Innovation Law Insights

Privacy

Come valutare l’adeguatezza dei trasferimenti di dati extra SEE dopo la sentenza Schrems II: il 10 settembre il webinar di DLA Piper

La sentenza della Corte di Giustizia nella controversia Data Protection Commissioner v Facebook Ireland and Maximilian Schrems, meglio conosciuta come la decisione Schrems II, non solo ha invalidato il Privacy Shield, ma ha definito criteri e limiti molto stringenti all’utilizzo delle Clausole Contrattuali Standard (le SCCs) e degli altri strumenti disponibili per il trasferimento dei dati personali non solo negli Stati Uniti, ma in qualsiasi altro Paese al di fuori dello Spazio economico europeo.

Le indicazioni fornite dall’European Data Protection Board e dai garanti europei hanno dimostrato l’esigenza per le aziende di provare la conformità del trasferimento ai requisiti previsti dal GDPR, tenendo conto, tra gli altri, dei poteri di sorveglianza e di accesso ai dati delle autorità straniere e delle tutele fornite da strumenti di carattere tecnico e derivanti da clausole integrative delle SCCs.

Il 10 settembre 2020 i nostri professionisti analizzeranno in un webinar le conseguenze delle decisione e illustrano la metodologia sviluppata da DLA Piper per provare l’adeguatezza del trasferimento dei dati personali al di fuori dello SEE.

Un garante privacy tedesco emette una guida sul trasferimento dei dati dopo la sentenza Schrems II

Il garante privacy dello Stato tedesco del Baden-Württemberg ha pubblicato una guida sul trasferimento dei dati al di fuori dello Spazio economico europeo dopo la decisione della Corte di Giustizia europea nella famosa sentenza Schrems II.

Avevamo analizzato in un precedente articolo la sentenza Schrems II che ha invalidato il Privacy Shield e sollevato alcuni profili di criticità in relazione all’utilizzo delle Clausole Contrattuali Standard.

Nella guida emessa dal garante tedesco dopo la sentenza Schrems II, lo stesso mette anzitutto in discussione la possibilità di continuare ad effettuare i trasferimenti di dati negli Stati Uniti sulla base delle clausole contrattuali standard, laddove queste non vengano accompagnate da misure supplementari effettivamente idonee ad assicurare un livello di protezione adeguato dei dati personali, impedendone quindi l’accesso alle agenzie di intelligence statunitensi.

A questo proposito, consiglia espressamente di ricorrere, quali garanzie aggiuntive, a

• sistemi di crittografia in cui solo il data exporter possiede la chiave di decriptazione e i dati non possono essere decifrati dalle agenzie statunitensi; e
• sistemi di anonimizzazione o di pseudonimizzazione in cui solo il c.d. data exporter può ricollegare i dati ad una determinata persona fisica.

In alternativa, potrebbe valutarsi l’ipotesi di basare il trasferimento sull’articolo 49 del GDPR, il quale introduce particolari “deroghe in specifiche situazioni”. Tale disposizione deve essere comunque interpretata in modo restrittivo e, quindi, può essere invocata solo in pochi casi eccezionali (e.g., nel caso di trasferimenti occasionali).

Inoltre, estendendo le proprie riflessioni a qualsiasi trasferimento extra-SEE, nella guida viene proposta una checklist per i data exporter, ove si suggerisce in particolare di:

• identificare i paesi extra-SEE in cui i dati personali vengono trasferiti;
• comunicare ai fornitori di servizi e partner contrattuali nei paesi terzi la decisione della Corte di Giustizia europea e le sue conseguenze;
• ottenere informazioni circa il sistema giuridico del paese terzo verso il quale vengono trasferiti i dati personali;
• verificare se sia stata emanata dalla Commissione europea una decisione di adeguatezza relativa al paese verso il quale effettuare il trasferimento;
• in mancanza della decisione di adeguatezza, verificare se le clausole contrattuali possano essere impiegate senza il ricorso a misure supplementari; e
• ove non ricorra alcuna delle condizioni sopra indicate, verificare se i dati personali possano essere trasferiti al paese terzo sulla base di integrazioni delle clausole contrattuali standard che introducano ulteriori obblighi contrattuali.

A tal proposito, secondo l’autorità per il trattamento dei dati personali tedesca, nel caso di rapporti con data importer responsabili del trattamento, potrebbe, tra gli altri, considerarsi quali disposizioni integrative delle clausole contrattuali standard:

• l’obbligo di informare gli interessati in relazione ad ogni trasferimento di dati personali in tali paesi (e non solo nel caso di trasferimenti di categorie particolari di dati);
• il deferimento ai tribunali dello Stato membro in cui è stabilito l’esportatore di qualsiasi controversia tra l’interessato e il data importer; nonché
• l’inserimento di una clausola di indennizzo per il caso di violazione delle clausole contrattuali standard.

Da ultimo, il garante tedesco ha sottolineato che, in sede di accertamento, terrà conto altresì dell’eventuale esistenza di fornitori di servizi e/o partner contrattuali alternativi a cui le imprese potrebbero rivolgersi senza effettuare trasferimenti verso quei paesi che offrono meno garanzie di tutela per i dati personali. Ove così fosse, qualora le imprese non riescano a dimostrare le ragioni per cui i servizi forniti dai propri fornitori/partner contrattuali siano insostituibili a breve o medio termine, l’autorità potrà vietarne i relativi trasferimenti.

Un'analisi pià dettagliata della guida del garante privacy dello Stato tedesco del Baden-Württemberg alla luce della sentenza Schrems II è disponibile in questo articolo dei nostri colleghi tedeschi di DLA Piper.

Questa guida riflette in ogni caso aspetti della metodologia già sviluppata da DLA Piper al fine di valutare l’adeguatezza dei trasferimenti extra SEE dopo la sentenza Schrems II. Tuttavia, la nostra metodologia contiene un’analisi più approfondita della normativa straniera e del suo impatto sul trasferimento dei dati, con il vantaggio dell’utilizzo di un tool di legal tech che consente di automatizzare l’analisi. Abbiamo illustrato la metodologia in questo articolo e per chiarimenti vi invitiamo a contattare l’Avv. Giulio Coraggio.

Approvata la versione finale del regolamento attuativo del California Consumer Privacy Act

Il 14 agosto 2020, il procuratore generale della California ha annunciato che l’Office of Administrative Law ha ufficialmente approvato il regolamento attuativo del California Consumer Privacy Act (il “CCPA”) che entrerà in vigore immediatamente.

Il testo finale del regolamento attuativo del CCPA è frutto di un ampio processo di indagine normativa durante il quale il procuratore generale ha tenuto varie udienze pubbliche che hanno portato alla raccolta di più di mille commenti e trecento lettere, il cui contenuto è stato preso in considerazione per la stesura della versione finale del Regolamento.

Avevamo già analizzato alcuni aspetti del CCPA in un precedente articolo. Il California Consumer Privacy Act, ufficialmente in vigore dall’inizio del 2020, garantisce ai consumatori californiani una serie di prerogative volte alla tutela della privacy e al controllo dei dati personali attraverso il riconoscimento, tra gli altri, del diritto ad essere informati in merito ai trattamenti effettuati (“right to know”), il diritto alla cancellazione e il diritto di impedire ai titolari del trattamento di vendere i dati personali raccolti (“Do Not Sell Rule”), nonché una serie di ulteriori tutele a protezione dei minori.

Il regolamento di attuazione del CCPA introduce delle procedure volte ad assicurare il rispetto e a permettere l’esercizio dei diritti previsti dal CCPA, oltre a definire importanti meccanismi di trasparenza e responsabilità che dovranno essere presi in considerazione dai soggetti che trattano dati personali. Inoltre, il regolamento contiene alcune modifiche e revisioni al testo del CCPA che sono state raccolte in un apposito addendum al regolamento e che ricomprendono sia modifiche di natura formale, determinate da ragioni di coerenza e chiarezza, che l’eliminazione di alcune disposizioni sostanziali, il cui contenuto verrà sottoposto ad ulteriori considerazioni.

Tra le principali novità introdotte dal Regolamento si segnala quanto segue:

• viene inserito l’obbligo di sostituire la terminologia “Do Not Sell My Info” con la dicitura “Do Not Sell My Personal Information” per garantire una maggiore chiarezza rispetto al diritto di opt-out riconosciuto dal CCPA;
• viene meno l’obbligo per i titolari di ottenere il consenso esplicito da parte degli interessati prima di trattare i loro dati per finalità diverse rispetto a quelle comunicate al momento della raccolta, purché ciò avvenga nel rispetto della normativa sulla tutela dei consumatori;
• viene riconosciuta la possibilità per i titolari che interagiscono con gli interessati prevalentemente in maniera offline di fornire l’informativa anche attraverso un rimando alla privacy policy online, venendo meno, in tali circostanze, l’obbligo di utilizzare strumenti di comunicazione offline;
• è previsto che i meccanismi per la richiesta di esercizio del diritto di “Do Not Sell” non dovranno più essere necessariamente conformi ad alcuni requisiti specifici precedentemente previsti dal CCPA; e
• viene meno la possibilità per i titolari di poter rigettare le richiesta di esercizio dei diritti presentate da soggetti autorizzati ma privi di un’esplicita autorizzazione ad agire in nome e per conto dell’interessato.

I titolari del trattamento soggetti al CCPA dovranno rivedere attentamente il contenuto del regolamento per determinare se le revisioni effettuate avranno un impatto sui loro piani di conformità rispetto alla normativa privacy californiana.

Technology Media & Telecom

Il monito dell’AGCM alle amministrazioni comunali a non ostacolare l’installazione di impianti di telecomunicazione in tecnologia wireless 5G

L’Autorità Garante della Concorrenza e del Mercato (AGCM) ha di recente deliberato di inviare alla Conferenza delle Regioni e delle Provincie Autonome, nonché all’Associazione Nazionale dei Comuni Italiani, una segnalazione relativa agli ostacoli all’installazione di impianti di telecomunicazione in tecnologia wireless 5G che vengono frapposti da svariate amministrazioni comunali nel territorio italiano.

Con la segnalazione l’AGCM ha inteso rappresentare le criticità riscontrate nell’azione amministrativa dei Comuni consistenti nell’emanazione di svariati atti, quali ordinanze sindacali, atti di indirizzo e regolamenti comunali, che impongono un generalizzato divieto all’installazione degli impianti di telecomunicazioni, non permettendo alcuna sperimentazione, installazione ed esercizio di impianti con tecnologia 5G nel territorio comunale.

A parere dell’AGCM, tali atti integrano una violazione delle norme a tutela della concorrenza e del mercato, oltre che della normativa nazionale ed europea in tema di installazione di frequenze. Le restrizioni imposte dalle amministrazioni comunali – ad avviso dell’AGCM – sono infatti idonee a creare una barriera all’entrata e all’espansione nei mercati di telecomunicazioni mobili e fissi (con riferimento ai servizi in tecnologia c.d. Fixed Wireless Access – FWA) e rischiano di impedire il corretto dispiegarsi di un efficace processo competitivo basato sulla concorrenza dinamica tra gli operatori presenti sul mercato e tra di essi e i nuovi entranti che intendano avvalersi delle nuove tecnologie di comunicazione.

“Siffatti ostacoli – si legge nella segnalazione – rischiano di compromettere seriamente e in modo ingiustificato il processo di innovazione tecnologica, con ricadute concorrenziali sia sui mercati delle telecomunicazioni che su diversi comparti del sistema produttivo locale che non potranno giovarsi degli opportuni strumenti tecnologici che saranno abilitati dalle tecnologie 5G”. L’Autorità evidenzia altresì gli effetti negativi che tali atti possono determinare in relazione ai livelli di qualità dei servizi erogati ai cittadini e alle imprese.

D’altra parte, spiega l’AGCM, il divieto all’installazione tout court di impianti in tecnologia 5G risulta sproporzionato rispetto agli scopi perseguiti – consistenti, principalmente, nella tutela della salute pubblica – in quanto l’ordinamento già prevede adeguati strumenti ordinari di gestione e riduzione dei rischi della salute, attraverso un assetto regolamentare applicabile anche alle tecnologie 5G volto a disciplinare e limitare i livelli di esposizione elettromagnetica.

In considerazione dell’importanza degli effetti sull’intero sistema economico che le tecnologie di comunicazione 5G avranno in Italia, l’Autorità ritiene fondamentale l’eliminazione degli ostacoli ingiustificati e non proporzionati all’intervento infrastrutturale. A tale scopo viene auspicata la definizione di un’azione amministrativa efficace ed efficiente, che bilanci i diversi interessi pubblici in gioco, nel rispetto dei principi giurisprudenziali da ultimo recepiti nella nuova formulazione dell’art. 8, comma 6, della legge n. 36/2001 come novellata dal decreto legge 16 luglio 2020, n. 76 di cui avevamo discusso in un precedente articolo.

Intellectual Property

Pubblicato un parere dell’Agenzia delle Entrate in materia di imposte sul trasferimento di know-how

In risposta ad un interpello, l’Agenzia delle Entrate ha recentemente pubblicato un parere in tema di imposte pagate all’estero relativamente a contratti di trasferimento tecnologico e di know-how.

Nel caso esaminato, l’istante era una società che distribuisce prodotti in tutto il mondo attraverso una rete di società controllate. Al fine di ampliare i propri mercati di riferimento, l’istante aveva concluso, nel gennaio 2018, un contratto di trasferimento di know-how con una società extra-UE, leader nel settore di riferimento.

Ai sensi del contratto, la società acquirente poteva utilizzare il know-how trasferito esclusivamente nei propri stabilimenti produttivi nel territorio contrattualmente individuato.

L’Agenzia delle Entrate conclude nella risposta all’interpello che i pagamenti percepiti dall’istante, ossia dalla società che ha sviluppato il know-how, in base al contratto di trasferimento tecnologico debbano essere qualificati, ai sensi dell’articolo 12 della Convenzione Italia-Paese estero, come “canoni”. Ciò comporta che la potestà impositiva è concorrente, potendo le somme essere oggetto di tassazione sia in Paese estero, come Stato della fonte, sia in Italia, come Stato di residenza del percettore. Sul punto, l’Agenzia chiarisce altresì che “nel presupposto che l’istante sia il beneficiario effettivo dei pagamenti, la medesima società ha diritto all’applicazione della ritenuta convenzionale del 15% sugli importi pagati dall’acquirente e può avvalersi del credito d’imposta per le imposte pagate all’estero, ai sensi del combinato disposto dell’articolo 23 della Convenzione e dell’articolo 165 del TUIR”.

Gaming & Gambling

Le loot boxes non sono un gioco d'azzardo per le autorità regolatorie, ma l'House of Lords inglese dissente

La posizione delle autorità di regolamentazione del gioco d'azzardo sulle loot boxes è ora messa in discussione da un report della House of Lords inglese.

Nel settembre 2019, il Gaming Regulators European Forum (GREF), un'associazione di 19 regolatori del gioco d'azzardo, ha pubblicato una “Declaration of gambling regulators on their concerns related to the blurring of lines between gambling and gaming”, nella quale i membri dell’associazione si sono impegnati a lavorare congiuntamente per analizzare le caratteristiche dei videogiochi e valutare se possono essere qualificati come gioco d'azzardo.

A seguito di tale dichiarazione, il GREF ha pubblicato un rapporto in cui ha affermato che “se queste attività, in ultima analisi, comportano l'applicazione della normativa sul gioco d'azzardo, dipenderà da ciascuna definizione nazionale di gioco d'azzardo.”

Finora, solo i Paesi Bassi e il Belgio hanno ritenuto che le loot boxes siano un gioco d'azzardo, dichiarandole di fatto illegali nei loro paesi. Ma lo scenario internazionale potrebbe cambiare dopo che nel luglio 2020, la House of Lords inglese ha pubblicato un report sui danni derivanti dal gioco d'azzardo che contiene la raccomandazione di “agire immediatamente per far rientrare le loot boxes nell'ambito di applicazione della normativa sul gioco d'azzardo”.

Il punto principale sollevato dal report è che “se un prodotto ha l'aspetto del gioco d'azzardo e sembra essere un gioco d'azzardo, dovrebbe essere regolamentato come gioco d'azzardo” e quindi raccomanda di qualificarlo come gioco d'azzardo.

Il ragionamento che ha portato a una conclusione così radicale non è chiaro ed è incoerente con il punto di vista della UK Gambling Commission, che ha ripetutamente sostenuto di non credere che il Gambling Act del Regno Unito si applichi alle loot boxes. Non è chiaro, tuttavia, se la UK Gambling Commission sarà ora costretta a rivedere la propria posizione.

Un altro aspetto su cui sono state messe in discussione le loot boxes è la mancanza di trasparenza. Il Gaming Regulators European Forum ha sottolineato nella dichiarazione sopra menzionata la necessità di un livello di trasparenza più elevato rispetto alle probabilità di ottenere i prodotti “rari” all'interno delle loot boxes. A loro giudizio, i giocatori a volte non sono adeguatamente informati della percentuale di vincite e della necessità di effettuare pagamenti per progredire all'interno del gioco.

Questo aspetto è stato contestato in passato ai produttori di videogiochi e di consolle in Italia dove la normativa sulle pratiche commerciali scorrette può portare a sanzioni fino a EUR 5 milioni per ogni violazione. Tuttavia, il settore dei videogiochi sta compiendo un notevole sforzo per fornire il massimo livello di trasparenza nei confronti dei giocatori, anche adottando nuovi descriptor che forniscono informazioni sempre più dettagliate.

*****

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Lara Mastrangelo, Filippo Grondona e Andrea Michelangeli.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere le legal predictions per il 2020 dei professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dagli stessi in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Noemi Buttazzo.