AboutIus.it – Il web-journal di riferimento per gli amanti del diritto

Il web-journal di riferimento per gli amanti del diritto

Categoria Diritto Internazionale e Comunitario

ADR: sfide attuali e future

ADR: sfide attuali e future

La diffusione di strumenti di composizione extragiudiziale dei conflitti tra consociati,   comunemente noti con l’acronimo ADR (Alternative Dispute Resolution), costituisce uno dei molteplici aspetti caratterizzanti l’evoluzione del diritto occidentale negli ultimi decenni.

La comparsa degli ADR risulta avere, secondo la communis  opinio, una matrice storico-causale comune: si osserva che a partire dagli inizi del Novecento numerose furono le denunzie del ceto forense americano nei confronti di un sistema giudiziale che male rispondeva alle nuove esigenze di una società capitalista in costante espansione e, se è vero che il contenzioso  all’interno di uno Stato aumenta fisiologicamente in proporzione diretta rispetto alla crescita economica dello stesso, negli anni ‘60 si osservò che le azioni civili e commerciali erano    aumentate di circa tre volte rispetto a quelle registrate trent’anni prima dalle corti statunitensi. Tale fenomeno, noto col termine di “litigation explosion”,  fu all’epoca avvertito come patologico all’interno di un sistema che, ancor oggi, è citato quale esempio di rapidità ed efficenza:     questo portò gli operatori giuridici a considerare l’introduzione di nuovi strumenti che    potessero alleggerire il carico di lavoro dei tribunali civili e ridurre, di riflesso, i tempi della giustizia. A tale esigenza l’ordinamento americano rispose con l’individuazione di un sistema alternativo a quello giudiziale sul quale vennero riversate la maggior parte delle cc.dd.    “garbage cases” le quali furono risolte lontano dalle aule di tribunale e con di modalità         operative assai più agili rispetto alle rigide regole processuali.

Come più volte accaduto nel corso dell’esperienza giuridica occidentale, l’Unione Europea si è fatta mutuante di tecniche ed istituti elaborati dai tracciati giurisprudenziali e dottrinali     d’oltreoceano ma che, dopo essere stati introdotti nelle singole realtà nazionali per mezzo  della legislatura europea, non hanno saputo efficacemente colloquiare con gli altri formanti caratterizzanti gli ordinamenti dei differenti Stati membri.

Lungi dall’affermare che il tema qui affrontato costituisca una rosea eccezione di quella che, a detti dei più critici, ha assunto i connotati di una mala praxis tutta italiana nelle modalità di recepimento degli interventi europei, ci sembra in tale sede opportuno individuare gli aspetti caratterizzanti l’eterogenea categoria di tecniche e   procedimenti, non necessariamente    stragiudiziali,  individuata dall’acronimo ADR al fine di comprendere un fenomeno – non solo giuridico – che sembra star assumendo i tratti di una vera e propria rivoluzione  paradigmatica nel modo di concepire il conflitto tra consociati.

Nell’ambito delle politiche comunitarie il primo riferimento normativo concernente gli ADR è rappresentato dalla Raccomandazione 1998/257/CE con la quale si è cercato di portare l’attenzione delle legislature nazionali sulle problematiche delle procedure (stra)giudiziali con l’intento di armonizzare gli standard di tutela offerti dai singoli ordinamenti agli operatori economici latu sensu intesi.

Tale percorso è proseguito nel tempo fino ad approdare all’emanazione della Direttiva 2008/52/CE la quale ha definitivamente riconosciuto l’ingresso degli ADR civili e   commerciali nello spazio europeo consacrandone l’importanza economico-giuridica: prova ne sia che il successivo traguardo è stato segnato dalla Direttiva 2013/11/CE la quale ha   introdotto una disciplina settoriale << sulla risoluzione alternativa delle controversie  dei   consumatori >>. Colgono infatti nel segno coloro i quali individuano un diretto rapporto tra lo    sviluppo economico statale e la percezione che i consumatori hanno dell’ affidabilità del     diritto applicabile ai loro rapporti commerciali: secondo questa impostazione risulta dunque mirato l’intervento sovranazionale improntato alla creazione di un acquis che informi le      attività di normazione dei singoli Stati membri al fine, seppur non uniformante, di individuare un sub-strato di principi comuni e parimenti applicabili alle procedure di   composizione delle liti. Ne sono espressione quelli che impongono la previsione della riduzione delle tempistiche procedurali, dei costi, e – nei limiti del possibile, contemperando le esigenze di semplificazione con quelle di tutela degli operatori – di allontanamento dalla rigidità del formalismo giuridico.

Volgendo lo sguardo alla nostra realtà nazionale, l’Italia ha recepito la summenzionata Direttiva del 2008 attraverso il D.lgs. 28/2010 il quale , così come novellato dal c.d. “Decreto del fare” del 2013, ha costituto la primaria fonte statale in materia di ADR dopo aver superato, non senza difficoltà, la pronuncia della Corte Costituzionale la quale, il 24 Ottobre 2010, ha rilevato l’illegittimità costituzionale per eccesso di delega nella parte in cui il suddetto D.lgs, all’art. 5 c. 1, introduceva un tentativo obbligatorio di conciliazione quale condizione di    procedibilità nelle materie ivi indicate.

Non potendo in tale sede approfondire le antinomie tra normativa statale ed europea sul   piano tanto positivo quanto della ratio informante i singoli interventi, risulta oltremodo necessario analizzare le reali difficoltà che i sistemi alternativi di risoluzione delle controversie   incontrano nel nostro ordinamento: allontanandoci per un momento dalle rigidità del pensiero prettamente giuridico, non si riesce a capire per quale motivo, in Italia, un debitore dovrebbe   essere portato ad un tempestivo adempimento della propria obbligazione.

L’ asserzione risulterà più chiara se, portando alla mente gli esempi più volte proposti  dall’attuale Presidente dell’ANMI, ci soffermassimo a pensare che un tempo i “buoni” minacciavano i “cattivi” di intentare una causa nei loro confronti ed invece oggi, quasi  paradossalmente, la sola idea di imbarcarsi in un’ avventura processuale Kafkiana – consegnandosi nelle mani delle tempistiche del Processo – sembra essere lo strumento più persuasivo a disposizione di coloro i quali, mutatis mutandis, mal si orientano al rispetto delle regole giuridiche. Ne deriva, pertanto, che non vi sarebbe logica nell’essere disposti ad esperire alcun tentativo conciliativo al fine di dirimere una controversia della quale non si ha interesse a    vedere la conclusione, se non a tempi indeterminatamente rimandati.

D’altra parte sarebbe possibile individuare una risposta che non pecchi di incompletezza solo qualora fossimo disposti ad analizzare le reali cause di tale fenomeno sociale assolutamente patologico: tra le molte individuabili, spicca un sistema normativo innegabilmente elefantiaco che, in tali termini, risulta essere fisiologicamente antinomico, spesso portando i consociati a rinunciare anticipatamente a vedersi riconosciuto un diritto – magari di esiguo riflesso  economico – pur di non rimanere intrappolati nella palude processuale. E’ in questa piega, a parere di chi scrive inaccettabile, che devono insinuarsi le moderne logiche “win-win”   caratterizzanti i procedimenti ADR latu sensu, per poi tendere ad un’ampliamento soggettivo e settoriale sino a diventare la “regola” dell’agire e non più una mera eccezione.

In conclusione preme sottolineare che una lettura comparatistica delle procedure ADR tra l’Italia e gli USA, rileva un pericoloso profilo di misrappresentazione della loro natura e del loro ruolo all’interno del nostro sistema giudiziale: pensare agli strumenti alternativi di risoluzione delle controversie quali uniche leve volte al superamento dell’ impasse della nostra giustizia, porterebbe ad una eccessiva e non accettabile riduzione del ruolo socio-economico ad essi riconosciuto negli “efficienti” paesi nordamericani nei quali, si rammenta, solo un numero di cause inferiore alla decina percentuale approda nelle aule di tribunale. Tale dato è utile    dunque a comprendere che le esigenze di implementazione di tali procedure “alternative” non giacciono – soltanto – nelle difficoltà del nostro ordinamento, ma devono necessariamente trovare uno spazio, autonomo e sempre più centrale, nella mentalità e nella cultura di una società che aspira a definirsi “moderna”.

 

Sgaramella Alberto

Internet delle cose e diritto alla riservatezza: la “Privacy 2.0” secondo il regolamento 2016/679/UE.

Internet delle cose e diritto alla riservatezza: la “Privacy 2.0” secondo il regolamento 2016/679/UE.

Contatori intelligenti, automobili in grado di comunicare in tempo reale i dati di bordo alle compagnie assicurative, frigoriferi connessi capaci di ordinare automaticamente prodotti freschi quando stanno per finire, orologi che monitorano progressi sportivi e parametri vitali, e che pubblicano i relativi rapporti sui social networks: il mercato dell’ Internet of Things (“Internet delle cose”, ndr) è in crescita a livello globale, e secondo Research and Markets entro il 2021 il suo valore toccherà i 661 miliardi di dollari (a fronte degli attuali 157 mld).

 

Si tratta di dispositivi in grado di “dialogare” tra loro, senza l’intervento umano (e, spesso, senza alcuna autorizzazione), di elaborare dati ed informazioni, di presentare tali dati ed informazioni in chiave intelligibile all’uomo.

 

A complicare il quadro normativo sono, poi, le importanti lacune del Codice della Privacy (Dlgs. 196/2003) riguardo alla regolamentazione di attività dirette alla acquisizione ed al trattamento dei dati personali in via autonoma nelle tecnologie emergenti.

Il Parlamento Europeo ha approvato la “riforma europea sulla protezione dei dati”, con regolamento 2016/679[1], al fine di offrire una disciplina uniforme in tutti gli Stati Membri, nonché ivi direttamente applicabile, ed aggiornata agli ultimi sviluppi nei settori del mercato ad alto contenuto tecnologico.

Gli stati membri hanno due anni per adeguare le proprie normative al regolamento, e la disciplina riguardante il trattamento dei dati personali è applicabile a chiunque (o a qualunque ente diverso dalla persona fisica) offra beni ovvero servizi nella UE, indipendentemente dalla localizzazione degli “strumenti” ovvero delle infrastrutture impiegati per la raccolta ed il trattamento dei dati.

 

Il regolamento fissa anzitutto le condizioni per la liceità del trattamento dei dati personali.

Tra i principi informatori della disciplina dettata dal Regolamento, nonché prima condizione di siffatto trattamento, figura in primis il consenso dell’utente (art. 6 co. 1 lett. a).

 

Gli unici limiti all’obbligo del previo consenso, nonché agli obblighi per i titolari del trattamento contenuti negli artt. 12-22 e art. 34 del Regolamento, sono tassativamente elencati all’art. 23.

In particolare ed a titolo esemplificativo, meritevoli di citazione sono senz’altro le lett. a, b, c, le quali si riferiscono alle esigenze di difesa nazionale, pubblica sicurezza, sicurezza nazionale.

L’art. 6, poi, elenca altre condizioni di liceità del trattamento, alternative rispetto al << consenso per una o più specifiche finalità>>: si tratta, in particolare, del caso in cui il trattamento costituisca sia necessario per adempiere un obbligo legale, ovvero per l’esecuzione di un compito di interesse pubblico, ovvero al fine di <<perseguire un legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali>>.

 

Come controlimite a quanto detto sopra, operano il rispetto dei diritti fondamentali della persona dell’interessato, ed il requisito della proporzionalità e della necessità <<in una società democratica>> della limitazione.

 

Affinchè l’attività di raccolta e trattamento dei dati personali sia lecita, questo deve essere, a norma dell’art. 4 co. 11: libero, dunque scevro da ogni condizionamento; univoco; informato; specifico (art. 6 co. 1 lett. A), riferibile quindi solo a determinate informazioni (ad es. battito cardiaco, km percorsi dall’utente), e non già preordinato alla indiscriminata raccolta di dati personali.

 

In seguito a questa prima analisi, dunque, potrebbero rilevarsi già alcune criticità in ordine alla qualità del consenso: se i primi due requisiti (univocità e libertà) del consenso non pongono particolari questioni, essendo desumibili dall’esperienza, più critici sono l’informazione e la specificità del consenso.

 

Trattasi, infatti, di dispositivi in grado di comunicare autonomamente, spesso non distinguibili dai loro equivalenti non connessi, come di difficile individuazione è sovente il momento in cui il dispositivo (ovvero il sensore) stia trasmettendo informazioni ovvero sia a riposo; se si aggiunge a ciò la frequente carenza di informazioni da parte dei consumatori – data soprattutto dalla comune attitudine da parte dei dispositivi IoT ad omettere tali informazioni, anche per esigenze di mini-invasività – si delinea un quadro potenzialmente lesivo della riservatezza, poiché degradante la qualità del suddetto consenso – nella sua componente informativa –  come primo requisito della liceità delle attività di trattamento dei dati personali.

Per ovviare a tali problematiche, derivanti evidentemente dalla stessa natura commerciale ed operativa dei prodotti IoT, l’art. 25 introduce il principio della c.d. Privacy by Design (PbD).
Il PbD consiste in ciò che le aziende produttrici e i data controllers (titolari del trattamento dei dati) debbono prevedere misure tecniche (hardware e software) ed organizzative adeguate, <<tenuto conto dello stato dell’arte e dei costi di attuazione, volte ad attuare la minimizzazione, la pseudonimizzazione, e ad integrare [..] le necessarie garanzie>>.

L’adozione di misure tecniche adeguate, poi, si rende indispensabile in attuazione dell’art. 15, rubricato “diritto di accesso dell’interessato”.

<<L’interessato>> in primis <<ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano […]>>

 

Ne deriva, quindi, che gli stakeholders IoT dovranno prevedere misure idonee, nella progettazione e nella realizzazione dei loro prodotti, dirette ad informare l’utente in ogni momento in cui la raccolta/il trattamento dei dati personali sia in corso: ad es. integrando nell’hardware un segnalatore acustico, oppure un display lcd che mostri all’uopo un avvertimento, e segnalandoli opportunamente nei manuali d’uso del dispositivo.

Ancora più evidente è la rilevanza di suddette misure, per finalità di tutela del terzo[2], al fine di rendere questi informato sulla acquisizione di informazioni che lo riguardano: il terzo, seppur persona diversa dall’utente, ha il diritto di conoscere (diritto assoluto, art. 15) che sia in corso una attività di trattamento dei suoi dati personali.
Debbono pure essere previste, nel contesto della PbD, misure idonee a consentire all’utente di interrompere la raccolta/il traferimento dei dati personali, in qualsiasi momento e <<senza ingiustificato ritardo>>: si tratta della applicazione pratica del diritto di cancellazione previsto dall’art. 17, consistente nel potere di revoca del consenso, da parte dell’utente.

 

L’art. 20 prevede, poi, l’innovativo diritto alla portabilità dei dati.
Tenuto conto della sempre maggiore diffusione di standard di archiviazione aperti per la integrazione e la interoperabilità dei dati – quali ad es. JSON, XML, etc. – l’art. summenzionato attribuisce all’utente il diritto ad ottenere copia dei suoi dati personali <<in un formato strutturato, di uso comune e leggibile da un dispositivo automatico>>.

 

Oltre alla revoca del consenso, poi, il Regolamento prevede all’art. 21 il diritto all’opposizione, che riguarda pure, indirettamente, la profilazione dell’utente.

Per profilazione si intende l’insieme di attività di raccolta ed elaborazione dei dati inerenti agli utenti di servizi al fine di suddividere l’utenza in gruppi di comportamento[3] (ad es. gusti musicali, luogo di vacanza preferito, sport preferito, luoghi più visitati, …).

La finalità principali della profilazione sono di natura pubblicitaria e statistica: interessi ritenuti senz’altro meritevoli di tutela, leciti, ma non di interesse pubblico (né d’interesse per la pubblica sicurezza), quindi sempre ammesse entro i limiti del consenso dell’interessato.

L’attività di profilazione, grazie all’ausilio di algoritmi informatici e data la diversità e la quantità dei dati raccolti,  dei dati raccolti, consente di elaborare un profilo dell’utente fino a raggiungere, in molti casi, una sua sostanziale identificazione: questa attività costituisce probabilmente la parte maggiore della raccolta dati di qualsiasi azienda IoT e non solo, e la sua pericolosità[4] è assai prossima a quella tipica dei dati in forma identificativa.

La profilazione consente di creare una vera e propria identità digitale del soggetto profilato: perciò egli ha diritto ad essere informato (art.13 co. 2 lett. f) circa la suddetta attività, anche se utente anonimo e ad es. non soggetto a registrazione anagrafica da parte del titolare del trattamento (profilazione, in questo caso).

Tenuto conto, poi, della natura dei dispositivi IoT, qui l’informazione può pure avvenire mediante icone o simboli, comunemente conosciuti e riconoscibili, ed in grado di informare univocamente sull’attività di profilazione.

 

Oltre che consenzienti, raccolta e trattamento dei dati, come implicito peraltro nello stesso art.25, debbono essere sicuri.

Misure finalizzate a garantire la sicurezza dei dati personali sono indicate (e previste come veri e propri obblighi, <<tenuto conto dello stato dell’arte e dei costi di attuazione>>) dall’art. 32 co. 1.

In particolare, oltre alla già citata pseudonimizzazione, sono prescritte la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza e l’integrità dei dati, nonché procedure per testare l’efficacia delle misure tecniche ed organizzative di cui sopra.

 

Il parere del Gruppo di Lavoro, con riguardo alla sicurezza, afferma apertamente che <<vi è il rischio che lo IoT trasformi un oggetto di uso quotidiano in un potenziale bersaglio per la privacy e la sicurezza delle informazioni>>.

Se si considerano, poi – come giustappunto osserva il Gruppo di Lavoro – le limitazioni[5] tecniche della gran parte dei dispositivi IoT, con microprocessori relativamente poco performanti (al riguardo si parla del paradosso “sicurezza vs efficienza” – per esigenze di risparmio energetico e di mini-invasività – emergono le difficoltà nell’implementare in tali dispositivi algoritmi di cifratura dati (e.g. AES) che costituiscono lo standard de facto in materia, e che quindi garantirebbero la sicurezza dei dati trasmessi: il progettista deve tener conto pure di questo, peraltro non solo nella fase di progettazione iniziale, bensì durante tutta la gestione del product lifecycle.

 

Vincolo teleologico e “data repurposing”

Il consenso, per essere valido, deve essere specifico: l’art. 6, infatti, vincola il consenso a <<una o più specifiche attività>>.

Tuttavia, dato l’utilizzo di algoritmi sempre più avanzati di machine learning ed intelligenza artificiale, la data analysis consente di ottenere informazioni di varia natura, a seconda dell’algoritmo impiegato, dagli stessi dati grezzi[6].

Il Gruppo di Lavoro ex art. 29 osserva come tali opportunità offerte dallo stato della tecnica debbano essere controllate e limitate nella loro applicazione pratica, dal vincolo teleologico specifico, quale elemento determinante il consenso dell’interessato: in caso contrario, una attività preordinata alla raccolta di certi dati, finalizzati ad elaborare specifiche informazioni, qualora fosse svolta per finalità diverse, quindi per l’elaborazione di informazioni diverse da quelle rispetto alle quali l’interessato ha specificamente prestato il proprio consenso, sarebbe senz’altro contra legem (purpose limitation principle).

Ne deriva che l’ambito di applicabilità delle norme e dei principi in esame spesso esula la mera raccolta dei dati, e riguarda pure (e soprattutto, sic) il trattamento di questi.

 

Il parere del Gruppo di Lavoro è stato in buona parte recepito dal regolamento o, quantomeno, ha costituito la base dei principi informatori del regolamento stesso.

 

Altro principio, tra questi, meritevole di opportuna trattazione, è quello della data minimisation.

Debbono essere raccolti solo i dati strettamente necessari per il perseguimento dello scopo contrattuale/di pubblico interesse, e debbono essere tenuti (in archivio) per il tempo strettamente necessario.

Spesso, in riferimento alla raccolta ed al trattamento dei dati, il regolamento utilizza l’aggettivo “necessario”, a rimarcare il principio di “minimizzazione dei dati”: minore è la quantita di dati tenuti in archivio (ovvero raccolti, o trattati) per un certo periodo di tempo, minore è il pericolo cui questi sono esposti, e cui pure sono esposti i titolari di quei dati, specie se sensibili.

 

In conclusione, è possibile affermare che il suddetto Regolamento, frutto di un’opera pluriennale di analisi delle criticità emerse in materia, attua una buona uniformazione e crea un framework legislativo di notevole interesse, più attento allo stato della tecnica e ai diritti fondamentali del cittadino europeo.

Alberto Di Cagno

 

 

 

[1] Interessante è pure la precedente analisi dei rapporti tra nuove tecnologie e tutela della privacy, puntualmente approntata dal gruppo di lavoro sulla protezione dei dati ex art. 29 della direttiva 95/46/CE, che costituisce un punto di partenza fondamentale per ogni discussione sul tema.

[2] Per “terzo” qui si intende un soggetto diverso dall’utente, che interagisca con il dispositivo in questione, oppure che sia nel raggio di azione dello stesso, semprechè il dispositivo sia in potenza di acquisire informazioni personali ovvero dati sensibili del terzo.

[3] Profilazione, in Grande Dizionario di Italiano, Garzanti Linguistica.

[4] Qui si intende pericolosità in senso tecnico: l’attività di raccolta e trattamento dei dati personali rientra nel novero dell’art. 2050 cc., rubricato “responsabilità per l’esercizio di attività pericolose”.

[5] <<tenuto conto dello stato dell’arte>>, appunto.

[6] Ad es. valori rilevati da sensori, coordinate geografiche,…

Il sinistro stradale avviene in Italia e i danneggiati risiedono in un altro Paese dell’Unione Europea quale legge è applicabile?

Il sinistro stradale avviene in Italia e i danneggiati risiedono in un altro Paese dell’Unione Europea quale legge è applicabile?

Corte di Giustizia UE, Sez. IV, sentenza n.C-350/14; depositata il 10 dicembre 2015

La sentenza in commento verte sull’interpretazione del Regolamento (CE) n. 864/2007.
Nella vicenda in esame un cittadino straniero rimane coinvolto in un sinistro stradale in Italia e chiede, pertanto, alla compagnia di assicurazioni italiana il risarcimento dei danni patrimoniali e non patrimoniali, a causa del decesso della propria figlia nell’incidente in oggetto.
Nel merito il Tribunale di Trieste con ordinanza del 10 luglio 2014 sospende il giudizio e rimette la questione dinanzi alla Corte di Giustizia Europea sulla corretta interpretazione del Regolamento (CE) n. 864/2007.
Preliminarmente giova rilevare che la voce di danno ricomprende in sé ogni conseguenza derivante dal sinistro stradale e, quindi, dal fatto illecito, indipendentemente dal luogo ove si è verificato l’incidente, il quale ha determinato lesioni sia patrimoniali sia non patrimoniali alla sfera personale dell’individuo, poiché occorre considerare il c.d. danno diretto.
In tale prospettiva ai sensi dell’articolo 17 del Regolamento (CE) n. 864/2007 si individua la competenza nel luogo ove il sinistro stradale è avvenuto.
Ciò posto, la normativa applicabile deve essere individuata sulle predette circostanze, a prescindere dalla Nazione in cui potrebbero verificarsi conseguenze indirette.
Ne consegue che, secondo tale impostazione, risulta possibile individuare la legge applicabile seguendo la traccia di connessione derivante dal luogo della lesione subita sia alla sfera personale che patrimoniale del soggetto e non alle conseguenze indirette del sinistro stradale.
Il suddetto orientamento viene altresì confermato dall’articolo 15 del Regolamento citato, il quale sancisce la normativa applicabile, con riferimento ai soggetti legittimati al fine di agire giudizialmente per far valere il proprio diritto al risarcimento per i danni subiti dai congiunti della vittima.
All’uopo si evidenzia che il principio della lex loci delicti commissi rappresenta la soluzione di base in materia di obbligazioni extracontrattuali in quasi tutti gli Stati membri.
In conclusione, l’interpretazione resa dalla Corte di Giustizia Europea garantisce la tutela dei diritti civili attraverso l’applicazione di un medesimo ordinamento giuridico individuando la competenza nel luogo in cui si è verificato il danno diretto, al fine di evitare il rischio di uno scompattamento in più parti di leggi differenti di Stati diversi nell’ambito della preservazione degli interessi dei soggetti aventi diritto ad agire.

Dott. Paolo Iannone – info: lex.paoloiannone@gmail.com