Innovation Law Insights

Evento

Digital Legal Day: 26 novembre 2020

Giunto ormai alla quarta edizione in collaborazione con DLA Piper, il Digital Legal Day organizzato dalla Camera di Commercio Italo-Germanica è ormai un appuntamento fisso per la community legale italo-tedesca, e non solo.

Grazie ad alcune testimonianze ed alla tavola rotonda moderata dall'Avv. Wolf Michael Kuehne, Country Managing Partner di DLA Piper con i General Counsel di De Cecco, IBM, NTT Data e Microsoft e il DPO EMEA di Coca-Cola, il IV° Digital Legal Day affronterà anche quest'anno le ultime novità in ambito di legal innovation. In questa edizione parleremo anche di contract design con Stefania Passera e di legal tech con Giulio Coraggio e Tommaso Ricci di DLA Piper.

E’ possibile iscriversi al link disponibile qui.

Podcast

Come l’intelligenza artificiale sta cambiando il business con Fabio Moioli di Microsoft

L’intelligenza artificiale cambierà il modello di business delle aziende e ne parliamo con Fabio Moioli di Microsoft. Fabio Moioli, Head of Consulting & Services a Microsoft Italia e uno dei maggiori esperti al mondo in materia di intelligenza artificiale, discute in questo podcast con Giulio Coraggio, head of the Technology Sector a DLA Piper di come l’intelligenza artificiale stia entrando nei processi di qualsiasi azienda e rappresenti la “nuova energia”, nel senso che sarà utilizzata in tutte le attività di una azienda. Il podcast è disponibile qui.

Privacy

Il garante privacy spagnolo approva il primo codice di condotta ai sensi del GDPR

Il garante privacy spagnolo, l’AEPD, ha approvato il primo codice di condotta ai sensi dell’art. 40 del GDPR. L’elaborazione di codici di condotta è fortemente incoraggiata dal regolamento privacy europeo. In quanto strumenti di autodisciplina destinati a contribuire alla corretta applicazione del GDPR, i codici di condotta sono un importante meccanismo di accountability. 

Tali codici, infatti, non forniscono agli aderenti solo un’utile guida nel corretto trattamento dei dati, fornendo indicazioni di dettaglio che tengono conto di specificità settoriali e natura dei soggetti interessati. L’adesione a un codice di condotta aiuta titolari e responsabili, chiamati a dare prova della correttezza dei trattamenti e a dimostrare la conformità del proprio operato.

Nel panorama italiano, ben prima del nuovo regolamento europeo, il Garante privacy aveva già da tempo adottato un nutrito insieme di “codici deontologici” settoriali. Questi, tuttavia, hanno subito una profonda rivisitazione con l’entrata in vigore del GDPR (che introduce nuovi “codici di condotta”) e del Codice privacy aggiornato (che prevede nuove “regole deontologiche”). L’opera di adeguamento attuata dal Garante privacy italiano ha portato alla rielaborazione di alcuni dei codici di deontologia già esistenti convertendoli in codici di condotta ex art. 40 del GDPR, nello specifico, ad oggi, il “Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali” e il “Codice di condotta sui sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”.

A differenza dell’Italia, molti paesi europei (inclusi Francia e Regno Unito) non hanno ancora approvato codici di condotta nazionali. Tra questi anche la Spagna, che dal 3 novembre 2020 si è però ufficialmente allontanata dal trend europeo approvando il primo codice di condotta ex art. 40 del GDPR. Il nuovo “Codice di condotta per il trattamento dei dati nell’attività pubblicitaria” spagnolo ha come obiettivo principale l’istituzione di un sistema di composizione extra-giudiziale delle controversie in occasione del trattamento di dati effettuato nel contesto dell’attività pubblicitaria, azionabile in maniera facile e gratuita dai soggetti interessati. Il codice è stato presentato all’AEDP dall’Associazione per l’autoregolamentazione della comunicazione commerciale (“AUTOCONTROL”, la versione spagnola dell’Istituto di Autodisciplina Pubblicitaria “IAP” in Italia).

Tra le previsioni principali del codice vi è la possibilità per gli utenti di presentare reclami contro le aziende aderenti al codice, nel caso in cui i diritti loro garantiti dal GDPR siano stati violati nell’ambito di attività pubblicitarie (es. ricezione di pubblicità indesiderata o utilizzo illecito dei dati nel contesto di promozioni pubblicitarie o raccolti tramite cookie), purché gli eventi oggetto di contestazione si siano verificati nei 12 mesi precedenti. Il procedimento di risoluzione, che dura un massimo di 30 giorni, si svolge in due fasi. Una prima fase di mediazione, nell’ambito della quale AUTOCONTROL agirà come soggetto indipendente nel tentativo di conciliare le parti. In caso di mancato accordo, si apre una seconda fase nella quale il reclamo viene presentato e deciso dal Giurì della Pubblicità (el Jurado de la Publicidad, stabilito presso AUTOCONTROL, al pari dell’italiano Giurì istituito presso lo IAP), in quanto organismo certificato di risoluzione delle controversie, nonché nominato dall’AEPD quale organismo di monitoraggio dello stesso codice. Peraltro, come prevede la stessa legge privacy spagnola, nel caso in cui una controversia su trattamenti in ambito pubblicitario fosse presentata direttamente all’AEPD, l’autorità potrebbe rimetterla direttamente ad AUTOCONTROL, affidandone a questa la risoluzione. Si attende ora che altri paesi europei si adoperino nella promozione di meccanismi di autodisciplina locali e, ancor più, che l’European Data Protection Board (EDPB) possa presto approvare un codice di condotta europeo, la cui applicabilità valichi i confini nazionali.

Su di un simile argomento, è possibile leggere l’articolo “Il garante privacy spagnolo ha pubblicato una guida sulla privacy by design”.

Il garante privacy spagnolo crea un tool agevolante la notifica dei data breach

Il garante privacy spagnolo, AEPD, ha creato uno strumento in grado di facilitare la comunicazione di data breach agli interessati nel caso sussista un rischio elevato, come indicato dall’art. 34 del GDPR, per i diritti e le libertà delle persone fisiche.

L’obiettivo del tool spagnolo denominato “Comunica-Brecha RGPD” (Comunica-Violazione GDPR) è quello di “promuovere la trasparenza e la responsabilità proattiva tra i titolari del trattamento dei dati”.

L’articolo 34, paragrafo 2, del GDPR prevede l’obbligo del titolare di comunicare all’interessato il data breach “con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d)”, ossia (i) una descrizione della natura della violazione; (ii) il nome e il contatto del DPO o di altro punto di contatto; (iii) una descrizione delle possibili conseguenze derivanti dalla violazione, (iv) una descrizione delle misure adottate o da adottare per rimediare alla violazione o, almeno, attenuarne i possibili effetti negativi.

Si tratta di uno strumento gratuito consistente in un modulo grazie al quale si facilita l’applicazione dei criteri di base che possono essere indicativi del rischio associato ad una violazione della sicurezza, ovviamente garantendo che i dati forniti non vengano memorizzati.

I titolari del trattamento che volessero usufruirne dovranno compilare il modulo, che una volta completato aprirà tre possibili scenari, a seconda delle informazioni inserite:

• è necessario informare le persone interessate dalla violazione alla luce del rischio elevato rilevato;
• non è necessario notificare la violazione;
• non è stato possibile determinare il livello di rischio.

Il Garante spagnolo, tuttavia, tiene a sottolineare come si tratti di uno strumento che non esclude la necessità per il titolare del trattamento di effettuare la valutazione del livello di rischio, essendo lo stesso consapevole degli estremi del trattamento dei dati personali che sta effettuando, le caratteristiche degli interessati, le circostanze della violazione della sicurezza e gli altri fattori che consentono di ottenere un'accurata valutazione del rischio.

Su di un simile argomento è possibile ascoltare il podcast “La comunicazione di un data breach secondo il Garante privacy”.

Intellectual Property

Via libera del Senato alla legge delega per l’implementazione della Direttiva Copyright

Nella seduta del 29 Ottobre 2020, il Senato ha dato il via libera al disegno di legge n. 1721 di delega al governo ai fini del recepimento delle direttive europee. Tra queste, l’art. 9 prevede il recepimento della Direttiva Copyright, fornendo principi e criteri specifici a cui il governo dovrà attenersi.

La Direttiva Copyright 2019/790/UE, approvata nel mese di giugno 2019 dal Parlamento europeo, deve essere trasposta dagli Stati Membri nei propri ordinamenti entro due anni. In molte aree, tale direttiva lascia spazio agli Stati Membri di implementare norme più o meno restrittive, a seconda della volontà del legislatore nazionale.

Gli scopi perseguiti dalla direttiva riguardano principalmente (i) il rafforzamento della tutela del diritto d’autore e diritti connessi in ambito digitale; (ii) l’adeguamento della legislazione alle evoluzioni tecnologiche in modo da renderla flessibile ad eventuali nuovi sviluppi; (iii) il bilanciamento degli interessi dei titolari dei diritti e quelli delle piattaforme, nonché il diritto all’informazione e all’espressione degli utenti su internet e (iv) la garanzia di un adeguato compenso agli autori di opere giornalistiche protette da copyright per il loro utilizzo da parte di prestatori di servizi della società dell’informazione.

La riforma è stata molto dibattuta, in particolare i suoi articoli 15 per il rischio che si applicasse una sorta di “link tax” per pubblicazioni giornalistiche in caso di utilizzo digitale e 17 per il rischio che si prevedesse un obbligo per i provider di predisporre filtri sulle piattaforme online per il monitoraggio di contenuti caricati dagli utenti.

Nella seduta del 29 ottobre 2020, il Senato ha dato il via libera al disegno di legge “Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2019-2020”. All’art. 9 sono contenuti principi e criteri direttivi generali a cui il Governo dovrà attenersi nel recepire la Direttiva Copyright sotto forma di decreto legislativo, il quale andrà a modificare le leggi vigenti.

Tra i principi evidenziati nella seduta, si è parlato, ad esempio, di (i) fornire una disciplina e definizioni chiare delle eccezioni o limitazioni ai fini dell’estrazione del testo (in particolare per gli snippet), “garantendo adeguati livelli di sicurezza delle reti e delle banche dati nonché definire l'accesso legale e i requisiti dei soggetti coinvolti”; (ii) un’eventuale definizione più chiara delle regole poste ad escludere un’opera dal meccanismo di gestione delle licenze, quando voluto dall’autore oppure in caso di opere fuori commercio in modo da rilanciare opere di valore culturale; (iii) prevedere adeguata tutela e adeguati proventi per autori ed editori in caso di utilizzo online delle pubblicazioni di carattere giornalistico; (iv) fornire definizioni precise in relazione alla responsabilità dei provider in caso di utilizzo di contenuti protetti in caso di mancata autorizzazione da parte dei titolari dei diritti, nello specifico il livello di diligenza a loro richiesto.

L’Italia aveva votato contro l’adozione della direttiva; ora non resta che attendere e valutare le modalità in cui sarà implementata.

Su un simile argomento, può essere interessante l’articolo “Secondo l’AG gli operatori di piattaforme online non sono direttamente responsabili per le violazioni di copyright”.

Gaming & Gambling

Perchè Google è stata sanzionata per violazione del divieto di pubblicità dei giochi con vincita in denaro

Le motivazioni della decisione contro Google per la violazione del divieto di pubblicità dei giochi con vincita in denaro rivelano nuovi elementi da prendere in considerazione durante le attività di marketing su Internet.

Come menzionato in precedenza, Google è stata sanzionata dall'AGCOM per violazione del divieto italiano di pubblicità sul gioco con vincita in denaro, ma le motivazioni della decisione sono disponibili solo ora.

Da quanto risulta dalla decisione, nell'ambito dell'attività di monitoraggio d'ufficio dell'AGCOM, è stato rilevato che il 14 e 15 novembre 2019, nella pagina di ricerca del sito web www.google.com, digitando la parola chiave "casinò online", nella lista prodotta dal motore di ricerca, il sito qualificato come "annuncio"  è apparso in alto, brevemente descritto come "Join Now at the New Italian Online Casino. Gioca oltre 400 giochi ora - Iscriviti ora e registrati in meno di 30 secondi! Nessun download. Sicuro e protetto". Sulla base di questi risultati, AGCOM aveva contestato il comportamento di Google.

Secondo le difese proposte da Google, l'inserzionista sceglie liberamente:

• le parole chiave che vuole associare al suo annuncio;
• il contenuto dell'annuncio e;
• il sito a cui si riferisce, nonché la categorizzazione dei beni e dei servizi pubblicizzati.

L'inserzionista, pertanto, si assume ogni responsabilità per i contenuti e in relazione al rispetto delle leggi vigenti. Secondo le argomentazioni difensive, alla luce della descrizione del funzionamento della piattaforma Google Ads, Google è un provider di hosting e quindi non è responsabile delle informazioni ospitate su richiesta del destinatario del servizio, a condizione che non sia effettivamente consapevole che l'attività o le informazioni sono illegali.

Inoltre, Google ha sostenuto che non vi è alcuna responsabilità in relazione all'annuncio contestato, in quanto l'annuncio non contiene alcun riferimento alle attività di gioco d'azzardo e l'inserzionista ha presumibilmente intrapreso un comportamento di aggiramento del software chiamato cloaking, che consiste nel mostrare al software una pagina a cui l'annuncio è diretto in conformità con la normativa e poi mostrarne un'altra agli utenti.

Per quanto riguarda l'ambito territoriale di applicazione, AGCOM ha chiarito che questo deve necessariamente essere individuato alla luce del consolidato principio della "destinazione" del servizio (in questo senso si veda Tar Lazio, n. 1739/2018 e ultimo Tar Lazio ordin. n. 4873/2020 e 5228/2020). Inoltre, le Linee guida sul divieto di pubblicità del gioco con vincita in denaro in Italia, che forniscono una definizione precisa del proprietario del sito di diffusione o di destinazione, hanno chiarito che sono soggetti alle sue disposizioni solo i fornitori di servizi di indicizzazione a titolo oneroso. Il servizio Google Ads è quindi un servizio di posizionamento pubblicitario online a pagamento che opera attraverso "keyword" definite dall'inserzionista che, per poter utilizzare il servizio stesso, accetta le regole di Google Ads garantendo un migliore posizionamento.

Secondo AGCOM invece, il servizio Google Ads non consiste nella semplice "memorizzazione" (hosting) dei contenuti pubblicitari creati dall'utente, ma prevede che questi vengano elaborati dal sistema (previa verifica) al fine di garantirne l'effettivo posizionamento in relazione alle parole di ricerca inserite dagli utenti e alla profilazione della loro navigazione. A tal fine, è stato rilevato che "lo spazio di memoria destinato alla promozione del sito web di un utente è proporzionalmente irrilevante rispetto allo spazio occupato dagli algoritmi e dai sistemi di gestione utilizzati per la gestione dell'annuncio stesso".

Con riferimento al secondo argomento, gli standard pubblicitari di Google non sono stati considerati sufficienti ad ostacolare l'attività di occultamento in quanto i parametri del software utilizzato nell'attività di verifica (duale) non sono stati adeguati. Infatti, l'inserzionista è stato in grado di inserire le parole chiave "Casino Online" e "Play Now" senza che la procedura di verifica di Google ne vietasse la successiva pubblicazione.

Sulla base della posizione dell'AGCOM, possiamo concludere che

• l'oggetto del reclamo di AGCOM non era quello di aver ospitato contenuti pubblicitari di gioco d'azzardo proibiti, ma di averne consentito la distribuzione tramite il servizio Google Ads sulla base di un accordo che prevede il pagamento di un corrispettivo tra la piattaforma e l'operatore web;
• la stipula di un accordo con la previsione di un corrispettivo ha portato di per sé all'assunzione di responsabilità da parte di Google;
• i fornitori devono dotarsi di un software per l’inibizione dell'associazione di keyword vietate dalla normativa italiana in materia di pubblicità dei giochi con vincita in denaro;
• la circostanza che il sito web pubblicizzato non reindirizzi a giochi d’azzardo non è sufficiente ad escludere l'applicabilità della normativa sulla pubblicità di gioco in quanto la parola chiave "casinò online" viene utilizzata con la chiara ed inequivocabile intenzione di promuovere attività vietate.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini,Lara Mastrangelo, Filippo Grondona e Andrea Michelangeli.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti,Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Noemi Buttazzo.