Articoli

Conservazione dei dati e sicurezza nazionale: nuove regole europee e criteri operativi

Con la sentenza del 6 ottobre 2020, la Corte di Giustizia dell’Unione Europea ha sancito il divieto di conservazione in modo generalizzato e indifferenziato dei dati personali da parte dei fornitori di servizi di comunicazioni elettroniche.

Tuttavia, la Corte di Giustizia ha previsto che in particolari situazioni in cui lo Stato membro si trovi ad affrontare una minaccia grave per la sicurezza nazionale – minaccia che si dimostri essere “autentica, presente o prevedibile” – detto Stato ha la possibilità di derogare l’obbligo di assicurare la riservatezza dei dati afferenti le comunicazioni elettroniche richiedendo per mezzo di misure legislative la conservazione generale e indiscriminata di tali dati a patto che questa archiviazione sia limitata al tempo strettamente necessario.

Inoltre, anche nell’ipotesi di lotta contro le gravi forme di criminalità e di prevenzione da gravi minacce alla sicurezza pubblica, uno Stato membro può prevedere la conservazione mirata dei dati a patto che la predetta sia celere.

È però necessario che detta interferenza con i diritti fondamentali sia accompagnata da garanzie effettive e sia valutata da un Tribunale o da un’Autorità amministrativa indipendente. Allo stesso modo, a uno Stato membro è permesso di svolgere una conservazione generalizzata e indiscriminata degli indirizzi IP attribuiti alla fonte di una comunicazione in cui il periodo di conservazione sia limitato a quanto strettamente necessario, o anche di effettuare una conservazione generale e indifferenziata dei dati relativi all’identità degli utenti di mezzi di comunicazione elettronica, e in quest’ultimo caso la conservazione non è soggetta ad un termine specifico.

Conservazione dei dati e sicurezza nazionale: orientamento giurisprudenziale

Negli ultimi anni la Corte di Giustizia si è pronunciata in numerose sentenze afferenti alla conservazione e all’accesso ai dati personali nel settore delle comunicazioni elettroniche.
Già l’8 aprile del 2014, la Corte ha dichiarato invalida la Direttiva 2006/24/CE del Parlamento europeo e del Consiglio relativa alla conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

Detta dichiarazione di invalidità si basava sul fatto che l’interferenza con i diritti al rispetto della vita privata e alla protezione dei dati personali – riconosciuti dalla Carta dei Diritti Fondamentali dell’Unione Europea – che risultava dall’obbligo generale di conservare i dati relativi al traffico e i dati relativi all’ubicazione stabiliti da tale Direttiva, non si limitava a quanto risultava essere strettamente necessario.

Ed ancora, con la sentenza del 21 Dicembre 2016, la Corte ha interpretato l’articolo 15, comma 1, della Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della privacy nel settore delle comunicazioni elettroniche – la cd. Direttiva relativa alla privacy e alle comunicazioni elettroniche – successivamente modificata dalla Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio.

Il predetto articolo autorizza gli Stati membri per motivi di protezione della sicurezza nazionale ad adottare misure legislative volte a limitare la portata di taluni diritti e obblighi previsti dalla Direttiva.

Infine, nella sentenza del 2 ottobre 2018, la Corte ha nuovamente interpretato l’articolo 15, comma 1, della Direttiva sopracitata in un caso riguardante l’accesso delle Autorità pubbliche ai dati concernenti l’identità civile degli utenti dei mezzi di comunicazione elettronica.

Grazie alla giurisprudenza risultante dalle summenzionate pronunce della Corte di Giustizia è, quindi, lecito affermare che la predetta Corte ha statuito che gli Stati membri non possono imporre ai fornitori di servizi di comunicazione elettronica di conservare né in modo generale né indiscriminato i dati afferenti il traffico degli utenti e i dati relativi all’ubicazione.

Questo orientamento giurisprudenziale ha pertanto determinato una notevole preoccupazione in alcuni Stati membri in quanto si sono sentiti privati di uno strumento necessario per salvaguardare la sicurezza nazionale e per combattere le gravi forme di criminalità.

Conclusioni

Dunque, con la sentenza del 6 ottobre 2020 la Corte di Giustizia ha stabilito che la sicurezza nazionale non legittima la conservazione dei dati di traffico degli utenti in modo indiscriminato da parte degli operatori dei servizi di comunicazione. Tuttavia, viene ammessa una deroga al predetto principio ossia nell’ ipotesi in cui il diritto alla sicurezza sia gravemente minacciato, è possibile ricorrere a misure invasive.

Dunque, il Garante per la Protezione dei Dati Personali si è espresso sulla summenzionata sentenza spiegando che detta decisione, che si inserisce in un percorso iniziato già nel 2014 e continuato nel 2016 con le due sentenze conferma la necessità di “evitare che una dilatazione della nozione di sicurezza nazionale finisca per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati”.

 

Fonte: CyberSecurity360

Coronavirus, il malware arriva nelle mail e su siti: l’allarme

Si sta diffondendo velocemente nel mondo una campagna di mail con malware Emotet che sfrutta la paura di massa sul Coronavirus. I primi rapporti (Ibm, Kaspersky, Mimecast, KnowBe) ne segnalano la presenza in Giappone e, da qualche ora, anche nel Regno Unito e negli Stati Uniti.

Al contempo, dice l’informatico forense Paolo dal Checco, “riscontro la nascita di molti siti che dicono di avere informazioni sul Coronavirus ma contengono pericolosi malware”.

Emotet via mail sfrutta il Coronavirus

Le mail si presentano con un mittente istituzionale, di un’organizzazione pubblica sulla salute; dice di contenere informazioni utili sul Coronavirus: la sua mappa di infezione, consigli su come non ammalarsi, ecc. Rinvia a un allegato, testuale o video, per avere tutte le informazioni ma qui si annida il malware Emotet. I formati dell’allegato finora riscontrati sono file pdf, mp4 e docx. Come sempre accade con Emotet, il malware viene lanciato all’apertura e prova a installarsi se l’utente ha attivato le macro sul proprio programma associato.

Non è ancora chiaro se gli attuali antivirus sono in grado di bloccare la minaccia. Al momento non risulterebbero esempi di questa campagna in Italia, “ma credo sia solo questione di tempo perché attacchi anche l’Italia – dice Dal Checco. La minaccia si sta infatti avvicinando, sull’onda della crescente psicosi del Coronavirus, colpendo prima i Paesi più vicini alla Cina e poi via via altri”.

Insomma, laddove arriva il virus biologico – ora anche in Italia, come noto – arriva poi anche quello informatico, perché questo sfrutta la paura delle persone, che le può spingere a cliccare in modo frettoloso su allegati arrivati per mail.

Che danni fa Emotet?

Emotet è un banking trojan modulare e mutevole che si è guadagnato di recente il podio tra i malware più aggressivi e pericolosi degli ultimi anni. Cerca di rubare le credenziali bancarie presenti in memoria sul pc, le password e poi di trasformare il computer vittima in uno strumento per diffondersi ulteriormente, mandando mail simili ad altri destinatari (anche trovati nella rubrica dell’utente).

I consigli contro il malware che sfrutta il Coronavirus

Il consiglio per difendersi, oltre a quello di avere un antivirus aggiornato, è non aprire né cliccare su allegati presenti in email inattese, soprattutto se provenienti da mittenti con cui non avevamo mai avuto un rapporto; non importa se la mail si presenta con un mittente autorevole, di un’azienda nota o di un’istituzione. Anche il testo può essere confezionato, ormai, per essere molto credibile.

Se si ha qualche dubbio sull’autenticità di un allegato e lo si vuole comunque aprire, è possibile farlo in modo sicuro su programmi di visualizzazione documenti online come ViewDocsOnline o farli analizzare ad antivirus online come VirusTotal o Hybrid-Analysis.

Una minaccia multiforme

“Il fine di chi produce malware è incentivare la loro diffusione, per poter fruire dei vantaggi dei PC infettati, in termini economici ma anche tecnici: ogni computer compromesso può infatti essere utilizzato per sferrare attacchi e quindi, indirettamente, portare ulteriori benefici”, commenta dal Checco.

“In questo periodo stanno circolando diverse email che invitano ignare vittime a cliccare su link o aprire allegati, per fortuna gli antivirus spesso riescono a bloccare gli allegati e rendere inoffensivi i link, ma non va sottovalutato un altro fenomeno. Ogni giorno, da quando è scoppiata l’allerta per il Coronavirus, vengono registrati centinaia di domini contenenti la parola coronavirus. Dal monitoraggio che ho in corso proprio su questo fenomeno, posso categorizzare questi domini in siti informativi, siti che vendono mascherine, siti che propongono fantomatiche cure ma anche siti che possono potenzialmente distribuire malware e ai quali è necessario prestare particolare attenzione”.

 

Fonte: CyberSecurity360

Chiavette USB infette: ecco come proteggersi adottando le giuste regole di sicurezza

Le chiavette USB infette rappresentano un problema serio, ma spesso sottovalutato, che le aziende in particolare dovrebbero affrontare e risolvere con attenzione per non mettere a repentaglio il patrimonio informativo aziendale.

Chiavette USB infette: le problematiche

Sicuramente nulla è più comodo di avere con sé i file e i dati che ci necessitano, poterli trasportare con facilità in un oggetto piccolo quanto un portachiavi. Questa caratteristica, però, non sempre rappresenta un vantaggio, ma anzi porta comporta diversi rischi.

La prima problematica a cui penso è dovuta al fatto che, per loro natura, le pendrive USB vengono connesse a differenti computer: ciò le rende un ottimo mezzo di trasporto per la diffusione di malwarespyware e rootkit.

Abbiamo certamente notato che, collegando una chiavetta USB ad un PC, quando questa viene riconosciuta dal sistema operativo, il suo contenuto viene mostrato a schermo; nei sistemi più moderni ci viene quantomeno chiesto di scegliere quale azione intraprendere in merito. In ogni caso è fuor di dubbio che la pendrive viene “letta” dal sistema prima ancora che ci venga mostrato il contenuto.

Di norma i sistemi Microsoft vanno a verificare l’eventuale presenza di un file chiamato Autorun.inf che contiene i comandi atti ad eseguire in automatico i contenuti presenti nella chiavetta USB.

Questa funzionalità può essere utilizzata da malintenzionati per installare ed eseguire sul PC delle loro vittime un qualsivoglia codice malevolo, con conseguenze spesso disastrose.

Volendo evitare questo tipo di rischio è sufficiente, ad esempio su Windows 10, aprire le impostazioni del sistema operativo (dall’icona di Windows in basso a sinistra nella barra delle applicazioni premere sull’icona dell’ingranaggio e poi accedere alla sezione Dispositivi) e da lì disabilitare la funzione di autorun.

Problema risolto? Proprio no.

Software per proteggersi dalle chiavette USB infette

Autorun a parte, copiare file e informazioni da un PC ad un altro comporta, in ogni caso, il rischio di diffondere virus e altro se uno dei computer coinvolti nello scambio dati, o a cui è stata connessa la chiavetta USB, è infetto.

Per questo motivo è d’obbligo avere installato un buon antivirus che, tra le altre cose, al collegamento di una memoria di massa USB, ne esegua la scansione. Molti dei produttori di antivirus, inoltre, propongono gratuitamente un software che “vaccina” le chiavette USB infette, prevenendo l’utilizzo dell’autorun a scopo malevolo.

Un programma che utilizzo a protezione delle chiavette USB infette è USB Security, che consente di criptare con molta semplicità una pendrive utilizzando un pratico wizard. Si riesce così ad ottenere una pendrive con uno spazio di archiviazione in chiaro e uno protetto, quest’ultimo attivabile cliccando sul file eseguibile contenuto all’interno della stessa chiavetta USB e inserendo la keyword di decrittazione.

Chiavette USB infette e furto di dati, alla luce del GDPR

Prendiamo ora in considerazione altre problematiche correlate alle chiavette USB infette.

Poter trasportare molti dati in un oggettino veramente piccolo, come detto, è fantastico; aumenta però a dismisura la quantità di dati che andremo a diffondere in caso di perdita o furto della pendrive.

Immagazzinare e trasportare dati aziendali, dati dei clienti, personali o particolari (dati sensibili), utilizzando questi dispositivi, ci sottopone ad un rischio tutt’altro che accettabile; non solo per il danno diretto che potremmo avere dal perdere disponibilità di quanto depositato all’interno del drive USB, ma anche dal fatto che quanto contenuto potrebbe finire in mani sbagliate o essere semplicemente diffuso.

Teniamo conto che anche la nuova normativa europea sulla protezione dei dati, il GDPR, valuta l’utilizzo delle chiavette USB, ma anche di tutti i dispositivi facilmente sottraibili, soggetti a rottura accidentale o semplicemente soggetti ad essere “persi” (includendo anche i notebook): un comportamento palesemente in contrasto con una policy corretta di protezione dati, se non si applicano accorgimenti idonei.

La prima azione che si potrebbe compiere, per essere “proattivi” e scongiurare una parte di quanto sopra detto, potrebbe essere il criptare il contenuto delle chiavette USB, come si potrebbe fare sull’hard disk di un notebook.

Per farlo, si può ricorrere direttamente al tool Bitlocker integrato in alcune versioni di Windows 10 oppure ricorrere ad altri software di terze parti come il famoso VeraCrypt.

Soluzioni alternative ai dispositivi USB

Quanto sopra suggerito a parte, potrebbe essere una buona idea (e molte aziende lo fanno) non utilizzare affatto gli usb drive, affidandosi piuttosto a sistemi in cloud per rendere disponibili i dati necessari al di fuori dell’azienda, permettendo così un livello di controllo e protezione centralizzato e superiore.

In realtà, la possibilità di accesso fisico alle porte USB delle macchine in uso comporta di per se un problema non trascurabile di sicurezza: qualora il BIOS non fosse correttamente impostato e magari protetto con password, risulterebbe sempre possibile avviare un PC tramite dispositivo USB e magari accedere ai suoi contenuti (esistono software installabili su pendrive che “scavalcano” le password di Windows).

Il rischio su sistemi non Microsoft è in qualche modo ridotto, anche se ciò non vuol dire che si possa trascurare queste criticità.

Nei sistemi Linux e Mac OS, una gran parte dei virus non riesce ad agire, semplicemente perché strutturati per aggredire il sistema attualmente più diffuso, cioè Windows.

Esistono comunque diversi virus che aggrediscono questi sistemi operativi ed alcuni di essi sono già stati trasmessi tramite memorie USB.

Vorrei menzionare alcuni altri aspetti che andrebbero tenuti in conto nella strutturazione e implementazione di best practice relative all’utilizzo delle periferiche USB.

Un aspetto da non trascurare è quello della cancellazione definitiva dei dati da un supporto USB; non è sempre semplice ed immediato rendere permanente la cancellazione dei dati da una pendrive, salvo adottando tecniche di wiping, che comunque non si adattano bene a questo tipo di supporti, andando probabilmente a diminuire la loro esistenza vitale.

Il consiglio, per un utilizzo in azienda, è di adottare criteri di USB Hygiene a partire dall’evitare di adottare l’uso delle pendrive, se non criptate; utilizzare sistemi cloud al loro posto e non sottovalutare l’importanza delle impostazioni di sicurezza dei PC in uso (impostare una password sul BIOS setup, disabilitare il boot da USB, disabilitare l’autorun e utilizzare un buon antivirus).

Conclusioni

È utile, per concludere, fare un cenno ad un recente Proof of Concept (PoC) eseguito da alcuni ricercatori che sono riusciti ad hackerare il firmware di diverse periferiche USB (si parla di tastiere, auricolari e via dicendo, quindi non di memorie), in cui si è riusciti a far eseguire codice malevolo nei computer bersaglio a partire appunto da normali dispositivi USB, non intesi a contenere dati.

Su questo tipo di attacchi, attualmente non esiste una reale difesa, tranne il selezionare le fonti di approvvigionamento di periferiche USB ed il vietare l’utilizzo e la connessione ai PC aziendali di componenti USB non preventivamente autorizzati.

 

 

Fonte: CyberSecurity360

GDPR e fotografia, ecco tutte le regole per non sbagliare

GDPR e fotografia, un connubio che è bene approfondire. Lo scontro tra i fotografi che cercano di catturare le vite della gente comune per trasformarle in opere d’arte e le persone che, vedendosi protagoniste di quelle foto, sentono violata la loro privacy, è esistito sin dalla nascita della street photography. La questione però assume ulteriore rilevanza alla luce del GDPR. Vediamo le regole per non sbagliare.

GDPR e fotografia, un contesto confuso

L’intento principale della street photography non è quello di fotografare questo o quel soggetto in particolare, ma imprigionare per sempre un comportamento umano e scene di vita quotidiana in immagini mozzafiato, sebbene comunque in passato fosse più semplice per un fotografo trovare il consenso della gente che davanti ad uno scatto notevole si mostrava anche lusingata per il solo fatto di essere stata selezionata tra tanti ed essere diventata protagonista di una bella immagine fotografica che poi veniva magari anche pubblicata su qualche rivista o giornale o diventava un quadro famoso.

Oggi le cose non stanno più così, le persone contente di essere il soggetto di una fotografia senza chiedere nulla in cambio, si contano sulla punta delle dita, soprattutto da quando sempre più gente ha acquisito la consapevolezza del fatto che, per legge, se la propria immagine viene sfruttata in termini di profitto altrui, anche il protagonista della fotografia può guadagnarci.

A complicare ulteriormente le cose, è arrivata la rete internet, i siti web e i social network; con l’avvento dei nuovi canali digitali e la legge sulla privacy che ha inquadrato l’immagine del volto tra i dati personali, infatti il timore della gente comune di veder violata la propria riservatezza quando la propria faccia appare in un’immagine fotografica che potrebbe essere diffusa online, si è moltiplicato, considerando che ad esso si è aggiunto anche quello connesso alla violazione dei dati personali e ai furti di identità.

Questa situazione particolarmente complessa ha generato confusione anche tra i fotografi di strada in merito a ciò che è consentito e non consentito dalla legge e ai casi in cui è doveroso chiedere il consenso per immortalare qualcuno in uno scatto fotografico.

Il consenso a ritrarre persone comuni

Partiamo col dire che in generale fotografare persone in luoghi completamente pubblici, è legale nella maggior parte dei Paesi che tutelano la libertà di espressione e quella giornalistica.

Un individuo che si sta consapevolmente esponendo in pubblico non può vantare quella che viene definita una “ragionevole aspettativa di privacy”, poi ci sono comunque gli interessi dei privati da bilanciare e quindi esistono anche limiti, ma non allo scatto di per sé, bensì al modo in cui le immagini delle persone possono essere sfruttate, così un fotografo, il quale intenda in Italia ritrarre una persona comune in spazi pubblici o aperti al pubblico e utilizzare quell’immagine per pubblicarla, metterla in commercio, esporla in pubblico, deve necessariamente domandare, ai sensi dell’art. 96 della Legge sul diritto d’autore, l’autorizzazione al soggetto protagonista della fotografia, salvo alcuni casi specificamente individuati dalla legge. L’articolo 96 della L. n. 644/1943 recita, infatti: “Il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo 97″.

Questa la regola, alla quale sono poste delle deroghe previste dall’art. 97 della legge sul diritto d’autore, il quale precisa che il consenso della persona ritratta non è necessario quando:

  • la riproduzione dell’immagine è giustificata dalla notorietà o dall’ufficio pubblico coperto,
  • da necessità di giustizia o di polizia, da scopi scientifici, didattici o culturali,
  • o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.

Restando inteso che il ritratto non può tuttavia essere esposto o messo in commercio, quando l’esposizione o messa in commercio rechi pregiudizio all’onore, alla reputazione od anche al decoro della persona ritrattata.

La legge sul diritto d’autore richiede dunque in via generale il consenso quando la persona viene ritratta (quando dunque è il soggetto della fotografia) se il fine del ritratto è l’esposizione in pubblico, lo sfruttamento commerciale e/o la riproduzione, a meno che non ricorra una delle ipotesi di cui al secondo comma del medesimo articolo.

La nozione di messa in commercio è abbastanza estesa, ma si può dire che l’uso commerciale possa includere la commercializzazione dell’immagine, la vendita per scopi di promozione di un prodotto, servizio o marchio, la promozione della propria attività.

L’art. 10 del Codice Civile tutela sempre l’immagine di una persona, ma ha una portata più estesa rispetto a quella dell’art. 96 della LDA, esso, infatti, comprende non solo il ritratto di una persona fisica, ma anche quei casi in cui, pur non trattandosi di ritratto, la persona è comunque presente nell’immagine fotografica. Questo può accadere ad esempio quando soggetto della fotografia è l’ambiente o il contesto e la persona che pure è riconoscibile, appare nello sfondo o comunque come elemento secondario.

Ebbene, secondo l’art. 10 del Codice Civile, la persona, i genitori, il coniuge o i figli possono opporsi all’esposizione o alla pubblicazione dell’immagine fotografica in cui sono identificabili, chiedendo all’autorità giudiziaria che cessi l’abuso, quando tale esposizione o la pubblicazione siano compiute fuori dai casi consentiti dalla legge ovvero quando tali azioni rechino pregiudizio, restando salvo il risarcimento dei danni.

Dunque, tralasciando i casi vietati di pregiudizio o violazione dell’onore o decoro, se soggetto della fotografia scattata in ambienti pubblici è la persona e l’immagine deve essere esposta o comunque sfruttata a livello commerciale (ad esempio per fini di pubblicità), è sempre doveroso chiedere il consenso all’uso di quella fotografia (consenso che può essere ritirato in qualsiasi momento, stante la natura inalienabile del diritto che ha ad oggetto) ed è opportuno chiederlo per iscritto sul posto se si prevede di utilizzare la foto commercialmente, visto che reperire la persona in un secondo momento, diverrebbe complicato; se soggetto della fotografia è la persona e il fine (purché non rechi pregiudizio al decoro della persona ritratta), è quello giornalistico, didattico o culturale, in cui potrebbe rientrare anche la libertà di espressione artistica, il fotografo può ritrarre la persona e usare l’immagine senza consenso, sarà poi la stessa ad intervenire se vuole che cessi l’utilizzo, motivando che tale impiego è fuori dai casi concessi dalla legge o che con esso sia stato procurato nocumento al soggetto fotografato.

L’immagine fotografica come dato personale

L’immagine fotografica di una persona è anche un dato personale, pertanto, quando si ritraggono persone in strada o in ambienti pubblici, occorre considerare altresì la normativa in materia di trattamento dati personali, dunque, nel caso del ritratto, oltre a domandare ed ottenere il consenso della persona ritratta (a meno che non ci si trovi in una delle situazioni previste dall’art. 97 della LDA), il fotografo, salvo il caso in cui la finalità d’utilizzo sia di natura privata (ad esempio lo scatto diventi un quadro di casa sua), è tenuto a rendere anche l’informativa privacy ai sensi dell’art. 13 del Regolamento n. 679/2016 e in relazione alla finalità d’uso potrebbe dover chiedere ed ottenere eventualmente il consenso dell’interessato come base giuridica (consenso questo che, si badi, è diverso da quello che richiede la legge sul diritto d’autore).

Ad ogni modo, mentre la legge sul diritto d’autore è più attenta al lato creativo e lascia libero il fotografo di chiedere il consenso (ex art. 96 LDA) anche in un momento successivo allo scatto, poiché l’autorizzazione si riferisce in verità all’uso dell’immagine e non alla fase di scatto di per sè; la legge in materia di trattamento di dati personali obbliga, in generale, a rendere l’informativa prima della raccolta del dato. Si comprende bene come una tale imposizione per il fotografo di strada abituato a rubare l’istante giusto per realizzare uno scatto indimenticabile, diventi un incubo.

Sin qui comunque, parlando di GDPR e fotografia, la situazione appare la seguente: se intendo ritrarre una persona comune in strada perché poi voglio esporre quell’immagine, pubblicarla o riprodurla o commercializzarla, devo chiedere al soggetto ritratto l’autorizzazione all’uso della sua immagine e devo rendere, in teoria prima di scattare la fotografia, l’informativa ex art. 13 del Regolamento n. 679/2016, considerando che l’immagine del volto (o comunque di una parte del corpo che consenta di identificare univocamente una persona fisica) è un dato personale, in base alla definizione riportata all’art. 4 del GDPR perché consente indirettamente di identificare una persona fisica.

Però, se il mio scatto è stato effettuato in occasione di un evento di interesse pubblico, fatti, avvenimenti o cerimonie svoltesi in pubblico, come ad esempio una manifestazione, la celebrazione del patrono di una città, una commemorazione, il consenso richiesto dalla legge sul diritto d’autore (la “release” volendo utilizzare l’usuale termine inglese con cui viene identificato il consenso in fotografia), non è necessario, così come non è necessario se sto fotografando persone comuni in ambienti pubblici per fini di giustizia, culturali, formativi, giornalistici o scientifici.

Questo vale, ad esempio, se ritraggo dei ciclisti in strada perché ho intenzione di inserire quell’immagine a corredo di un articolo sugli sport all’aperto, oppure se fotografo degli ambientalisti intenti a salvare una tartaruga per sensibilizzare i giovani in un corso sulla protezione degli animali o semplicemente quando fotografo una moltitudine di persone e inserisco questo scatto nel mio book professionale.

Tale deroga sembrerebbe non operare tuttavia in relazione all’informativa privacy, che comunque dovrebbe essere resa al momento dell’acquisizione del dato anche eventualmente in forma orale. Ciò significa che, anche in circostanze come eventi pubblici, cerimonie o finalità culturali o formative, l’interessato (ossia il soggetto che potrà essere soggetto della fotografia) deve essere debitamente informato della finalità e modalità di trattamento del dato personale; in tali situazioni, non vi sarebbe necessità di chiedere il consenso al trattamento dei dati personali (che è cosa diversa dal consenso ex art. 96 della LDA), in quanto la base giuridica potrebbe essere individuata nel legittimo interesse del fotografo (art. 6 lett. f GDPR).

Come in diverse occasioni precisato dal garante, l’informativa può essere resa in circostanze particolari anche con cartelli riportanti icone e può trattarsi di un’informativa breve che rimandi ad una più completa. Ad esempio, in prossimità del luogo in cui avverrà l’evento pubblico, è opportuno affiggere dei cartelli con cui si informa il pubblico della presenza di uno o più fotografi, rimandando magari all’informativa completa che potrà essere inserita sul sito web di presentazione dell’evento.

Quando la persona è un elemento secondario della fotografia

Fino a qui abbiamo analizzato l’ipotesi in cui il fotografo intenda ritrarre una persona comune in uno spazio pubblico o aperto al pubblico o comunque nei casi di eventi o cerimonie pubbliche o finalità didattiche, di giustizia, culturali. In tali casi, trattandosi generalmente di eventi organizzati, risulta, di certo, più agevole informare i partecipanti della possibile presenza di un fotografo, ma, poniamo il caso che la fotografia non sia un ritratto e non siamo nell’ambito di un evento pubblico o di una celebrazione, ma in strada e il fotografo abbia inteso ritrarre il contesto e che nel contesto la persona o le persone vi siano rientrate come elemento diciamo secondario, ma siano comunque riconoscibili.

In tali circostanze, cosa dovrà fare il fotografo di strada? Dovrà comunque chiedere l’autorizzazione ex art. 96 LDA? Dovrà rendere l’informativa alla persona fisica fotografata sebbene, in verità, la fotografia scattata non sia di per sè il ritratto della persona? Come bilanciare la fotografia di strada con la privacy? Come bilanciare l’espressione artistica con il diritto alla protezione dei propri dati personali?

Innanzitutto, chiariamo che quando le fotografie vengono eseguite in luoghi aperti al pubblico o pubblici, se la persona fisica è un elemento secondario della fotografia (quindi non si tratta di un ritratto fotografico), circostanza che, come detto precedentemente, occorre accertare caso per caso, analizzando la singola e specifica immagine fotografica e che in molti casi risulta di difficile individuazione, non siamo nell’ambito del ritratto.

L’art. 96 della LDA pertanto non dovrebbe operare e il consenso del soggetto che rientra nella foto come elemento, in un certo senso, secondario (o meglio a corredo di altro) non sarebbe necessario: l’essenza della fotografia è, in tali casi, il contesto in cui essa è stata scattata e non la persona fisica ripresa. Occorre però valutare anche la finalità d’utilizzo dell’immagine fotografica e, dunque, se la fotografia è stata scattata come pura espressione artistica o per finalità giornalistiche o culturali, o se diversamente verrà sfruttata per fini commerciali, pubblicitari o se deve essere riprodotta.

È molto probabile che se un’immagine fotografica nella quale la persona, sebbene non sia il soggetto principale della fotografia, sia comunque identificabile, viene sfruttata commercialmente o diffusa senza aver richiesto il consenso e senza aver reso l’informativa privacy, è sicuro che, se la portata della diffusione dell’immagine è estesa e il fotografato ne prende atto, al fotografo arriverà una lettera con cui gli si chiede di cessare l’utilizzo dell’immagine o di versare un compenso per l’uso.

Sarà poi il giudice a valutare la situazione e decidere sul caso di specie. Per quanto riguarda invece la disciplina in materia di trattamento di dati personali, posto che il GDPR è un regolamento e come tale porta il legislatore e la giurisprudenza nazionale a disapplicare la normativa interna che vi contravviene, occorre precisare che lo stesso regolamento ricorda che la disciplina in materia di trattamento dati personali è al servizio dell’uomo e deve essere bilanciata con la libertà di espressione e di informazione; all’art. 85 consente agli Stati membri di conciliare il diritto alla protezione dei dati personali ai sensi del regolamento con il diritto alla libertà di espressione e di informazione, libertà di espressione in cui va inclusa certamente anche l’”espressione artistica”, di cui fa parte senza ombra di dubbio la fotografia di strada.

Sul punto, recentemente, la Corte costituzionale tedesca ha stabilito che la fotografia di strada è protetta dalla costituzione perché è una forma d’arte.

GDPR e fotografia, la finalità d’uso

In Italia non esiste comunque una legge che riconosca tale specifico tipo di fotografia come forma d’arte. Allora anche per orientarsi nella disciplina in materia di dati personali, occorre focalizzarsi sulla finalità d’uso dello scatto fotografico, tenendo presente che se il fine non è informativo o legato alla sola espressione artistica del fotografo, è sempre opportuno informare l’interessato anche verbalmente della finalità e della modalità di trattamento, rimandandolo eventualmente al proprio sito web per maggiori informazioni.

Si comprende bene come la questione sia particolarmente complessa e come sia difficile fornire delle regole generali, ogni situazione deve essere analizzata specificamente, con essa ogni inquadratura, ogni finalità d’uso dell’immagine, ogni contesto in cui lo shot fotografico viene eseguito va esaminato nel dettaglio per capire come bilanciare interessi contrastanti arrecando il minor pregiudizio ad entrambe le parti interessate.

Ovviamente, accanto al dato legale, vi è poi quello etico, ciascuno sceglierà la propria linea corretta da seguire, così alcuni fotograferanno le cose più imbarazzanti che accadono alle persone, rischiando, nella migliore delle ipotesi, contestazioni e interdizioni o richieste di risarcimento del danno, mentre altri staranno lontani da tali scene.

In ogni caso, chiedere al soggetto che si intende riprendere se gli si può scattare una fotografia, chiarendo come sarà utilizzata e perché, è sempre buona norma, anche magari dopo averla già scattata, se si vuole salvare il momento.

Tenendo presente che è il modo in cui trattiamo le persone che fotografiamo che può aiutare a superare qualsiasi questione etica e dubbio legale, in fondo chi fotografa, lo fa perché è attratto da una persona o da una scena e se il soggetto fotografato viene reso partecipe dell’emozione che ha provocato nel professionista, probabilmente non si opporrà allo scatto e all’uso di quell’immagine e se poi il diniego appare, pazienza, ci sarà sempre uno scenario più interessante da immortalare.

 

Fonte: CyberSecurity360