Innovation Law Insights

Podcast

Con Elisa Dencheva di Dell EMC su diversity ed inclusion

Elisa Dencheva è EMEA Compliance Counsel a Dell EMC ed ha una storia personale veramente affascinante di diversity ed inclusion che ha trovato il luogo perfetto per la sua valorizzazione nella sua azienda. È nata in Bulgaria, ma è il mix di quattro culture diverse e la sua vita è diventata ancora più “complessa” perché per il lavoro del padre ha dovuto viaggiare negli Stati Uniti, India, Italia e Francia. Approdata all’università di Padova a 16 anni ha dovuto affrontare tutte le barriere culturali dell’epoca.

Nel podcast disponibile qui, racconta a Giulio Coraggio di DLA Piper la sua storia personale e come il valori della diversity ed inclusion siano nel DNA di Dell EMC che il suo fondatore, Michael Dell, definisce “la start-up più grande del mondo” per enfatizzare come sia eternamente in una fase di cambiamento.

Privacy

Regolamento ePrivacy: approvato il testo finale dal Consiglio dell’Unione Europea

Dopo un travaglio durato oltre quattro anni il Regolamento ePrivacy è finalmente ad un punto di svolta decisivo. Il Consiglio dell’Unione Europa ha raggiunto un accordo sulla versione finale del testo approvando così un mandato negoziale per la revisione definitiva delle norme in materia di tutela della vita privata e della riservatezza nell'uso di servizi di comunicazione elettronica

Il nuovo testo di legge troverà applicazione non solo con riferimento ai fornitori di servizi di comunicazione elettronica tradizionali, come gli operatori di telefonia mobile e fissa, ma introdurrà importanti cambiamenti nei settori fondamentali dell’economia digitale, come l'Internet of Things, l’online advertising, e le telecomunicazioni online. La bozza di Regolamento presentato dalla Commissione europea all'inizio del 2017, ha da subito destato l'interesse delle lobby del settore dei servizi di telecomunicazione, pubblicità e media, ed ha subìto numerose modifiche per via dell’influsso degli interessi – in parte contrapposti – delle imprese e dei consumatori. Ci sono infatti volute ben 8 Presidenze diverse del Consiglio dell’Unione Europea per arrivare ad un accordo su un testo condiviso, che è stato finalmente raggiunto il 10 febbraio sotto la Presidenza Portoghese.

Ecco di seguito un breve recap di alcuni dei punti più interessati del nuovo testo.

Impostazioni privacy di default

Per combattere la c.d. cookie banner fatigue i fornitori di software sono incoraggiati (ma non obbligati) a includere di default impostazioni che consentano agli utenti finali, in maniera agevole e trasparente, di gestire il consenso ai cookie, effettuando scelte precise in merito all'archiviazione e all'accesso ai dati memorizzati nelle loro apparecchiature terminali, impostando e modificando facilmente delle whitelist per la categorie di cookie accettate o meno, in modo da avere un controllo facilmente esercitabile del consenso. Del resto, lo ha detto anche Elon, che ultimamente pare essere più influente del solito.

Cookie walls e adtech

Si mantiene la possibilità di condizionare l’accesso ai siti web alla prestazione del consenso all’installazione dei cookie da parte dell’utente, a condizione che “non privi l’utente di una facoltà di scelta effettiva”; tale condizione si ritiene verificata se se l'utente finale viene posto in grado di scegliere – consapevolmente – tra un'offerta di servizio che include il consenso all'uso dei cookie per finalità aggiuntive, da un lato, e un'offerta equivalente dello stesso fornitore che non comporta il consenso all'uso dei dati per finalità aggiuntive; tale squilibrio potrebbe esistere ad esempio quando l'utente finale ha solo poche o nessuna alternativa al servizio, e quindi non ha alcuna scelta reale per quanto riguarda l'utilizzo dei cookie, ad esempio nel caso di fornitori di servizi che rivestono un posizione dominante; rispetto al tema della consapevolezza, come già previsto dal GDPR l’informativa dovrà essere chiara, esaustiva e user-friendly (a conferma che il legal design non sarà solo un hashtag trendy nei prossimi mesi).

Consenso sì, ma con reminder

Per gli utenti finali che hanno prestato il proprio consenso al trattamento dei dati delle comunicazioni elettroniche deve essere ricordata la possibilità di ritirare il consenso a intervalli periodici di non più di 12 mesi, finché il trattamento continua, a meno che l'utente finale non chieda di non ricevere tali reminder.

Soft spam esteso

Viene mantenuta la possibilità di inviare comunicazioni di marketing in base alla c.d. eccezione soft spam, mantenendo anche le stesse regole quanto a informativa e opt-out, ma si estende la definizione di messaggio elettronico: non solo email ma anche qualsiasi messaggio contenente informazioni quali testo, voce, video, suono o immagine inviato su una rete di comunicazione elettronica che può essere memorizzato nella rete o in strutture informatiche correlate, o nell'apparecchiatura terminale del suo destinatario, compresi SMS, MMS e applicazioni e tecniche funzionalmente equivalenti.

Cookie: addio interesse legittimo

Il testo sembra orientato verso un approccio conservativo, escludendo la possibilità di fare affidamento sull’interesse legittimo per il trattamento dei dati basati sui cookie (comparsa in precedenti bozze), prevedendo la necessità del consenso da parte dell’utente finale, con alcune eccezioni tassative, ad esempio per misurazione dell’audience, prevenzione frodi, installazione aggiornamenti software, in caso di emergenza e per finalità compatibili (a determinate condizioni e a seguito di una precisa valutazione).

Trattamento “ulteriore” dei metadati, in che termini è consentito?

Più controversa resta la possibilità di elaborare i metadati per finalità compatibili con quelle per cui sono stati originariamente raccolti (anche qui necessaria valutazione e specifiche misure di sicurezza come encryption o pseudonimizzazione). Si prevede la possibilità di trattare però i metadati, oltre che in base al consenso, se tale trattamento è necessario ai fini della gestione della rete o dell'ottimizzazione della rete, o per soddisfare i requisiti tecnici di qualità del servizio, o per l'esecuzione di un contratto di servizio di comunicazione elettronica di cui l'utente finale è parte, o se necessario per la fatturazione, il calcolo dei pagamenti di interconnessione, l'individuazione o la cessazione dell'uso fraudolento o abusivo dei servizi di comunicazione elettronica o dell'abbonamento a tali servizi.

Cosa succede ora?

Con l’approvazione dello scorso 10 febbraio è stato approvato dal Consiglio il mandato per dare avvio alle negoziazioni con il Parlamento europeo, con cui verranno discussi i termini del testo definitivo. il Regolamento entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell'UE e inizierà ad applicarsi due anni dopo.

Anche se l’entrata in vigore non è proprio dietro l’angolo, una volta applicabile il Regolamento ePrivacy armonizzerà le norme a livello europeo, ed è quindi necessario che le organizzazioni prendano in considerazione già al momento di concepire qualsiasi prodotto o progetto di medio-lungo termine gli impatti che l’impostazione del nuovo testo può avere sul loro business.

Il Garante privacy tedesco pubblica l’Activity Report 2020

L’Autorità per la protezione dei dati del Baden-Württemberg ha pubblicato un Report sull’attività di protezione dei dati svolta nel corso del 2020.Il Garante privacy tedesco descrive il 2020 come un annus horribilis per quanto riguarda numero e gravità di data breach, trattamenti illegittimi e reclami, dall’altro il report si concentra sul lavoro svolto dal Garante a presidio della privacy dei minori e la sensibilizzazione ai pericoli del web mediante la costituzione di un Centro di formazione per la protezione dei dati e la libertà dell’informazione (BIDIB). Nel periodo in esame, l’Autorità per il trattamento dei dati personali del Baden-Württemberg riporta di aver comminato sanzioni per un valore aggregato di circa 1,6 milioni di euro. Similmente, il numero di reclami è aumentato di oltre mille unità tra il 2019 e il 2020.

Il Garante privacy tedesco commenta, inoltre, la pubblicazione del progetto “DS-GVO.clever”, lo strumento disponibile sulla homepage del sito web del Baden-Württemberg che aiuta le aziende a generare un’informativa adeguata e conforme al GDPR. Per quanto riguarda il BIDIB, il centro di formazione è stato fondato il 1° luglio 2020 con il motto “Protezione dei dati e libertà dell’informazione a portata di mano”. L’Autorità sul trattamento dei dati personali del Baden-Württemberg è quindi la prima autorità di controllo in Europa a gestire un proprio centro di formazione. Inoltre, il Garante tedesco ha delineato la sua risposta alla sentenza "Schrems II", con cui la Corte di Giustizia europea che ha invalidato il Privacy Shield (meccanismo per il trasferimento di dati personali tra Unione Europea e Stati Uniti in vigore dal 2016) ed ha stabilito criteri rigorosi per l’utilizzo delle Clausole Contrattuali Standard come meccanismo alternativo di trasferimento dei dati al di fuori dello Spazio economico europeo.

In conclusione, particolare attenzione è rivolta all’attività di prevenzione e risposta alla minacce privacy determinate dall’emergenza COVID-19 e dall’app di tracciamento commissionata dal Governo Federale tedesco a Deutsche Telekom e SAP, Corona-Warn-App.

Su un simile argomento, può essere interessante l’articolo “Sanzione privacy di EUR1,24 milioni nei confronti di una compagnia di assicurazioni in Germania per attività di marketing senza consenso”.

Pubblicato il piano ispettivo del Garante per la protezione dei dati personali per il primo semestre 2021

Il Garante per la protezione dei dati personali ha pubblicato il piano ispettivo per il primo semestre 2021, che individua molteplici specifiche aree di intervento, per la maggior parte diverse rispetto a quelle contenute nei programmi ispettivi precedenti.

Attraverso la delibera del 10 dicembre 2020, il Garante ha adottato il nuovo piano ispettivo relativo al periodo gennaio-giugno 2021, fissando quindi il nuovo ordine di priorità per la prima parte dell’anno corrente.

In particolare, anche mediante la collaborazione del Nucleo speciale di tutela privacy e frodi tecnologiche della Guardia di finanza, saranno effettuati 50 accertamenti ispettivi di iniziativa (superiori rispetto ai 30 del precedente secondo semestre del 2020, ma ancora inferiori agli 80 del primo semestre 2020), i quali saranno principalmente focalizzati sui trattamenti di dati personali particolarmente delicati o svolti nell’ambito di settori ritenuti particolarmente delicati, ossia:

• nell’ambito di trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
• trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);
• trattamenti di dati personali effettuati da “data broker”; e
• trattamenti di dati personali effettuati da società operanti nel settore del “Food Delivery”.

Si tratta di un elenco per lo più inedito e la lente di ingrandimento quindi si sposta dai trattamenti effettuati mediante gli applicativi di whistleblowing, dagli intermediari per la fatturazione elettronica, dagli Enti pubblici tramite l’ANPR, nell’ambito del servizio di call center e in quello del c.d. “rating reputazionale”, per concentrarsi su “nuovi scenari della società moderna”. Nella delibera, l’Autorità sottolinea infatti che la diffusione del Covid-19 e della conseguente crisi sanitaria che ne è seguita “ha amplificato i rischi connessi alla maggiore dipendenza da dati e tecnologie anche in termini concentrazione del potere di mercato e di sorveglianza, rendendo evidente la necessità di efficaci meccanismi di garanzia a salvaguardia dei diritti e delle libertà fondamentali all’esito di opportune iniziative conoscitive, anche di tipo ispettivo”.

In ogni caso, non vi è una totale cesura con i precedenti programmi ispettivi e permane altresì l’interesse del Garante all’analisi delle violazioni della sicurezza dei dati (i “data breach”), così come viene reiterato anche l’impegno a verificare che pubbliche amministrazioni e imprese che trattano particolari categorie di dati personali abbiano debitamente adottato misure di sicurezza adeguate ai sensi della normativa privacy, nonché, in generale, il rispetto delle previsioni inerenti la corretta informazione degli interessati, i presupposti di liceità del trattamento, le condizioni per la prestazione del consenso – qualora il trattamento sia fondato su tale base giuridica – e la durata della conservazione dei dati.

Fatto salvo quanto precede, il Garante ritiene opportuno sottolineare come, a prescindere dal dall’appartenenza alle categorie descritte dalla deliberazione, “l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti”.

Sull’argomento, può essere interessante l’articolo “Varato il piano di ispezioni del Garante privacy per il secondo semestre 2020”.

Technology, Media and Entertainment

L’EIOPA lancia una consultazione pubblica in tema di open insurance

Il 28 gennaio 2021, l'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) ha lanciato una consultazione pubblica in tema di open insurance ed in particolare sull'accesso e la condivisione dei dati relativi alle assicurazioni. Attraverso questa consultazione, l’Autorità punta a raccogliere suggerimenti provenienti dagli operatori di mercato affinché possano contribuire allo sviluppo delle prossime iniziative legislative rientranti nell’ambito della strategia europea per i dati e la finanza digitale.

Nel documento di discussione vengono affrontate questioni inerenti all'opportunità e alla misura in cui le catene del valore nel mondo assicurativo debbano essere "aperte", ovvero se e come debba avvenire la condivisione dei dati assicurativi e degli assicurati tra gli operatori del mercato in modo da garantire, da un lato, l’innovazione e lo sviluppo di prodotti e servizi, mentre, dall’altro, una maggiore tutela dei diritti degli assicurati. A tal proposito, l’Autorità sottolinea il ruolo fondamentale dei dati nel mondo assicurativo, già largamente impiegati per l’analisi del rischio e la determinazione dei prezzi delle polizze, ed evidenzia come la raccolta di nuove tipologie di dati, anche attraverso canali non tradizionali come i social media, faccia sorgere importanti questioni, soprattutto per quanto attiene all’utilizzo di tali dati, che rendono sempre più necessaria l’adozione di un quadro normativo di riferimento unitario.

Infatti, nonostante ad oggi esistano alcune esperienze che presentano delle similitudine col modello di open insurance, ad esempio soluzioni “white-label” e “insurance-as-a-service” che sfruttano dati accessibili liberamente oppure si basano sulla collaborazione tra operatori di diversi settori, l’Autorità evidenzia come queste esperienze siano rimesse principalmente alla capacità dei soggetti coinvolti di colmare l’assenza di requisiti normativi unitari e di metodologie standardizzate, soprattutto con riferimento all’interoperabilità dei sistemi e dei dati. Tuttavia, l’EIOPA sottolinea come un modello di open insurance possa non solo accentuare problematiche inerenti alla sicurezza dei dati, ai rischi informatici e all’interoperabilità dei sistemi ma anche far sorgere questioni di natura etica ponendo importanti rischi per i consumatori soprattutto in virtù della sensibilità dei dati assicurativi, i quali contengono informazioni inerenti la salute, la sessualità e le opinioni politiche dei soggetti interessati, e del sempre maggiore impiego di strumenti di intelligenza artificiale che possono portare a fenomeni di esclusione finanziaria.

Pertanto, l’EIPOA ravvisa come l’adozione di un quadro normativo armonizzato relativo all’open insurance non possa prescindere dalla ricerca di un equilibrio tra le discipline relative alla protezione dei dati, al settore assicurativo e della concorrenza che sia idoneo a sostenere l'innovazione, l'efficienza, la protezione dei consumatori e la stabilità finanziaria. Per trovare tale equilibrio, l’Autorità ritiene che sia necessaria un'ampia discussione tra tutti gli operatori interessati invitandoli a partecipare alla consultazione pubblica attraverso la compilazione dello strumento di indagine UE. 

Intellectual Property

Il Tribunale di Milano si pronuncia sulla tutela di un celebre modello di stivale dopo-sci

Con una recente decisione, il Tribunale di Milano si è pronunciato sulla tutela riconoscibile ad un celebre modello di stivale doposci, il quale rappresenta da diversi decenni un design iconico del panorama italiano.

Nel caso di specie, nel 2018 la società titolare del modello aveva convenuto in giudizio un terzo produttore di calzature, accusandolo di avere riprodotto illegittimamente due modelli dei rinomati doposci, in violazione pertanto dei diritti di esclusiva riservati per legge al titolare di un’opera del design industriale, azionati dalla società attrice.

Nell’ambito della propria decisione sulla vertenza il Tribunale ha rilevato come, al fine di riconoscere una significatività della qualità artistica di un’opera del design, si debba prendere a parametro il "diffuso riconoscimento che più istituzioni culturali abbiano espresso in favore dell’appartenenza di essa ad un ambito di espressività che trae fondamento e che costituisce espressione di tendenze ed influenze di movimenti artistici o comunque della capacità dell’autore di interpretare lo spirito dell’epoca, anche al di là delle sue intenzioni e della sua stessa consapevolezza, posto che l’opera a contenuto artistico assume valore di per sé e per effetto delle capacità rappresentative e comunicative che essa possiede e che ad essa vengono riconosciute da un ambito di soggetti più ampio del solo consumatore di quello specifico oggetto".

Secondo il Tribunale, il giudice in tale contesto non può attribuire all’opera in esame un valore artistico ex post, in quanto acquisito a distanza di tempo, mentre è necessario valutarne la sussistenza nel momento storico e culturale in cui l’opera stessa è stata creata. Sul punto, il Tribunale ha riconosciuto alle calzature la qualità di opera del design industriale, evidenziando tutti gli elementi e le circostanze che testimoniavano già all’epoca della creazione la considerazione che le peculiari forme avevano assunto da parte di ambienti culturali ed artistici, nonché del mondo del design in generale. A tali manifestazioni si aggiungevano gli ulteriori e successivi riconoscimenti, quali ad esempio l’inclusione del prodotto oggetto di lite in esposizioni alla Triennale di Milano nel 2016, nonché nell’esposizione permanente del Metropolitan Museum of Modern Art (MoMA) avvenuta nel 2018.

In conclusione, il Tribunale di Milano ha confermato che i modelli di calzature prodotti dalla società convenuta costituiscono violazione dei diritti di esclusiva sul celebre modello di doposci di titolarità dell’attrice.

Su di un simile argomento, può essere interessante l’articolo "L’EUIPO si pronuncia sulla validità della registrazione dello stivale “Moon Boot” come marchio comunitario di forma".

Le prove per la notorietà del marchio anteriore secondo l’EUIPO

La Divisione di Opposizione dell’EUIPO ha chiarito, in una recente decisione del 22 gennaio 2021, quali siano gli elementi di prova che il titolare di un marchio anteriore deve portare a dimostrazione della notorietà dello stesso nel corso di un procedimento di opposizione alla registrazione di un marchio identico o simile.

Una società italiana che commercializza prodotti di abbigliamento e titolare del marchio europeo registrato “PLEASE” ha presentato opposizione all’EUIPO contro la domanda di registrazione del marchio “PLEASE DON’T BUY” di un’altra società di abbigliamento italiana. L’opponente ha richiamato l’art. 8, para. 5 del Regolamento (UE) 2017/1001 (Regolamento sul Marchio Europeo), secondo cui la registrazione del marchio impugnato è esclusa se esso è identico o simile al marchio anteriore, a prescindere dal fatto che i prodotti o servizi per i quali si chiede la registrazione siano identici, simili o dissimili a quelli per i quali è registrato il marchio anteriore, qualora quest’ultimo goda di notorietà all’interno dell’Unione, in caso di marchio dell’Unione Europea.

Al fine di provare la notorietà del proprio marchio, l’opponente aveva presentato (i) una dichiarazione sul livello di fatturato, sottoscritta dal proprio direttore generale; (ii) un catalogo; (iii) circa settanta fatture; (iv) ed estratti di articoli di giornale e inserzioni pubblicitarie. La Divisione di Opposizione ha ritenuto insufficiente tale documentazione per dimostrare la notorietà acquisita dal marchio anteriore ai sensi della normativa sopra citata.

Infatti, l’EUIPO ha sottolineato che, da un lato, la notorietà implica che il marchio sia conosciuto da una parte significativa del pubblico interessato ai prodotti o servizi da esso contraddistinti e, dall’altro, che le prove andranno valutate globalmente. Infine, in generale, il valore probatorio delle prove sarà più elevato se la fonte delle informazioni è indipendente, attendibile e autorevole. Alcuni esempi di mezzi idonei per la dimostrazione di notorietà del marchio anteriore consistono in: sondaggi di opinione ed indagini di mercato (anche da parte di enti indipendenti sulla percezione del segno presso il pubblico); indicazioni indipendenti sul volume delle vendite e/o sulla quota di mercato detenuta; riconoscimenti o premi ottenuti dal marchio; posizione nelle classifiche di brand del settore di riferimento; e relazioni annuali sui risultati economici certificate da enti indipendenti.

Di conseguenza, è importante che i titolari di marchio anteriore, che intendono opporsi alla registrazione di un marchio che ritengono identico o simili al proprio, dovranno fare attenzione a reperire gli elementi idonei a provare la notorietà del proprio marchio, secondo le indicazioni dell’EUIPO.

Su un simile argomento, può essere interessante l’articolo: “Lo slogan “It’s Like Milk But Made For Humans” ha carattere distintivo”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini,Lara Mastrangelo, Alessandra Tozzi, Filippo Grondona e Andrea Michelangeli.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti,Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.