L'informatica giuridica e il diritto dell'informatica: GDPR e reati

L'informatica giuridica e il diritto dell'informatica

L'informatica giuridica (o giurimetria) nasce nel 1949, quando Norbert Wiener, padre fondatore della cibernetica, accennò all'applicazione della teoria dei servomeccanismi al funzionamento del diritto. Un giurista americano, Lee Loevinger, sviluppò tale intuizione teorizzando lo sfruttamento dei vantaggi offerti dalle tecniche elettroniche per studiare e risolvere i problemi giuridici. Il 30 aprile 1980, il Consiglio d'Europa, con l'approvazione della Raccomandazione «Informatica e diritto», ha promosso l'insegnamento, la ricerca e la diffusione in materia d'informatica e diritto. Arrivano i primi tentativi di applicare norme giuridiche a casi concreti, specie nel settore amministrativo, con procedure automatizzate. Il diritto dell'informatica è quindi un complesso di leggi per disciplinare l'uso del computer come studio dei problemi giuridici che l'uso dell'informatica solleva.

Principi fondanti il GDPR

Le basi giuridiche del Regolamento UE 2016/679

1. Principio di lealtà, correttezza e trasparenza: "i dati personali sono trattati in modo lecito (secondo la base giuridica), corretto (secondo le norme etiche) e trasparente (spiegabile) nei confronti dell'interessato".
2. Principio di limitazione della finalità: "i dati devono essere raccolti per le finalità determinate, esplicite e legittime, e successivamente trattati in modo che non siano incompatibili con le finalità; un ulteriore trattamento dei dati personali ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storia o a fini statistici non è consentito".
3. Principio di minimizzazione: "i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati". (privacy by design)
4. Principio di esattezza, integrità e riservatezza: "i dati personali devono essere esatti e, se necessario, aggiornati". Sono necessarie adeguate misure di sicurezza, come la protezione da trattamenti non autorizzati o illeciti, oppure dalla perdita, distruzione, o danno accidentale, tramite misure tecniche ed organizzative adeguate".
5. Principio di limitazione della conservazione: ": tutti i dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati." Esempio: log. Eccezioni: ricerca scientifica.
6. Principio del consenso: "Il consenso è qualsiasi manifestazione di volontà libera, specifica e informata e inequivocabile dell'interessato". Il consenso deve essere esplicito per particolari categorie di dati (sanità, ricerca), trasferimento verso paesi terzi o processi decisionali automatizzati.

GDPR: gli attori

1. Il titolare del trattamento, responsabile della:
   1. correttezza e trasparenza del trattamento dei dati;
   2. rispetto delle finalità;
   3. riservatezza durante il trattamento.
2. Il responsabile del trattamento, che non è affatto una figura interna all'organizzazione ma è una persona fisica o giuridica che, nominato dopo accordo, tratta i dati personali degli interessati per conto del titolare all'esterno dell'organizzazione.
3. Il DPO, una figura specializzata nella protezione dei dati personali attraverso l'applicazione delle misure tecniche ed organizzative. Il ruolo del DPO è di tutelare i dati personali, indipendentemente dagli interessi del titolare del trattamento.
4. L'incaricato, una persona fisica che, dopo nomina, all'interno dell'Organizzazione, opera trattando i dati personali degli interessati.
5. L'amministratore di sistema, una figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Anche bdd, reti, apparati di sicurezza, sw complessi.

Tipologie di dati

1. Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile anche indirettamente, oppure informazioni (es. codice fiscale, impronta digitale, traffico telefonico, immagine, voce) riguardanti una persona la cui identità può comunque essere accertata mediante informazioni supplementari. Per la Convenzione Europea dei Diritti dell'Uomo, anche le informazioni riguardanti la vita professionale e pubblica di una persona sono considerate dati personali;
2. Dato identificativo: informazione di identificazione personale (Personally identifiable information), che consente l'identificazione diretta dell'interessato (nome, indirizzo, indirizzo IP, patente, id, nick). L'articolo 9 del GDPR sancisce un generale divieto di trattare i dati che rivelino l'origine razziale, opinioni politiche, religiose, sessuali, dati penali, genetici ...

La criminalità transnazionale

Nella Convenzione contro la criminalità organizzata transnazionale (CATOC) del 2000, le Nazioni Unite hanno stabilito che un reato è di natura transnazionale se è commesso:

• in più di uno Stato;
• in uno Stato ma parte della sua preparazione o direzione o controllo ha luogo in un altro Stato;
• in uno Stato ma coinvolge un gruppo criminale organizzato che s'impegna in attività criminali in più di uno Stato;
• in uno Stato ma produce effetti sostanziali in un altro Stato.

Dal punto di vista informatico, vengono attaccati i sistemi di informazione, cioè gruppi di apparecchiature collegate che trattano in modo automatico i dati secondo un programma, nonché i dati immagazzinati da tali apparecchiature ai fini della loro gestione; quindi anche sistemi di cloud computing, che consentono l'amministrazione di un insieme elastico e scalabile di risorse di calcolo condivisibili e l'ampio accesso remoto a quest'ultimo, anche quando tali risorse sono distribuite in varie ubicazioni. Esistono cloud privati, di comunità, pubblici e ibridi. I modelli di servizio del cloud computing comprendono, tra gli altri, il servizio a livello di infrastruttura (laaS), il servizio a livello di piattaforma (PaaS), il servizio a livello di software (Saas) e il servizio a livello di rete (NaaS). Esiste un diritto di evitare radicalmente la sorveglianza globale? Secondo la relazione di Rodotà del 2004, il diritto all'uscita dal sistema è una possibilità di fuga dalle modalità di trattamento dei dati nell'era moderna. Tale diritto impedisce però l'utilizzo di servizi gratuiti in cambio di dati personali. Qui impatta molto l'intervento della privacy by design.

La sostituzione di persona come strumento per ingannare il sistema

La tecnologia rende possibile aprire profili falsi o di altre persone. Le implicazioni giuridiche sono evidenti. Per il CP, chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino a un anno. Responsabilità degli ISP: la Direttiva 2000/31 introduce il principio di assenza dell'obbligo generale di sorveglianza per gli ISP sui contenuti che conserva, diffonde o trasmette; non sono pertanto tenuti alla ricerca attiva di attività illecite; se venissero però a conoscenza di attività illecite, devono informare senza indugio le autorità, e se le autorità richiedono di fornire informazioni o di disabilitare l'accesso ad alcuni contenuti, i provider devono agire senza indugio. Gli stati sono liberi di introdurre misure ulteriori.

Reati informatici

In caso di violazione di sistema tramite privilege escalation, è possibile applicare la norma italiana, che parla di "accesso abusivo a sistema informatico". La pena va da 1 a 3 anni ma in caso di circostanze aggravanti (fatto commesso da pubblico ufficiale, armi ... ) potrebbe salire fino a 8 anni. Altri reati: Installazione di rootkit "installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche". Copia di password: "possesso illecito di codici di accesso a sistema informatico". Art 6 CP: chiunque commette un reato nel territorio dello Stato è punito secondo la legge italiana. Il reato si considera commesso nel territorio dello Stato, quando l'azione o l'omissione che lo costituisce è ivi avvenuta in tutto o in parte, oppure quando si è ivi verificato l'evento che è la conseguenza dell'azione od omissione.

I reati d'odio

I reati d'odio attaccano le caratteristiche protette di una persona, cioè le caratteristiche che creano un'identità comune, tipica del gruppo e riflettono un aspetto profondo e fondamentale dell'identità di una persona. Lingua, genere, o etnia. Spesso sono immutabili, nel senso che non possono essere modificate per decisione dell'interessato. I reati d'odio possono essere diretti anche contro proprietà associate a un particolare gruppo e colpite in ragione di tale associazione (es. graffiti nazisti su una sinagoga). I reati d'odio possono variare dal vandalismo sino a giungere all'omicidio. Anche i discorsi d'odio (hate speech) rappresentano una grave preoccupazione. L'hate speech va inteso in un senso ampio, in quanto include qualsiasi elemento in grado di configurare una comunicazione espressiva, anche non verbale, che veicoli un messaggio d'odio nei confronti di un singolo o di un gruppo specifico (anche propaganda). Delimitare i contorni dell'hate speech diviene più complicato quando l'ambito di esplorazione è quello sconfinato di Internet. La diffusione di hate speech è agevolata dalle fake news e dalla loro erronea percezione della realtà. Nel caso dei reati di opinione politica la censura penale delle opinioni avviene solo quando esse causano immediatamente un'azione discriminatoria, ossia quando costituiscono pericoli concreti per la convivenza. L'Ufficio Nazionale Antidiscriminazioni Razziali ha istituito nel 2015 un software che si pone l'obiettivo di ricercare, monitorare e analizzare quotidianamente, post, video, articoli, blog e commenti di forum e social media che possono fomentare odio e intolleranza. I dati UNAR indicano in profughi, migranti e rom le minoranze più esposte al discorso di odio online.

Attacco DOS

Un attacco DOS mira a negare l'accesso ai servizi della macchina remota che prendono di mira. Tali attacchi impattano sui sistemi cluster Supervisory Control And Data Acquisition, impiegati per gestire le infrastrutture nazionali. Gli attacchi DOS sono puniti nel CP con la reclusione da sei mesi a quattro anni". Bene giuridico: la sicurezza del sistema informatico, in particolar modo nella sua capacità di comunicare con altri sistemi.