverso, sia a quelle del medesimo sesso).
È stata quindi riconosciuta la possibilità, per due persone maggiorenni che appartengono allo stesso sesso, definite dalla legge le “parti”, di stipulare un’unione civile davanti ad un ufficiale di stato civile e alla presenza di almeno due testimoni.
Tale unione porta con sé diritti e doveri, quali, ad esempio, l’obbligo reciproco all’assistenza morale e materiale e alla coabitazione ed è interessante notare come, a differenza di quanto previsto per l’istituto giuridico del matrimonio, non si fa riferimento all’obbligo di fedeltà.
Dal punto di vista patrimoniale, se non viene deciso nulla al riguardo, si applica il regime della comunione dei beni.
Vengono anche disciplinate le cause impeditive, che comportano la nullità dell’unione, ossia: i) la sussistenza, per una delle parti, di un vincolo matrimoniale o di un’unione civile; ii) l’interdizione per infermità di mente di una delle parti; iii) l’esistenza, fra le parti, dei rapporti di parentela o di affinità di cui all’ articolo 87 comma 1 del c.c.; iv) la condanna definitiva di una delle parti per omicidio consumato o tentato nei confronti di chi sia coniugato o unito civilmente con l’altra parte.
Lo scioglimento dell’unione civile può avvenire per le seguenti cause:
- su domanda delle parti o di una sola di esse (la domanda potrà essere proposta solo decorsi 3 mesi dalla data della dichiarazione fatta all’ufficiale di stato civile di volersi sciogliere dal vincolo);
- a seguito ad un provvedimento estero di annullamento o scioglimento oppure matrimonio o unione civile contratti all’estero;
- morte o dichiarazione di morte presunta di una delle parti;
- condanna o sentenza penale di una parte
- sentenza di rettificazione di attribuzione di sesso.
L’adozione
La Legge Cirinnà consente l’adozione solo ed esclusivamente con le forme ed entro i limiti stabiliti dalle norme vigenti.
Non viene quindi riconosciuta la possibilità che il figlio minore di un partner instauri un rapporto di genitorialità sociale con l’altro a seguito di adozione (c.d. stepchild adoption).
Tuttavia, nonostante la normativa italiana fosse – e sia – lacunosa sul punto, già nel 2014, la giurisprudenza aveva esteso la stepchild adoption anche alle coppie omosessuali.L’art. 44 della L. n. 184/1983, in particolare, regola l’adozione “in casi particolari”, la quale ha aperto la strada alla possibilità di adozione del figlio del proprio partner, anche nel caso di coppie omosessuali.Secondo l’articolo sopracitato, i minori possono essere adottati:a. da persone unite al minore da un vincolo di parentela fino al sesto grado o da preesistente rapporto stabile e duraturo, quando il minore sia orfano di padre e di madre; b. dal coniuge nel caso in cui il minore sia figlio anche adottivo dell’altro coniuge; c. quando il minore sia in condizioni di disabilità e sia orfano di padre e di madre; d. quando vi sia la constatata impossibilità di affidamento preadottivo. Inoltre, “nei casi di cui alle lettere a), c), e d) del comma 1 l’adozione è consentita, oltre che ai coniugi, anche a chi non è coniugato.”.
Si è assistito, negli anni, all’evoluzione di un orientamento progressista della giurisprudenza in materia di adozioni da parte di coppie LGBTI, basato sulla salvaguardia della “continuità affettiva ed educativa della relazione tra adottante ed adottando” e sull’ “interesse del minore al riconoscimento di una relazione affettiva già instaurata e consolidata con chi se ne prende stabilmente cura”[4] che, tuttavia, non è stato affiancato da un’evoluzione normativa adeguata.
La stessa Corte Costituzionale, con le sentenze n. 32 e 33 del 9 marzo 2021, ha rilevato l’inadeguatezza dello strumento dell’adozione in casi particolari e ha invitato il legislatore a intervenire con la massima sollecitudine.
Risulta doveroso segnalare che, la Corte Costituzionale, con un comunicato datato 24 febbraio 2022[5], ha dichiarato incostituzionali l’art. 55 della L. n. 184/983 e l’art. 300, secondo comma, del c.c., che escludono, nelle adozioni di minori “in casi particolari”, l’esistenza di “rapporti civili” tra il bambino adottato e i parenti dell’adottante, proprio nella parte in cui prevedono che “l’adozione non induce alcun rapporto civile tra l’adottato e i parenti dell’adottante”.
Relazione annuale ILGA-Europe
L’ILGA-Europe ha recentemente pubblicato la relazione annuale relativa al periodo da gennaio a dicembre 2021[6], che fa il punto sullo stato dei diritti LGBTI in Europa e in Asia centrale, sottolineando sia le tendenze positive, sia le tendenze negative.
Per quanto riguarda l’Italia, è stato segnalato, oltre al mancato raggiungimento di un accordo tra le forze politiche circa il testo del DDL Zan, il perdurare delle discriminazioni e dei reati anti-LGBTI.
Ci sono, però, anche delle note in senso positivo, tra cui l’orientamento progressista della giurisprudenza segnalato precedentemente e l’adozione di un programma per affrontare la discriminazione legata all’orientamento sessuale e all’identità di genere e sostenere le vittime da parte del Dipartimento per le Pari Opportunità della Presidenza del Consiglio dei Ministri.
Ciononostante, secondo il Rainbow Europe, ossia lo strumento di benchmarking di ILGA-Europe, che classifica 49 Paesi in base all’impatto delle leggi e delle politiche di ciascuno Stato sulla vita delle persone LGBTI, l’Italia si posiziona solamente al trentacinquesimo posto.
Informazioni
[1] Per un approfondimento sul tema: Il DDL Zan spiegato facile – DirittoConsenso
[2] Per un approfondimento sul tema si rimanda all’articolo: Le unioni civili – DirittoConsenso
[3] Le unioni civili sono regolate altresì da tre decreti legislativi successivi emessi per attuare la Legge Cirinnà.
[4] Cassazione Civile n. 17100 del 26/06/2019
La riforma Cartabia del processo penale e del processo civile
La Riforma Cartabia si concretizza attraverso le leggi n. 134/2021 e 206/2021, contenenti delega al Governo per riformare il processo civile e penale
La Riforma Cartabia: la legge n. 134/2021 e la legge n. 206/2021
Il Parlamento ha approvato la Legge n. 134/2021, entrata in vigore il 19.10.2021, che prevede la “delega al Governo per l’efficienza del processo penale nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari” e la Legge n. 206/2021, entrata in vigore il 24.12.2021, contenente la “delega al Governo per l’efficienza del processo civile e per la revisione della disciplina degli strumenti di risoluzione alternativa delle controversie e misure urgenti di razionalizzazione dei procedimenti in materia di diritti delle persone e delle famiglie nonché in materia di esecuzione forzata.”
La Riforma Cartabia prende quindi forma attraverso due interventi normativi differenti; tuttavia, è possibile fare riferimento ad una riforma unica, il cui obiettivo è sostanzialmente quello di rendere la giustizia più efficiente e, soprattutto, di velocizzarne i tempi, sia in ambito civile, sia in ambito penale.
Ciò anche in ragione delle Country Specific Recommendations che la Commissione Europea, nel 2019 e 2020, ha indirizzato al nostro Paese, invitandolo ad aumentare l’efficienza del sistema giudiziario civile e a favorire la repressione della corruzione, anche attraverso una minore durata dei procedimenti penali.
Tra l’altro, entrambi questi interventi, sono condizioni necessarie per poter usufruire dei fondi europei legati al Piano Nazionale di Ripresa e Resilienza (PNRR)[1]; si tratta di due obiettivi essenziali concordati con la Commissione Europea, che concernono la riduzione dei tempi del processo del 25% nel settore penale e del 40% nel settore civile entro i prossimi cinque anni.
Occorre infatti ricordare che, purtroppo, l’Italia è stata destinataria di numerose condanne per violazione dell’art. 6 della CEDU[2] con riguardo alla durata dei processi.
Le due leggi che danno vita alla Riforma Cartabia presentano un duplice contenuto.
- 134/2021: si compone di due articoli, il primo contiene la delega al Governo per la riforma del processo penale ed il secondo contiene modifiche immediatamente precettive al Codice penale e al Codice di procedura penale;
- 206/2021: è composta, invece, da un unico articolo che contiene sia la delega al Governo per la riforma del processo civile, sia la modifica di alcune disposizioni del Codice civile e del Codice di procedura civile.
Cercheremo ora di analizzare brevemente le novità che dovranno essere introdotte sia in ambito penale, sia in ambito civile, in seguito alla Riforma Cartabia.
Riforma Cartabia del processo penale: la L. n. 134/2021
Come anticipato, la Legge n. 134/2021, si compone di due articoli.
Articolo 1
Il primo articolo, innanzitutto, si occupa di:
- promuovere la digitalizzazione del procedimento penale, che comporta senza dubbio una velocizzazione dei tempi. Si prevedono dei criteri ai quali interventi legislativi di adeguamento dovranno ispirarsi, quali, per esempio, i depositi telematici e modalità telematiche per le notificazioni e le comunicazioni oppure l’individuazione dei casi in cui, con il consenso delle parti, possa avvenire la partecipazione da remoto all’udienza e la valorizzazione di video e audio registrazioni. Si affida questa transizione ad un piano triennale per la transizione digitale dell’amministrazione della giustizia e si prevede la costituzione un Comitato tecnico-scientifico che funga da organismo di consulenza per le scelte riguardanti la digitalizzazione del processo;
- prevedere, in tema di notificazioni, oltre all’obbligo per gli imputati non detenuti, di indicare recapiti telefonici e telematici, la facoltà di dichiarare quale domicilio ai fini delle notificazioni anche un recapito telefonico. Inoltre, tutte le notificazioni all’imputato non detenuto, successive alla prima, dovranno eseguirsi mediante la consegna al difensore (anche a mezzo pec);
- ridurre i tempi delle indagini preliminari e filtrare quelli che sono i procedimenti effettivamente meritevoli di essere posti all’attenzione del giudice[3];
- introdurre un nuovo rimedio giurisdizionale. Colui che è sottoposto ad indagini (e gli altri soggetti interessati) potrà opporre opposizione innanzi al GIP avverso il decreto di perquisizione cui non consegua un provvedimento di sequestro;
- ridefinire il catalogo dei procedimenti con citazione diretta davanti al tribunale in composizione monocratica, data la capacità filtrante scarsa dell’udienza preliminare, e di modificare la regola di giudizio, prevedendo che il giudice pronunci sentenza di non luogo a procedere allorquando gli elementi acquisiti non consentano una ragionevole previsione di condanna.
Inoltre, in tema di riti alternativi, per quanto riguarda il patteggiamento, il Governo dovrà, in caso di patteggiamento allargato[4], consentire che l’accordo tra imputato e PM possa estendersi alle pene accessorie e alla loro durata. E, in ogni caso, prevedere che l’accordo possa estendersi alla confisca. Dovranno inoltre essere ridotti gli effetti extra penali della sentenza di patteggiamento.
Nel giudizio abbreviato dovranno essere modificate le condizioni per l’accoglimento della richiesta di giudizio abbreviato subordinata ad un’integrazione probatoria.
Infine, l’area del decreto penale di condanna risulta fortemente ampliata.
Per quanto attiene il giudizio dibattimentale, si prevede che i giudici fissino e comunichino alle parti un calendario delle udienze, che le parti illustrino le richieste di prova nei limiti strettamente necessari alla verifica della loro ammissibilità e che qualora vi sia un mutamento del giudice o di uno o più componenti del collegio, il giudice disponga, se la prova dichiarativa è stata verbalizzata tramite videoregistrazione, la riassunzione della medesima, solo se lo ritenga necessario sulla base di specifiche esigenze.
Nei giudizi attribuiti alla competenza del giudice monocratico, si prevede un’udienza predibattimentale in camera di consiglio, da celebrare innanzi ad un giudice diverso da quello davanti al quale dovrà eventualmente celebrarsi il dibattimento.
Ulteriori novità vengono introdotte dalla Riforma Cartabia in tema di impugnazioni:
- Appello. Si prevede che, a pena di inammissibilità, con l’atto di impugnazione, si depositi la dichiarazione o elezione di domicilio ai fini della notificazione dell’atto introduttivo del procedimento. Viene tra l’altro ridotto il novero delle sentenze appellabili e di ipotesi di rinnovazione dell’istruttoria dibattimentale e ampliato il numero di ipotesi di inammissibilità dell’appello.
- Cassazione. Il Governo dovrà introdurre la trattazione dei ricorsi davanti alla Cassazione con contraddittorio scritto senza l’intervento dei difensori, salva la possibile richiesta delle parti di discussione orale. Dovrà essere previsto anche un meccanismo di rinvio alla Corte di Cassazione per definire questioni sulla competenza per territorio. È altresì prevista l’introduzione di un ricorso straordinario alla Cassazione per dare esecuzione alle sentenze della Corte Edu.
Si prevede, inoltre, che il decreto di archiviazione e la sentenza di non luogo a procedere o assoluzione costituiranno titolo per l’emissione di un provvedimento di deindicizzazione, che garantisca il diritto all’oblio.
Viene rivisto il sistema sanzionatorio: per un approfondimento si rimanda all’art. 1 commi 14, 15, 1 e 17, L. 134/2021, oltre che potenziati gli istituti della non punibilità per tenuità del fatto (art. 1 comma 21, L. 134/2021) e della messa alla prova (art. 1 comma 22, L.134/2021) e l’estinzione delle contravvenzioni per condotte riparatorie o ripristinatorie (art. 1 comma 23, L.134/2021).
In tema di giustizia riparativa, concepita nell’interesse della vittima e dell’autore del reato, dovrà essere introdotta una disciplina organica, nel rispetto delle direttive europee.
Articolo 2
Nel secondo articolo sono invece contenute le disposizioni immediatamente precettive che riguardano sia il Codice penale sia il Codice di procedura penale.
Riguardo la disciplina della prescrizione dei reati, viene introdotto l’art. 161 bis c.p., nel quale si prevede che “il corso della prescrizione del reato cessa definitivamente con la pronuncia della sentenza di primo grado” e, se la sentenza viene annullata, con regressione del procedimento al primo grado o ad una fase anteriore, la prescrizione riprende a decorrere dalla pronuncia definitiva di annullamento. Inoltre, il decreto penale di condanna, non ha l’effetto definitivamente interruttivo del corso della prescrizione.
Parallelamente viene introdotto l’art. 344 bis c.p.p. il quale disciplina l’istituto dell’improcedibilità per superamento dei termini di durata massima del giudizio di impugnazione; i termini sono di due anni per quanto riguarda l’appello e di un anno per la Cassazione[5]. Tale declaratoria di improcedibilità non opera qualora sia l’imputato a richiedere la prosecuzione del processo.
I termini di cui sopra, che sono sospesi negli stessi casi in cui si prevede la sospensione della prescrizione, decorrono dal 90° giorno successivo alla scadenza del termine per il deposito della sentenza e possono, in alcuni casi previsti tassativamente, essere prorogati dal giudice (massimo tre anni per l’appello e un anno e sei mesi per la Cassazione).
Infine, quanto alle decisioni sugli effetti civili, in caso di improcedibilità ai sensi del 344 c.p.p., viene novellato l’art. 578 c.p.p., introducendo un nuovo comma 1 bis.
Una norma transitoria ha previsto che, l’improcedibilità di cui sopra, si applica ai soli procedimenti di impugnazione che hanno ad oggetto reati commessi a partire dal 01.01.2020; per i medesimi, se l’impugnazione è proposta entro il 31.12.2024, i termini previsti dall’art. 344 c.p.p. sono rispettivamente di tre anni per l’appello e di un anno e sei mesi per la Cassazione.
Si sono altresì modificate alcune disposizioni del Codice di procedura penale relative all’identificazione della persona sottoposta al procedimento penale.
Inoltre, con si integrano alcune norme processuali a tutela delle vittime di violenza domestica e di genere introdotte con il c.d. Codice rosso, estendendone la portata anche ai reati in forma tentata e alle vittime del tentato omicidio. Viene infine introdotta la previsione dell’arresto in flagranza di reato per il delitto di violazione dei provvedimenti di allontanamento dalla casa famigliare e del divieto di avvicinamento ai luoghi frequentati dalla persona offesa.
Dovranno essere istituiti due comitati scientifici presso il Ministero della Giustizia:
- il Comitato tecnico-scientifico per il monitoraggio sull’efficienza della giustizia penale, sulla ragionevole durata del procedimento e della statistica giudiziaria;
- il Comitato tecnico-scientifico per la digitalizzazione del processo.
Riforma Cartabia del processo civile: la L. n. 206/2021
Cercheremo ora di riassumere alcune delle principali novità previste dalla Legge n. 206/2021.
Per quanto riguarda gli istituti di risoluzione alternativa delle controversie, con il fine di incentivare la procedura della mediazione e della negoziazione assistita, si prevedono:
- un aumento degli incentivi fiscali,
- l’estensione del novero delle controversie per cui si prevede il ricorso obbligatorio alla mediazione, incentivando la partecipazione delle parti (anche telematicamente),
- lo svolgimento delle procedure da remoto,
- la revisione la disciplina della formazione e aggiornamento dei mediatori.
Ma veniamo ora alle modifiche da apportare al Codice di procedura civile in materia di processo civile di cognizione di primo grado davanti al tribunale in composizione monocratica.
In sintesi, si prevede che:
- venga assicurata la semplicità, effettività della tutela e la ragionevole durata del processo, modificando il contenuto dell’atto di citazione e della comparsa di risposta e valorizzando le fasi anteriori alla prima udienza;
- nel corso dell’udienza di comparizione, le parti compaiano personalmente e il giudice fissi la successiva data di udienza per l’assunzione dei mezzi istruttori entro 90 giorni;
- si apportino delle modifiche inerenti la fase decisoria, introducendo dei termini perentori acceleratori;
- venga modificato l’art. 185-bis c.p.c., prevedendo che il giudice possa formulare una proposta di conciliazione fino al momento in cui trattenga la causa in decisione;
- il procedimento previsto dagli 702-bis e ss. c.p.c., sia collocato nel libro II, denominato “procedimento semplificato di cognizione”, ne sia esteso l’ambito di applicazione a tutte le controversie di pronta soluzione o non presenti profili di complessità, sia disciplinato da termini e tempi prevedibili e ridotti rispetto a quelli del rito ordinario e si concluda con sentenza;
- nel corso del giudizio di primo grado e nelle controversie di competenza del tribunale che hanno ad oggetto diritti disponibili, il giudice possa pronunciare ordinanza provvisoriamente esecutiva di accoglimento o di rigetto, qualora la domanda dell’attore, oppure le difese del convenuto, appaiano manifestatamente infondate;
- si disciplinino i rapporti tra collegio e giudice monocratico.
Si chiede poi che vengano ridotti i casi in cui il tribunale giudica in composizione collegiale e che sia introdotto un nuovo regime di preclusioni e di fissazione dell’oggetto della causa, analogo a quello previsto per il procedimento di competenza del giudice monocratico.
Per ciò che attiene al giudice di pace, si prevede una sua uniformazione rispetto al procedimento dinnanzi al tribunale in composizione monocratica e la rideterminazione delle sue materie civili di competenza.
Nel riformare le impugnazioni, la delega prevede:
- per l’appello, il superamento del filtro in appello, prevedendo la possibilità di dichiarare manifestatamente infondata l’impugnazione che non ha possibilità di essere accolta e che i termini per le impugnazioni ex 325 c.p.c. decorrano dal momento in cui la sentenza è notificata anche per la parte che notifica. La modifica della disciplina dei provvedimenti sull’esecuzione provvisoria in appello (si veda art. 1 comma 8 lett. f) L. 206/2021). Si introduce la figura del consigliere istruttore, ai quali sono affidati i poteri di cui all’art. 1 comma 8 lett. l) L. 206/2021.Infine, limitare le ipotesi di rimessione della causa in primo grado ai casi di violazione del contraddittorio;
- per il giudizio di Cassazione: la riforma del filtro in Cassazione, prevedendo un procedimento accelerato per la definizione dei ricorsi improcedibili, inammissibili o manifestatamente infondati. Si introduce la possibilità per il giudice di merito, qualora debba decidere una questione di diritto, di sottoporla direttamente alla Corte nel caso in cui sussistano alcuni presupposti riportati dall’art. 1 comma 9 lett. g. L. 206/2021;
- si introduce una nuova ipotesi di revocazione della sentenza civile nel caso in cui, il contenuto di una sentenza passata in giudicato sia successivamente dichiarato contrario alla CEDU o ad uno dei suoi Protocolli, dalla Corte Europea dei diritti dell’uomo.
Passiamo ora in rassegna alcune delle novità principali, introdotte dalla Riforma Cartabia, che riguardano il processo di esecuzione.
Innanzitutto, si prevede l’abrogazione delle disposizioni che si riferiscono alla formula esecutiva, prevedendo che per valere come titolo per l’esecuzione forzata occorrerà la mera attestazione di conformità della copia dell’originale.
Con riguardo al pignoramento, si prevede la sospensione dei termini di efficacia del precetto che consenta al creditore, munito di titolo esecutivo e del precetto, di predisporre un’istanza e rivolgersi al presidente del Tribunale per la ricerca con modalità telematiche dei beni da pignorare e la riduzione dei termini previsti per la sostituzione del custode nominato in sede di pignoramento.
Si delega il Governo affinché acceleri la procedura di liberazione dell’immobile quando è occupato sine titulo o da soggetti diversi dal debitore.
Vengono introdotte regole specifiche riguardanti la vendita privata nel procedimento di espropriazione immobiliare e l’istituzione presso il Ministero della Giustizia della “Banca dati per le aste giudiziali”.
Sempre nell’esercizio del potere di delega, si prevede la riforma dei procedimenti in materia di diritti delle persone e della famiglia, oltre all’istituzione del nuovo Tribunale per le persone, i minorenni e per le famiglie.
In particolare, dovrà essere introdotto un rito unificato applicabile a tutti i procedimenti relativi allo stato delle persone, ai minorenni e alle famiglie.
Ulteriori principi riguardano la razionalizzazione della fase istruttoria e decisoria, oltre all’abbreviazione dei termini processuali.
Dovranno essere introdotte disposizioni relative all’attività del mediatore famigliare, alla disciplina di nomina del curatore speciale del minore, alla nomina del tutore del minore nel corso e all’esito dei procedimenti sulla responsabilità genitoriale.
Sempre in questo ambito si prevedono specifici criteri per regolamentare l’intervento dei servizi socioassistenziali e sanitari e le attività di controllo inerenti le situazioni che riguardano i minori.
Infine, dovrà essere introdotto un rito unico per i procedimenti su domanda congiunta di separazione personale dei coniugi, di divorzio e affidamento dei figli nati fuori dal matrimonio e predisporre una regolamentazione autonoma per il giudizio d’appello per i procedimenti in materia di persone, minorenni e famiglie.
Per quanto riguarda l’arbitrato, all’art. 1 comma 15 della L.206/2021, sono indicati i criteri e principi direttivi, per rafforzare le garanzie di imparzialità e indipendenza dell’istituto, disciplinare l’esecutività del lodo straniero, oltre che disciplinare la translatio iudicii tra giudizio arbitrale e ordinario e viceversa, e permettere agli arbitri rituali di emanare misure cautelari.
Altrettanti specifici criteri direttivi sono stati indicati in materia di consulenti tecnici, per i quali si prevede una revisione del percorso di iscrizione, nell’ottica di favorire anche i più giovani, la creazione di un albo nazionale unico, una formazione continua oltre che all’istituzione presso le corti d’appello di una commissione di verifica che controlli la regolarità delle nomine.
In tema di accertamento dello stato di cittadinanza italiana, sono modificati i criteri di individuazione del foro competente per il giudizio.
Infine, a partire dal comma 27, sono introdotte modifiche alla legislazione vigente, che dovranno essere applicate ai procedimenti instaurati a partire dal 180° giorno successivo all’entrata in vigore della legge.
Interviene quindi sul Codice civile, sul Codice di procedura civile e sulle relative disposizioni di attuazione introducendo modifiche destinate a divenire efficaci prima dell’esercizio della delega.
Conclusione
La ratio della Riforma Cartabia, nella quale confluiscono questi due interventi “gemelli”, è quindi sicuramente quella di ridurre i tempi del processo e implementare la digitalizzazione dei procedimenti, la quale viene cristallizzata per quanto concerne il procedimento civile e introdotta nel procedimento penale.
In entrambe le leggi sono contenuti principi e criteri direttivi con il fine di apporre delle modifiche alla disciplina relativa all’Ufficio per il processo (art. 1 comma 18, L. 206/2021 e art. 1 comma 26, L. 134/2021) e per farlo, si autorizza il Ministero della Giustizia all’assunzione, in totale, di 1.500 unità di personale con contratto a tempo indeterminato.
Il PNRR prevede di completare le procedure relative alle assunzioni entro i primi mesi del 2022.
Si stima, inoltre i decreti attuativi delle leggi delega possano essere adottati entro la fine dell’anno 2022 e che entro la fine dell’anno 2023 possano essere adottati gli eventuali ulteriori strumenti attuativi (decreti ministeriali e/o regolamenti).
Si ricorda infatti che la Riforma Cartabia del processo penale e del processo civile dovrà essere attuata entro un anno dall’entrata in vigore delle rispettive leggi n. 134/2021 e n. 206/2021.
Informazioni
Gatta G.L., Riforma della giustizia penale: contesto, obiettivi e linee di fondo della ‘legge Cartabia’, in Sistema Penale, 2021
Legge 27 settembre 2021, n. 134
Legge 26 novembre 2021, n. 206
[1] https://www.governo.it/sites/governo.it/files/PNRR.pdf
[2] Art. 6, comma 1, CEDU: “Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un tribunale indipendente e imparziale, costituito per legge, il quale sia chiamato a pronunciarsi sulle controversie sui suoi diritti e doveri di carattere civile o sulla fondatezza di ogni accusa penale formulata nei suoi confronti.”
[3] Si veda, per un approfondimento, l’art. 1 comma 9 della L. 134/2021.
[4] Per un approfondimento sul tema si rimanda a: http://www.dirittoconsenso.it/2021/06/01/patteggiamento-procedimento-penale-speciale/
[5] Questa regola non opera per i reati puniti con l’ergastolo.
Il caso Cambridge Analytica
Lo scandalo di Cambridge Analytica, legato all’utilizzo dei dati personali ottenuti illecitamente da Facebook
Che cos’è Cambridge Analytica e di cosa si occupava?
Cambridge Analytica era una filiale della società britannica SCL Group (Group Strategic Communication Laboratories) ed è stata fondata nel 2013 con l’obiettivo di occuparsi delle strategie di comunicazione politica per finalità elettorali e per “affrontare il vuoto nel mercato politico repubblicano negli Stati Uniti”[1].
La società SCL si occupa prevalentemente di big data[2] e di data mining[3].
Attraverso la raccolta di un enorme quantità di dati e informazioni è in grado di creare dei modelli comportamentali e psicologici che rispecchiano le diverse tipologie di utenti che navigano in rete.
Cambridge Analytica ha condotto numerose campagne elettorali in vari Paesi in via di sviluppo utilizzando nuove tecnologie e strategie; il suo primo incarico politico di spessore ha riguardato la campagna presidenziale del senatore repubblicano Ted Cruz.
Ma la vera svolta ci fu nel 2016, anno in cui si è occupata della campagna presidenziale di quello che sarebbe poi diventato il Presidente degli Stati Uniti d’America, Donald Trump.
Non solo: ha assunto un ruolo di spicco anche nella campagna della Brexit[4].
La società, a causa dello scandalo scoppiato nel marzo del 2018, ha poi dichiarato la chiusura il 2 maggio del 2018.
Quali sono le tecnologie utilizzate da Cambridge Analytica?
Il sistema che è stato utilizzato da Cambridge Analytica è il cosiddetto microtargeting psicografico. Quest’ultimo consiste nel valutare la personalità degli utenti online attraverso la raccolta delle impronte digitali che vengono lasciate da questi in Internet e successivamente di influenzarne le scelte e le opinioni mostrando agli stessi inserzioni pubblicitarie mirate e personalizzate.
Alla base vi è l’utilizzo di un algoritmo, un modello, elaborato dal ricercatore e psicologo Michal Kosinski. Kosinski, infatti, nel 2013 ha pubblicato un suo studio sulla rivista Pnas intitolato “Private traits and attributes are predictable from digital records of human behavior”[5], in cui ha mostrato la possibilità di predire le caratteristiche emotive e comportamentali di un utente, basandosi unicamente su un certo numero di “like” di Facebook.
Il ricercatore ha connesso i dati deviranti dai test di personalità con i “likes” del profilo social di un individuo, dimostrando che in media con 68 “mi piace”, è possibile predire il suo orientamento sessuale e la sua ideologia politica. Con circa 170 “mi piace” si possono invece essere determinare il grado di intelligenza, la religione, oppure l’uso di alcool e di sigarette.
Cambridge Analytica ha quindi sviluppato un sistema di microtargeting da offrire ai propri clienti: pensiamo ad esempio ad un politico che si rivolge alla società per curare la propria campagna elettorale.
La società, grazie alle informazioni in suo possesso, è in grado di influenzare le scelte di voto degli elettori indecisi, cosiddetti “influenzabili”, servendosi di annunci pubblicitari modulati sulla base delle loro personalità e messi in rete attraverso piattaforme come Facebook.
Quali sono i personaggi chiave del caso Cambridge Analytica?
I volti che si celano dietro alla società britannica sono vari. Primo fra tutti quello del fondatore e principale investitore Robert Mercer, il quale oltre ad aver collaborato, durante la campagna per la Brexit, con Nigel Farage[6], donando al suo partito servizi di analisi dei dati, ha sostenuto la campagna presidenziale di Trump.
Vi è poi Steve Bannon, un altro finanziatore che per diversi anni è stato il direttore di Breitbart New, un giornale digitale dell’estrema destra statunitense.
Infine, colui che ha convinto Mercer e Bannon a creare la società fu Alexander Nix, l’ex amministratore delegato[7] e leader dietro la nascita di Cambridge Analytica come mezzo per analizzare il comportamento e le abitudini degli elettori.
Altrettanto importante è invece il nome di colui che ha portato alla luce le attività di Cambridge Analytica e il suo legame con Facebook, ossia Christopher Wylie, ex dipendente e fonte principale delle inchieste del The Guardian, del New York Times e di Channel 4.
Breve ricostruzione dello scandalo
Nonostante vi fossero già da anni articoli giornalistici che denunciavano la raccolta illecita di dati personali da parte di Cambridge Analytica, lo scandalo è esploso solo nel marzo del 2018 in seguito alle dichiarazioni rese da Christopher Wylie.
Le sue rivelazioni vennero pubblicate sui quotidiani The Guardian e New York Times il 17 marzo 2018[8]:
“Abbiamo sfruttato Facebook per raccogliere i profili di milioni di persone. E abbiamo costruito modelli per sfruttare ciò che sapevamo su di loro e mirare ai loro demoni interiori. È su questa base che l’intera società è stata costruita” ha dichiarato l’ex dipendente.
Qual è stato il ruolo di Facebook nella vicenda?
Occorre innanzitutto tornare al 2014, anno in cui Aleksandr Kogan, un ricercatore dell’Università di Cambridge, sviluppò l’applicazione “this is your digital life”.
Quest’app permetteva agli utenti di ottenere profili psicologici e previsionali del proprio comportamento sottoponendosi a dei quiz. Per poterla utilizzare bisognava solamente registrarsi utilizzando il Facebook Login. Una volta effettuato il login tramite Facebook, si accettava che il sito ottenesse alcuni dei dati personali tra i quali: nome, cognome, email, sesso ed età. Ma non solo, anche i dati riguardanti la rete delle amicizie sulla piattaforma.
Attraverso tale applicazione, la società di Kogan, la Global Science Research (GSR), nel 2015 ha raccolto oltre 270.000 iscrizioni e dati di più di 50 milioni di utenti del social.
Ma se tutto ciò era lecito, perché si grida allo scandalo?
Come anticipato, furono le dichiarazioni di Wylie a fare scalpore.
I problemi sono sorti nel momento in cui Kogan condivise i dati degli utenti di Facebook, raccolti lecitamente, con Cambridge Analytica, violando di conseguenza i termini d’ uso di Facebook.
L’ex dipendente di Cambridge Analytica, ha tra l’altro sostenuto che Facebook fosse a conoscenza di tale violazione da addirittura due anni, senza intervenire in alcun modo.
In base al nuovo Regolamento europeo in materia di protezione dei dati personali 2016/679/UE[9], tale omissione avrebbe integrato una grave violazione della normativa in quanto non sarebbe stato rispettato uno degli obblighi previsti a carico del titolare del trattamento[10] (Facebook).
In particolare, il titolare, deve comunicare l’evento all’autorità di controllo, a meno che “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche“. Tale comunicazione deve avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza“.
Solo il 16 marzo 2018 Facebook sospese l’account della società e di Kogan, dichiarando di aver ricevuto delle segnalazioni sull’uso impropri di alcuni dati raccolti sulla piattaforma[11].
Il passaggio di informazioni dall’applicazione a Cambridge Analytica era avvenuto, tra l’altro, senza che gli utenti fossero stati informati circa l’utilizzo che si sarebbe fatto dei loro dati e senza che avessero prestato il proprio consenso.
La campagna elettorale di Donald Trump e i dati (provenienti da Facebook) in possesso di Cambridge Analytica
Nel 2016, come noto, il comitato di Donald Trump affidò a Cambridge Analytica la raccolta dei dati per la sua campagna presidenziale[12].
Le indagini condotte fino a oggi hanno accertato che nel corso della campagna elettorale di Trump furono utilizzati numerosi account fake e bot col fine di diffondere fake news e altri contenuti finalizzati a screditare Hillary Clinton, avversaria di Donald Trump.
In un video pubblicato da Channel 4, lo stesso Nix spiega a un potenziale cliente (in realtà un giornalista) come sia possibile incastrare un politico confezionando uno scandalo ad hoc[13].
La linea difensiva di Cambridge Analytica
Nonostante quanto emerso dall’inchiesta, il CEO di Cambridge Analytica ha continuato ad affermare che non possedeva né utilizzava dati personali illecitamente acquisiti da Facebook.
Tuttavia, tali dichiarazioni furono contraddette da Wylie, il quale ha mostrato un ampio dossier contenente prove come e-mail, fatture, contratti e trasferimenti bancari che rivelavano come oltre 50 milioni di dati, perlopiù appartenenti ad elettori statunitensi, erano stati estratti dalla piattaforma Facebook.
Tuttavia, malgrado le evidenze probatorie innumerevoli, la vicenda si è conclusa con una dichiarazione di Cambridge Analytica con la quale afferma che in ogni caso nessuno dei dati in suo possesso è stato utilizzato al fine di realizzare un microtargeting politico.
La linea difensiva di Facebook
Durante la sua testimonianza al Congresso statunitense del 10 aprile del 2018, Zuckerberg si è scusato per la violazione dei dati: “è stato un mio errore, e ne sono dispiaciuto. Io ho creato Facebook, io lo mando avanti, e sono io il responsabile di ciò che accade”.
Ha inoltre dichiarato che solo nel 2015 venne a sapere che le informazioni degli utenti erano state condivise da Kogan con Cambridge Analytica e aveva poi chiesto a quest’ultima di cancellarle. Solo grazie al The Guardian, al The New York Times e a Channel 4, scoprì che in realtà quei dati non erano mai stati eliminati.
Zuckerberg è stato poi chiamato a comparire anche davanti al Parlamento Europeo, il 22 maggio 2018. In quell’occasione ha nuovamente posto le sue scuse per non aver saputo gestire e arginare il fenomeno che ha portato alla violazione dei dati di milioni di utenti della piattaforma.
Sanzioni comminate a Facebook
Il Garante italiano per la protezione dei dati personali ha applicato a Facebook una sanzione di un milione di euro per gli illeciti compiuti nell’ambito del caso “Cambridge Analytica”[14].
Il Social Network ha invece patteggiato con la Federal Trade Commission americana: dovrà pagare due sanzioni, rispettivamente di cento milioni e cinque miliardi di dollari agli enti federali e impegnarsi a sottostare a normative molto più rigide riguardanti la protezione della privacy degli utenti, che saranno regolate da un comitato indipendente, con un funzionario nominato direttamente dalla FTC.
Conclusione
Tale inchiesta giornalistica ha sicuramente messo in luce come le potenzialità dei big data a livello economico e sociale siano enorme ma, anche, quali siano i rischi legati alla diffusione dei dati personali, per la privacy, per i diritti di libertà e per il futuro della democrazia.
È impossibile sapere con certezza quale sia stato l’impatto effettivo che l’attività svolta da Cambridge Analytica abbia avuto sulle elezioni americane e quale sia stata l’importanza del processo di targeting applicato agli utenti Facebook, tuttavia vi sono diversi temi su cui riflettere.
Il GDPR ha sicuramente oggi posto attenzione sulla responsabilizzazione del titolare del trattamento.
Gli obblighi posti a carico dei titolari sono infatti numerosi, a titolo esemplificativo e non esaustivo:
- trattare i dati in modo lecito, corretto e trasparente;
- acquisire il consenso dall’interessato nei casi previsti;
- divieto di trattamento dei dati ex art. 9[15]salvi i casi di esenzione;
- dare un’informazione corretta e trasparente agli interessati;
- garantire il rispetto dei diritti degli interessati;
- adottare le misure tecniche e organizzative adeguate per garantire la tutela dei diritti degli interessati e per garantire che i dati non siano smarriti, modificati, cancellati o trattati illecitamente;
- non usare, comunicare o diffondere i dati al di fuori del trattamento;
- tenere il registro di trattamenti;
- documentare le violazioni dei dati personali, comunicarle all’autorità di controllo e agli interessati nei casi previsti;
- cooperare con l’autorità di controllo quando richiesto;
- redigere le valutazioni di impatto nei casi previsti.
In particolare, Facebook sarebbe stata costretta ad indicare in maniera trasparente l’esistenza di finalità diverse, a richiedere forme di consensi differenziati, a mettere a disposizione tecniche specifiche di acquisizione del consenso ovvero di opposizione al trattamento automatizzato.
Sicuramente, l’applicazione delle nuove regole nell’ambito del trattamento dei dati personali avrebbe garantito una maggiore sicurezza a favore degli utenti iscritti a Facebook.
Informazioni
A. Azzalini, B. Scarpa, Analisi dei dati e data mining, Springer, 2004
OCSE, Exploring the economics of personal data: a Survey of Methodologies for Mesauring Monetary Value, in http://www.oecdilibrary.org/science-and-technology/exploring-the-economics-of-personal-data_5k486qtxldmq-en , p. 7.
Regolamento UE 2016/679
Su richiesta della Commissione europea e delle autorità di tutela dei consumatori, Facebook modifica le proprie condizioni d’uso e chiarisce (europa.eu) – https://ec.europa.eu/commission/presscorner/detail/it/IP_19_2048
ww.nytimes.com
[1] Così ha dichiarato Alexander Nix, ex CEO di Cambridge Analytica, in un’intervista.
[2] Per big data si intendono, secondo la descrizione fornita dall’OCSE, tutti i contenuti generati dagli utenti in Rete.
[3] Con questo termine si indicano le attività di elaborazione di grandi raccolte o flussi di dati con lo scopo di estrarre informazioni utili a chi detiene i dati stessi.
[4] Anche se la società nega un suo coinvolgimento, Arron Banks (uno dei leader del leave) ha dichiarato il contrario.
[5] “I tratti e gli attributi personali sono prevedibili attraverso le impronte digitali del comportamento umano”.
[6] Ex leader del United Kingdom Indipendence Party.
[7] Il 20 marzo 2018, la società ha annunciato di aver sospeso Nix.
[8] https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election
[9] Definitivamente applicabile in via diretta in tutti i Paesi Membri dell’Unione a partire dal 25 maggio 2018.
[10] Per un approfondimento sul tema si rimanda a http://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/ e a http://www.dirittoconsenso.it/2021/11/26/il-gdpr/
[11] Sospensione di Cambridge Analytica e SCL Group da Facebook | Meta (fb.com) – Link: https://about.fb.com/news/2018/03/suspending-cambridge-analytica/
[12] A metà del 2016 è infatti nato il “Progetto Alamo”, ideato da Brad Parscale con il fine di gestire la campagna elettorale di Donald Trump online.
[13] https://www.youtube.com/watch?v=mpbeOCKZFfQ
[14] Il Garante ha accertato che 57 italiani avevano scaricato l’app This is your digital life attraverso la funzione Facebook Login e che, in base alla possibilità consentita da questa funzione di condividere i dati degli “amici”, l’applicazione aveva poi acquisito i dati di ulteriori 214.077 utenti italiani.
[15] “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”
La frode informatica
La frode informatica è uno dei reati informatici che si realizza con maggiore frequenza: nel periodo tra il 1 agosto 2019 e il 31 luglio 2021 si è registrato un aumento percentuale pari al 10,7%
Che cos’è la frode informatica?
La frode informatica è punita dall’art. 640 – ter del nostro codice penale, il quale prevede la reclusione da 6 mesi a 3 anni e la multa da € 51 a € 1.032 per colui che “alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinente, procura a sé o ad altri un ingiusto profitto con altrui danno”.
È stato l’art. 10 dalla legge 547/1993 ad inserire tale reato all’interno del codice penale. Si tratta di un reato in cui l’elemento informatico rappresenta il mezzo attraverso il quale si compie la condotta incriminata dalla norma.
Come si realizza il reato di frode informatica?
Dal punto di vista oggettivo, l’elemento che costituisce l’evento del reato che ne realizza la consumazione è il conseguimento di un ingiusto profitto[1].
La frode informatica, tra l’altro, è un reato a forma libera: non è prevista la modalità attraverso la quale deve avvenire l’intervento non autorizzato su un sistema informatico. Tuttavia, deve consistere necessariamente in un’alterazione del funzionamento del sistema ovvero in un intervento non autorizzato su dati, programmi o informazioni.
Infine, l’elemento soggettivo richiesto è il dolo, che consiste nella consapevolezza e volontà dell’agente di porre in essere le condotte tipiche previste dalla fattispecie, procurando a sé o ad altri un ingiusto profitto con altrui danno.
Frode informatica e truffa: due fattispecie a confronto
Prima che la frode informatica fosse introdotta nel nostro codice penale, i giudici, accertando caso per caso se i dati che venivano manipolati fossero stati successivamente oggetto di un controllo umano, verificavano se poteva trattarsi di una truffa. Ciò in quanto, solo in questi casi, poteva dirsi che il risultato dell’elaborazione fosse la conseguenza dell’aver indotto una persona in errore.
Era necessario questo passaggio logico perché l’articolo dedicato alla truffa recita: «Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito».
Si comprende dunque, che l’introduzione del reato di frode informatica si è resa necessaria, in quanto risultava difficoltoso attrarre nella sfera di punibilità della truffa tutte quelle ipotesi in cui vi fosse la manomissione di un elaboratore e non l’induzione in errore di una persona fisica.
Come emerge dalla lettura della norma, affinché un soggetto sia passabile di sanzione, occorre che induca “taluno” in errore, attraverso l’inganno e procurando a sé o ad altri un ingiusto profitto con altrui danno.
Considerare il computer come indotto in errore, al pari di un individuo, risulterebbe frutto di una forzatura.
L’art. 640 – ter ha quindi riproposto lo stesso evento tipico della truffa, ossia l’aggressione al patrimonio della vittima, tuttavia, non ha introdotto il riferimento all’induzione in errore della vittima, il quale presuppone un rapporto interpersonale fra chi agisce e la vittima, impossibile da riprodursi nel caso in cui l’atto di disposizione patrimoniale dipenda da un’operazione automatica.
Come confermato dalla Cassazione infatti: “il delitto di frode informatica di cui all’art. 640-ter c.p. ha la medesima struttura ed i medesimi elementi costitutivi della truffa, dalla quale si differenzia solamente perché l’attività fraudolenta dell’agente investe non la persona, di cui difetta l’induzione in errore, bensì il sistema informatico di pertinenza di quest’ultima attraverso la sua manipolazione, onde, come la truffa, si consuma nel momento e nel luogo in cui l’agente consegue l’ingiusto profitto con correlativo danno patrimoniale altrui.”[2] .
Le modalità della condotta fraudolenta
Tale figura di reato prevede due differenti ipotesi di condotta fraudolenta:
- la prima, si realizza «alterando in qualsiasi modo il funzionamento di un sistema informatico[3] o telematico[4].»
Secondo la Cassazione “per alterazione del funzionamento di un sistema informatico o telematico deve intendersi ogni attività o omissione che, attraverso la manipolazione dei dati informatici, incida sul regolare svolgimento del processo di elaborazione e/o trasmissione dei dati e, quindi, sia sull’hardware che sul software.”[5].
Tale alterazione può essere ottenuta:
- intervenendo sulla componente logica del computer, cioè su programmi, dati e informazioni;
- intervenendo sulla componente fisica, ossia sull’hardware, cioè sulle parti elettroniche, meccaniche e magnetiche che ne consentono il funzionamento.
- la seconda, si realizza «intervenendo senza diritto su dati, informazioni o programmi».
Per “intervento senza diritto” s’intende ogni azione in grado di produrre una modifica ai regolari processi svolti dal computer, che avviene senza il consenso del titolare dei dati, informazioni e programmi, oltre che con una modalità di azione non consentita dalla legge.
L’intervento senza diritto può, quindi, avvenire:
- sui dati informatici, ossia qualunque presentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire ad un sistema computerizzato di svolgere una funzione[6].
- suiprogrammi, cioè successioni di istruzioni per l’elaboratore espresse in forma di dati.
- sulle informazioni, concetto che risulta problematico da definire.
Il loro richiamo permette di fare venire in rilievo anche una condotta fraudolenta che consiste, per esempio, nella manipolazione di informazioni contenute in un documento cartaceo, tale da condizionare (in un secondo momento) il risultato di un processo di elaborazione dati. Questo in quanto quelle informazioni, nel momento in cui saranno inserite nel pc, verranno tradotte in dati. Possiamo definire informazioni, quelle espresse in un linguaggio alfanumerico comprensibile all’uomo, che non siano ancora state convertite in dati. Occorre tuttavia fare una precisazione: tali informazioni devono essere pertinenti ad un sistema.
Per essere imputabili del reato di frode informatica, quindi, occorre intervenire su dati, informazioni e programmi e modificarli.
Ma cosa accade se la frode si realizza inserendo dei dati che siano nuovi e falsi oppure altrui ma non modificati?
- Per quanto riguarda i dati nuovi, affinché si intenda realizzata la condotta di cui all’art. 640 – ter c.p., occorre spostare l’attenzione ad un momento successivo rispetto a quello in cui avviene l’effettivo inserimento del dato, ossia quello in cui il dato nuovo, venendosi ad aggiungere a quelli già esistenti nella memoria del pc, li modifica.
- Per ciò che attiene ai dati altrui, pensiamo al sistema di home banking. Colui che inserisce nel portale le credenziali altrui, di cui è illegittimamente in possesso, avvia un processo di elaborazione dati che non presenta nulla di irregolare: i dati sono corretti e non sono stati modificati. Tuttavia, colui che li ha inseriti non è legittimato a effettuare delle transizioni finanziarie e nel momento in cui effettua un’operazione economica i dati vengono modificati (ad esempio, la situazione del conto). Anche in questo caso, quindi, è necessario spostare l’attenzione ad un momento successivo rispetto a quando il dato viene introdotto per poter ricomprendere tali comportamenti all’interno della frode.
Circostanze aggravanti
Le circostanze aggravanti previste per il reato di frode informatica sono indicate al 2° e 3° comma dell’art. 640 – ter.
La pena è della reclusione da 1 a 5 anni e della multa da € 309 a € 1.549 qualora la frode informatica sia commessa:
- abusando della qualità di operatore del sistema[7].L’aumento di pena per un operatore del sistema è giustificato dai maggiori poteri a lui attribuiti in quanto, a differenza di un utente qualsiasi, può con maggiore facilità intervenire su dati, programmi ed informazioni, i quali sono ancora più vulnerabili.
- a danno dello Stato o di altro ente pubblico o col pretesto di fare esonerare taluno dal servizio militare.
La pena è della reclusione da 2 a 6 anni e della multa da € 600 a € 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.
I fenomeni di indebita sostituzione nei processi di identificazione dell’utente informatico possono avvenire tramite username e password, smartcard o informazioni biometriche.
Ma quando si parla di identità digitale, a cosa ci si riferisce?
La nozione più condivisa di identità digitale si concentra sull’insieme delle caratteristiche essenziali e uniche di un soggetto informatico ovvero la rappresentazione virtuale dell’identità reale.
Merita un richiamo l’art. 30-bis del decreto legislativo n. 141/2010 in materia di credito al consumo, il quale, per furto d’identità intende: a) l’impersonificazione totale: occultamento totale della propria identità mediante l’utilizzo indebito di dati relativi all’identità e al reddito di un altro soggetto. L’impersonificazione può riguardare l’utilizzo indebito di dati riferibili sia ad un soggetto in vita sia ad un soggetto deceduto; b) l’impersonificazione parziale: occultamento parziale della propria identità mediante l’impiego, in forma combinata, di dati relativi alla propria persona e l’utilizzo indebito di dati relativi ad un altro soggetto, nell’ambito di quelli di cui alla lettera a).
Reati di phishing e smishing
Il phishing consiste nell’invio casuale di e-mail ad un elevato numero di destinatari che, nel messaggio, riproducono la grafica e i loghi ufficiali di siti bancari, postali, oppure di noti siti e-commerce e captano dati personali della vittima, che, convinta di accedere al sito o al proprio conto, inserisce i propri dati, la password o i numeri di carte di credito necessari per autorizzare i pagamenti.
Talvolta, i dati possono venire captati tramite l’utilizzo di software autoinstallanti che sono capaci di registrare e trasmettere clandestinamente i dati mentre l’utente usa il proprio computer.
Le e-mail di phishing presentano spesso le seguenti caratteristiche, che le rendono facilmente individuabili:
- indirizzo del mittente con un dominio differente rispetto ai classici .it o .com;
- oggetto del messaggio generico e poco chiaro;
- errori di battitura o di grammatica contenuti nel testo del messaggio;
- avvisi di urgenza rispetto alla scadenza della password;
- contengono link fasulli.
Lo smishing (dalla combinazione delle parole SMS e phishing) è, invece, il tentativo da di acquisire informazioni personali, finanziarie o di sicurezza tramite SMS.
Conclusione e piccoli accorgimenti per evitare di essere frodati
Nel periodo tra il 1 agosto 2019 e il 31 luglio 2021, così come emerge dal Dossier Viminale, pubblicato a seguito della riunione del Comitato nazionale per l’ordine e la sicurezza pubblica (Cnosp) del 15 agosto, si è registrato un aumento percentuale pari al 10,7% dei reati di frode informatica[8].
Gli istituti bancari, per combattere le frodi e per rendere più sicuro l’utilizzo delle carte di credito, hanno previsto alcuni servizi utili per i possessori di carte di credito, come:
- l’invio di SMS che indicano l’importo e il negozio presso cui si sta effettuando un acquisto;
- la previsione di una password da utilizzare ogni volta che si deve effettuare un acquisto on line;
- la creazione di una carta virtuale “usa e getta” che genera un IBAN e un codice di sicurezza temporanei validi solo per quell’acquisto.
Degli accorgimenti necessari, che possono scongiurare il pericolo di essere frodati online, possono essere:
- non effettuare acquisti suggeriti da e-mail non richieste;
- digitare direttamente nell’apposita barra il sito che si intende visitare;
- controllare le e-mail sospette facendo attenzione all’indirizzo, al testo e all’oggetto dell’email;
- non salvare password o username sul computer o su dispositivi online;
- non rispondere i messaggi contenuti nello Spam;
- fare acquisti online utilizzando carte di credito ricaricabili.
Informazioni
Cybercrime, Alberto Cadoppi, Stefano Canestrari, Adelmo Manna, Michele Papa, UTET Giuridica, 2019;
Codice penale;
Diritto dell’informatica, Francesco Delfini, Giusella Finocchiaro, UTET Giuridica, 2014;
Diritto penale. Parte speciale Vol. 2, I delitti contro il patrimonio, Giovanni Fiandaca ed Enzo Musco, Zanichelli, 2021.
https://www.interno.gov.it/sites/default/files/2021-08/sicurezza_e_ordine_pubblico_14.08.2021.pdf
[1] È opinione consolidata in dottrina e in giurisprudenza che per ingiusto profitto si intenda una qualunque utilità o vantaggio, sia di natura patrimoniale sia di natura non patrimoniale.
[2] Cassazione penale, Sez. II, 05.02.2020, n. 10354.
[3] Così come definito dalla Convenzione di Budapest del 2001: “indica qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica di dati”.
[4] Si riferisce ad un sistema informatico connesso ad una rete di trasmissione dati.
[5] Cassazione penale, Sez. II, 06.03.2013, n. 13475.
[6] Definizione contenuta nella Convenzione di Budapest del 2001.
[7] Non esiste una qualifica tecnica univoca di “operatore di sistema”, né è data una definizione legislativa o normativa. La Corte di Cassazione, nel 2009, ha definito operatore del sistema “colui il quale in qualità di operatore, analista o programmatore deve necessariamente avvalersi del sistema informatico per espletare le mansioni del suo ufficio e lo utilizza per una finalità diversa da quella legittimante”.
[8] Per un approfondimento sulla delinquenza minorile, anche con riguardo ai crimini informatici, come la frode informatica: http://www.dirittoconsenso.it/2021/04/06/delinquenza-minorile-e-covid-19/