Innovation Law Insights

Privacy

Le nostre raccomandazioni su come gestire il trasferimento dei dati personali dopo la sentenza Schrems II

Il nostro team privacy ha fornito delle raccomandazioni sulla gestione del trasferimento di dati personali dopo la sentenza Schrems II per aiutare le aziende in questi giorni caotici.

La sentenza c.d. Schrems II della Corte di Giustizia dell’Unione europea ha portato all’invalidazione del Privacy Shield e ha creato incertezze rispetto alle clausole contrattuali standard, sollevando diversi interrogativi su come affrontare il trasferimento dei dati ai quali cerchiamo di dare delle raccomandazioni.

Il Comitato europeo per la protezione dei dati ha pubblicato alcune FAQ che chiariscono la sua posizione su alcuni dei punti che emergono dalla decisione che possono essere illustrate come segue:

1. i criteri stabiliti dalla CGUE si applicano non solo al Privacy Shield, ma a qualsiasi meccanismo di trasferimento dei dati, comprese le clausole contrattuali standard e le binding corporate rules;
2. non ci sarà un periodo di tolleranza, il Privacy Shield è immediatamente invalido, ma l’EDPB non ha indicato se i garanti privacy europei inizieranno immediatamente ad emettere sanzioni contro i trasferimenti di dati che non rispettano i criteri stabiliti dalla CGUE;
3. la decisione non si applica solo ai trasferimenti di dati verso gli Stati Uniti, ma i suoi criteri si applicano a qualsiasi trasferimento di dati al di fuori del SEE;
4. un trasferimento di dati non si verifica solo quando i dati sono memorizzati al di fuori del SEE, ma anche quando si fornisce l’accesso a dati provenienti da un paese terzo, ad esempio a fini amministrativi, equivale a un trasferimento;
5. non si può più fare affidamento sul Privacy Shield, ma - anche se si utilizzano altri meccanismi di trasferimento dei dati - è necessario eseguire una valutazione caso per caso tenendo conto delle circostanze dei trasferimenti, compresa la possibilità che la legislazione del paese terzo SEE consenta di rispettare gli obblighi previsti dagli SCC e dai BCR, e le misure supplementari che si potrebbero attuare;
6. gli obblighi derivanti dalla sentenza Schrems II si applicano anche al seguito dei trasferimenti effettuati dai subprocessori, e pertanto l’intero processo sarà riesaminato;
7. se la società concludete che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non sarebbero garantite adeguate garanzie sul trasferimento dei dati, è tenuta a sospendere o a porre fine al trasferimento dei dati personali al di fuori del SEE;
8. se la conclusione sulla conformità del trasferimento dei dati alla soglia stabilita dalla CGUE è negativa, ma intendete continuare a trasferire i dati nonostante tale conclusione, deve informare il garante privacy competente.

Con i nostri colleghi di DLA Piper abbiamo messo a punto una metodologia per valutare il rischio derivante dal trasferimento dei dati alla luce della soglia stabilita dalla CGUE e delle azioni da intraprendere, anche attraverso clausole aggiuntive e misure tecniche raccomandate. Questo strumento è molto utile in quanto si basa su un sistema di scoring che ha lo scopo di fornire una valutazione il più possibile obiettiva per sostenere la decisione rispetto a possibili contestazioni.

Per effettuare la valutazione e adottare le misure che consentono di mitigare i rischi derivanti dal trasferimento dei dati dopo la sentenza Schrems II, le raccomandazioni sono le seguenti:

1. identificare i trasferimenti di dati, partendo dal registro dei trattamenti dei dati e dagli accordi più rilevanti per l’azienda e i trasferimenti di dati verso i paesi più a rischio di contestazioni che includono non solo quelli verso gli Stati Uniti, ma anche altri paesi come la Cina o la Russia;
2. valutare il regime giuridico in vigore nel paese terzo, a questo scopo ci stiamo coordinando con i nostri colleghi di DLA Piper nelle diverse giurisdizioni per fornire la valutazione più accurata;
3. valutare le ulteriori protezioni disponibili che possono includere misure tecniche come la crittografia e/o le ulteriori garanzie contrattuali adottate, tenendo presente che - come sottolineato dall’EDPB - anche il semplice accesso ai dati personali innesca un trasferimento di dati;
4. valutare il danno potenziale e la sua probabilità per gli individui, tenendo conto - tra l’altro - delle tipologie di dati personali che vengono trasferiti e del rischio di azioni di sorveglianza da parte del paese estero; e
5. prendete la decisione finale, affidandovi al nostro sistema di scoring che sarà il supporto per un rapporto interno di autovalutazione, necessario ai fini della responsabilità in caso di problemi.

Per quanto riguarda l’ultimo punto, il riferimento da parte dell’EDPB alla necessità di notificare il trasferimento dei dati all’autorità per la protezione dei dati competente se si intende continuare a trasferire i dati, nonostante la conclusione negativa della valutazione, non è affatto chiaro. Se la valutazione è negativa, perché il trasferimento dei dati dovrebbe continuare? Qual è lo scopo della notifica? È un processo simile alla consultazione preventiva di cui all’articolo 36 del GDPR?

Non crediamo che l’invalidazione del meccanismo del Privacy Shield nel suo complesso incida sulla conformità alla GDPR di qualsiasi trasferimento di dati verso gli Stati Uniti, e non crediamo che qualsiasi trasferimento debba essere notificato all’autorità competente per la protezione dei dati. Ma non c’è dubbio che la valutazione di cui sopra è necessaria per difendere la vostra attività da potenziali contestazioni e sanzioni.

Il Garante privacy norvegese emette una sanzione per illecito trattamento di dati relativi alla salute di minori su una piattaforma di e-learning

Il 10 luglio 2020 la Datatilsynet, il garante privacy norvegese, ha annunciato di aver comminato a un Comune una sanzione di NOK500.0000,00 (circa EUR46.700,00) per il trattamento dei dati relativi alla salute di minori affetti da disabilità, tramite una piattaforma di e-learning, in violazione delle previsioni del Regolamento UE 2016/679 (il GDPR).

Tale sanzione costituisce l’epilogo di un procedimento iniziato nel marzo 2020, quando il garante privacy norvegese aveva inviato una contestazione alla municipalità per mancata conformità alla normativa privacy vigente rispetto ai trattamenti effettuati tramite la piattaforma. In particolare, da quanto è emerso dalla ricostruzione fornita, la violazione coinvolge 15 studenti con disabilità psico-motorie, rispetto ai quali la piattaforma di apprendimento digitale era stata impiegata per lo scambio di informazioni afferenti lo stato di salute dei suddetti minori tra le scuole e le relative famiglie. La Datatilsynet ha altresì osservato che, prima del lancio dell’applicazione, il Comune:

1. non aveva condotto una valutazione d'impatto sulla protezione dei dati (DPIA) ex articolo 35 del GDPR, e
2. non aveva adottato misure tecniche e organizzative adeguate ai sensi dell'articolo 32 del GDPR, aumentando di fatto il rischio di accesso non autorizzato ai dati personali degli studenti e integrando altresì una violazione del principio di accountability, ai sensi dell'articolo 5, paragrafo 2, del GDPR.

A seguito della ricezione della notifica di cui sopra, il Comune aveva rilevato come tali violazioni non avessero comunque esposto i minori coinvolti ad alcun danno, né materiale né morale. Tuttavia, nel comunicato da ultimo pubblicato, l’autorità per la protezione dei dati personali norvegese ha evidenziato come le violazioni afferenti la sicurezza del trattamento costituiscano esse stesse un rischio, indipendentemente dal fatto che il rischio determini o meno un danno in capo alle persone coinvolte. Pertanto, dato tutto quanto precede e, soprattutto, considerata la particolare sensibilità del trattamento effettuato, coinvolgendo dati di minori afferenti le condizioni di salute, la Datatilsynet ha ritenuto che la sanzione di NOK500.0000,00 fosse adeguata alle violazioni riscontrate nel contesto di riferimento.

Technology Media & Telecom

La Commissione europea avvia un’indagine antitrust nel settore dell’IoT

Il 16 luglio 2020, la Commissione europea ha avviato un’indagine antitrust nel settore dell’Internet of Things (IoT) per i prodotti e servizi collegati alla rete che possono essere controllati a distanza e pensati per l’utilizzo da parte dei consumatori. L’obiettivo della Commissione è di acquisire una maggiore conoscenza della tecnologia IoT al fine di garantire una più efficace applicazione del diritto della concorrenza in questo settore.

La Commissione ha rilevato come negli ultimi anni vi sia stata una costante crescita del mercato dell’IoT lato consumatori, prevedendo che nei prossimi anni questi devices entreranno a far parte della vita quotidiana di tutti i cittadini europei. Tuttavia, oltre alle numerose possibilità offerte, l’utilizzo diffuso dell’IoT porta con se anche dei rischi relativi soprattutto all’enorme quantitativo di dati raccolti e trattati da parte dei fornitori di queste tecnologie. In particolare, l’accesso a questi dati e la disponibilità di tali informazioni relative ai consumatori rappresenterà la chiave per lo sviluppo futuro del mercato e, pertanto, la Commissione vuole assicurarsi che gli operatori non usino i dati per alterare la concorrenza o impedire l’accesso al mercato ai loro concorrenti.

Attraverso l’indagine in oggetto la Commissione raccoglierà dunque informazioni per meglio comprendere la natura, la prevalenza e gli effetti di queste potenziali problematiche attinenti la sfera della concorrenza, al fine di valutarle alla luce delle norme antitrust dell'UE. Qualora da tali analisi emergessero questioni particolari, la Commissione si riserva di avviare un’ulteriore indagine, al fine di garantire il rispetto delle norme europee in materia di pratiche commerciali restrittive della concorrenza e abuso di posizione dominante.

Nelle prossime settimane la Commissione invierà apposite richieste di informazioni ad una serie di operatori attivi nel settore dell’IoT per consumatori tra cui, ad esempio, i produttori di dispositivi intelligenti, gli sviluppatori di software e i fornitori di servizi di connessione. L'indagine settoriale riguarderà prodotti come i wearables devices (e.g., orologi intelligenti o fitness tracker) e i dispositivi di consumo utilizzati nel contesto della smart home, come frigoriferi, lavatrici, televisori, altoparlanti e sistemi di illuminazione intelligenti, raccogliendo informazioni anche sui servizi resi disponibili attraverso tali dispositivi, come i servizi di streaming musicale e video, e sugli assistenti vocali utilizzati per accedervi.

L'indagine si colloca nell'ambito della strategia digitale della Commissione, tra cui si annoverano iniziative relative all'intelligenza artificiale (IA), ai dati e alle piattaforme digitali. La Commissione prevede di pubblicare una relazione preliminare sulle risposte ottenute dall’indagine nella primavera del 2021, mentre la relazione finale sul tema seguirà nell'estate del 2022.

Divieto per i comuni di limitare l’installazione delle reti 5G: una prima applicazione del DL Semplificazioni dal TAR di Catania

Con una recente ordinanza il TAR Sicilia (n. 549/2020) ha sospeso l’ordinanza con cui il Sindaco di un Comune - in applicazione del principio europeo di precauzione - aveva posto il divieto “di sperimentare, installare e diffondere sul territorio del Comune impianti con tecnologia 5G in attesa di dati scientifici più aggiornati”, ritenendo tale divieto in contrasto con le “Misure di semplificazione per reti e servizi di comunicazioni elettroniche” introdotte dal DL Semplificazioni entrato in vigore lo scorso 17 luglio 2020 (d.l. n. 76/2020).

In particolare, il TAR Sicilia ha ritenuto il divieto in contrasto con l’art. 38, comma 6 del DL Semplificazioni, il quale da un lato prevede che i Comuni italiani possano adottare “un regolamento per assicurare il corretto insediamento urbanistico e territoriale degli impianti e minimizzare l’esposizione della popolazione ai campi elettromagnetici con riferimento a siti sensibili individuati in modo specifico”, ma dall’altro vieta ai Comuni di “introdurre limitazioni alla localizzazione in aree generalizzate del territorio di stazioni radio base per reti di comunicazioni elettroniche di qualsiasi tipologia, e, in ogni caso, di incidere, anche in via indiretta o mediante provvedimenti contingibili e urgenti, sui limiti di esposizione a campi elettrici, magnetici ed elettromagnetici, sui valori di attenzione e sugli obiettivi di qualità, riservati allo Stato”.

Nella sua decisione, il TAR Sicilia ha affermato che tale disposizione “recependo evidentemente la giurisprudenza consolidata, sancisce, per un verso, l’illegittimità di un divieto generalizzato alla installazione degli impianti del genere in esame, per un altro, l’impossibilità di adottare ordinanze contingibili e urgenti in una materia la cui competenza è riservata allo Stato”, come per l’appunto quella in esame.

La giurisprudenza richiamata nella decisione del TAR Sicilia ha, infatti, “chiarito che la materia in esame non si presta a essere regolata mediante ordinanza sindacale contingibile e urgente”.

Il TAR Sicilia ha, infine, ritenuto sussistenti i presupposti per concedere la tutela cautelare - ritenendo “evidente” l’esistenza del periculum in mora, in ragione “della natura del servizio di pubblica utilità esercitato” dall’operatore ricorrente - e ha così disposto la sospensione dell’ordinanza del Sindaco di Messina impugnata.

La decisione del TAR Sicilia rappresenta certamente un precedente importante anche per i Comuni che hanno finora bloccato l’installazione di nuove antenne 5G sul proprio territorio.

Intellectual Property

Il Consiglio di Stato si pronuncia sull’utilizzo in rassegne stampa di articoli oggetto di riproduzione riservata

Con decisione del 17 luglio 2020, il Consiglio di Stato ha respinto la richiesta cautelare di un provider di servizi di rassegna stampa di sospendere l’ordine impartito da AGCOM con delibera n. 169/20/CONS del 5 maggio 2020, con cui l'Autorità aveva ordinato alla società la rimozione, ed inibito la pubblicazione futura, nelle proprie rassegne stampa di articoli di un noto quotidiano recanti la clausola di riproduzione riservata.

La decisione del Consiglio di Stato conferma le conclusioni raggiunte dal TAR Lazio nella propria precedente ordinanza n. 4179, pubblicata il 5 giugno 2020, tramite la quale era già stato respinto il ricorso cautelare della società con riferimento alla predetta delibera AGCOM.

In particolare, nel valutare la delibera AGCOM contestata, il TAR aveva in tale occasione confermato quanto stabilito dalla Corte di Cassazione (sentenza del 20 settembre 2006, n. 20410) nella determinazione del rapporto tra diritto d’autore e rassegna stampa, ricordando a tal riguardo che gli articoli sono generalmente liberamente riproducibili, ad eccezione del caso in cui il titolare dei diritti di sfruttamento se ne sia riservata la riproduzione o l’utilizzazione. Inoltre, il TAR ha con tale ordinanza accolto la qualificazione del diritto assoluto di comunicazione al pubblico fornito dalla Corte di Giustizia UE, secondo cui “gli autori delle opere sono dotati di un diritto di natura precauzionale che attribuisce loro la facoltà di autorizzare o vietare qualsiasi comunicazione al pubblico … compresa la messa a disposizione del pubblico delle loro opere in maniera tale che ciascuno possa avervi accesso dal luogo e nel momento scelti individualmente” (Corte di Giustizia UE, Reha Training, causa C-117/15).

Industrial design: la Corte d’Appello dell’Aia applica Cofemel (C-683/17)

Lo scorso 14 luglio la Corte d’Appello dell’Aia ha statuito che una delle sedie prodotte da una azienda svizzera di mobili e arredamento di design, si qualifica come opera tutelata ai sensi del diritto d’autore. Al fine di stabilire se la sedia oggetto del procedimento fosse proteggibile con il diritto d’autore, la Corte ha richiamato i principi stabiliti dalla sentenza Cofemel (Cofemel - Sociedade de Vestuário SA v G-Star Raw CV, C-683/17), emessa dalla Corte di Giustizia Europea nel settembre 2019.

In particolare, la Corte ha ricordato che la nozione di “opera” tutelabile deve soddisfare due condizioni: (i) essa implica che esista un oggetto originale, nel senso che detto oggetto rappresenti una creazione intellettuale propria del suo autore, ossia ne rifletta la personalità, e (ii) la qualifica di opera è riservata agli elementi che sono espressione di tale creazione. La Corte ha infine precisato che tale criterio rileva anche per le opere di arte applicata.

Sul punto, quindi, la Corte d’Appello ha concluso che la sedia oggetto del procedimento presenta tali requisiti e che, pertanto, le sedie prodotte da parte convenuta violano i diritti esclusivi della società titolare. In conclusione, quindi, ha ordinato l’immediata cessazione di qualsiasi violazione e imposto una penale di 5.000 euro per ogni giorno di ritardo nell’adempimento.

È interessante notare che nell’aprile 2018, prima della decisione Cofemel, anche il Tribunale di Milano si era espresso sulla possibilità di accordare la tutela prevista dal diritto d’autore ad alcune celebri sedie prodotte e commercializzate dalla stessa società titolare dei diritti. In quell’occasione, il Tribunale aveva ritenuto le creazioni tutelabili, argomentando che le sedie in questione possedevano carattere creativo, in quanto espressione della personalità dei loro autori e altamente innovative per l’epoca. Inoltre, il Tribunale aveva sottolineato che tali prodotti possedevano altresì il requisito del valore artistico, posto che erano stati esposti in rinomati musei di arte moderna, pubblicati su riviste e giornali, e che il prezzo di rivendita particolarmente elevato confermava il pregio artistico delle opere.

Legal Design

La flowchart che analizza il rischio derivanti dai trasferimenti dei dati dopo la sentenza Schrems II

DLA Piper ha realizzato una flowchart che spiega in maniera semplificata gli impatti della sentenza Schrems II sui contratti in essere con fornitori fuori dall’Europa ed una metodologia per il calcolo del rischio dei trasferimenti.

Nella scorsa newsletter abbiamo trattato della sentenza c.d. Schrems II, con cui la Corte di giustizia europea ha invalidato il Privacy Shield, il meccanismo che permetteva il trasferimento di dati personali negli Stati Uniti.

La sentenza ha delle implicazioni importanti per le aziende che trasferiscono dati fuori dall’UE, e potenzialmente sui contratti di servizi con fornitori extra-UE, in particolare sui contratti per la fornitura di servizi IT che prevedono la possibilità da parte del personale dei fornitori fuori dall’Europa, di accedere ai dati, anche se ospitati in database all’interno del territorio europeo.

Per rispondere alle domande più frequenti sugli impatti della sentenza sui contratti in essere, l’Autorità di Controllo della Renania-Palatinato (uno dei 16 stati federati della Germania) ha pubblicato delle FAQ, che abbiamo riassunto, tradotto ed adattato, con un approccio di Legal Design, nella flowchart qui di sotto.

Per aiutare le organizzazioni a identificare e gestire i rischi privacy associati al trasferimento di dati personali regolati dal GDPR verso paesi terzi che non beneficiano di una decisione di adeguatezza della Commissione europea, abbiamo realizzato una metodologia ad hoc, allineata ai requisiti della normativa europea a seguito della sentenza Schrems II. La metodologia fornisce una base per gli esportatori e gli importatori di dati per valutare le misure di salvaguardia, prendendo in considerazione diversi fattori, al fine di calcolare il livello di rischio di ogni trasferimento, e per offrire una base accurata, coerente, verificabile e difendibile a sostegno della decisione, svolta caso per caso, di procedere o continuare un determinato trasferimento.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Lara Mastrangelo, Filippo Grondona, Andrea Michelangeli e Tommaso Ricci.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere le legal predictions per il 2020 dei professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dagli stessi in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Noemi Buttazzo.