12 novembre 2022 • 36 minuti di lettura
Innovazione e diritto: le novità della settimana
Alessandro La Pergola di Banca Progetto sulla trasformazione digitale al DLA Piper Innovation Summit 2022
Riviviamo il DLA Piper Innovation Summit 2022 con l’intervista di Alessandro Ferrari ad Alessandro La Pergola, COO di Banca Progetto, sulla trasformazione digitale disponibile qui.
Matteo Flora sulla comunicazione di un cyberattacco al DLA Piper Innovation Summit 2022
Riviviamo il DLA Piper Innovation Summit 2022 con l’intervista di Giulia Zappaterra a Matteo Flora sulla comunicazione di un cyberattacco disponibile qui.
Cosa sono le cookie wall sui siti di informazione online?
Avete visto negli ultimi giorni sui siti di informazione online dei banner che vi chiedono di accettare i cookie o di abbonarvi. Giulio Coraggio spiega cosa sono e come la normativa privacy sta prendendo atto della monetizzazione dei dati nel podcast Dirottare il Futuro di Panorama.it disponibile qui.
Data Protection & Cybersecurity
Il Garante privacy emette una sanzione per mancata implementazione di protocollo crittografato https
Con un recente provvedimento, il Garante per la protezione dei dati personali ha irrogato una sanzione privacy di EUR15.000 nei confronti di una società attiva nella gestione del servizio idrico integrato per non avere implementato misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, utilizzando un protocollo di comunicazione in chiaro anziché crittografato (https).
- Le violazioni privacy relative a misure tecniche non adeguate al rischio
La vicenda trae origine dall’inoltro di un reclamo al Garante da parte di un utente dell’azienda locale che gestisce il servizio idrico integrato, il quale lamentava che sul sito web dell’azienda fosse presente un’area riservata all’utente dove venivano gestiti i contatti e le fatture in assenza di un sistema di cifratura (certificato SSL). Sull’area riservata vengono, infatti, trattati diversi dati personali dei clienti, dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione, per un totale di 13.000 interessati, tra cui oltre 2.000 imprese.
Tale circostanza era già stata portata all’attenzione della società per ben due volte tramite PEC dall’utente segnalante, senza mai alcuna risposta. Pertanto, il Garante ha avviato un’istruttoria e accertato l’utilizzo di un protocollo di rete non crittografato (quale il protocollo “http”, anziché “https”) sul sito web in questione della società, come da segnalazione del reclamante.
Alla luce della documentazione e delle informazioni acquisite in sede di istruttoria, l’autorità ha eccepito la violazione degli:
- artt. 5, par. 1, lett. f), e 32 del Regolamento 679/2016 (il GDPR), poiché la società non aveva messo in atto misure di sicurezza, tecniche e organizzative, idonee a garantire un livello di sicurezza adeguato al rischio, a causa della implementazione di un protocollo in chiaro anziché crittografato (https); nonché
- art. 25, par. 1, del GDPR per non aver messo in atto, fin dalla progettazione del sito web, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati.
Pertanto, il Garante ha dichiarato illecito il trattamento effettuato da parte della società e ha comminato una sanzione di EUR15.000, tenuto conto delle seguenti circostanze (attenuanti e aggravanti):
- l’alto numero di utenti coinvolti;
- il fatto che, sebbene il reclamante avesse fatto presente alla società in due occasioni l’insufficienza delle misure di sicurezza adottate, questa non si era prontamente attivata fino all’apertura dell’istruttoria da parte del Garante; tuttavia, quale circostanza attenuante
- la società non aveva commesso precedenti violazioni analoghe, e aveva avuto un atteggiamento collaborativo nel corso dell’istruttoria.
- Alcune considerazioni per le aziende
Il presente provvedimento è interessante perché la sanzione del Garante si focalizza esclusivamente sull’omessa implementazione di misure tecniche di sicurezza adeguate, in particolare il protocollo crittografato (https).
Le aziende cui si applica il GDPR devono valutare con cura quali misure implementare e individuare quelle più opportune e appropriate rispetto al rischio insito nelle attività di trattamento che esse svolgono, prevedendo la protezione dei dati personali “sin da progetto” come richiesto dall’art. 25 del GDPR. Al contrario, notiamo che spesso la compliance privacy viene vista come unicamente un compito “documentale”, mentre l’analisi delle misure di sicurezza è rimessa ai tecnici.
Anche a causa del notevole aumento dei cyberattacchi, non c’è dubbio che la conformità con gli obblighi di cui al GDPR richiede una sempre maggiore integrazione tra esperti privacy/legali e di sicurezza.
Su temi analoghi alla sicurezza del trattamento, potrebbero interessarvi “Quale responsabilità degli amministratori per un cyberattacco a danno della società?” e “Cyber Resilience Act: novità in tema di sicurezza informatica per i prodotti digitali IoT”
Intellectual Property
Tribunale Unificato dei Brevetti (UPC) ai blocchi di partenza: nominati i giudici e resa nota la data di inizio
In un recente comunicato, il Tribunale Unificato dei Brevetti (UPC) ha annunciato di aver nominato i primi 85 giudici che lo comporranno, i quali prenderanno servizio non appena entrerà in vigore l'Accordo UPC. La data prevista per l’inizio dei lavori è il 1° aprile 2023; a partire da quel momento, l’UPC inizierà a ricevere i casi.
L’UPC sarà composto da un Tribunale di primo grado, il cui presidente sarà il giudice francese Florence Butin, e da una Corte d'Appello, il cui presidente sarà il giudice tedesco Klaus Grabinski, affiancati da una cancelleria. Il Tribunale di primo grado comprenderà sia una divisione centrale, sia divisioni regionali e locali.
A completamento del Presidium eletto, vi sono altresì due giudici della Corte d’Appello, Rian Kalden, dei Paesi Bassi, e Ingeborg Simonsson, svedese, e tre giudici del Tribunale di primo grado, Camille Lignieres, francese, e i giudici tedeschi Ronny Thomas e Peter Tochtermann. Inoltre, la giudice olandese Rian Kalden è stata eletta presidente del secondo collegio della Corte d'Appello.
Degli 85 giudici nominati, 34 sono qualificati dal punto di vista giuridico e 51 dal punto di vista tecnico. Ai fini della nomina, era necessario che i primi possedessero le qualifiche richieste per la nomina a giudice in uno Stato membro contraente, e che i giudici con qualifica tecnica fossero in possesso di una laurea e di una comprovata esperienza in un settore tecnologico, oltre ad una solida conoscenza del diritto civile e delle procedure rilevanti per le controversie in materia di brevetti.
Tra i giudici con competenze giuridiche non mancano gli italiani: nella composizione della Corte d’Appello è presente, infatti, la giudice torinese Emanuela Germano, mentre per la divisione centrale di Parigi del Tribunale di primo grado è stato nominato il giudice romano Paolo Catallozzi. Infine, con riguardo alla divisione locale situata a Milano, sono stati nominati i giudici Pierluigi Perrotti e Alima Zana.
Per quanto concerne i giudici qualificati dal punto di vista tecnico, tali figure non sostituiranno comunque i consulenti tecnici d’ufficio, che potranno essere nominati in qualsiasi momento per fornire alla Corte consulenza su specifici aspetti dei casi.
Inoltre, come previsto dall’accordo sull’UPC, verrà istituito un quadro di formazione continua per i giudici, al fine di migliorare e aumentare le competenze in materia brevettuale e garantire un'ampia distribuzione geografica delle conoscenze ed esperienze specifiche.
In particolare, le attività di formazione dei giudici si concentreranno sull’implementazione di tirocini presso i Tribunali nazionali per i brevetti o le divisioni del Tribunale di primo grado che trattano un numero consistente di cause in materia brevettuale, sul miglioramento delle competenze linguistiche, sull’approfondimento di aspetti tecnici e giuridici del diritto brevettuale, nonché sulla diffusione delle conoscenze e dell'esperienza in materia di procedura civile per i giudici tecnicamente qualificati.
Saranno altresì organizzate riunioni periodiche tra tutti i giudici del Tribunale per discutere gli sviluppi del diritto dei brevetti e per garantire la coerenza della giurisprudenza del Tribunale.
Per conoscere nel dettaglio l'elenco delle nomine, le sedi dei Tribunali e il settore di competenza dei giudici tecnicamente qualificati, si rimanda al sito web dell'UPC.
Sul medesimo tema può essere interessante l’articolo “La Corte Costituzionale tedesca ferma l’Accordo su un Tribunale Unificato dei brevetti”.
Filippine: IPOPHL rigetta opposizione a tutela del marchio di un noto gruppo del lusso
Con una recente decisione, l’Ufficio della proprietà intellettuale delle Filippine (il c.d. IPOPHL) ha rigettato l’opposizione a tutela di un marchio presentata da una delle maison parte di uno dei principali gruppi attivi a livello globale nel settore del lusso.
Al centro della vicenda si pone una domanda di marchio depositata da un businessman filippino alla fine del 2019 innanzi all’IPOPHL, in relazione ai soli prodotti cosmetici tutelati dalla classe 3 della Classificazione di Nizza. Oggetto della domanda era un segno costituito da due lettere in caratteri latini e in stampatello maiuscolo, poste su un motivo grafico.
Preso atto del deposito della suddetta privativa, la nota maison procedeva depositando opposizione, avendo ravvisato non soltanto il rischio di confusione con le proprie privative, graficamente identiche nella parte verbale e protette anche a livello nazionale in relazione a svariate classi di prodotti e servizi, ma anche il rischio di un pregiudizio dettato da quello che riteneva essere un chiaro comportamento parassitario, potendo trarre il richiedente un vantaggio dalla rinomanza del marchio anteriore. Invero, le due lettere dell’alfabeto in questione coincidono con le iniziali della dicitura che costituisce il marchio denominativo principale cui si lega la notorietà del gruppo, oggi presente in Europa, America Latina, Nord America, Asia e Medio Oriente, nonché il nome del suo fondatore.
L’opponente, pertanto, ricercando una tutela rafforzata, costruiva la propria difesa intorno alla natura di marchio notorio, avendo particolare cura di comprovare tale notorietà relativamente al territorio di riferimento, vale a dire le Filippine. Veniva citata, inter alia, la collaborazione con celebrità locali e influencer, quali ambassador del brand. Con riferimento all’uso effettivo e continuativo, la maison ricordava che l’utilizzo del marchio anteriore è certamente risalente nel tempo, addirittura agli inizi del secolo scorso, e radicato sia nel Paese di origine sia nelle altre giurisdizioni. Chiamato a contraddistinguere varie tipologie di prodotti, quali borse, scarpe, accessori, occhiali, orologi, profumi e libri, il marchio anteriore è apposto sulla quasi totalità dei prodotti venduti negli stores di proprietà del gruppo e disponibili sugli e-commerce ufficiali.
Il richiedente, d’altro canto, negava qualsiasi rischio di confusione, sottolineando l’impossibilità di monopolizzare le lettere dell’alfabeto e sostenendo, altresì, che nella scelta delle lettere nessun tentativo di contraffazione è di fatto ravvisabile, trattandosi delle iniziali di un proprio caro.
Anche a valle di un tentativo di mediazione poco fortunato, la vicenda si è conclusa, come anticipato, con il rigetto dell’opposizione. L’IPOPHL non ha infatti riscontrato un rischio di confusione come neanche il rischio di un pregiudizio a carico della maison. Ciò, in ragione i) della diversa natura dei prodotti contraddistinti dalle privative coinvolte - nel caso del marchio successivo, unicamente deodoranti; ii) della diversa natura dei canali di vendita – l’IPOPHL ha concluso che, con riferimento ai prodotti contraddistinti dal marchio anteriore e, più in generale, ai prodotti comunemente detti “firmati”, i consumatori sono soliti attingere ai canali di vendita ufficiali. Pertanto, difficilmente insorgerà un rischio di confusione di fronte a rivenditori privati; iii) della insufficienza di prove a sostegno della notorietà del marchio anteriore – l’IPOPHL, pur riconoscendo la notorietà del marchio denominativo principale della maison, non ha ritenuto sufficienti i fatti addotti a sostegno della notorietà della variante del segno costituita unicamente dalle iniziali della dicitura. Il colosso del lusso procederà ora in sede di ricorso.
Su un simile argomento può essere interessante l’articolo “La tutela rafforzata del marchio notorio: la Cassazione riconosce la protezione contro la diluizione”.
Technology Media & Telecommunications
Consob e Banca d’Italia designate autorità competenti per l’autorizzazione e la supervisione dei prestatori di servizi di crowdfunding
Il regime del Regolamento ECSP applicabile alle piattaforme di crowdfunding è completato con la designazione di Consob e Banca d’Italia quali autorità competenti.
All’inizio dello scorso novembre 2021 è entrato in vigore il Regolamento UE n. 2020/1503 (Il Regolamento ECSP) in materia di fornitori europei di servizi di crowdfunding per le imprese e Consob e Banca d’Italia sono state recentemente designate quali autorità competenti per l’autorizzazione e la supervisione dei prestatori di servizi di crowdfunding.
Il Regolamento ECSP ha introdotto importanti cambiamenti sia per le piattaforme di servizi di crowdfunding, che per le imprese. Ad oggi, infatti, esse possono contare su un complesso di regole semplificate ed uniformi per offrire i propri servizi a livello europeo e anche su una base più ampia di finanziatori, avendo a propria disposizione un mercato che supera i confini nazionali. Uno degli obiettivi primari del Regolamento ECSP è proprio quello di rimuovere i maggiori ostacoli alla prestazione transfrontaliera di servizi di crowdfunding.
Nel tentativo di supportare ed agevolare le piccole e medie imprese e le start-up nell’accesso al credito, il Regolamento ECSP è applicabile unicamente ai soggetti che vogliono gestire piattaforme di crowdfunding basate sul prestito (lending-based o P2P) e sull’investimento (equity based), rimanendo escluse dall’ambito di applicazione le forme di crowdfunding non volte all’ottenimento di un guadagno economico. Inoltre, il Regolamento introduce molteplici norme finalizzate a garantire maggior tutela agli investitori.
Il Regolamento ECSP vuole responsabilizzare i fornitori di servizi di crowdfunding richiedendo un’azione preliminare di analisi e valutazione dei progetti proposti, al fine di avere un’esposizione al rischio mitigata e ragionata.
A seguito dell’estensione del periodo transitorio del Regolamento ECSP di un ulteriore anno, a partire al 10 novembre 2023 per poter gestire piattaforme di questo tipo, è necessario che i fornitori di servizi di crowdfunding richiedano e ottengano un’apposita autorizzazione, la cui disciplina deve essere assoggettata a regole uniformi a livello europeo e alla vigilanza delle autorità di ciascuno Stato membro.
A seguito della richiesta e ottenimento, i fornitori saranno sottoposti alla vigilanza dell’autorità designata e saranno inseriti in un registro appositamente istituito dall’ESMA (European Securities and Markets Authority) che consentirà di ottenere un passaporto europeo grazie al quale potranno operare in tutti gli Stati membri, consentendo così alle imprese di raccogliere fondi anche oltre i confini nazionali.
In qualità di autorità competenti per l’autorizzazione e la supervisione dei prestatori di servizi di crowdfunding a livello nazionale, Consob e Banca d’Italia potranno ricevere istanze formali per il rilascio dell’autorizzazione ad operare come fornitore di servizi di crowdfunding ai sensi del Regolamento ECSP e dei relativi Regolamenti Delegati e avviare il relativo processo valutativo solo a seguito dell’adozione del decreto legislativo di attuazione.
Al fine di favorire un ordinato avvio del nuovo regime, in attesa del completamento del processo di adeguamento della normativa nazionale, Consob e Banca d’Italia si sono rese disponibili a intrattenere interlocuzioni informali per orientare gli operatori interessati alla futura presentazione delle domande di autorizzazione, fornendo anche chiarimenti e, se del caso preliminari considerazioni, sugli elementi informativi e documentali da allegare alle istanze.
Su un simile argomento può essere interessante l’articolo “ICO e cripto-attività: la parola alla Consob”.
Il TAR Lazio si rivolge alla CGUE sull’obbligo di iscrizione al ROC per i fornitori di servizi di intermediazione online e di motori di ricerca online
Con ordinanza n. 12834 del 10 ottobre scorso, il TAR del Lazio ha sottoposto alla Corte di Giustizia dell’Unione europea (CGEU) una serie di questioni pregiudiziali relative all’obbligo di iscrizione al registro degli operatori di comunicazione (ROC) a carico dei fornitori di servizi di intermediazione online e dei fornitori di motori di ricerca online.
L’ordinanza di rinvio è stata resa nell’ambito di un giudizio di impugnazione promosso da una piattaforma di intermediazione online avverso, tra l’altro, la delibera dell’AGCOM 200/21/CONS che ha previsto tale obbligo in applicazione dell’art. 1, co. 515, della Legge n. 178/2020 (la c.d. Legge Bilancio 2021). Questa norma – il cui dichiarato obiettivo è di “promuovere l’equità e la trasparenza in favore degli utenti commerciali di servizi di intermediazione online” – ha in particolare introdotto l’obbligo di iscrizione al ROC in capo ai fornitori di servizi di intermediazione online e ai motori di ricerca online che offrano servizi in Italia, anche se non ivi stabiliti.
La ricorrente ha dedotto la contrarietà di tale norma e della delibera dell’AGCOM con il diritto europeo sotto diversi profili e, segnatamente, con il Regolamento (UE) 2019/1150 – che promuove equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online e in virtù del quale il legislatore nazionale ha introdotto l’obbligo di cui all’art. 1, co. 515, della Legge Bilancio 2021 – con la Direttiva (UE) 2015/1535, con la Direttiva 2000/31/CE (c.d. Direttiva sul commercio elettronico) e con il principio di libera prestazione dei servizi (con particolare riguardo alla Direttiva 2006/123/CE).
Il TAR Lazio osserva che l’obbligo di iscrizione al ROC in questione “publicizza principalmente gli assetti proprietari ed amministrativi dei soggetti onerati, senza fornire alcuna indicazione in ordine al rispetto degli obblighi previsti dal regolamento e in ordine alla trasparenza ed equità dei rapporti con gli utenti commerciali”, così introducendo “un controllo del tutto diverso e contrastante con quello previsto per l’attuazione del regolamento, oltre che inadeguato rispetto al fine perseguito, atteso che si tratta di un controllo relativo a profili soggettivi dei fornitori e non invece al concreto rispetto da parte degli stessi degli obblighi previsti dal regolamento al fine di assicurare la trasparenza e l’equità dei rapporti contrattuali con gli utenti commerciali”.
Il TAR Lazio ha quindi formulato domanda pregiudiziale per chiedere alla Corte se il Regolamento (UE) 2019/1150 osti ad una disposizione nazionale che, al fine di promuovere l’equità e la trasparenza in favore degli utenti commerciali di servizi di intermediazione online, impone ai fornitori di servizi di intermediazione e di motori di ricerca online l’iscrizione in un registro che, come il ROC, comporta “la trasmissione di rilevanti informazioni sulla propria organizzazione e il pagamento di un contributo economico” oltre a prevedere “sanzioni in caso di suo inadempimento”.
Per quanto riguarda la Direttiva 2015/1535 – la quale prevede, tra l’altro, che gli Stati membri comunichino alla Commissione europea “ogni progetto di regola tecnica” – il TAR Lazio ha domandato alla Corte se tale Direttiva imponga agli Stati membri di comunicare alla Commissione “i provvedimenti con cui viene previsto a carico dei fornitori di servizi di intermediazione online e di motori di ricerca online l’obbligo di iscrizione in un registro, comportante la trasmissione di rilevanti informazioni sulla propria organizzazione e il pagamento di un contributo economico” e, in caso di risposta positiva, “se la direttiva consenta ad un privato di opporsi all’applicazione nei suoi confronti delle misure non notificate alla Commissione”.
Simile si presenta la questione pregiudiziale posta con riferimento alla Direttiva 2000/31/CE, la quale prevede, tra l’altro, l’obbligo per gli Stati membri di notificare alla Commissione l’intenzione di adottare provvedimenti in deroga al principio generale di libera circolazione dei servizi della società dell’informazione provenienti da un altro Stato membro. Il TAR Lazio ha dunque domandato alla Corte se tale previsione “impone agli Stati membri di comunicare alla Commissione i provvedimenti con cui viene previsto a carico dei fornitori di servizi di intermediazione online e di motori di ricerca online l’obbligo di iscrizione in un registro, comportante la trasmissione di rilevanti informazioni sulla propria organizzazione e il pagamento di un contributo economico” e se, in caso positivo, la direttiva consenta ad un privato di opporsi all’applicazione nei suoi confronti delle misure che lo Stato membro non ha notificato alla Commissione.
Con riferimento al principio di libera prestazione dei servizi di cui all’art. 56 TFUE, così come declinato dalla Direttiva 2006/123/CE, il TAR Lazio osserva che quest’ultima stabilisce il principio generale per cui gli Stati membri “rispettano il diritto dei prestatori di fornire un servizio in uno Stato membro diverso da quello in cui sono stabiliti” e che “non possono subordinare l’accesso a un’attività di servizi o l’esercizio della medesima sul proprio territorio a requisiti che non rispettino i seguenti principi: a) non discriminazione […]; b) necessità; c) proporzionalità”.
Poiché il TAR Lazio ritiene che “l’imposizione dell’iscrizione al registro ROC rivolta ad imprese stabilite in altro Stato membro comporta costi economici ed amministrativi suscettibili di alterare il mercato comune che possono ritardare, complicare o rendere più onerosa la prestazione dei servizi nello Stato membro ospitante”, ha domandato alla Corte di giustizia se il principio di libera prestazione dei servizi osta all’introduzione dell’obbligo di iscrizione al ROC in questione.
Su un simile argomento può essere interessante l’articolo “Consultazione AgCom sulle Linee guida per l’applicazione del Regolamento P2B”.
La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Camila Crisci, Tamara D’Angeli, Enila Elezi, Filippo Grondona, Lara Mastrangelo, Alessandra Tozzi, Carlotta Busani, Carolina Battistella, Deborah Paracchini, Vincenzo Giuffré, Cristina Criscuoli, Giulia Zappaterra, Maria Chiara Meneghetti, Giacomo Lusardi, Tommaso Ricci e Maria Rita Cormaci.
Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.
Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo, Elena Varese e Alessandro Boso Caretta.
È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui.
DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.
Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.