Innovazione e diritto: le novità della settimana

Privacy

Cosa cambia con le nuove linee guida del Garante privacy sui cookie

Le nuove linee guida del Garante privacy sui cookie introducono obblighi onerosi per qualsiasi gestore di un sito Internet.

Abbiamo analizzato le nuove linee guida del Garante privacy sui cookie nel podcast di seguito disponibile su Apple Podcasts, Google Podcasts, Spotify e Audible, e in questo articolo.

Le 5 cose ricordare sulle nuove linee guida del Garante privacy sui cookie

Gli aspetti principali delle linee guida sui cookie (che si applicano anche ad altri sistemi di tracciamento online e.g., il fingerprinting) possono essere riassunte come segue:

1. Categorizzazione: rimane la distinzione tra cookie tecnici (che comprendono i cookie analytics con IP mascherato) per i quali il consenso non è necessario e di profilazione (che comprendono tutti i cookie che non sono tecnici) per i quali il consenso è la sola opzione, senza possibilità di usare il legittimo interesse. All’accesso al sito, il gestore deve garantire che di default solo i cookie tecnici siano installati e le cookie wall sono bannate quando obbligano a prestare il consenso
2. Consenso tramite scrolling: rimane la possibilità di acquisizione del consenso tramite lo scrolling, ma solo nel caso in cui sia dimostrabile che è il risultato di una scelta inequivoca e documentabile, il che rende questa prova decisamente onerosa
3. Rinnovo della richiesta di consenso: la richiesta di consenso ai cookie non può essere riproposta, a meno che (i) non cambino le condizioni del trattamento significativamente, (ii) non sia possibile per il gestore del sito registrare la precedente scelta dell’utente a causa di una decisione di quest’ultimo (e.g. la cancellazione dei cookie) e (iii) non siano decorsi almeno 6 mesi dalla precedente richiesta
4. Infomativa multi-layer: si mantiene il modello di informativa multi-layer con (i) un banner all’accesso al sito con specifiche indicazioni su posizionamento, dimensioni, caratteri e contenuto e link all’informativa estesa, con anche l’obbligo di renderlo fruibile anche da parte di disabili ai sensi della legge 9 gennaio 2004, n. 4, come di recente modificata, (ii) la necessità di rendere edotto l’utente delle conseguenze di ogni azione, ivi compreso il clicking sulla X, (iii) la possibilità per l’utente di scegliere tra il consenso o l’opzione di modulare le sue preferenze rispetto al tracciamento e (iv) il link ad un’area in cui l’utente può selezionare i cookie anche per categorie omogenee
5. Revisione dei consensi: deve essere data la possibilità all’utente di rivedere le preferenze sui cookie tramite una apposita area da posizionarsi nel footer del sito dove le preferenze già prestate devono essere chiaramente riconoscibili con un approccio di legal design.

Quanto tempo c’è per conformarsi?

Il Garante ha attribuito un termine di 6 mesi per conformarsi seguendo l’approccio già adottato nei precedenti mesi dal CNIL.

La presa di posizione del Garante è in linea con quanto già enfatizzato dal EDPB nelle sue linee guida sul consenso. Tuttavia, dai rilievi sollevati dal Garante privacy emerge soprattutto la necessità di un nuovo approccio ai cookie in termini di trasparenza nei confronti degli utenti. Questa esigenza potrebbe essere ulteriormente accelerata dall’iniziativa lanciata da NOYB, l’associazione coordinata da Schrems, che ha preso di mira oltre 10.000 siti, mandando contestazioni circa il trattamento dei dati tramite i cookie e minacciando di denunciare il gestore del sito al garante locale, qualora non fossero adottati i correttivi richiesti.

Tutto ciò sta avvenendo in un periodo in cui il Regolamento ePrivacy sembra alle porte e le aziende potrebbero approfittare dell’occasione per tener conto anche di questa nuova normativa nella revisione dei propri siti. Sull’argomento potete trovare interessante l’articolo “Regolamento ePrivacy: approvato il testo finale dal Consiglio dell’Unione Europea“.

Whistleblowing e privacy: ecco le nuove Linee guida dell’ANAC

L’Autorità nazionale anticorruzione (ANAC) ha approvato le linee guida per il whistleblowing rivolte alla pubblica amministrazione e altri enti locali tenuti ad adottare misure di protezione per il dipendente che segnali reati o irregolarità che attengono all’amministrazione di appartenenza. Sebbene siano applicabili solo ai soggetti pubblici, rappresentano una buona indicazione circa le aspettative da parte delle autorità italiane rispetto a sistemi di whistleblowing.

Le Linee Guida pongono particolare attenzione alla tutela della privacy del whistleblower, del segnalato ed allo svolgimento di attività di formazione in seno alla PA preordinate a mitigare il rischio di violazione della normativa applicabile in materia di privacy.

La deliberazione ANAC datata 9 giugno 2021, n. 469 recante “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis, del D.Lgs. 165/2001 (c.d. whistleblowing)” sancisce l’adozione delle nuove Linee Guida in materia di whistleblowing, che recepiscono i principi della Direttiva UE 2019/137.

Le Linee Guida sono, inoltre, volte a consentire alle amministrazioni e agli altri soggetti destinatari delle stesse di adempiere correttamente agli obblighi derivanti dalla disciplina di protezione dei dati personali (Regolamento (UE) 2016/679), adeguato alle disposizioni del GDPR tramite il D.Lgs. 10 agosto 2018, n. 101.

Le Linee Guida sono suddivise in tre parti:

• la prima parte introduce i principali cambiamenti sull’ambito di applicazione soggettiva del whistleblowing, con riferimento sia ai soggetti (pubbliche amministrazioni e altri enti) tenuti a dare attuazione alla normativa, che ai soggetti beneficiari della stessa (i.e., i whistleblowers). Vengono fornite, inoltre, indicazioni sulle caratteristiche e sull’oggetto della segnalazione, sui margini, tempistiche e limiti delle tutele garantite ai segnalatori. Nella prima sezione, le Linee Guida dedicano ampio spazio all’offerta di ogni possibile garanzia al whistleblower, per evitare che il timore di un’insufficiente garanzia o di misure ritorsive possa dissuadere un segnalatore dall’attivarsi;
• nella seconda parte sono delineati i principi generali in materia di gestione della segnalazione, prestando particolare attenzione alle misure tecniche ed organizzative utilizzate nelle procedure di whistleblowing informatizzate. In particolare, nel caso in cui l’applicativo utilizzato per acquisire e gestire le segnalazioni sia fornito da un soggetto terzo che offra anche altri servizi quali la manutenzione o la conduzione applicativa, o altri servizi informatici che comportano il trattamento di dati per conto dell’amministrazione, o nel caso in cui l’amministrazione si doti di un sistema offerto in Cloud o in modalità SaaS (Software as a Service), le Linee Guida prescrivono che tale soggetto terzo si inquadrato quale “autorizzato” al trattamento. Quest’ultima previsione non tarderà a sollevare numerose perplessità. Analogamente, opera in qualità di “autorizzato” al trattamento il personale dell’amministrazione con mansioni di manutenzione e conduzione applicativa del sistema. La seconda parte delle Linee Guida è, inoltre, focalizzata sul ruolo e le responsabilità del Responsabile prevenzione corruzione e trasparenza (RPCT).
• nella terza parte è definito l’ambito procedurale inerente l’esercizio del potere sanzionatorio dell’ANAC; in particolare con riferimento alle modalità con cui è possibile mitigare il rischio di misure ritorsive, che potrebbero mortificare la ratio dell’intera infrastruttura di whistleblowing.

Le Linee Guida pongono particolare attenzione alla protezione dell’anonimato del whistleblower ed all’adozione di misure di mitigazione del rischio di ritorsioni.

A tal riguardo, l’ANAC prevede lo svolgimento di apposite attività di formazione cui destinare l’RPCT e i componenti del gruppo di lavoro per le segnalazioni, di modo che il trattamento dei dati inerente alla procedura di whistleblowing sia condotto in ogni caso nel rispetto della normativa in materia di privacy. In tal senso, in caso di violazioni della normativa privacy applicabile la responsabilità dell’illecito sarà sempre riferibile al titolare del trattamento, quindi la PA o l’ente.

Per quanto concerne la segnalazione di misure ritorsive, il documento prevede una specifica comunicazione all’ANAC, che dovrà accertare se la misura ritorsiva sia conseguente alla condotta del dipendente: qualora sia questo il caso, l’Autorità commina la sanzione prevista. Al fine di rafforzare le misure a tutela della riservatezza di cui sopra, le Linee Guida suggeriscono l’introduzione nei codici di comportamento, adottati ai sensi dell’art. 54, co. 5, del D.Lgs. 165/2001, di forme di responsabilità specifica in capo al RPCT che riceve e gestisce le segnalazioni, nonché in capo a tutti gli altri soggetti che nell’amministrazione possano conoscere la segnalazione, con i dati e le informazioni in essa contenuti.

Come precedentemente indicato, le Linee Guida accordano una tutela anche ai soggetti interessati, in linea con il GDPR. Tenuto conto della specificità del contesto lavorativo, il titolare del trattamento dovrà, in ogni caso, adottare cautele particolari al fine di evitare la indebita circolazione di informazioni personali, non solo verso l’esterno, ma anche all’interno degli uffici dell’amministrazione in capo a soggetti non autorizzati al trattamento dei dati, anche mediante una corretta configurazione dei sistemi di protocollo informatico.

Su un argomento simile potrebbe essere interessante l’articolo “Il Tribunale di Roma si pronuncia sulla responsabilità delle piattaforme di video sharing”.

Technology, Media and Telecommunications

Progetti strategici su microelettronica e batterie: è operativo il fondo IPCEI

È divenuto operativo il Fondo a sostegno della realizzazione degli Importanti Progetti di Comune Interesse Europeo (IPCEI), di cui all’art. 107, par. 3, lett. b) del TFUE, rientranti tra le “catene del valore strategiche” individuate dalla Commissione Europea nel rapporto “Strengthening Strategic Value Chains for a future-ready EU Industry” del 5 novembre 2019.

Come chiarito nel Decreto MISE del 21 aprile 2021, il Fondo IPCEI rappresenta uno strumento agevolativo, istituito per favorire la collaborazione industriale su larga scala, con un impatto significativo sulla competitività dell’industria, nazionale ed europea, e sulla crescita sostenibile. Lo stesso interviene per promuovere e sostenere finanziariamente, grazie allo sforzo condiviso del settore privato e pubblico degli Stati Membri, progetti di imprese italiane e di organismi di ricerca coinvolti in attività di ricerca, sviluppo e innovazione o connessi alla prima applicazione industriale nei settori della microelettronica, delle batterie e del calcolo ad alte prestazioni.

Ad essere valorizzati sono progetti attivati nell’ambito di reti di attività economiche, di attori produttivi e della conoscenza interdipendenti, in grado di generare un valore attorno ad un prodotto, un processo o un servizio, su una scala di rilevanza sistemica europea. Tali catene sono individuate sulla base della loro capacità di realizzare innovazione tecnologica, potenziale economico e di mercato e rilievo attuale e prospettico per le sfide sociali e gli obiettivi politici europei. In base al suddetto Decreto, il Fondo, istituito e gestito dal MISE, mette a disposizione degli IPCEI un ammontare complessivo di risorse pari a circa 1,7 miliardi di euro.

In particolare, il Fondo potrà procedere con il finanziamento dei progetti già selezionati nell’ambito degli IPCEI avviati nel settore delle batterie, destinando le risorse ricevute alla ricerca ed allo sviluppo di materie prime, celle, moduli e sistemi di batterie elettriche su larga scala per il settore industriale italiano ed europeo.

Il Fondo si propone poi di finanziare prossimamente gli ulteriori progetti ancora in fase di approvazione da parte dell’Unione Europea nei settori dei microprocessori, idrogeno e salute.

Per quanto concerne i soggetti beneficiari, possono usufruire del sostegno del Fondo i soggetti individuati da una specifica decisione europea di autorizzazione che:

1. siano costituiti e regolarmente iscritti al registro delle imprese;
2. siano nel pieno e libero esercizio dei propri diritti, non siano in liquidazione volontaria e non siano sottoposti a procedure concorsuali;
3. non si trovino in condizioni tali da risultare impresa in difficoltà (sono escluse le imprese che al 31 dicembre 2019 non si trovavano in difficoltà, ma che lo sono diventate nel periodo successivo);
4. siano in regola con la restituzione di somme dovute in relazione a provvedimenti di revoca di agevolazioni concesse dal MiSE;
5. non rientrino tra le imprese che hanno ricevuto e, successivamente, non rimborsato o depositato in un conto bloccato gli aiuti individuati quali illegali e incompatibili dalla Commissione Europea.

Su un simile argomento può essere interessante l’articolo: “Linee di intervento strategiche sulla proprietà industriale 2021-2023 del MISE”.

L’AGCom ha recentemente pubblicato la Relazione annuale 2021 sulle attività svolte in materia di Open Internet nel periodo intercorrente tra il primo maggio 2020 e il 30 aprile 2021, in attuazione del Regolamento UE n. 2015/2120 che attribuisce alle Autorità nazionali nuove funzioni di regolamentazione, vigilanza ed enforcement per assicurare l’effettività, l’efficacia e la corretta applicazione delle norme per la salvaguardia del carattere aperto della rete Internet e la trasparenza per assicurarne l’accesso.

La Relazione contiene una descrizione generale delle attività svolte dall’AGCom per l’implementazione delle misure in materia di Open Internet (tra le quali, la realizzazione di approfondimenti e verifiche tramite l’acquisizione e l’analisi di informazioni provenienti dai principali Internet Service Provider, l’attività di c.d. moral suasion e la partecipazione ai lavori dei gruppi di esperti del BEREC).

Nella Relazione sono poi riportati gli esiti delle attività di regolamentazione e vigilanza dell’AGCom in materia di: (i) libertà di scelta delle apparecchiature terminali da parte degli utenti, in riferimento alla quale l’Autorità evidenzia i suoi sforzi in termini di attività di vigilanza e ispettiva finalizzati a garantire la libertà di scelta dei terminali per l’accesso alla rete; (ii) pratiche commerciali e tecniche relative ai servizi di accesso a Internet, nel cui ambito l’Autorità ha prestato particolare attenzione alle informazioni e ai dati acquisiti dagli ISP e alle segnalazioni pervenute dagli utenti; (iii) pratiche commerciali di zero rating; (iv) legittimità delle misure di gestione del traffico, vietate dal Regolamento se idonee a realizzare discriminazioni in rete, in riferimento alle quali l’Autorità ha svolto un’intensa attività di vigilanza a fronte dell’emergenza epidemiologica che ha visto intensificarsi i fenomeni di congestione della rete; (v) fornitura di servizi specializzati, ossia ottimizzati per specifici contenuti, applicazioni o servizi o loro combinazioni; e (vi) misure di trasparenza per assicurare l’accesso a un’Internet aperta.

L’AGCom sottolinea che il Regolamento prevede che le Autorità nazionali “adottino delle misure di enforcement mediante la definizione di requisiti tecnici e altre misure adeguate e necessarie, qualora ciò risulti necessario a promuovere la costante disponibilità dell’accesso non discriminatorio a Internet a livelli qualitativi che siano al passo con il progresso tecnologico”. Sul punto, l’Autorità non ha ritenuto necessario modificare la regolamentazione vigente.

Infine, con riferimento alle sanzioni che l’Autorità può irrogare, la Relazione ricorda che in caso di violazione delle disposizioni in materia di Open Internet l’AGCom ha il potere di applicare sanzioni amministrative pecuniarie, ordinare la cessazione immediata della violazione nonché, ove sussistano motivi di urgenza, adottare provvedimenti cautelari.

Su un simile argomento può essere interessante l’articolo “La Corte di Giustizia si pronuncia sulla net neutrality: i pacchetti a “tariffa zero” o “zero-rating” violano il principio di neutralità della rete”.

Intellectual Property

Tutela del marchio notorio anteriore: prova del pregiudizio effettivo e attuale non necessaria

Il Tribunale dell’Unione Europea ha recentemente respinto la richiesta di registrazione di un marchio raffigurante un gallo, ritenuto simile ad un marchio anteriore notorio per prodotti identici.

Con tale sentenza il Tribunale ha confermato la precedente decisione dell’Ufficio dell’Unione europea per la proprietà intellettuale (EUIPO) e i principi relativi alla tutela del marchio anteriore notorio ivi contenuti. Nello specifico, la ricorrente depositava una domanda di registrazione di marchio figurativo presso l’EUIPO, rivendicando alcuni prodotti rientranti nella classe 33 dell’Accordo di Nizza.

Tuttavia contro tale marchio veniva presentata opposizione, ai sensi dell’articolo 46 del regolamento 2017/1001, per alcuni dei prodotti rivendicati. Alla luce dell’articolo 8, paragrafo 5, del regolamento 2017/1001, sia la Divisione di opposizione che la Prima Commissione di ricorso dell’EUIPO contestavano l’esistenza di un impedimento. In particolar modo, la Commissione rilevava e confermava la notorietà del marchio anteriore, la sussistenza di una somiglianza tra i segni in conflitto e la chiara presenza di un nesso tra gli stessi nella mente dei consumatori. Tenuto conto di tali considerazioni e dell’immagine di eccellenza e di prestigio associata al marchio anteriore, la Commissione concludeva che a causa della registrazione in esame sarebbe sorto il rischio di generare un indebito vantaggio a favore della ricorrente.

Infine, la ricorrente si rivolgeva al Tribunale, chiedendo di annullare la decisione impugnata e disporre la registrazione del marchio. Anche in questa sede le precedenti conclusioni trovavano conferma nella sentenza del 14 aprile 2021, in occasione della quale il Tribunale, oltre a ribadire l’impossibilità di registrare un segno simile ad un marchio anteriore notorio il cui uso senza giusto motivo consentirebbe di trarre indebitamente vantaggio dal carattere distintivo o dalla notorietà del marchio anteriore o recare pregiudizio allo stesso, specificava altresì che il titolare del marchio anteriore notorio non è tenuto a dimostrare l’esistenza di un pregiudizio effettivo e attuale ai suoi marchi, bensì ad addurre elementi - definiti sulla base di deduzioni logiche risultanti dall’analisi delle probabilità e considerando le pratiche abituali nel settore commerciale pertinente nonché di qualsiasi altra circostanza del caso di specie - che permettano di concludere prima facie nel senso di un rischio futuro non ipotetico di indebito vantaggio o di pregiudizio.

Su un simile argomento può essere interessante l’articolo “Le prove di notorietà del marchio anteriore sono chiarite dall'EUIPO”.

La posizione del Tribunale dell’Unione Europea sui marchi sonori

Con la sentenza T-668/19, il Tribunale dell’Unione Europea si è espresso in merito alla possibilità di registrare un marchio sonoro e di utilizzare determinati suoni per indicare l’origine commerciale dei prodotti.

Nel caso in questione, il segno presentato all’Ufficio dell’Unione Europea per la Proprietà Intellettuale (EUIPO) consisteva in un file audio che riproduceva il suono dell'apertura di una lattina di una bevanda, seguito da un silenzio di circa un secondo e da un gorgoglio di circa nove secondi. L’EUIPO aveva rigettato la domanda ai sensi dell’articolo 7, paragrafo 1, lettera b), del Regolamento 2017/1001, ritenendo che il segno non avesse capacità distintiva e pertanto non fosse in grado di contraddistinguere l’origine dei prodotti a cui era associato. Nello specifico, l’Ufficio aveva ritenuto che il suono che si intendeva registrare facesse riferimento all’uso dei prodotti, ovvero a un elemento funzionale e non indicativo della provenienza degli stessi.

Il Tribunale, pur confermando la decisione, ha precisato i criteri di valutazione da impiegare per decidere sulla possibilità di registrare un elemento sonoro come marchio. Innanzitutto, è stata ribadita la centralità dell’analisi circa il carattere distintivo dei marchi sonori, analisi che si basa su criteri non diversi da quelli applicati ad altre categorie di marchi. Successivamente, il Tribunale ha stabilito che un segno sonoro deve possedere una certa pregnanza che consenta al consumatore interessato di percepirlo come marchio e non come un elemento di natura funzionale o un indicatore senza caratteristiche intrinseche proprie. Ne consegue che il consumatore deve poter ricollegare i prodotti o i servizi per cui si vuole registrare il segno alla loro origine commerciale, mediante la mera percezione del marchio, senza che ad esso siano abbinati altri elementi (es. denominativi o figurativi).

Infine, il Tribunale ha sottolineato che, in sede di applicazione dei criteri di cui sopra, la percezione del consumatore medio può essere intesa in maniera differente a seconda del tipo di marchio oggetto di valutazione. Pertanto, il punto di vista del consumatore medio può non essere lo stesso nel caso di un marchio tridimensionale, denominativo, figurativo o sonoro consistente in un segno indipendente dall'aspetto esteriore o dalla forma dei prodotti.

Su un simile argomento può essere interessante l’articolo “L’EUIPO definisce i criteri di valutazione del carattere distintivo dei marchi sonori”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Benedetta Cordova, Filippo Grondona, Lara Mastrangelo, Giuseppe Modugno, Alessandra Tozzi e Giacomo Vacca.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere le legal predictions per il 2021 dei professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.