Habeas Data – Datos Personales – Privacidad

Novedades sobre privacidad – Agosto – Septiembre 2010

Posted: septiembre 6th, 2010 | Author: | Filed under: Argentina, Casos, Google | Comentarios desactivados

- Union Europea: Akzo Nobel Chem. & Akcros Chem. v. Commission (Sept. 14, 2010), la Corte Europea de Justicia saco un fallo sobre prueba de correos electrónicos.

- ArgentinaLa cámara civil revocó la condena a los buscadores Google y Yahoo por difusión de vínculos a las imagenes de la modelo Da Cunha y su asociación a sitios de contenido erotico y pornográfico.

- Brasil. Inrecible, Brasil estrena detergente con GPS. En el blog de habeas data de Danilo Doneda se comenta el caso de un detergente que viene con GPS preactivado sin autorización del consumidor. También encontrarán un post muy interesante sobre el data breach en Brasil, y un comentario a la reciente exigencia de Google de requerir un telefono activo para abrir una cuenta de correo electrónico.

- Chile. Planean nueva ley de protección de datos personales,  todo el detalle de esta propuesta en el blog de habeas data de Renato Jijena quien ha participado activamente en todo su desarrollo.

- Colombia. Proponen un nuevo proyecto de ley para modificar la ley Colombiana de protección de datos personales y que sea adecuada a la normativa europea, el comentario al texto en el blog de Habeas Data de Nelson Remolina.

- España- Excelente artículo de Ester Mitjans, directora de la agencia catalana de protección de datos personales, que explica los problemas actuales y cómo proteger los datos de empleo en Internet.

- La Fiscalia de San Sebastian cierra la investigacion de Google Stree View, nota incluye dictamen fiscal sobre el art. 197 del C Penal español. Pero sigue abierta la investigación de un juez de Madrid.

- Estados Unidos – Google simplifica su política de privacidad: recurre a un solo documento en vez de tener una diferente para cada producto, borran cerca de diez politicas de privaciad, no alteran nada pero hacen las cosas das fáciles.

- Israel - Transferencias internacionales: Tiene el ok del WP 29 como país adecuado (aun no de la comision), pero por objeciones de Irlanda en Europa se han suspendido las transferencias internacionales. Esto demuestra que la decision de adecuación tiene un alto contenido político.

- Twitter – Un virus ataca miles de usuarios de Twitter y replica mensajes incesantemente.

- Nueva ZelandaGoogle sigue siendo investigado por la recopilación de datos de redes wi fi en ese pais pese a que la justicia consideró que no había ningún delito penal. Google admitió haber recopilado datos de redes wifi en mas de 30 países a través de su programa de Google Street View. La recolección de datos sobre redes wifi puede ser contrvertida pero en Inglaterra el comisionado de protección de datos ya dictaminó que no había problemas.

- Android: Más problemas de privacidad para Google. Algunas de las aplicaciones más populares de la plataforma para móviles de Android (Google) comparten datos privados de localización y identificación de sus usuarios sin advertirles, según un estudio llevado a cabo por investigadores del laboratorio de Intel en Estados Unidos en colaboración con las universidades de Duke y Penn State.


Vulneración a la vida privada por mostrar diario de vida de su conyuge en trámite de divorcio

Posted: marzo 22nd, 2009 | Author: | Filed under: Casos, Chile | Tags: | Comentarios desactivados

Vulneración a la vida privada por mostrar diario de vida de su conyuge en trámite de divorcio- 04/01/06

Santiago de Chile, cuatro de enero de dos mil seis.

Vistos: Se reproduce la sentencia en alzada, con excepción de sus fundamentos quinto y octavo que se eliminan. Y se tiene en su lugar, y además presente:

1º) Que a fojas 11, se ha deducido por doña Erika Muller Pasmiño, recurso de protección en contra de don Zivko Juan Babaic Bartulovic, constructor civil, quien dentro de un juicio de divorcio que actualmente mantienen y que se encuentra en tramitación, ante el Primer Juzgado Civil de Punta Arenas, presentó una serie de documentos entre los cuales se hallan fotocopias de su diario de vida í­ntimo, hecho que ha vulnerado las garantí­as constitucionales consagradas en los números 4 y 5 del Artí­culo 19 de la Constitución Polí­tica de la República, de respeto a su vida privada y a la inviolabilidad de un documento privado, como es su diario de vida. La recurrente solicita se acoja su acción constitucional y se ordene al recurrido restituirle el original del diario de vida, así­ como cualquier fotocopia que tuviese en su poder; que deben serle entregadas las copias acompañadas al juicio, instruyendo al tribunal de la causa de no dejar vestigio alguno del contenido de dicho diario y que el recurrido deberá abstenerse de difundir por cualquier forma el contenido del mismo.

Read the rest of this entry »


Halabi v. Estado Nacional – La Corte Suprema confirma la inconstitucionalidad de la ley de datos de tráfico

Posted: febrero 24th, 2009 | Author: | Filed under: Anonimato, Argentina, Casos, Datos de tráfico, Datos sensibles, Internet, Jurisprudencia | Comentarios desactivados

La Corte Suprema de Justicia de la Nación acaba de confirmar el fallo que declaró inconstitucional la ley de datos de tráfico, ley 25.873, en el caso Halabi por lo que la ley y su decreto reglamentario no resultan aplicables hasta tanto el Congreso aprueba una nueva ley.

Es importante que ahora el Congreso intente aprobar una ley mas completa como la sancionada en España recientemente llamada Ley 25/2007 de 18 de octubre sobre conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones o en las normas respectivas de la Convención del Cibercrimen, de modo de poder permitir obtener pruebas relacionadas con los delitos informáticos y que ésto se realice en colaboración con las telefónicas y los isps. De lo contrario, Internet será el vale todo y será imposible obtener pruebas digitales.

Texto del fallo

Buenos Aires, 24 de febrero de 2009
Vistos los autos: “Halabi, Ernesto c/ P.E.N. ley 25.873 dto. 1563/04 s/ amparo ley 16.986″.
Considerando:
1) Que Ernesto Halabi promovió acción de amparo reclamando que se declare la inconstitucionalidad de la ley 25.873 y de su decreto reglamentario 1563/04, en virtud de considerar que sus disposiciones vulneran las garantí­as establecidas en los artí­culos 18 y 19 de la Constitución Nacional, en cuanto autorizan la intervención de las comunicaciones telefónicas y por Internet sin que una ley determine “en qué casos y con qué justificativos”. Alegó que esa intromisión constituye una violación de sus derechos a la privacidad y a la intimidad, en su condición de usuario, a la par que menoscaba el privilegio de confidencialidad que, como abogado, ostenta en las comunicaciones con sus clientes (fs. 2/8).

Read the rest of this entry »


Corte Constitucional de Colombia se pronuncia sobre ley de habeas data

Posted: noviembre 21st, 2008 | Author: | Filed under: Acceso a la Información pública, Casos, Colombia, Habeas Data | Comentarios desactivados

A continuación reproducimos del sitio web de la Corte Constitucional de Colombia el COMUNICADO DE PRENSA No. 46 por el cual dicho Tribunal se pronuncia sobre la ley de habeas data en sentencia del 16 de octubre de 2008.

EXPEDIENTE PE 029 SENTENCIA C 1011/08
Magistrado ponente: Dr. Jaime Córdoba Triviño

La Corte Constitucional, en la sesión de la Sala Plena celebrada el dí­a 16 de octubre de 2008, profirió la sentencia mediante la cual efectuó la revisión oficiosa e integral de constitucionalidad del Proyecto de ley Estatutaria No. 27/06 Senado -“ 221/07 Cámara, -por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicio y las provenientes de terceros paí­ses y se dictan otras disposiciones-. Las decisiones adoptadas en relación con este proyecto, fueron las siguientes:
Read the rest of this entry »


Tribunal Supremo español dice que los Libros de Bautismo no tienen la consideración de ficheros según la LOPD española

Posted: octubre 27th, 2008 | Author: | Filed under: Casos, Datos sensibles, España, Europa, Habeas Data | Tags: , | Comentarios desactivados

Aplicación del régimen de protección de datos personales a Libros de Bautismo
(TS Sala III. Sentencia de 19 de septiembre de 2008)

El TS español dijo que los Libros de Bautismo no tienen la consideración de ficheros a efectos de la Ley Orgánica 15/1999, sino que recogen hechos históricos como es el bautismo de una persona en un momento dado, lo que es independiente de que sea o no creyente.

En la Villa de Madrid, a diecinueve de Septiembre de dos mil ocho.

Read the rest of this entry »


Ordenan remover contenido de los indices de buscadores – Caso MAZZA VALERIA RAQUEL c/ YAHOO* ­ DE ARGENTINA S.R.L.

Posted: julio 14th, 2008 | Author: | Filed under: América Latina, Argentina, Casos, Derecho a la imagen | No Comments »

Juzgado Nacional En lo Civil Num. 50

MAZZA VALERIA RAQUEL c/ YAHOO* ­ DE ARGENTINA S.R.L.
s/MEDIDAS PRECAUTORIAS

Buenos Aires, Julio de 2008.-
AUTOS Y VISTOS :
1.- Por contestado el traslado de fs. 500 pto. 2.-
2.- En autos se ha decretado la medida cautelar de fs. 120/121 y su ampliación a fs. 151, notificadas ambas a las demandadas como así­ se desprende de las cédulas obrantes a fs. 153 y 193.-

Su objeto consiste en que las demandadas eliminen de sus patrones de búsqueda toda referencia que permita vincular el nombre de la accionante con los sitios de internet mencionados en las citadas resoluciones, o en cualquier otra página web de
contenido sexual, servicio de acompañantes, escorts, y todo otro relativo a la prostitución.-
Si bien en sus presentaciones de fs. 154/181 y 183/191 ambas demandadas manifiestan haber dado cumplimiento a la medida cautelar decretada, de la contestación efectuada por la parte actora a fs. 378/393 y de la instrumental anejada a la misma (fs.200/377), se desprende que las medidas adoptadas por aquéllas no habrí­an sido suficientes para cumplir
la medida ordenada a fs. 120/121 y 151.-

Así­ es que conferido que les fuera el traslado de ésta última presentación de la actora (cfr. fs. 447), el mismo es contestado por Yahoo de Argentina S.R.L a fs. 457/486, y por Google Inc. a fs. 488/497; en donde ambas dejan traslucir los inconvenientes e imposibilidad técnica de remover los contenidos de páginas generados por terceros, sugiriendo la necesidad de contar con la colaboración de la actora denunciando e identificando concretamente en cada caso los sitios
cuyo bloqueo requiere. Tal propuesta no resulta a mi criterio aceptable, pues exige por parte de la actora
un desagradable control diario para luego dar aviso a las demandadas.-

*En ese orden de cosas es de señalar que, las demandadas revisten la calidad de explotadoras de sus dominios, creados, diseñados y configurados por ellas, los que a través de sus motores de búsqueda, facilitan el rápido acceso a distinto tipo de información contenida en la Internet, generando ví­nculos y enlaces que necesariamente requieren de la existencia de una base datos que almacene y procese toda esa información, resultando indistinto que se trata de una tarea de carácter manual o mecánico.*

*Siendo ello así­, independientemente de su falta de participación o control en la elaboración de productos generados por terceros, lo cierto es que su difusión masiva en gran medida depende del aporte de su tecnologí­a destinada a facilitar la búsqueda de tales productos; y es precisamente a evitar esa propagación indiscriminada que se encuentra encaminada la cautelar decretada en autos.*

Para ello tengo en consideración, que en virtud de los medios técnicos y de la tecnologí­a aplicada por las demandadas para desarrollar los buscadores por ella explotados a través de sus respectivos dominios, son quienes en mejor condición se
encuentran para encontrar la adecuada solución para cumplir la cautelar ordenada y consentida.-
Por otra parte, las demandadas no han acompañado un informe técnico que demuestre la imposibilidad alegada, lo cual es relevante si han consentido la medida cautelar dispuesta a fs. 120 y 151. El informe de fs. 161/179 es una descripción del modo en que trabaja el sewrvicio que brinda la demandada y en su texto no advierto que el especialista afirme la imposibilidad alegada.

En consecuencia, mantiénese la cautelar decretada a fs. 120/121 y su ampliatoria de fs. 151, e intí­mase a las demandadas Yahoo de Argentina SRL y a Google Inc., para que en el perentorio plazo de cinco dí­as procedan a cumplir con dichas medidas, y que el motor de búsqueda que facilita el acceso a las páginas no contenga asociación directa o indirecta del nombre de la actora con los sitios descriptos a fs. 120/121 y 151.-
Las costas del incidente se imponen a las codemandadas por el principio objetivo de la derrota (cfr. arts. 68 y 69 del CPCC).-

Lo que así­ RESUELVO .

NOTIFIQUESE .-

Firma: PABLO MIGUEL AGUIRRE
Fecha Firma: 11/07/2008


Datos personales de 6 millones de chilenos expuestos en Internet

Posted: mayo 11th, 2008 | Author: | Filed under: Casos, Chile, Delitos | No Comments »

En su primera plana del domingo 11 de mayo de 2008, el diario El Mercurio publicó una nota sobre el mayor hacking de la historia en Chile. Se informa que datos personales de seis millones de chilenos quedaron públicamente disponibles en internet durante la madrugada y mañana del dí­a 10 de mayo, luego que fueran sustraí­dos desde los servidores de diferentes entidades públicas y privadas para ser publicitados por la red. Se trata de registros de nombres de personas, números de RUT, direcciones, teléfonos comerciales y particulares, correos electrónicos e información académica y social obtenida desde la Dirección General de Movilización Nacional (DGMN), el Servicio Electoral (Servel), el Ministerio de Educación (Mineduc), el sitio PSU 2005 y registros telefónicos. La alerta la dio el sitio “FayerWayer”:http://www.fayerwayer.com/2008/05/alerta-se-filtran-datos-personales-de-6-millones-de-chilenos-via-internet/, un visitado blog chileno dedicado a temas tecnológicos, que recibió los datos en uno de sus foros la madrugada del sábado. De inmediato los administradores del sitio dieron cuenta a la Brigada del Cibercrimen de la Policí­a de Investigaciones, que realizó las primeras diligencias durante el dí­a de ayer. Pero ya “los dichos del gobierno han provocado controversias”:http://www.fayerwayer.com/2008/05/gobierno-comienza-investigacion-de-filtracion-de-datos-personales-de-6-millones-de-chilenos/.

La información también fue publicada por la página elantro.cl, donde un usuario dejó disponibles los links de la página donde están almacenados los archivos. Se trata de un servidor internacional de alojamiento de datos. Luego de dos horas, el administrador de la página también borró los links, pero los datos siguen en internet. El diario El Mercurio accedió a la documentación, entre la que se pudo constatar un instructivo para que los usuarios hagan uso de la información.

En el archivo “readme.txt”, el autor de la filtración explica que la idea es “mostrar lo mal protegidos que están los datos en Chile”. A renglón seguido, dice que “ya que nadie se esmera en proteger esta información, hacerla pública para todo el mundo”. Luego, hace una descripción de los datos y la cantidad de registros de cada institución. En el caso del Mineduc hay registros de los pases escolares e información de inscripción de la prueba PSU 2005. También hay un listado de números telefónicos equivalente a una guí­a comercial y residencial de toda la Región Metropolitana (2 millones de personas). El “hacker” recomienda descubrir datos “freak”: “La hija de Bachelet tiene pase escolar, aun cuando a mucha gente no se lo dan porque sus padres ganan más de una cierta cantidad”. Incluso, el autor del texto dice que con los datos se puede generar un mapa virtual con Google Earth o Google Maps, donde se pueda ver gráficamente un mapa de dónde vive cada persona. Añade que con los folios del pase escolar y según los datos de la tarjeta Bip se podrí­an mostrar los recorridos de esa persona.

Entrevistado por “El Mercurio”:http://diario.elmercurio.com/2008/05/11/nacional/nacional/noticias/407E4884-3A38-4A17-8F90-A33FA748B19D.htm?id={407E4884-3A38-4A17-8F90-A33FA748B19D}, Renato Jijena, el mayor especialista chileno en la materia, e integrante de la “red latinoamericana de habeas data”:http://www.habeasdata.org/Red-latinoamericana-de-habeas-data explica que en su paí­s es delito acceder sin permiso al servidor pero que los datos obtenidos son en su mayorí­a de naturaleza publica. Concluye sugiriendo la necesidad de una agencia de protección de datos personales para su paí­s, como la que existe en España.

En Argentina, recordamos que está vigente la “ley 25326 de datos personales”:http://www.habeasdata.org/ley25326 cuyo artí­culo 32 (actual art. 157 bis del CP) prohibe acceder sin permiso a bases de datos personales. Recientemente la cámara federal de la ciudad de Buenos Aires “dictó un procesamiento en la causa relacionada con la sustraccion de datos del ANSES, considerando que habí­a delito”:http://www.habeasdata.org/fallo-anses-delitos-informaticos.

En breve en nuestr paí­s el Congeso estarí­a aprobando un “nuevo marco regulatorio para el ciberdelito”:http://www.delitosinformaticos.com.ar/blog/2008/04/22/avanza-el-proyecto-de-ley-de-delitos-informaticos/, ampliarí­a el delito antedicho no sólo al acceso ilegí­timo a bases de datos personales sino también penalizando el acceso a cualquier ordenador.

***


Jurisprudencia sobre Habeas data del Superior Tribunal de Rio Negro (fallos completos)

Posted: mayo 2nd, 2008 | Author: | Filed under: Argentina, Casos, Habeas Data, Rio Negro | Tags: | Comentarios desactivados

SUPERIOR TRIBUNAL DE JUSTICIA
SECRETARIA CAUSAS ORIGINARIAS Nº4
SENTENCIA Nº40/99

En la ciudad de Viedma, Capital de la Provincia de Rí­o Negro, a los 27 dí­as del mes de octubre de mil novecientos noventa y nueve, se reúnen en Acuerdo los señores Jueces titulares del Superior Tribunal de Justicia doctores Alberto I. BALLADINI, Luis A. LUTZ y E. Nelson ECHARREN, a fin de pronunciar sentencia en los autos caratulados: “ARCENILLAS, Edgardo Raúl s/Acción de Amparo s/APELACION” (Expte. N* 14130/99 STJ ), elevados por el Juzgado Civil, Comercial y de Minerí­a N* 3 de la IIa. Circunscripción Judicial, en razón del recurso de apelación deducido por el actor a fs. 37/43; y

Read the rest of this entry »


Jurisprudencia sobre Habeas data del Superior Tribunal de Rio Negro (sumarios)

Posted: mayo 2nd, 2008 | Author: | Filed under: Casos, Habeas Data | Tags: | Comentarios desactivados

HABEAS DATA

[20789]

HABEAS DATA: CONCEPTO

Read the rest of this entry »


Italia: es ilegal espiar a los usuarios de internet que intercambian archivos de música en redes p2p

Posted: marzo 18th, 2008 | Author: | Filed under: Casos, DNPDP, Internet, Público en general | No Comments »

El Comisionado de protección de datos de Italia (al igual que su par suizo) decidió que es ilegal espiar a los usuarios de internet que intercambian archivos de música en redes p2p cuando ésta es realizada por empresas privadas (distinto serí­a “si lo pide un fiscal penal”:http://blog.andreamonti.eu/?p=27). La decisión se adoptó al cerrar la instrucción realizada en el caso “Peppermint”:http://www.mondaq.com/article.asp?articleid=50310 donde una sociedad alemana en defensa de sus derechos autorales (o mas bien conexos) que obtuvo datos p ersonales a través de una empresa suiza dedicada a seguimiento de usuarios en la red (Logistep) y a identificar a través de direcciones de IP a esos usuarios. La decisión se basa en el principio de finalidad por el uso de datos personales, y en la limitación hacia particulares de recopilar estos datos. Ademas se precisa que se recopilan datos personales de abonados cuando éstos no participan necesariamente del intercambio de archivos. La decisión intima a las sociedades que recopilaron estos datos a cancelarlos antes del 31 de marzo.

En Argentina la Dirección Nacional no se ha pronunciado todaví­a sobre el tema pero serí­a inminente la denuncia a ser presentada por un usuario que enfrenta un reclamo de las discográficas (ver ademas los comentarios en el blog de “Librecultura de Ariel Vercelli”:http://www.librecultura.org/2008/03/18/italia-es-ilegal-monitorear-las-redes-de-pares/).

*Texto de la decisión*

Roma, 13 marzo 2008

[doc. web n. 1495246]
[v. Comunicati stampa 17 luglio 2007, 18 maggio 2007 e 13 marzo 2008]

Internet – Caso Peppermint: illecito ”spiare” gli utenti che scambiano file musicali e giochi – 28 febbraio 2008

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTE le recenti ordinanze con le quali il Tribunale di Roma -“come richiesto da questa Autorití  -“ ha rigettato alcuni ricorsi con i quali le societí  Peppermint Jam Records GmbH (di seguito, Peppermint), casa discografica con sede in Germania e Techland sp. z. o.o. (di seguito, Techland), societí  che elabora e commercializza giochi elettronici avente sede in Polonia, intendevano ottenere da taluni fornitori di servizi di comunicazione elettronica la comunicazione delle generalití  di soggetti ritenuti responsabili di aver scambiato file protetti dal diritto d’autore tramite reti peer to-peer;

RILEVATO che tali ricorsi si basavano sull’attivití  svolta per conto e su autorizzazione delle predette societí  da Logistep AG (di seguito, Logistep), societí  svizzera che, attraverso un’attivití  di monitoraggio delle reti peer-to-peer effettuata tramite un software proprietario, aveva individuato numerosi indirizzi Ip i cui titolari erano stati considerati responsabili della predetta condotta illecita;

VISTA la nota del 25 maggio 2007 con la quale l’Autorití  ha avviato accertamenti volti a verificare la liceití  e la correttezza dei trattamenti di dati personali svolti dalle predette societí , alle quali í¨ stato quindi chiesto di comunicare ogni informazione e documentazione utile per valutare le modalití  con le quali, anche avvalendosi dell’attivití  di altri soggetti, sono stati concretamente raccolti e utilizzati i dati personali di utenti identificati o identificabili; rilevato che con tale nota si í¨ chiesta, altresí¬, collaborazione e cooperazione alle autorití  di protezione dei dati personali dei Paesi nei quali risultano stabilite le societí  medesime (Repubblica federale tedesca, Polonia e Svizzera);

VISTE le note del 18 giugno e del 5 luglio 2007 con le quali l’avv. Otto Mahlknecht, che ha curato gli interessi delle societí  Peppermint e Techland, nel richiamare le deduzioni formulate nei diversi procedimenti giudiziari, ha fornito altri elementi conoscitivi sul funzionamento del software utilizzato da Logistep nell’attivití  svolta su incarico delle altre due societí , allegando la perizia di un esperto del settore;

VISTA la nota del 19 giugno 2007 con la quale Logistep ha fornito altre informazioni in merito alla propria attivití  e ha comunicato l’avvio di un’attivití  di collaborazione con l’autorití  svizzera di protezione dati finalizzata a verificare la liceití  dell’attivití  svolta;

VISTA la comunicazione del 20 giugno 2007 con la quale l’autorití  polacca per la protezione dei dati ha rappresentato di aver effettuato un accertamento ispettivo e di aver rilevato che Techland non ha svolto direttamente le attivití  necessarie per individuare le persone che scambiano illecitamente su reti peer-to-peer il software da essa sviluppato, e che tali attivití  sono state svolte, su propria autorizzazione, da Logistep, nonché da Logistep Polska, e curate poi dallo studio legale italiano dell’avv. Otto Mahlknecht;

VISTA la nota del 22 giugno 2007 dell’autorití  per la protezione dei dati personali per la Bassa Sassonia;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito, “Codice”) e, in particolare, gli artt. 11, 13 e 122 del Codice;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO

1. Oggetto del provvedimento
Il presente provvedimento ha per oggetto la liceití  e correttezza del trattamento di dati personali relativi a utenti identificabili operanti su reti peer-to-peer (di seguito, anche “p2p”) che í¨ stato effettuato a cura dapprima di Logistep AG e Logistep Polska su autorizzazione di Peppermint e Techland e, poi, presso il predetto studio legale italiano. Tale trattamento í¨ avvenuto in due fasi:

a) la prima, í¨ consistita nella raccolta e nell’elaborazione automatizzata, anche nell’ambito di banche dati, di innumerevoli informazioni di carattere personale estratte tramite reti peer-to-peer per mezzo di un software denominato “file sharing monitor” (di seguito, fsm) utilizzato da Logistep;
b) la seconda, si í¨ basata sulla richiesta all’autorití  giudiziaria italiana in sede civile di ordinare a taluni fornitori di servizi di comunicazione elettronica di rivelare le generalití  degli intestatari degli interessati. A seguito di alcune prime pronunce del Tribunale di Roma che hanno provveduto in tal senso (cfr. causa Peppermint c/ Wind telecomunicazioni S.p.A., ordinanza del 18 agosto 2006 confermata, in sede di reclamo cautelare della Wind, con ordinanza del 22 settembre 2006 e, attualmente, in attesa che il giudice determini le modalití  di attuazione dell’ordinanza di accoglimento; causa Peppermint c/Telecom Italia S.p.A., ordinanza del 28/29 novembre 2006, riformata in sede di reclamo della Peppermint con ordinanza del 9 febbraio 2007), il predetto legale ha inviato diverse centinaia di lettere a persone individuate quali intestatari di una linea di collegamento a Internet. Con tali lettere si í¨ contestata la violazione dei diritti derivanti dalla produzione di fonogrammi e si í¨ proposta una risoluzione bonaria, alternativa anche alla denuncia in sede penale, basata sul rispetto di alcune condizioni comprensive di un versamento di 330 euro.

Il presente provvedimento non riguarda, invece, la connessa questione oggetto pií¹ specificamente delle predette controversie instaurate presso il Tribunale di Roma nelle quali si í¨ costituito anche il Garante e in cui, a modifica del primo orientamento giurisprudenziale sopramenzionato, il Tribunale ha statuito che i fornitori di servizi di comunicazione elettronica, allo stato della legislazione vigente, non possono comunicare in sede giurisdizionale civile a Peppermint e Techland i nominativi degli interessati ritenuti responsabili di violazioni del diritto d’autore in rete. Cií², stante la specifica disciplina della conservazione dei dati di traffico, prevista solo per finalití  di accertamento e repressione di reati (art. 132 del Codice; cfr. causa Peppermint e Techland c/Wind Telecomunicazioni S.p.A.,ordinanza 14 luglio 2007; causa Peppermint e Techland c/ Telecom Italia S.p.A.,ordinanza 14 luglio 2007; causa Peppermint c/ Wind telecomunicazioni S.p.A., ordinanza 26 ottobre 2007; cfr.,anche, comunicato stampa del 17 luglio 2007, pubblicato sul sito web dell’Autorití ).

Tale profilo della comunicazione dei dati di traffico í¨ stato esaminato, da ultimo, dalla Corte di giustizia delle Comunití  europee la quale si í¨ pronunciata su una questione per molti aspetti simile (sentenza 29 gennaio 2008, pronunciata nella causa C-275/06 Promusicae c/ Telefonica de Espana Sau).

La Corte ha confermato che il diritto comunitario consente agli Stati membri di circoscrivere all’ambito delle indagini penali o della tutela della pubblica sicurezza e della difesa nazionale -a esclusione, quindi, dei processi civili- il dovere di conservare e mettere a disposizione i dati sulle connessioni e il traffico generati dalle comunicazioni effettuate durante la prestazione di un servizio della societí  dell’informazione. La Corte ha rilevato che anche i dati di traffico conservati per finalití  di fatturazione non possono essere utilizzati in “controversie diverse da quelle insorgenti tra i fornitori e gli utilizzatori, relative ai motivi della memorizzazione dei dati avvenuta per attivití  previste dalle disposizioni [dell'art. 6 della direttiva 2002/58/Ce]” (cfr. art. 123 del Codice); da cií², ha escluso la possibilití  che tali dati potessero essere messi a disposizione per controversie civili relative ai diritti di proprietí  intellettuale (cfr. punto 48 della sentenza; artt. 15, n. 2, e 18 della direttiva 2000/31/Ce relativa a taluni aspetti giuridici dei servizi della Societí  dell’informazione, in particolare il commercio elettronico, nel mercato interno; artt. 8, nn. 1 e 2 direttiva 2001/29/Ce sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella societí  dell’informazione; art. 8 direttiva 2004/48/Ce sul rispetto dei diritti di proprietí  intellettuale; artt. 17, n. 2 e 47 Carta dei diritti fondamentali dell’Unione europea).

2. Risultanze istruttorie e funzionamento del software fsm
Nelle centinaia di lettere inviate a utenti in Italia, il legale che ha agito per conto di Peppermint ha dichiarato che sulla base dei risultati acquisiti grazie al predetto software “antipirateria” appositamente realizzato, ritenuto di assoluta affidabilití  e attendibilití , í¨ stato possibile accertare che:

*
ciascun destinatario delle lettere aveva violato il diritto d’autore a partire dalla linea di rete Internet risultante nella rispettiva titolarití , mettendo indebitamente file musicali a disposizione di terzi;
*
cií², risultava avvenuto mediante un software di condivisione contemporanea di file (c.d. peer-to-peer) che altri utenti risultavano aver utilizzato per connettersi al p.c. dei destinatari delle lettere e per scaricare i file musicali da una cartella a questo dedicata.

Lo scambio di file via Internet rientra nella nozione di “comunicazione” anche quando ha per oggetto contenuti protetti dal diritto d’autore, tenuto conto che la nozione stessa include lo “scambio o la trasmissione di informazioni”, “tramite un servizio di comunicazione elettronica accessibile al pubblico”, tra “un numero finito di soggetti” (cfr. art. 2, lettera d), primo periodo, della direttiva 2002/58/CE e art. 4, comma 1, lett. l) del Codice). Quest’ultimo riferimento tende a distinguere l’ambito delle “comunicazioni private” da quello delle “comunicazioni al pubblico”. La circostanza che il sistema peer-to-peer consenta l’accesso a un numero potenzialmente elevato di utenti non rende “infinito”, o del tutto indeterminabile, il numero dei soggetti della comunicazione. Quest’ultima, í¨ infatti rivolta non a una platea indistinta di utenti, ma a soggetti delimitati che possono essere identificati. Manca, tra l’altro, la simultaneití  e l’unicití  della trasmissione che sono caratteristiche qualificanti di una “comunicazione al pubblico” (come í¨ nel caso del “servizio di radiodiffusione” -c.d. broadcasting-, espressamente escluso dall’ambito applicativo della nozione di comunicazione elettronica: cfr., anche, art. 4, comma 2, lett. a) del Codice).

L’attivití  di ricognizione condotta da Logistep risulta essersi focalizzata su due importanti reti p2p, GNUtella e eDonkey e utilizzando il sistema software fsm, sviluppato integrando e modificando software liberamente disponibili sulla rete per collegarsi a reti p2p.

Il software fsm consente:

a) usuali operazioni effettuabili tramite i comuni client, eccettuata la condivisione di file eventualmente scaricati dalla rete;
b) l’archiviazione a scopo di documentazione di tutte le informazioni usualmente caratterizzate da “volatilití ”, perché non necessarie una volta che la trasmissione dei file í¨ avvenuta;
c) di correlare le attivití  sulle reti p2p di un determinato utente al variare dell’indirizzo Ip assunto, nonché del provider utilizzato (il clock del programma risulta sincronizzato con una sorgente esterna, mentre viene tenuta traccia dell’identificativo Guid, generato al momento dell’installazione dei client).

In sostanza, il software fsm permette di tenere traccia della disponibilití  in rete di un certo “contenuto”; di verificarne l’effettiva possibilití  di acquisizione, effettuandone lo scaricamento (download), ovvero la copia in rete dalle aree di condivisione degli utenti che ospitano quel contenuto verso i propri computer; di verificarne la segnatura digitale con algoritmo SHA1 o MD5 (in dipendenza dal protocollo p2p utilizzato); di controllarne la diffusione, verificando l’esistenza di altre condivisioni presuntivamente riferibili a una pregressa attivití  di “download” (sul presupposto che la quasi totalití  degli utenti che condividono uno specifico contenuto lo abbiano a loro volta acquisito da un’altra fonte nella rete, tranne eventualmente il soggetto che originariamente lo abbia messo per la prima volta in condivisione, con una specifica segnatura digitale).

In particolare, il sistema fsm consente la raccolta dei seguenti dati: indirizzi Ip dell’offerente, il nome e il valore Hash del file, la misure del file, l’user name, il Guid, la data e l’ora del download.

In altre parole, come emerge dalla stessa perizia prodotta dall’avv. Mahlknecht, il software fsm accerta da chi, e quando, viene offerto quale file per un downloading e da chi, quando e per quanto tempo viene effettivamente copiato tale file; riconosce i tentativi dei partecipanti di sistemi di condivisione file di modificare il loro indirizzo Ip; organizza tali informazioni in una banca dati.

Anche se non risulta in atti che il sistema fsm svolga attivití  intrusive o installazioni di software o di altri componenti sul terminale dell’utente che partecipa al file sharing, e sebbene non risultino allo stato significativi elementi di diversití  nelle modalití  di funzionamento di tale software rispetto ai normali client che agiscono sulle reti p2p, il trattamento svolto da Logistep su incarico di Peppermint e Techland non puí² comunque ritenersi lecito.

3. Profili di illiceití  e non correttezza del trattamento
Il trattamento in questione í¨ stato inizialmente effettuato a partire da un Paese (la Svizzera), dotata di una legge di protezione dei dati e che ha ratificato la Convenzione di Strasburgo n. 108/1981, e la cui autorití  di protezione dei dati ne ha gií  dichiarato, per questa parte, l’illiceití .

La Préposé fédéral í  la protection des donne et í  la transparence (PFPDT), con una recente pronuncia adottata all’esito di un procedimento avviato anche su impulso di questa Autorití , ha ritenuto che il trattamento svolto da Logistep su incarico di Peppermint e Techland e che ha riguardato anche informazioni memorizzate su p.c. di utenti italiani, ha violato alcuni princí¬pi fondamentali della legge federale sulla protezione dei dati personali (decisione del 9 gennaio 2008).

E’ risultato in particolare violato il principio di liceití  (in ragione del fatto che la raccolta dei dati í¨ stata effettuata in mancanza di una base legale esplicita). Si í¨ ritenuto in secondo luogo violato il principio di finalití  (in quanto la registrazione sistematica dei dati degli utenti ha perseguito scopi diversi da quelli tipici delle reti peer-to-peer). Non sono stati, altresí¬, rispettati i princí¬pi di buona fede e trasparenza, in quanto la raccolta dei dati í¨ avvenuta senza che gli interessati potessero esserne consapevoli (sia per le circostanze nelle quali la raccolta í¨ avvenuta, sia perché non informati) e i dati possono essere stati raccolti all’insaputa di abbonati che non sono, necessariamente, i soggetti coinvolti nello scambio dei dati. Infine, í¨ risultato violato il principio di proporzionalití  (in quanto il diritto alla segretezza delle comunicazioni í¨ risultato limitabile solo nell’ambito di un bilanciamento con un diritto di pari grado e, quindi, allo stato, non per l’esercizio di un’azione civile).

Non risultano in atti elementi pií¹ specifici di valutazione delle modalití  di trattamento di dati che í¨ stato effettuato a cura di Logistep Polska, il quale, qualora si sia svolto con le modalití  sopraindicate, si í¨ posto anch’esso in violazione dei princí¬pi di trasparenza, finalití , correttezza e buona fede richiamati sia dalla Convenzione di Strasburgo, sia dalla direttiva 95/46/Ce e dalla stessa disciplina nazionale di protezione dati (cfr. art. 5 Conv. n. 108/1981 cit., art. 6 direttiva 95/46/Ce).

I trattamenti in esame, effettuati in modo massivo e capillare per un periodo di tempo prolungato e nei riguardi di un numero elevato di soggetti, hanno consentito di tenere traccia analitica delle operazioni compiute da innumerevoli, singoli utenti relativamente a specifici contenuti protetti dal diritto d’autore.

Per le modalití  con le quali la raccolta dei dati í¨ stata svolta, si í¨ configurata un’attivití  di monitoraggio vietata a soggetti privati dalla direttiva 2002/58/Ce (art. 5; cfr. art. 122 del Codice).

Le reti p2p sono finalizzate allo scambio fra utenti di dati e file per scopi sostanzialmente personali, mentre il software fsm “non í¨ destinato allo scambio di dati, ma al monitoraggio ed alla ricerca di dati, che utenti di reti P2P mettono a disposizione a terzi” (cfr. nota del 5 luglio 2007 dell’Avv. Otto Mahlknecht). I dati che gli utenti mettono in rete possono essere utilizzati per le finalití  per le quali tale pubblicazione avviene (cfr., fra gli altri, Provv. del 14 giugno 2007, doc. web n. 1424068). L’utilizzo dei dati dell’utente delle reti peer-to-peer puí², quindi, avvenire per le finalití  sue proprie e non gií , in modo non trasparente, per scopi ulteriori, quali quelli perseguiti da Logistep, Peppermint e Techland.

Il trattamento í¨ risultato viziato anche sotto il profilo della trasparenza e della correttezza, posto che non í¨ stata fornita alcuna informativa preliminare agli utenti. Dalla descrizione resa dalle societí  sul funzionamento del software fsm si í¨ potuto rilevare che, mentre gli indirizzi Ip sono stati acquisiti da un terzo rispetto agli utenti (il tracker), gli altri dati (ossia, i file offerti in condivisione, data e ora del download) sono stati raccolti direttamente presso gli interessati.

Il Tribunale di Roma ha riconosciuto, per tali informazioni, la natura di “dati personali” relativi a utenti identificabili i quali dovevano essere informati di tale ulteriore e inatteso trattamento (v. anche Parere del Gruppo Art. 29 del 18 gennaio 2005 in materia di diritti di proprietí  intellettuale, nel quale í¨ stato rilevato che nessun dato personale puí² essere raccolto senza che l’interessato sia correttamente e preventivamente informato, in maniera trasparente, sulle eventuali modalití  di controllo e sull’identití  del soggetto che lo effettua, prima che il trattamento abbia inizio e prima che l’interessato fornisca i dati personali attraverso il download Working document on data protection issues related to intellectual property rights – January 18, 2005 – WP104.pdf).

4. Conclusioni
Come premesso, una seconda fase del trattamento dei dati connesso all’invio delle lettere í¨ avvenuta nel territorio dello Stato, utilizzando dati personali relativi a persone identificabili e raccolti illecitamente.

Si rende pertanto necessario, a definizione della complessa istruttoria preliminare, provvedere in ordine all’ulteriore utilizzazione di tali dati sul territorio dello Stato. Cií², senza che occorra proseguire gli accertamenti per verificare anche se, e in quale misura, la disciplina italiana di protezione dei dati trovi in tutto o in parte applicazione anche alla prima fase di raccolta automatizzata dei dati, alla luce della disposizione normativa secondo cui la legge italiana si applica ai trattamenti effettuati da soggetti stabiliti nel territorio di un Paese non appartenente all’Unione europea il quale impieghi, per il trattamento, strumenti situati nel territorio dello Stato (quali i p.c. degli utenti italiani, dai quali Logistep ha chiaramente tratto gli indirizzi Ip: art. 5 del Codice).

In ragione delle predette risultanze non possono che confermarsi le valutazioni di illiceití  e non correttezza gií  tratteggiate nelle memorie di costituzione in giudizio nelle controversie dinanzi al Tribunale di Roma -“e note alle controparti -“, e conseguentemente disporsi il divieto nei confronti delle predette tre societí  di ulteriore utilizzazione dei dati personali raccolti illecitamente, nonché la loro cancellazione entro il termine del 31 marzo 2008.

TUTTO CIí’ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice dispone, nei termini di cui in motivazione, nei confronti di Peppermint Jam Records GmbH, Techland sp. z. o.o. e Logistep AG, il divieto dell’ulteriore trattamento dei dati personali relativo a soggetti ritenuti responsabili di aver scambiato file protetti dal diritto d’autore tramite reti peer-to-peer e ne dispone la cancellazione entro il termine del 31 marzo 2008.

Roma, 28 febbraio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli