Innovation Law Insights

Privacy

Linee guida dell’EDPB sul rapporto tra PSD2 e obblighi privacy

L’adozione della PSD2 è stato un passo decisivo per lo sviluppo del Fintech e l’EDPB ha ora emesso delle linee guida sul suo rapporto con gli obblighi privacy, generando certezze, ed alcune incertezze, sull’argomento.

Le principali modifiche introdotte dalla PSD2 riguardano l'obbligo per le banche di consentire a fornitori di servizi di pagamento di

• avere accesso alle informazioni relative al conto dei loro clienti e
• avviare i pagamenti per conto di un cliente, indipendentemente dall'esistenza di un accordo tra il fornitore e la banca interessata, al verificarsi di particolari condizioni che mirano ad evitare qualsiasi comportamento anti-competitivo.

Tale flusso continuo di dati avviene attraverso le “famose” API aperte che devono conformarsi con specifici standard tecnici determinati dall’Autorità bancaria europea. Questa circostanza fa scattare inevitabilmente alcune preoccupazioni in materia di protezione dei dati.

La PSD2 richiede già che il trattamento dei dati venga effettuato nel rispetto degli obblighi previsti dalla normativa sul trattamento dei dati personali, ma il Comitato europeo per la protezione dei dati (l’EDPB) ha ora emesso delle sue linee guida per chiarire alcune aree grigie.

I punti principali delle linee guida dell’EDPB sull'interazione tra la PSD2 e gli obblighi privacy sono i seguenti:

1. l'esecuzione del contratto ai sensi dell'articolo 6.1 (b) del GDPR è, nella maggior parte dei casi, la base giuridica del trattamento delle informazioni sui conti di pagamento strettamente necessarie per la fornitura del servizio richiesto da parte dei prestatori di servizi di avvio dei pagamenti e dei prestatori di servizi di informazione sui conti;


2. il consenso esplicito dell'utente dei servizi di pagamento richiesto dalla PSD2 per accedere, trattare e conservare i dati personali necessari per la fornitura dei servizi di pagamento non è la base giuridica del trattamento dei dati ai sensi del GDPR, ma è un requisito aggiuntivo di natura contrattuale che richiede tuttavia lo stesso livello di trasparenza fornito dal GDPR affinché il consenso sia libero. Ciò vuole dire che si tratta di un consenso necessario ai fini della fornitura del servizio, mentre qualora fosse stata la base giuridica del trattamento non avrebbe potuto essere necessario;


3. i silent party data (ossia i dati personali relativi a un interessato che non è l'utente di uno specifico prestatore di servizi di pagamento, ma i cui dati personali sono trattati da quel particolare prestatore di servizi di pagamento per l'esecuzione di un contratto tra il prestatore e l'utente dei servizi di pagamento) possono essere trattati sulla base di un interesse legittimo entro i limiti strettamente necessari per la fornitura del servizio e non possono mai includere categorie particolari di dati. Inoltre, non ne è consentito alcun utilizzo per ulteriori finalità, se non espressamente previsto dalle leggi vigenti;


4. la necessità di conformarsi con un obbligo di legge è la base giuridica del trattamento dei dati personali da parte delle banche e consiste nel concedere l'accesso ai dati personali richiesti dai prestatori di servizi di avvio del pagamento e dai prestatori di servizi di informazione sul conto per l'esecuzione del servizio di pagamento all'utente dei servizi di pagamento;


5. il principio della minimizzazione dei dati deve essere rispettato nel consentire l'accesso alle informazioni sul conto di pagamento. Pertanto, i prestatori di servizi di informazione sul conto devono indicare espressamente le categorie di dati necessarie per la fornitura del servizio; e


6. il prestatore di servizi di pagamento deve attuare periodi di conservazione dei dati personali limitati. I dati non devono essere conservati dal prestatore di servizi per un periodo di tempo superiore a quello necessario per le finalità richieste dall'utente dei servizi di pagamento.

Un altro aspetto molto rilevante è che, secondo l'EDPB, “attraverso la somma delle transazioni finanziarie, potrebbero essere rivelati diversi tipi di modelli comportamentali, comprese categorie particolari di dati personali e servizi aggiuntivi che sono facilitati dai servizi di informazione contabile potrebbero basarsi sulla profilazione come definita dall'articolo 4, paragrafo 4, del GDPR. Pertanto, è molto probabile che un fornitore di servizi che elabora informazioni sulle transazioni finanziarie degli interessati elabori anche categorie particolari di dati personali”. Da questa circostanza l’EDPB deduce che il trattamento di tali dati richiederebbe una base giuridica ai sensi dell’articolo 9 del GDPR che potrebbe essere solo il consenso esplicito o la presenza di motivi di sostanziale interesse pubblico. Ma se tali soluzioni non sono realizzabili, “i prestatori di servizi di pagamento possono esplorare le possibilità tecniche per escludere particolari categorie di dati personali e consentire un accesso selezionato”.

Questa interpretazione è piuttosto pericolosa, poiché lo stesso problema si porrebbe per le banche o le società di carte di credito che non possono semplicemente cancellare i dati del destinatario del pagamento. Per evitare contestazioni, le banche dovrebbero “obbligare” i loro clienti a concedere il consenso esplicito al trattamento di categorie particolari di dati personali. Ma tale approccio invaliderebbe il consenso fornito in quanto non sarebbe libero.

Le aziende possono adottare soluzioni che limitano l'analisi dei modelli basati su alcune categorie di destinatari dei pagamenti e chiedere ai clienti di evitare che le descrizioni dei pagamenti rivelino, ad esempio, informazioni relative alla salute. Tuttavia, riteniamo che il potenziale accesso a tali informazioni non debba essere considerato come un trattamento di categorie particolari di dati personali da parte delle banche e dei fornitori di servizi di pagamento.

Infatti, come indicato dall’EDPB, le categorie particolari di dati personali non derivano dalle informazioni in sé, ma dal modello di comportamento che può essere desunto dall'analisi di tali informazioni. Di conseguenza, se le banche e i prestatori di servizi di pagamento non analizzano tali informazioni per identificare i modelli di comportamento, i dettagli di un pagamento effettuato a favore di un ospedale o di una donazione a un partito politico sarebbero, per le loro finalità, equivalenti all'elaborazione di qualsiasi altro dato accessibile attraverso i loro servizi e quindi non richiederebbero una base giuridica ai sensi dell’articolo 9 del GDPR.

C’è tempo fino al 16 settembre 2020 per sottoporre eventuali commenti e l’aspetto da ultimo analizzato è centrale per la conformità delle banche e degli istituti finanziari alla normativa sul trattamento dei dati personali.

Il Garante privacy danese sanziona una catena alberghiera per conservazione dei dati dei propri clienti oltre il termine

Il garante privacy danese, il Datatilsynet, ha emesso una sanzione di DKK 1.100.000,00 (pari a EUR 147.708,63) nei confronti di una catena alberghiera per per aver conservato i dati personali dei propri clienti oltre il termine di conservazione necessario al conseguimento delle finalità perseguite, in violazione del principio di limitazione della conservazione ex articolo 5, par. 1, lett. e) del Regolamento UE 2016/679 (il GDPR).

La sanzione si pone a valle di un’attività ispettiva condotta dal garante privacy danese presso le sedi della catena alberghiera, in occasione della quale era emerso che:

• sebbene la società disponesse di una policy di data retention, su un sistema di prenotazione risultavano registrati molti dati personali non più necessari, detenuti in violazione del periodo di conservazione stabilito nella suddetta policy; e
• rimanevano sui sistemi interni circa 500.000 profili di clienti che avrebbero dovuto essere cancellati già diversi anni prima dell’ispezione.

In proposito, il responsabile dell'unità di controllo della Datatilsynet ha sottolineato come “[i]n una società in cui i nostri dati personali vengono sempre più registrati e sfruttati, è fondamentale che noi, in quanto cittadini, possiamo avere la certezza che i nostri dati personali vengano trattati per finalità oggettive e che vengano conservati solo per il tempo necessario”.

Pertanto, dato tutto quanto precede, la catena alberghiera sarà tenuta a rispondere della violazione del principio relativo alla limitazione dei tempi di conservazione dei dati personali sancito dal GDPR versando una somma pari a circa EUR 148 mila a titolo di sanzione pecuniaria.

Technology Media & Telecom

È via libera dell’UE al regime italiano di voucher per sostenere l'accesso ai servizi a banda larga

La Commissione europea ha recentemente approvato il regime di voucher per 200 milioni di euro predisposto dal Governo italiano al fine di aiutare le famiglie a basso reddito ad acquistare servizi a banda larga. I voucher copriranno anche l'offerta – da parte del medesimo operatore di telecomunicazioni scelto dalla singola famiglia – delle relative apparecchiature necessarie, come un tablet o un personal computer.

La Commissione ha valutato la misura ai sensi dell'articolo 107, paragrafo 2, lettera a) del Trattato sul Funzionamento dell’Unione europea – che consente agli Stati membri di concedere aiuti a carattere sociale a singoli consumatori a determinate condizioni – ritenendo il regime conforme alle norme dell’Unione Europea sugli aiuti di Stato e in linea con gli obiettivi strategici dell'Unione definiti nell’agenda digitale europea e nella comunicazione “Connettività per un mercato unico digitale competitivo: verso una società dei Gigabit europea” del 2016. La Commissione ha constatato che il regime, destinato principalmente alle famiglie, costituisce al tempo stesso un aiuto di Stato a favore degli operatori di servizi di telecomunicazione.

La Commissione ha altresì rilevato che la misura sarà neutra sotto il profilo tecnologico. Le famiglie potranno infatti usufruire dei voucher per abbonarsi a qualsiasi servizio d'accesso a banda larga di nuova generazione (NGA) presso l'operatore di telecomunicazioni di loro scelta. Inoltre, l’utilizzo dei voucher sarà tale da evitare discriminazioni basate sull’operatore di telecomunicazione scelto dalla singola famiglia o sull’origine dei prodotti: qualsiasi operatore di telecomunicazioni in grado di fornire alle famiglie i servizi a banda larga e le apparecchiature necessarie avrà la possibilità di offrire i propri servizi.

La Commissione ha inoltre valutato positivamente l’impegno assunto dal Governo italiano di adottare tutte le misure necessarie ad evitare indebite distorsioni della concorrenza. In particolare, il Governo verificherà le modalità di impiego dei voucher al fine di impedire che essi vengano utilizzati per sostituire abbonamenti già esistenti a servizi a banda larga.

In merito alla misura approvata, Margrethe Vestager, Vicepresidente esecutiva responsabile della politica di concorrenza, ha dichiarato che un tale regime “contribuirà a ridurre il divario digitale del paese, che nell'emergenza del coronavirus è diventato ancor più evidente. Il regime farà sì che le famiglie ammissibili possano telelavorare e aver accesso ai servizi educativi offerti online senza costi aggiuntivi, attraverso la tecnologia di loro scelta”.

Intellectual Property

EUIPO: Decaduti per non uso i diritti di marchio su uno dei più iconici modelli di auto d’epoca

Con la decisione del 29 maggio 2020, l’EUIPO ha dichiarato decaduti per non uso i diritti di marchio di titolarità di una delle più note case automobilistiche italiane sul proprio marchio UE consistente nella forma di un iconico modello di auto d’epoca.

La disamina del caso si basa sull’applicazione dell’art. 58 del Regolamento sul marchio dell’Unione Europea (Regolamento (UE) 2017/1001), ai sensi del quale il titolare del marchio perde i suoi diritti nel caso in cui il suo marchio, per un periodo ininterrotto di cinque anni, non abbia formato oggetto di uso effettivo nell’Unione per i prodotti o i servizi per i quali è stato registrato, e non vi sono ragioni legittime per la mancata utilizzazione.

Nel caso in esame, l’auto d’epoca oggetto di lite è stata prodotta dal 1962 al 1964, molto prima della data di deposito della relativa domanda di marchio, avvenuta nel 2007. Pertanto, nella valutazione dell’EUIPO ha assunto importanza decisiva il modo in cui la casa automobilistica ha utilizzato il proprio marchio negli ultimi cinque anni, il quale non è stato considerato idoneo per escludere la cancellazione del marchio per alcune classi di beni per i quali lo stesso era stato registrato.

Infatti, l’EUIPO ha ritenuto non sufficienti a provare l’uso attuale del marchio le compravendite delle autovetture originali in aste internazionali in quanto, secondo l’Ufficio, “tali vendite non costituiscono un uso effettivo imputabile alla titolare del marchio, perché quest’ultimo non ha alcuna influenza su queste rivendite”. Nemmeno i servizi post-vendita forniti dalla casa automobilistica ai propri collezionisti sotto il marchio “ombrello” del nome della casa e/o quello più specifico relativo alle sole auto d’epoca della stessa società sono stati giudicati rilevanti dall’EUIPO ai fini della prova dell’uso del marchio contestato.

L’unico uso risultato documentato è stato infatti quello effettuato in relazione ai veicoli giocattolo ed ai modelli in scala di tale automobile, venduti in tutta Europa.

Lanciato il bando “Emergenza coronavirus e oltre” per agevolare il deposito e la difesa di brevetti, modelli e marchi

Con determinazione del 19 luglio 2020 n. G08486, la Regione Lazio ha lanciato il bando “Emergenza coronavirus e oltre”, un bando da 3 milioni di euro di fondi regionali istituito con l’obiettivo di individuare e finanziare progetti che offrano soluzioni sviluppate mediante l’utilizzo di nuove tecnologie, per l’aumento e il miglioramento, in primo luogo, delle “Soluzioni per il Contrasto al Covid-19”, vale a dire, tra gli altri:

1. i medicinali (esclusi i vaccini) e i trattamenti, i relativi prodotti intermedi, i principi attivi farmaceutici e le materie prime;


2. i dispositivi medici, le attrezzature ospedaliere e mediche (compresi i ventilatori meccanici, gli indumenti e i dispositivi di protezione e gli strumenti diagnostici) e le materie prime necessarie;


3. i disinfettanti o sanificanti e i relativi prodotti intermedi, le materie prime chimiche necessarie per la loro produzione o le apparecchiature per la loro applicazione;


4. gli strumenti per la raccolta/il trattamento dei dati per il monitoraggio, la localizzazione e la gestione dell’emergenza e la prevenzione e il controllo della diffusione del Covid-19 (anche negli spazi pubblici o aperti al pubblico e nei luoghi di lavoro).

Tra i costi ammissibili dettagliati nel bando sono state incluse anche le spese per l’ottenimento in Italia e all’estero, nonché per la relativa difesa, di brevetti, modelli di utilità e marchi. A tal riguardo, sono state inoltre espressamente comprese le tasse relative al deposito di domande di brevetto, modello e marchio in Italia, i costi relativi alla consulenza e ogni altro costo espressamente e direttamente connesso all’ottenimento in Italia e all’estero e alla difesa di tali diritti di proprietà intellettuale.

Potranno presentare domanda di adesione le imprese e gli organismi di ricerca e diffusione della conoscenza con sede nel Lazio. Ciascun progetto potrà essere realizzato da un solo beneficiario o da più beneficiari in aggregazione.

Le richieste di contributo potranno essere presentate esclusivamente online a partire dalle ore 12 del 7 settembre 2020 e fino alle ore 18 del 30 settembre 2020 (o fino all’esaurimento delle risorse, se precedente), mentre il contributo a fondo perduto massimo concedibile per ciascun progetto è di 350 mila euro.