Innovation Law Insights
16 febbraio 2024Podcast
I momenti emozionanti dell’approvazione finale dell’AI Act con Dan Nechita
Dan Nechita discute con Giulio Coraggio le emozionanti 36 ore di approvazione dell’AI Act, ciò che è stato fatto in seguito e il testo finale della prima legislazione al mondo sull’intelligenza artificiale. Il podcast è disponibile qui.
Data Protection & Cybersecurity
Il Garante Privacy limita a 7 giorni la conservazione dei metadati delle e-mail dei dipendenti
Con una mossa molto discussa (e criticata), il Garante Privacy ha imposto un drastico cambiamento nelle politiche di conservazione dei metadati delle e-mail dei dipendenti. Leggi il resto dell’articolo
Garante sanziona 4 enti locali per mancata comunicazione del DPO
Il Garante Privacy ha recentemente sanzionato due comuni e due province per la mancata comunicazione dei dati di contatto del DPO.
La nomina del DPO secondo il GDPR
Il DPO è una figura chiave nell’ambito della protezione dei dati personali, sebbene non obbligatorio in ogni attività di trattamento, la sua nomina lo diventa al verificarsi di alcune circostanze, per garantire una migliore tutela della privacy. L’articolo 37, comma 1, del Regolamento Generale sulla Protezione dei Dati stabilisce quando la nomina del DPO è obbligatoria, ovvero se:
- Autorità pubbliche e organismi pubblici: Il DPO deve essere nominato quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico. Questa disposizione esclude le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
- Monitoraggio regolare e sistematico su larga scala: La nomina del DPO è obbligatoria quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Questo può includere, ad esempio, il tracciamento e la profilazione su Internet per finalità di pubblicità comportamentale.
- Trattamento di categorie particolari di dati: Se le attività principali riguardano il trattamento su larga scala di categorie particolari di dati personali (come dati sensibili) di cui all’articolo 9 o dati relativi a condanne penali e reati di cui all’articolo 10, la nomina del DPO è obbligatoria.
Sanzioni ai comuni da parte del Garante Privacy
Il Garante Privacy ha recentemente sanzionato due comuni e due province per la mancata comunicazione dei dati di contatto del DPO. Infatti, i comuni, essendo autorità pubbliche, sono coperti dall’obbligo di nomina. Questi provvedimenti sono stati adottati nell’ambito di un’indagine volta a verificare il rispetto dell’obbligo di comunicazione all’Autorità, secondo l’art. 37, para.7 del GDPR. Il Regolamento Ue impone alle autorità pubbliche, come amministrazioni dello Stato, Regioni, Province, Comuni, università e aziende del Servizio sanitario nazionale, di designare un DPO e di comunicarne i dati di contatto al Garante Privacy tramite l’apposita procedura disponibile sul sito dell’Autorità. Per tale motivo, tre di questi enti locali sono stati multati con EUR2.000, mentre il quarto ha ricevuto una sanzione di EUR5.000, avendo omesso di nominare i DPO e comunicare la nomina all’autorità Garante.
Requisiti dei DPO
Il DPO deve possedere alcune qualità professionali specifiche, tra cui: conoscenze specialistiche sulla normativa, sulle prassi in materia di protezione dei dati, sapendo interpretare e applicare il GDPR e deve essere in grado di assolvere i doveri principali di monitoraggio della conformità dei processi interni, consulenza interna, cooperazione con l’autorità di controllo e fungere da punto di contatto per gli interessati. Inoltre, il DPO deve operare in modo autonomo e indipendente, senza influenze esterne, potendo comunque svolgere altre mansioni o funzioni, ma senza generare conflitti di interessi con i suoi doveri principali. I dati di contatto del DPO devono essere pubblici e facilmente reperibili nel sito web dell’ente o azienda di riferimento.
In considerazione del crescente interesse per i Garanti europei verso la presenza della figura del DPO, le aziende dovrebbero cercare di adeguarsi per garantire una gestione idonea dei dati personali e la conformità al GDPR.
Per approfondire il ruolo del DPO, potrebbe interessarti l’ascolto di questo podcast: “Irene Pozzi, DPO di Bending Spoons, su privacy e gli Spooners”.
Intellectual Property
Il no dell’UIBM alla limitazione di marchi a prodotti conformi al disciplinare di una DOP
L'Ufficio Italiano Brevetti e Marchi (UIBM) ha emesso di recente un provvedimento di rifiuto riguardante una limitazione della specifica merceologica di una domanda di marchio collettivo a prodotti conformi al disciplinare di una denominazione di origine protetta, confermando una prassi consolidata dell’ufficio.
Il motivo del rifiuto risiede nell'ulteriore frammentazione e ristrutturazione dei prodotti della classificazione dell’Accordo di Nizza che comporterebbe la limitazione a prodotti conformi al disciplinare di una denominazione di origine protetta.
La posizione dell’UIBM si allinea perfettamente con la sentenza n. 12848/19, in cui la Corte di Cassazione ha respinto una simile limitazione relativa a prodotti DOP, confermando la decisione di rigetto n. 58/2016 della Commissione dei Ricorsi. Questa decisione conferma la coerenza e la correttezza delle pronunce precedenti e sottolinea l'importanza di rispettare la natura e l'ambito della classificazione dei prodotti e dei servizi stabiliti dall'Accordo di Nizza.
La decisione ribadisce anche il principio secondo cui le domande di registrazione di marchi devono fare riferimento a generi merceologici più ampi e non a prodotti specifici, garantendo così coerenza e uniformità nel sistema di registrazione dei marchi.
In conclusione, la decisione dell’UIBM enfatizza l'importanza del rispetto delle regole e delle procedure per la registrazione dei marchi, tutelando l'integrità e la coerenza della Classificazione internazionale di Nizza. Questo approccio favorisce un sistema equo e trasparente che promuove la concorrenza leale e protegge i diritti dei titolari di marchi.
Su un simile argomento potrebbe essere di interesse “La Commissione dei Ricorsi conferma il rifiuto della registrazione del marchio collettivo “SAN CASCIANO”
A chi spetta la competenza per le controversie sul diritto di accesso agli atti della SIAE?
La piena liberalizzazione del mercato dell'intermediazione del diritto d'autore, a seguito della direttiva c.d. Barnier, impone che la competenza per le controversie concernenti le modalità di gestione dei diritti vantati nei confronti della SIAE ricada nella giurisdizione del giudice ordinario.
La vicenda
Il protagonista della vicenda, portata all’attenzione delle Sezioni Unite della Corte di Cassazione nell'ordinanza 22 gennaio 2024, n. 2223, ha asserito di essere un cantante, autore e compositore associato alla SIAE, di aver contribuito alla realizzazione di opere musicali depositate presso la SIAE per conto di vari autori e editori e di aver avanzato una richiesta di consultazione della documentazione amministrativo-contabile e delle royalties maturate dai compositori. Tuttavia, la SIAE ha respinto tale richiesta, contestando l’applicabilità della disciplina sull’accesso prevista dalla legge n. 241 del 1990. L'istante ha quindi proposto un ricorso dinanzi al TAR del Lazio, impugnando la nota con cui la SIAE ha respinto la sua richiesta di accesso ai documenti ex artt. 22 e ss. della legge n. 241 del 1990.
Successivamente, la SIAE ha proposto un ricorso per regolamento preventivo di giurisdizione, lamentando il difetto della giurisdizione esclusiva del giudice amministrativo, in virtù dell’inapplicabilità dell'istituto dell'accesso documentale ex artt. 22 e ss. della L. n. 241/1990. La SIAE ha argomentato che la sua attività di intermediazione è soggetta esclusivamente alle norme di diritto privato, in conformità con l'art. 1, comma 2, L. n. 2 del 2008, che cita quanto segue: «L'attività della SIAE è disciplinata dalle norme di diritto privato. Tutte le controversie concernenti le attività dell'ente, ivi incluse le modalità di gestione dei diritti, nonché l'organizzazione e le procedure di elezione e di funzionamento degli organi sociali, sono devolute alla giurisdizione ordinaria, fatte salve le competenze degli organi della giurisdizione tributaria».
L’unanime orientamento delle Sezioni Unite
Il processo decisionale seguito dall’ordinanza in commento prende avvio dall’interpretazione dell'art. 1, comma 2, L. n. 2 del 2008. Come precisato dalle Sezioni Unite – se pure con riferimento a diversa fattispecie – la norma presenta una formulazione ampia ed omnicomprensiva, «il cui tenore letterale esprime con estrema chiarezza l'intento del legislatore di devolvere alla giurisdizione ordinaria tutte le controversie relative all'attività della SIAE, fatta eccezione soltanto per quelle spettanti alla giurisdizione tributaria, e ciò in correlazione con l'assoggettamento di tale attività alle norme di diritto privato e con il risalto conferito alla natura associativa dell'ente, nonché al fine di consentire il superamento delle incertezze determinate dal criterio di riparto della giurisdizione» (cfr. Cass., Sez. Unite, 28 aprile 2020, n. 8238).
Le Sezioni Unite hanno altresì osservato come la questione in esame sia stata risolta recentemente, proprio nel senso del riconoscimento della giurisdizione del giudice ordinario, dalle stesse Sezioni Unite della Corte di Cassazione, enunciando il seguente il principio di diritto: «Le controversie nelle quali si controverte sul diritto di accesso agli atti conservati dalla SIAE - Società Italiana degli Autori e degli Editori (nella specie, relativi ai compensi per diritti di copia privata pagati, o meno, dalle imprese ex artt. 71sexies e ss. della L. n. 633 del 1941) rientrano nella giurisdizione del giudice ordinario, sia per l'ampia formulazione dell'art. 1, comma 2, della L. n. 2 del 2008, sia per la natura della SIAE che - anche alla luce della liberalizzazione del mercato dei diritti d'autore, operata con D.Lgs. n. 35 del 2017 attuativo della direttiva 2014/26/UE, c.d. direttiva Barnier - opera ormai con modalità privatistiche, sottoposte al rispetto delle regole di concorrenza ed incompatibili con una gestione pubblicistica dei diritti d'autore» (cfr. Cass., Sez. Unite, 4 luglio 2023, n. 18893).
In detta pronuncia si è rilevato che per effetto dell'attuazione della direttiva 2014/26/UE, c.d. direttiva Barnier, recepita nel nostro ordinamento dal D.Lgs. n. 35 del 2017, ormai operano in Italia, oltre alla SIAE, anche altri organismi di gestione collettiva, qualificati come imprese del diritto dell'Unione Europea (in tal senso v. Corte Giustizia 14 settembre 2017, C-177/2016, Akka), sottoposte alla normativa in materia di tutela della concorrenza, in taluni casi neppure ricompresi nell'elenco IPA delle Pubbliche Amministrazioni e Gestori di Pubblici Servizi. Di conseguenza, risulta coerente assoggettare tutte le controversie alla giurisdizione del giudice ordinario, giacché non può sopravvivere una disparità di trattamento tra autori ed editori associati a SIAE, che dovrebbero incardinare il giudizio inerente alle modalità di gestione dei diritti, dinanzi al giudice amministrativo, e coloro associati ad altri organismi, che invece dovrebbero incardinare il giudizio dinanzi al giudice ordinario.
Conclusione
Alla luce del consolidato orientamento di legittimità, le Sezioni Unite hanno dichiarato che la giurisdizione sul diritto di accesso dell'interessato di prendere visione e di estrarre copia di documenti nella disponibilità della SIAE compete al giudice ordinario. Tale conclusione riflette la natura privatistica sia dell’ente, che dell'attività istituzionale svolta da quest’ultimo. Si coniuga, cioè, col processo di «aziendalizzazione» della SIAE, contraddistinto non solo dall’assoggettamento della sua gestione al principio di economicità con la connessa valorizzazione dei profili imprenditoriali dell'attività, ma anche e soprattutto dalla cessazione del regime monopolistico di gestione dei diritti d'autore, determinato dal D.Lgs. n. 35 del 2017 e dalla conseguente apertura del mercato a forme concorrenziali, difficilmente compatibile con modalità di gestione amministrativa dei rapporti.
Su un simile argomento potrebbe interessarti: “TAR sulle trattative tra Siae e Meta confermando ordine di AGCM”.
Technology Media and Telecommunication
Avvocato Generale CGUE: il diritto UE osta agli obblighi AGCOM diretti ai prestatori di servizi online
Secondo l’Avvocato Generale Szpunar, l’Italia non può imporre obblighi generali e astratti, quali gli obblighi AGCOM (ad esempio, l’obbligo d’iscrizione al ROC), a un prestatore di servizi online operante nel territorio italiano, ma stabilito in un altro Stato Membro dell’UE.
Nelle conclusioni dell’Avvocato Generale della CGUE Maciej Szpunar nelle cause riunite C-662/22 contro l’Autorità per le Garanzie nelle Comunicazioni (AGCOM), è riportato che uno Stato Membro dell’UE, come l’Italia, non può imporre obblighi generali e astratti a un prestatore di servizi online operante nel suo territorio ma che sia stabilito in un altro Stato membro. Tra tali obblighi rilevano, in Italia, l’obbligo d’iscrizione al registro degli operatori di comunicazione (ROC), con i connessi adempimenti procedurali e informativi, e l’obbligo di pagare un contributo annuale all’AGCOM.
In particolare, con l’adozione della delibera n. 200/2021, l’AGCOM ha modificato l’allegato A della delibera n. 666/2008, includendo nell’elenco dei soggetti tenuti all’iscrizione al ROC i prestatori di servizi online, come definiti dal Regolamento (UE) 2019/1150 (Regolamento) che, anche se non stabiliti o residenti nel territorio nazionale, forniscano o offrano di fornire tali servizi a utenti commerciali stabiliti o residenti in Italia.
L’AGCOM ha poi modificato l’allegato B della delibera n. 666/2008, estendendo ai prestatori di servizi online l’obbligo di produrre, all’atto della presentazione della loro domanda d’iscrizione al ROC, dichiarazioni relative al loro assetto societario e all’attività svolta, nonché l’obbligo di produrre dichiarazioni annuali successive. La delibera n. 666/2008 prevede che l’iscrizione al ROC sia soggetta a adempimenti procedurali e informativi (ad esempio, riguardanti la struttura societaria, modifiche nel controllo e nella proprietà, trasferimenti, variazioni, situazione economica del prestatore). Ai prestatori di servizi online che non adempiono a tali obblighi possono essere comminate sanzioni.
In tale contesto, alcuni prestatori di servizi di intermediazione e di motori di ricerca online stabiliti nell’UE hanno contestato dinnanzi ai giudici italiani detti obblighi ritenendoli (i) contrari al Regolamento che promuove equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online, nonché (ii) in violazione del principio previsto nella Direttiva 2000/31/CE sul commercio elettronico (Direttiva) secondo cui i servizi della società dell’informazione sono soggetti alla legge dello Stato membro di stabilimento del prestatore (art. 3 della Direttiva).
Nell’ambito di tale controversia, il giudice italiano (i.e., T.A.R. Lazio) ha deciso di proporre rinvio pregiudiziale alla CGUE. Da un lato, le questioni pregiudiziali sollevate nelle cause in oggetto hanno dato alla Corte l’occasione di pronunciarsi, per la prima volta, sull’interpretazione del Regolamento e sul margine di discrezionalità di cui gli Stati Membri dispongano nella sua attuazione. Dall’altro lato, hanno consentito alla
Corte di precisare se il diritto dell’UE osti a una normativa nazionale con cui uno Stato Membro applica gli obblighi di cui trattasi, come gli obblighi AGCOM per l’Italia, a prestatori stabiliti in Stati Membri diversi da quelli di stabilimento.
Nelle sue conclusioni, l'Avvocato Generale riporta che il diritto dell’UE e, più specificamente, la Direttiva ostano effettivamente a provvedimenti nazionali di carattere generale e astratto con cui uno Stato membro imponga al prestatore di un servizio della società dell’informazione stabilito in un altro Stato Membro a) un obbligo di iscrizione in un registro, b) un obbligo di trasmettere rilevanti informazioni sulla sua organizzazione, c) un obbligo di trasmettere rilevanti informazioni sulla sua situazione economica e d) un obbligo di versare un contributo economico, oltre all’applicazione di sanzioni in caso di inadempimento di detti obblighi. Il fatto che queste misure nazionali siano state adottate al dichiarato fine di garantire l’attuazione del Regolamento non può incidere sulla loro inapplicabilità a un siffatto prestatore.
Inoltre, per quanto riguarda il Regolamento, l'Avvocato Generale riporta che gli obblighi previsti dalla normativa italiana non costituiscono misure di applicazione del Regolamento stesso. Quest'ultimo, quindi, non li giustifica. Il suo obiettivo è contribuire al corretto funzionamento del mercato interno garantendo un contesto equo, prevedibile, sostenibile e sicuro per l’attività economica online. In tale contesto, uno Stato membro può raccogliere soltanto informazioni in relazione agli obblighi che gli siano imposti dal Regolamento e agli obiettivi che quest’ultimo persegue.
Le conclusioni dell’Avvocato Generale non vincolano la CGUE in quanto il compito dell’Avvocato Generale consiste nel proporre alla Corte, in piena indipendenza, una soluzione giuridica nella causa per la quale è stato designato. I giudici della Corte devono ancora deliberare in questa causa e la sentenza sarà pronunciata in una data successiva. Tuttavia, è interessante notare come gli obblighi AGCOM siano stati messi sotto esame della CGUE da parte dell’Avvocato Generale che non accetta la posizione dell’Italia secondo cui gli obblighi in oggetto diretti ai prestatori di servizi online siano attuativi delle norme dell’UE e in particolare del Regolamento. Sarà determinante la decisione della Corte conformemente alla quale il giudice italiano dovrà poi risolvere la controversia nazionale e che vincolerà gli altri giudici nazionali ai quali dovesse essere sottoposta una questione simile.
Su un simile argomento potrebbe interessarti: “Rinviato al CGUE l’obbligo di iscrizione al ROC per i fornitori di intermediazione online”.
La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta,Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Silvia Cerrato, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia Feola, Claudia Galatioto, Laura Gastaldi, Vincenzo Giuffré, Marco Guarna, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Dalila Mentuccia, Deborah Paracchini, Tommaso Ricci, Miriam Romeo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra
Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.
Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.
Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.
È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.
DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.
Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.
