Dichiarazioni dei redditi online, il Garante: stop anche agli utenti

Dopo tante polemiche finalmente è arrivato il parere ufficiale del Garante per la protezione dei dati personali in merito all’iniziativa dell’Agenzia delle entrate la quale ha reso accessibili via internet, sebbene per poche ore, tutti i dati riguardanti le dichiarazioni dei redditi degli italiani per l’anno 2005 comprensive dei nominativi dei contribuenti.

In sintesi, le motivazioni per cui il Garante ha ritenuto illegittima l’attività posta in essere dall’Agenzia delle entrate sono:

a) carenza di potere: al direttore dell’Agenzia delle entrate non spetta la competenza di decidere la modalità di diffusione dei dati, che è invece riservata al Legislatore;

b) mancanza di proporzionalità nel trattamento dei dati: nelle parole del Garante, infatti

L’uso di uno strumento come Internet rende indispensabili rigorose garanzie a tutela dei cittadini. L’immissione in rete generalizzata e non protetta dei dati di tutti i contribuenti italiani (non sono stati previsti “filtri” per la consultazione on line) da parte dell’Agenzia delle entrate ha comportato una serie di conseguenze: la centralizzazione della consultazione a livello nazionale ha consentito, in poche ore, a numerosissimi utenti, non solo in Italia ma in ogni parte del mondo, di accedere a innumerevoli dati, di estrarne copia, di formare archivi, modificare ed elaborare i dati stessi, di creare liste di profilazione e immettere ulteriormente dati in circolazione, ponendo a rischio la loro stessa esattezza. Tale modalità ha, inoltre, dilatato senza limiti il periodo di conoscibilità di dati che la legge stabilisce invece in un anno.

c) mancata richiesta di parere preventivo al Garante;

d) la mancata informativa ai contribuenti sulla modalità di diffusione dei dati, invece, viene anticipata in questo provvedimento ma sarà oggetto di una decisione ad hoc.

Il contenuto del provvedimento non giunge inaspettato, come ho scritto infatti per Apogeo qualche giorno fa proprio in merito alla vicenda in questione, i criteri adottati dal Garante per situazioni di questo tipo si basano sulla verifica dell’effettiva necessità del trattamento (esistenza di una norma di legge che imponga la pubblicazione dei dati su Internet) e proprozionalità del trattamento (mantenimento online dei dati per il solo tempo strettamente necessario al trattamento nonché accorgimenti tecnici per evitare indicizzazione e memorizzazione nella cache da parte dei motori di ricerca al fine di garantire il diritto all’oblio).

Quello che stupisce nel contenuto del provvedimento è l’ulteriore divieto posto ai soggetti che hanno scaricato i dati e ai mezzi di informazione. Si legge nel provvedimento, infatti, che:

L’Autorità ha altresì specificato che va ritenuta illecita anche l’eventuale ulteriore diffusione dei dati dei contribuenti da parte di chiunque li abbia acquisiti, anche indirettamente, dal sito Internet dell’Agenzia. Tale ulteriore diffusione può esporre a conseguenze di carattere civile e penale.

Resta fermo il diritto-dovere dei mezzi di informazione di rendere noti i dati delle posizioni di persone che, per il ruolo svolto, sono o possono essere di sicuro interesse pubblico, purché tali dati vengano estratti secondo le modalità attualmente previste dalla legge.

Come è noto, la modalità di accesso ai dati prescelta dai tecnici dell’Agenzia delle entrate imponeva all’utente di scaricare un file zip sul proprio hard disk. Solo in questo modo si poteva accedere agli elenchi. E’ proprio per questo motivo, per la sfortunata scelta di imporre il salvataggio dei dati per permetterne la visualizzazione, cioè, che essi sono stati salvati e, di conseguenza, potevano potenzialmente essere diffusi.

Una modalità tecnica di consultazione direttamente online senza il bisogno di scaricare alcunché avrebbe certo limitato il danno a cui stiamo assistendo. Senno di poi, comunque.

I file originali dell’Agenzia delle entrate, in ogni modo, sono dei semplici file di testo non dotati di firma elettronica nè semplice nè qualificata. In poche parole, chiunque poteva adulterarli. La domanda, quindi, è: se anche un solo nome o un solo reddito è stato adulterato, si tratta ancora di uno dei file che cade nel divieto di diffusione?

Sui sistemi di file sharing circolano anche molti fake (tra i classici: la dichiarazione dei redditi di Nazareth e quella dei primi 100 bloggers in classifica su Blogbabel), non tutti palesemente tali.

Da notare che le date di salvataggio dei file non sono indicative dell’autenticità degli stessi: lo stesso ministro Visco aveva dichiarato che i file erano pronti da gennaio ma alcuni tra i file scaricati direttamente dal sito dell’Agenzia le date di salvataggio erano posteriori.

Cosa dovrebbero fare le procure, nell’ipotesi in cui volessero effettivamente bloccare la diffusione dei file nei circuiti peer to peer? Analizzare forensicamente gli hash dei file originali dell’Agenzia e paragonarli a quelli in circolo, e in caso di matching risalire agli ip di chi li sta condividendo. Ma ciò non basterebbe, perchè se anche il file è stato semplicemente rinominato, o modificato o cancellato un solo dato (lasciando così potenzialmente immutata l’offensività del resto del contenuti del file) l’hash cambia e tale controllo non è più possibile. E andrebbe rifatto manualmente confrontando i contenuti dei file. Non impossibile, ma un lavoraccio.

Posto che l’avviso del Garante ha l’ovvio e giustificato fine di limitare gli effetti deleteri di un danno ormai fatto a cui neppure un risarcimento forfetario può dare riparo (e i tempi non sono comunque maturi: gli effetti, specie individuali, potrebbero verificarsi in futuro) e consistente – soprattutto – nella diffusione di dati aggregati ordinati per comuni, rimane anche il problema dell’attività dei mezzi di informazione.

E’ o non è coperto dal diritto di cronaca rendere noti quali file stanno ormai circolando e in che forma?

E se si, può il provvedimento del Garante prevalere su tale diritto?

In sintesi, l’illegittimità dell’attività dell’Agenzia delle entrate assume, con il mezzo telematico, una valenza duplice. Da un lato, infatti, ha propagato a macchia d’olio i file rendendo di fatto il fenomeno inarginabile. Dall’altro ha propagato a macchia d’olio l’illegittimità stessa, coinvolgendo nello stato soggettivo di esposizione a conseguenze di legge anche chi quei file li ha scaricati e che, per stare completamente al sicuro e non rispondere eventualmente per omissione di controllo, dovrebbe procedere a cancellarli. Un pò, se mi si consente la metafora e la si prende per quello che è (e cioè solo una metafora narrativa e non una equiparazione fra due diversi istituti giuridici), come i falsari che distribuiscono banconote false e coinvolgono nel reato anche le persone che si trovano loro malgrado e incolpevolmente a maneggiare il denaro falso. Catene inconsapevoli di una circolazione illegale e soggetti responsabili dal momento in cui sono coscienti della falsità della banconota e la mantengono in circolo.

Di certo quello che è successo è un memento importante che dovrà essere oggetto di studio tecnologico e giuridico e ben ponderato per evitare in futuro che l’utilizzo delle nuove tecnologie da parte dello Stato porti a situazioni imbarazzanti come quella che è accaduta.

Annunci

Remixate i Radiohead, e leggete oltre le clausole

Dal blog di Mantellini mi giunge la notizia che i Radiohead hanno reso disponibili parti del brano “Nude” scaricabili a pagamento e remixabili dagli utenti. Si tratta di cinque elementi: basso, batteria, voce, chitarra, string fx. E si tratta di un nuovo modello di business.

Ogni singolo elemento, infatti, viene 99 centesimi da Itunes Store. Gli acquirenti possono usarli per fare un remix che verrà caricato sul sito. Anche se non si tratta di un concorso a premi, ogni singolo remix può essere votato e salire nei posti in classifica. In sintesi si paga per fare i remix, e poi si cedono i diritti d’autore sugli stessi.

Dai termini d’uso del servizio leggo, infatti, che le parti possono essere usate solo e unicamente per realizzare i remix caricati (“the Entrant will not use any other elements or parts of the Song (“Stems”) otherwise than to create Remixes of the Song for entry into radioheadremix.com“) e che l’autore dei remix non può vantare diritti in merito alle canzoni remixate (” the Entrant will not acquire a copyright interest in the Song by virtue of creating Remixes of the Song“) e che i Radiohead e la casa discografica saranno i soli titolari dei diritti morali anche per i remix (“Thom Yorke, Jonny Greenwood, Colin Greenwood, Ed O’Brien and Phil Selway will be registered and credited as the sole writers and WCM the publishers of the Remixes of the Song created by the Entrant“) e che l’autore dei remix non sfrutterà o lascerà che altri sfruttino i remix creati senza ricevere il reventivo consenso scritto della Warner/Chappell Music Ltd e di _Xurbia _Xendless Ltd (“the Entrant will not exploit, or allow others to exploit, the Remixes of the Song created by the Entrant without seeking the prior approval of WCM and Xurbia“).

Detto questo, è però vero che ogni remix riporta il nome dell’autore e il link al relativo sito (con la conseguenza che il diritto morale alla paternità del remix è, di fatto, riconosciuto).

Ed è vero anche che gli autori dei remix si stanno misurando nella creazione di veri e propri capolavori. Alcuni dal punto di vista musicale, altri nell’usare questa opportunità come un formidabile mezzo di espressione e di creazione di user generated content. Ad esempio il pezzo di HipsterRunoff che esordisce esprimendo il proprio stupore per questa operazione dei Radiohead (“my girlfriend and I have matching Kid-A tattoes“) e racconta di come l’industria musicale abbia oltrepassato ogni limite dai Metallica a Napster e alla crescita di Limewire, Bearshare, Pirate Bay. E lo trovo bello. Sia il remix che l’uso fattone. Quindi appoggio in pieno questa iniziativa e la creatività che sta generando.

In ogni modo, in qualità di studiosa delle nuove tecnologie e delle relative problematiche giuridiche (disclaimer necessario che motiva sia il perché delle mie ricerche sia il perchè della loro divulgazione ;)), segnalo che, alla fine, i remix possono essere direttamente scaricati dal sito controllando il codice della pagina. E’ così semplice che non mi metto nemmeno a rivelare come ma non serve fare hacking: i dati sono in chiaro.

E penso alla clausola dei termini d’uso che vieta all’autore dei remix di permettere che “altri” li sfruttino senza un permesso scritto, chiedendomi se la divulgazione dei remix al di fuori del sito ufficiale rientri nel concetto di “exploit”, e cioè di “sfruttamento”. Poichè i diritti concessi sulle parti del brano sono utilizzabili per il solo scopo di caricare i relativi remix sul sito, sembrerebbe di no.

Ne consegue che prima di scrivere contratti che pongono divieti, bisognerebbe adeguatamente controllare che le piattaforme tecnologiche da cui si eroga il servizio non abbiano falle tali che ne frustrino lo scopo e rendano impossibile attribuire eventuali violazioni a chi aderisce in buona fede ai termini del contratto ed è l’unico, rispetto alla collettività, formalmente obbligato.

Slashdot effect sul nuovo comma dell’articolo 70

Leggo da Webgolr che Slashdot ha ripreso l’articolo di ieri di Repubblica:

“plainwhitetoast recommends an article in La Repubblica.it — in Italian, Google translation here. According to Italian lawyer Andrea Monti, an expert on copyright and Internet law, the new Italian copyright law would authorize users to publish and freely share copyrighted music (p2p included). The new law, already approved by both legislative houses, indeed says that one is allowed to publish freely, through the Internet, free of charge, images and music at low resolution or “degraded,” for scientific or educational use, and only when such use is not for profit. As Monti says in the interview, those who wrote it didn’t realize that the word “degraded” is technical, with a very precise meaning, which includes MP3s, which are compressed with an algorithm that ensures a quality loss. The law will be effective after the appropriate decree of the ministry, and will probably have an impact on pending p2p judicial cases”

Colgo subito il lato ironico della cosa sottolineando che Slashdot ha, per l’occasione, inaugurato una nuova tag: “fortunatemistake” ed ha ignorato la replica di Mazza presente nello stesso articolo. A questo punto l’uscita del decreto ci sta a cuore quasi quanto la salute mentale di Britney Spears: chi sa divulghi. Coraggio, siamo ancora in tempo ad evitare la tag “Ennesimo pasticcio italiano” e “Pizza, copyright and mandolinos”.

Degradazione e didattica: Monti e Mazza su Repubblica e nuove perplessità

Su Repubblica.it di ieri un articolo di Alessandro Longo con una breve botta e risposta tra Andrea Monti, avvocato e coautore di Spaghetti Hacker ed Enzo Mazza, presidente della FIMI, sul nuovo comma dell’articolo 70 della legge sul diritto d’autore per il quale è libero su Internet l’utilizzo di immagini e musiche, degradate o a bassa risoluzione, a fini didattici o scientifici.

Riprendo parte dell’intervista a Monti:

“Chi l’ha scritto non si è reso conto che il termine “degradate” è tecnico, ha un significato ben preciso, che comprende anche gli mp3, a pieno titolo”, dice Monti. Come sanno tutti gli appassionati di musica su internet, infatti, gli mp3 sono una versione degradata (perché compressa) della musica originale. Dipende poi dal livello di compressione mp3 se questa degradazione è più o meno udibile dall’orecchio umano. Di conseguenza, il comma permetterà “di pubblicare mp3 coperti da copyright, senza autorizzazione dai detentori di diritto d’autore: su siti web o anche su server peer to peer, il mezzo non conta”.

Replica Mazza:

“La legge non ci preoccupa perché sappiamo già come sarà il decreto che fisserà i paletti. E per uso didattico si intenderanno solo i siti che si occupano ufficialmente di didattica, quindi istituzioni accademiche. Nemmeno i siti personali di professori”.

Sul nuovo comma l’ottimismo va usato con cautela (o “degradazione”): come ho scritto recentemente per Apogeonline i problemi interpretativi posti dal nuovo comma sono di non poco conto, a partire dall’utilizzazione del termine “immagine”, il cui significato in sè non si riferisce solo a quanto è immagine ab origine (ad esempio un quadro) ma ricomprende tutto ciò che può essere reso immagine (ad esempio una foto di una statua o di un’opera architettonica) e si confonde, quindi, con il concetto di riproduzione.

Una “svista” anche questa o un’intenzionale estensione del “fair use” per la didattica e la scienza?
I problemi dei file audio sono proprio quelli che evidenziano Monti e Mazza nell’articolo.

C’è l’incognita che l’mp3 (certamente rientrante nel concetto di “degradazione” per quello che ne sappiamo adesso, e cioè in attesa del decreto attuativo del comma) può avere un bitrate più o meno basso (la media qualità per la pubblicazione via ftp è di 128) e quindi, presumibilmente, il decreto indicherà sia il formato e la risoluzione delle immagini che il formato e il bitrate dei file audio. Sperando, per questi ultimi, che non si privi di efficacia il disposto del comma riducendo tutto ai midi (il cui livello qualitativo è praticamente quello delle suonerie per cellulari non polifoniche). Il mezzo di utilizzazione può non contare: a condizione che l’utilizzazione dell’opera sia contestualizzata in un ambito didattico o scientifico collegato a quell’opera, niente esclude che si utilizzi il simbolo del male in terra, e cioè un canale peer to peer.
E c’è l’incognita dell’affermazione di Mazza che sostiene di conoscere già il testo del decreto e che l’applicazione dell’eccezione sarà limitata alle sole istituzioni accademiche riconosciute. Quest’ultima precisazione, qualora fosse vera, avrebbe una portata devastante perché riconoscerebbe solo a tali istituzioni la possibilità di utilizzare le risorse indicate a fini didattici e scientifici. Non si tratterebbe di un allargamento del fair use ma di una restrizione di libertà che prima erano presenti.

L’articolo 70, dal 1941 ad oggi, non è mai stato limitato alle sole istituzioni accademiche riconosciute. L’eccezione prevista, nel rispetto dell’utilizzazione di sole parti di opere e nel divieto di utilizzazioni commerciali, è valida per chiunque utilizzi opere tutelate a fini di critica, insegnamento, discussione, ricerca scientifica. In poche parole, in assenza di fini commerciali, chiunque può utilizzare nei contesti indicati dall’articolo brani o parti di opere. Di qualunque tipologia esse siano. Proprio Folena in risposta alle numerose critiche immediatamente successive all’emanazione del nuovo comma nel suo blog specificava che:

“Se ho un blog didattico, un sito scientifico, a norma dell’articolo 70 non posso pubblicare opere coperte da altrui diritto d’autore, per intero. Ad esempio se ho un sito didattico sulla fotografia, non posso pubblicare un’opera di un grande fotografo come H.Newton né un file audio con una canzone di un cantante famoso, per esempio Vasco Rossi. Ma neppure la foto al microscopio di una cellula, se coperta da diritto d’autore.
Con questa nuova norma, invece, previa definizione dei criteri da parte del ministero (noi avremmo voluto scriverli direttamente nella norma, ma abbiamo accettato una mediazione) questo sarà possibile. Ovviamente a certe condizioni (di qui la minore risoluzione o la degradazione) in modo tale che non si entri in contrasto con l’utilizzazione economica dell’opera stessa“.

I grassetti sono miei, ma è evidente che nel pensiero di Folena l’eccezione riguarda le finalità dell’uso (didattico, scientifico e non commerciale) e non la qualifica dell’utilizzatore.

Proprio poichè è giustissimo prevedere che tutto il settore scolastico ed accademico debba godere delle massime tutele ed estensioni delle libertà già presenti, limitare l’eccezione ai soli enti che hanno una qualifica fa apparire la libertà costituzionale di fare didattica e ricerca scientifica, in assenza di concorrenza ai diritti di sfruttamento economico degli autori, una concessione ai soli enti autorizzati anzichè un diritto di tutti.

Fino a che non vedremo il decreto, comunque, sono tutte supposizioni, ma dopo tante discussioni un pò d’ironia è d’obbligo: se è vero che il testo del decreto già esiste sarebbe bello, a questo punto, che circolasse illegalmente nei circuiti peer to peer prima che nella Gazzetta Ufficiale.
Più 2.0 di così.

File sharing: è sempre reato

La notizia che un gip e un pm di Roma abbiano archiviato una denuncia contro ignoti io l’ho appresa ieri sera dalla mirifica dashboard del mio tumblr poco dopo la diretta dal senato e dove veniva riportato il trafiletto di Repubblica, riportato anche da Italia Oggi (grazie a Elena per la scansione dell’articolo). Ho segnalato subito che chi aveva riportato la notizia aveva, con ogni probabilità, frainteso la richiesta di archiviazione del Gip e titolato male. I reati esistono, previsti dagli articoli 171-bis e seguenti della legge sul diritto d’autore, come chiarisce anche punto informatico oggi. La motivazione della richiesta di archiviazione, più probabilmente, riguardava l’assenza di responsabilità di chi gestisce l’autenticazione degli utenti che utilizzano i programmi di file sharing. E, infatti, loro forniscono solamente un servizio, è poi il singolo utente che può utilizzarlo violando o meno le disposizioni di legge, rimanendo l’unico responsabile per le proprie azioni. L’articolo di Repubblica, infatti prosegue con la parte più importante della richiesta di archiviazione che evidenzia come la responsabilità penale analizzata riguardava i gestori dei server centrali:

Nella richiesta di archiviazione il pm spiega che “nell’ambito della condivisione telematica del sistema ‘peer to peer’ lo scambio avviene direttamente, tra due utenti finali, senza l’intermediazione di un server centrale, il quale svolge semplicemente una funzione di collegamento del tutto generica e inizialmente solo di autenticazione degli utenti, nel momento in cui costoro accedono al sistema”. In questo caso, “i siti internet deputati a tale attivita’ (www.bearshare.com, http://www.emuleitalia.net, http://www.bittorrent.com) – prosegue – si limitano ad autenticare l’utente che viene successivamente smistato verso altre reti ibride e decentralizzate in tutto il mondo”.

Con ogni probabilità la denuncia poi archiviata si inserisce tra in numerosi tentativi di criminalizzare una tecnologia (quella su cui si basano i programmi di file sharing, appunto) dato che ogni tentativo di regolamentarne l’uso risulta vano. Aspettiamo, comunque, che venga reso pubblico il testo del provvedimento.

Caso Peppermint: il Garante apre un procedimento di controllo

Sempre sulla vicenda Peppermint, è in queste ore emersa una importante notizia sul fronte delle problematiche relative la questione “privacy” : L’Autorità Garante per la protezione dei dati personali ha instaurato un procedimento amministrativo di controllo per verificare autonomamente la liceità e la correttezza dei trattamenti dei dati personali effettuati dalla Peppermint e dalla Techland unitamente alla Logistep AG.
La notizia è data dal Garante stesso in risposta a Fiorello Cortiana, la comunicazione è reperibile sul forum del Sen. Cortiana.

Le transazioni bonarie di Peppermint

Segnalo su Apogeonline il mio articolo sul caso dei 3.636 utenti italiani di reti peer to peer destinatari di richieste di risarcimento da parte della casa discografica tedesca Peppermint.

Le cosidette “peer to peer lawsuits” sono ormai una latest fashion, non solo infatti le raccomandate sono state inviate ad utenti italiani, ma anche francesi, tedeschi ed inglesi mentre negli Stati Uniti, dove tali azioni sono una prassi consolidata, la RIIA ha predisposto un “comodo” sito ad hoc per le conciliazioni online. La vicenda è sicuramente destinata ad avere risvolti, che seguiremo in questi giorni.

Link: Le transazioni bonarie di Peppermint, su Apogeonline