Innovation Law Insights 14 Marzo

Podcast

Il Colonnello Menegazzo della Guardia di Finanza sulle ispezioni privacy del Garante

Il Colonnello Marco Menegazzo è il Comandante del Gruppo Privacy nell’ambito del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza che supporta il Garante per la protezione dei dati personali nell’ambito delle ispezioni che vengono svolte e illustra le modalità in cui le ispezioni privacy del Garante sono svolte e le mancanze che riscontrano più spesso nel podcast disponibile qui.

Infografica

Pubblicità dei medicinali, cosa FARE e cosa NON FARE in Italia

Diamo indicazioni in questa infografica su cosa fare e cosa non fare in Italia nella pubblicità dei medicinali che rappresenta un settore altamente regolamentato. L’infografica è disponibile qui.

Privacy

La violazione della normativa privacy non integra sempre un reato secondo la Cassazione

La Cassazione ha fissato i limiti in cui una violazione della normativa privacy può costituire un reato in Italia, restringendo il campo di applicazione in un regime in cui ci sono già le sanzioni elevate previste dal GDPR.

Con sentenza n. 2243 del 20/01/2022, la sezione III della Corte di Cassazione penale ha accolto il ricorso presentato avverso la sentenza del 13/01/2012 della Corte di Appello di Milano, con la quale il responsabile di un’agenzia di investigazioni era stato condannato alla pena di sei mesi di reclusione per il reato di cui agli artt. 110 c.p. e art. 167, comma 1, del Codice Privacy.

In particolare, il ricorrente rispondeva del suddetto reato perché, in concorso con il committente, aveva effettuato la raccolta e la conservazione dei dati relativi alla moglie dello stesso, senza il consenso dell’interessata e al di fuori dei casi previsti dagli artt. 23 e 24, lett. f) del Codice Privacy (oggi abrogati), nonché oltre i termini stabiliti dal mandato conferito dal committente.

Nella vicenda in questione la Suprema Corte ha fornito alcuni importanti chiarimenti in merito al reato di trattamento illecito di dati di cui all’art. 167, commi 1 e 2, del Codice Privacy, a norma dei quali:

• “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”; e
• “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies arreca nocumento all’interessato, é punito con la reclusione da uno a tre anni”.

In primo luogo, il Giudice di legittimità ha evidenziato come gli illeciti in questione non siano propri del titolare e responsabile del trattamento dei dati, trattandosi di reati comuni che possono essere commessi da “chiunque” e, d’altra parte, come il termine “nocumento” a cui fanno riferimento le disposizioni sopra riportate debba intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, che sia subito dalla persona a cui si riferiscono i dati personali protetti, precisando tuttavia che non deve essere confuso con il cd. “danno-conseguenza”, risarcibile ai sensi degli artt. 185 c.p. e 2034 e 2059 c.c.

Tale “noncumento” rappresenta inoltre un elemento costitutivo dei reati di cui si discute, non una condizione oggettiva di punibilità, con la differenza che, per il reato di cui al secondo comma dell’art. 167, l’oggetto materiale della condotta illecita solo i dati di cui agli artt. 9 e 10 del GDPR. Si tratta dunque di reati pericolo concreto, non di pericolo presunto, rispetto ai quali il “noncumento” “assolve alla funzione di dare effettività alla tutela della riservatezza dei dati personali”.

Ma l’affermazione più rilevante che si rinviene nella sentenza in questione consiste nel fatto che, secondo la Suprema Corte, ai fini dell’integrazione del reato di cui all’art. 167 comma 2, la violazione pura e semplice del divieto di trattamento non è sufficiente, essendo altresì necessario che questa avvenga in violazione degli artt. 2-sexies e 2-octies, o delle misure di garanzia di cui all’art. 2-septies del Codice Privacy.

Pertanto, affinché possa configurarsi il rato di cui all’art. 167 comma 2 è necessario che la condotta illecita (i) arrechi nocumento all’interessato; (ii) sia posta in essere con il dolo specifico di trarre profitto, per sé o per altri, o arrecare danno all’interessato; e (iii) concreti la violazione delle disposizioni di cui agli artt. 2-sexies e 2-octies, o delle misure di garanzia di cui all’art. 2-septies del Codice Privacy. In mancanza di questi elementi, la mera violazione delle regole deontologiche di condotta integra l’illecito amministrativo di cui all’art. 166, comma 2, del Codice Privacy.

Questa decisione è rilevante in quanto tiene conto di come le nuove disposizioni del Codice Privacy che sono state introdotte come conseguenza dell'applicabilità del GDPR hanno ristretto la portata dei reati per le violazioni della privacy in Italia, forse anche a causa delle sanzioni amministrative notevolmente più elevate introdotte dal Regolamento UE sulla protezione dei dati personali.

Su di un simile argomento, può essere interessante l’articolo “DLA Piper report su data breach e sanzioni ai sensi del GDPR nel 2021”.

Intellectual Property

Il metaverso è la nuova rivoluzione del mondo della moda per i diritti di proprietà intellettuale?

La definizione della stretegia di protezione dei diritti di proprietà intellettuale nel metaverso per le aziende del settore della moda è molto complessa e cerchiamo di dare alcune indicazioni utili al riguardo.

Neal Stephenson ha coniato il termine “metaverso” nel suo romanzo Snow Crash del 1992, dove si riferiva a un mondo virtuale in 3D abitato da avatar di persone reali, a volte facilitato dall’uso di dispositivi per la realtà virtuale e aumentata, che avrebbero reso sempre più impercettibile il confine tra online e offline.

Nessun altro settore ha abbracciato il metaverso come la moda. Brand come Gucci, Balenciaga e Burberry stanno creando nel metaverso abiti e accessori che probabilmente nessuno indosserà mai nel mondo reale. Milioni di utenti comprano vestiti e skin per i loro avatar digitali e molti marchi della moda hanno collaborato con l’industria dei videogiochi per lanciare capsule collection digitali, che in certi casi potrebbero anche essere vendute nei negozi reali.

Un simile fenomeno comporta una serie di conseguenze a livello giuridico, soprattutto nel campo della proprietà intellettuale.

L’uso nel metaverso costituirà un uso genuino del marchio nelle sue classi principali o saranno necessari dei nuovi depositi? Supponendo che l’uso nel metaverso equivalga effettivamente ad un uso in funzione di marchio, le aziende dovranno riesaminare le loro strategie di deposito e valutare se sia garantita sufficiente protezione al marchio in un meta-ambiente. Questo potrebbe portare a ridefinire il portafoglio dei marchi e considerare depositi, per esempio, nelle classi 9 e 41. In caso di fenomeni di meta-squatting, si dovrà tener conto della possibilità di dare evidenza della reputazione del marchio, accedendo alla protezione rafforzata nei confronti di prodotti dissimili.

I marchi della moda dovranno anche valutare la portata dei propri diritti sui prodotti che vorranno introdurre nel metaverso. Ciò può essere più semplice nel caso di opere realizzate da dipendenti che verranno trasformate in beni digitali o NFT, ma meno immediato per quanto riguarda le opere create da collaboratori indipendenti. Nei contratti di licenza standard o negli accordi di collaborazione è necessario prestare particolare attenzione alle “clausole sulle nuove tecnologie” che normalmente estendono il diritto di sfruttamento su tutte le tecnologie conosciute al momento e da sviluppare in futuro. In ogni caso, la strategia migliore è quella di redigere clausole di cessione di tutti i diritti di proprietà intellettuale sulle opere interessate, che comprenderanno poi anche le varie forme di sfruttamento nel metaverso.

Un’altra problematica riguarda il principio di territorialità dei diritti di proprietà intellettuale nel metaverso. Su questo punto, è ragionevole supporre che il principio generale di ubiquità, già utilizzato per Internet, permetterà di citare in giudizio per violazione in tutti i fori presso cui il contenuto illecito è reso accessibile, con la possibilità di richiedere maggiori danni per la violazione a livello mondiale nel foro presso cui l’autore della violazione o qualsiasi hosting o service provider ha sede legale.

Inoltre, se parliamo di mondi virtuali potenzialmente connessi, che ne è dell’interoperabilità tra i vari programmi su cui si baserà l’architettura del metaverso? Se puntiamo a uno spazio virtuale accessibile a tutti, la nozione di licenze FRAND (Fair, Reasonable and Non-Discriminatory) e la portabilità dei dati, sviluppata in altre aree del diritto, potrebbero avere un ruolo e contribuire a creare standard comuni, disponibili per tutti gli operatori.

Stephenson probabilmente non poteva immaginarlo, ma il metaverso è già qui e se vogliono farne parte le aziende di ogni settore, dovrebbero essere pronte a ridefinire la propria strategia, al fine di garantire l’estensione dei loro diritti di proprietà intellettuale a questo nuovo spazio virtuale.

Su di un simile argomento, può essere interessante l’articolo “I diritti di proprietà intellettuale nel metaverso: NFT e moda“.

Confermata la nullità del marchio di un noto pastificio italiano

Con una recente ordinanza, la Corte di Cassazione ha confermato la nullità di un marchio registrato da un noto pastificio, esprimendosi sul ricorso che lo stesso proponeva avverso la precedente sentenza della Corte d’Appello di Roma, pubblicata nel maggio 2017, in cui si concludeva a favore della dichiarazione di nullità avanzata da controparte.

Nello specifico, la Corte d’Appello confermava la decisione del Tribunale della medesima città, che aveva accolto le richieste di un secondo noto pastificio italiano, diretto competitor della ricorrente, che agiva ai fini della dichiarazione di nullità del marchio che la richiedente aveva registrato nel 2013 in classe 30 - composto di due elementi denominativi, di cui uno costituito dalla denominazione di un tradizionale formato di pasta -, e del quale denunciava il difetto di capacità distintiva.

La Corte di Cassazione ha dunque confermato la decisione della Corte d’Appello, riconoscendo integralmente la natura descrittiva del segno. In particolare, secondo la corte era escluso che il marchio in oggetto fosse idoneo a distinguere un nuovo prodotto, richiamando piuttosto un formato di pasta già parte della tradizione alimentare italiana, quale si considera il c.d. spaghetto alla chitarra. Più nel dettaglio, è stato ribadito come lo stesso costituisca semplicemente una forma più moderna del prodotto tradizionale, presentando una “sezione orizzontale quadrata”, o come precisato dalla Corte, una “sezione trasversale”, e non più cilindrica. Escluso anche il secondary meaning in considerazione della esigua durata dell’uso, cioè a dire 14 mesi, e della natura debole del marchio, costituito non solo da parole di uso comune particolarmente diffuse ma anche collegate alla natura e alle caratteristiche del prodotto.

Concludendo, alla luce della decisione in commento, è certamente utile ribadire che il c.d. carattere distintivo rappresenta un requisito essenziale e costitutivo di un marchio, che conseguentemente esclude l’idoneità ai fini della registrazione di segni costituiti da indicazioni descrittive di prodotti o servizi, fra cui quelli che ne indicano delle mere caratteristiche.

Su un simile argomento può essere interessante l’articolo “Nullità relativa di un marchio europeo: si pronuncia il Tribunale dell’UE“.

Technology, Media and Telecommunications

L’EBA pubblica il Final Report sugli Orientamenti in materia di LNE ai sensi della PSD2

L'Autorità bancaria europea (EBA) ha pubblicato il Final Report sugli Orientamenti in materia di esclusione relativa alle reti limitate ai sensi della Direttiva (UE) 2015/2366 sui servizi di pagamento nel mercato interno (PSD2).

L’Articolo 3, lett. k), della PSD2 ha introdotto un'esclusione dall'ambito di applicazione della Direttiva per i servizi basati su specifici strumenti di pagamento utilizzabili solo in modo limitato. Tali strumenti, che rientrano nel campo di applicazione della cosiddetta “limited network exclusion” (LNE), possono essere tessere clienti, carte carburante, tessere di membro, tessere per i mezzi di trasporto pubblici, biglietti per il parcheggio, buoni pasto o buoni per servizi specifici, che talvolta sono oggetto di disposizioni specifiche di diritto fiscale o del lavoro volte a promuovere l’uso di tali strumenti per raggiungere gli obiettivi previsti dalla legislazione sociale.

Inoltre, l'Articolo 37, par. 2, della PSD2 ha fissato una soglia di 1 milione di euro per il valore complessivo delle operazioni di pagamento, che, se superata, richiederebbe ai prestatori di servizi esclusi ai sensi dell'Articolo 3, lett. k), parr. (i) o (ii) della PSD2 (i.e. (i) strumenti che consentono di acquistare beni o servizi soltanto nei locali dell’emittente o all’interno di una rete limitata di prestatori di servizi direttamente vincolati da un accordo commerciale ad un’emittente professionale o (ii) strumenti che possono essere utilizzati unicamente per acquistare una gamma molto limitata di beni o servizi) di notificare la rispettiva autorità competente. Quest’ultima, a sua volta, valuta se l'attività in questione sia qualificabile come “limitata” o se richieda un'autorizzazione come istituto di pagamento o di moneta elettronica.

Dalla pubblicazione della PSD2, l'EBA e la Commissione UE hanno ricevuto una serie di domande sull'applicazione della LNE, giungendo alla conclusione che sussistessero delle evidenti divergenze in termini di attuazione e applicazione della Direttiva nei diversi Stati Membri. Al contempo, l’EBA ha constatato che i consumatori che effettuavano operazioni con gli strumenti di pagamento esclusi non fossero sempre consapevoli di non beneficiare della protezione prevista dalla PSD2.

L'Autorità europea ha così ritenuto di dover emanare degli orientamenti volti a chiarire una serie di aspetti con particolare riferimento alla LNE. La relativa bozza è stata pubblicata nel 2021 ed ha incluso, tra l'altro, l'uso di strumenti di pagamento all'interno di una rete limitata, i criteri e gli indicatori per qualificare come “limitata” una rete di fornitori di servizi o una gamma di beni e servizi, nonché l'applicazione della LNE da parte degli istituti finanziari regolamentati e i requisiti di notifica alle autorità competenti.

Successivamente, l'EBA ha avviato una consultazione pubblica per il periodo dal 15 luglio al 15 ottobre 2021 sul progetto degli Orientamenti, all’esito della quale ha valutato di apportarvi alcune modifiche. L’emendamento più rilevante incluso nella versione finale riguarda la valutazione della connessione funzionale tra beni e servizi, che ora si basa su una categoria specifica di beni e servizi con uno scopo comune individuata dall'emittente dello strumento escluso, piuttosto che su un bene o servizio principale, come inizialmente proposto nel documento di consultazione. L'EBA ha anche chiarito la natura degli indicatori di valutazione, che sono tutti obbligatori per l’assessment da parte dell'autorità competente e che ognuno di essi può essere utilizzato come motivo per rifiutare la concessione dell'esclusione.

Gli Orientamenti si applicheranno a partire dal 1° giugno 2022 con un ulteriore periodo transitorio di 3 mesi (fino al 1° settembre 2022) per gli emittenti che già beneficiano dell'esclusione, per presentare una nuova notifica alla propria autorità nazionale competente.

Su un simile argomento, potrebbe interessarti: “L’EBA pubblica un report sull’implementazione delle SCA da parte dei PSP”.

Life Sciences

Sunshine Act: approvato al Senato il disegno di legge per la trasparenza sui rapporti tra imprese e operatori del settore della salute

La Dodicesima Commissione del Senato in sede redigente ha approvato, con alcune modifiche, il disegno di legge in merito alle “Disposizioni in materia di trasparenza dei rapporti tra le imprese produttrici, i soggetti che operano nel settore della salute e le organizzazioni sanitarie”. Il c.d. “Sunshine Act” (dal nome della normativa americana che ha ispirato il disegno di legge) introdurrà una disciplina per garantire la trasparenza ed il diritto alla conoscenza dei rapporti, con rilevanza economica o di vantaggio, tra le imprese produttrici di farmaci, strumenti, apparecchiature, beni e servizi, anche non sanitari, ed i soggetti che operano nel settore della salute, comprese le organizzazioni sanitarie. Il testo dovrà ora essere approvato nuovamente dalla Camera.

Il Sunshine Act prevede agli art. 3 e 4 un regime obbligatorio di pubblicità per i trasferimenti di valore, convenzioni e accordi, oltre che per partecipazioni societarie o proventi legati allo sfruttamento dei diritti di proprietà intellettuale. Saranno soggette a pubblicità innanzitutto le convenzioni e le erogazioni in denaro, beni, servizi o altre utilità effettuate da un’impresa produttrice in favore: (i) di un soggetto operante nella salute, quando queste abbiano un valore unitario maggiore di 100 euro o un valore complessivo annuo maggiore di 1000; e (ii) di un’organizzazione sanitaria, quando abbiano un valore unitario maggiore di 1000 euro o un valore complessivo annuo maggiore di 2.500 euro.

Saranno anche soggetti a pubblicità gli accordi tra le imprese produttrici e gli operatori del settore della salute o le organizzazioni sanitarie, che producano vantaggi diretti o indiretti, consistenti nella partecipazione a convegni, eventi formativi, comitati, commissioni, organi consultivi o comitati scientifici ovvero nella costituzione di rapporti di consulenza, docenza o ricerca.

Entro il 31 gennaio di ogni anno le imprese produttrici costituite in forma societaria dovranno comunicare al Ministero della salute i dati identificativi dei soggetti che operano nel settore della salute e delle organizzazioni sanitarie i quali: (i) siano titolari di azioni o di quote del capitale della società ovvero di obbligazioni dalla stessa emesse, iscritti per l’anno precedente, rispettivamente, nel libro dei soci o nel libro delle obbligazioni; (ii) abbiano percepito dalla società, nell’anno precedente, corrispettivi per la concessione di licenze per l’utilizzazione economica di diritti di proprietà industriale o intellettuale.

Nelle comunicazioni previste dal Sunshine Act dovranno essere inseriti i dati del beneficiario, la data o periodo di riferimento e la natura dell'erogazione, convenzione o dell'accordo, oltre che l’importo e la causa. Dovrà altresì essere comunicato l’intermediario che abbia definito le condizioni dell’erogazione o i termini della convenzione o dell’accordo. Per le imprese produttrici con sede all’estero, la comunicazione potrà essere fatta dal rappresentante di tali imprese in Italia.

Il Sunshine Act prevede anche la costituzione di un registro pubblico telematico, che dovrà essere istituito, entro 6 mesi dalla data di entrata in vigore della legge, sul sito internet istituzionale del Ministero della Salute. Su tale registro saranno pubblicati i dati ricevuti a seguito delle comunicazioni semestrali e i dati relativi alle irrogazioni delle sanzioni, dati che saranno accessibili per 5 anni.

L’istituzione del registro sarà preceduta dall’emanazione di un decreto del Ministro della Salute, a seguito della consultazione dell’Agenzia per l’Italia digitale, l’Autorità nazionale anticorruzione ed il Garante per la protezione dei dati personali per determinare la struttura e le caratteristiche tecniche del registro, oltre alle modalità di trasmissione delle comunicazioni e l’inserimento dei dati.

Il disegno di legge ha specificato che l’istituzione del registro dovrà essere improntata ai criteri di: (i) facilità di accesso; (ii) semplicità della consultazione; (iii) comprensibilità dei dati e omogeneità della loro presentazione; e (iv) previsione di funzioni per la ricerca semplice e avanzata e per l'estrazione delle comunicazioni, dei dati e degli atti (c.d. “standard open data”).

In caso di mancata comunicazione di trasferimenti di valore o accordi, potrà essere irrogata una sanzione amministrativa di 1000 euro aumentata di venti volte del valore dell’erogazione, mentre in caso di mancata comunicazione di partecipazioni azionarie e sfruttamento dei diritti di proprietà intellettuale, potrà essere emanata una sanzione da 5000 a 50000 euro.

Nel caso in cui un’impresa fornisca informazioni non complete potrà integrarle entro 90 giorni, onde evitare sanzioni. Qualora invece vengano comunicate delle informazioni false, l'impresa produttrice potrà vedersi comminata una sanzione amministrativa pecuniaria da 5.000 a 100.000 euro. Sono previste riduzioni delle sanzioni per le imprese con un fatturato inferiore ad un milione di euro.

Il Ministero della Salute pubblicherà gli atti relativi alle sanzioni nella prima pagina del proprio sito internet istituzionale, per un periodo non inferiore a 90 giorni, riportando i nomi delle imprese produttrici che non abbiano trasmesso le comunicazioni dovute o abbiano fornito notizie false nelle comunicazioni.

Su un simile argomento potrebbe interessarti: Per la pubblicità dei dispositivi medici è confermata l’autorizzazione preventiva.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Tamara D’Angeli, Enila Elezi, Giulia Gialletti, Filippo Grondona, Lara Mastrangelo, Alessandra Tozzi.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere le legal predictions per l’anno 2022 curate dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dagli stessi professionisti in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.