24 giugno 202116 minuti di lettura

Innovazione e diritto: le novità della settimana

Podcast

Un data breach da cyberattacco ransomware: come gestirlo ai sensi del GDPR?

La corretta gestione di un data breach a seguito di un cyberattacco ransomware può evitare potenziali sanzioni ai sensi del GDPR e danni dovuti a richieste di risarcimento da parte dei clienti in una situazione di notevole difficoltà. È possibile ascoltare il nostro podcast sull’argomento qui.

Il GDPR ha compiuto tre anni, ne abbiamo parlato con il Garante privacy

La scorsa settimana si è tenuto il webinar sulla compliance privacy a tre anni del GDPR, al quale ha partecipato il Dott. Brozzetti del Garante per la protezione dei dati personali. Durante l’evento, ricco di spunti interessanti, abbiamo commentato i risultati del survey svolto dal IPTT - Italian Privacy Think Tank sullo stato della compliance privacy in Italia (disponibile qui). Ringraziamo il Dott. Brozzetti per la disponibilità e per aver risposto alle domande in modo decisamente trasparente. Per chi non avesse avuto modo di partecipare il video dell’evento è disponibile qui.

Privacy

La versione finale delle raccomandazioni dell’EDPB sui trasferimenti dei dati è adottata

La versione finale delle raccomandazioni dell'EDPB sui trasferimenti dei dati basate alla luce della decisione Schrems II impone alle imprese di completare al più presto le loro valutazioni del trasferimento.

Dopo la recente adozione della nuova versione delle Clausole Contrattuali Standard, il pezzo mancante per completare un quadro normativo sui trasferimenti di dati è stato dato dalla versione finale delle raccomandazioni dell’EDPB, la cui bozza era stata pubblicata all'indomani del caso Schrems II che ora è stato finalizzato.

Seguendo le nuove SCC, il cui articolo 14 richiede l'esecuzione di una valutazione del trasferimento basata sulle peculiarità del trasferimento di dati, i commentatori si aspettavano che l'EDBP avrebbe seguito la stessa linea di condotta. Tuttavia, apparentemente, non c'è una coerenza di vedute tra la Commissione europea e le autorità europee di protezione dei dati.

I principali cambiamenti attuati rispetto alla versione precedente sono i seguenti:

  1. c’è maggiore apertura sui trasferimenti di dati basati sulle deroghe previste dall'articolo 46 del GDPR come il consenso; semplicemente non devono diventare la regola;

  2. è prevista una valutazione più dettagliata delle pratiche effettive delle autorità pubbliche del paese terzo, che deve coprire anche il transito dei dati e va oltre quanto previsto dalla legge per verificare se le garanzie previste nello strumento di trasferimento possono essere assicurate. Se ci sono leggi problematiche, ma l'esportatore di dati ritiene che non saranno applicate in pratica, deve essere in grado di fornire una relazione documentata che lo dimostri;

  3. c'è un riferimento all'esperienza pratica dell'importatore di dati nel trattare le richieste di accesso, se la divulgazione di tali informazioni non è impedita dalle leggi del paese importatore di dati.

L'ultimo punto è il più controverso. Apparentemente, l'EDPB ha leggermente spostato l'approccio verso un approccio più personalizzato in linea con la posizione della Commissione europea nelle nuove clausole contrattuali standard. Ma, secondo l'EDPB, i fattori soggettivi come la probabilità di rischio di danno al soggetto dei dati non dovrebbero essere presi in considerazione. Inoltre, l'esperienza pertinente dei dati importati deve riguardare "informazioni pertinenti, oggettive, affidabili, verificabili e pubblicamente disponibili o altrimenti accessibili sull'applicazione pratica della legge pertinente". Allo stesso tempo, l'assenza di precedenti di richieste ricevute dall'importatore non può essere considerata, da sola, come un fattore decisivo che permette di procedere a un trasferimento senza misure supplementari.

Al contrario, le SCC menzionano espressamente che la valutazione d'impatto del trasferimento deve considerare "le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti".

Infine, le raccomandazioni dell'EDPB confermano i tipi di misure contrattuali, organizzative e tecniche supplementari che possono permettere un esito positivo della valutazione dell'impatto del trasferimento. Tuttavia, alcune di queste misure rimangono difficili da attuare.

Il fattore principale da considerare è che mentre le Clausole Contrattuali Standard sono giuridicamente vincolanti. Al contrario, le Raccomandazioni EDPB sono semplici raccomandazioni che potrebbero essere contestate in un'eventuale controversia.

Solo questa interpretazione possa essere seguita. Altrimenti, i trasferimenti di dati (e l'economia globale) rischiano di essere paralizzati in un periodo in cui le imprese devono ricominciare a correre dopo la crisi economica.

Questo approccio basato sul rischio è incorporato nella metodologia di trasferimento dei dati di DLA Piper e nello strumento di tecnologia legale che abbiamo sviluppato all'indomani del caso Schrems II, presentato alla maggior parte delle autorità europee di protezione dei dati, e ora ulteriormente perfezionato dopo l'esperienza acquisita con diversi clienti e gli ultimi sviluppi normativi.

Le autorità tedesche per la protezione dei dati stanno già inviando liste di controllo alle aziende per indagare sui loro trasferimenti di dati. Con la versione finale delle raccomandazioni EDPB, altre autorità di regolamentazione seguiranno rapidamente, rendendo l'esecuzione della valutazione del trasferimento un passo normativo che non può più essere rimandato. Inoltre, terremo l’1 luglio un webinar per discutere dell’argomento e i dettagli sono disponibili QUI.

One-Stop-Shop: esteso il potere di contestazione delle autorità privacy locali per presunte violazioni del GDPR

Il GDPR autorizza “a determinate condizioni, un’autorità di controllo di uno Stato membro ad esercitare il suo potere di portare qualsiasi presunta violazione del GDPR dinanzi a un giudice di tale Stato e di avviare un’azione legale in relazione a un caso di trattamento transfrontaliero di dati, anche se tale autorità non è quella di controllo principale in relazione a tale trattamento”. Questo è quanto affermato nella recente sentenza C-645/19 dalla Corte di Giustizia (CGUE) relativamente a un caso riguardante Facebook e l’autorità di controllo belga.

La decisione della CGUE muove i passi da una controversia sorta in seno al Tribunale di primo grado di Bruxelles nel 2015 tra l’autorità di controllo belga, Facebook Ireland, Facebook Inc. e Facebook Belgium, avente ad oggetto delle presunte violazioni del GDPR ad opera del colosso high-tech statunitense. Il 16 febbraio 2018, detto tribunale si è dichiarato competente a pronunciarsi su tale azione e, nel merito, ha dichiarato che il social network non aveva sufficientemente informato gli utenti di Internet belgi della raccolta e dell'uso delle informazioni di cui trattasi.

In seguito alla sentenza, Facebook ha presentato ricorso in Appello, sfociato nel rinvio pregiudiziale alla CGUE. Il giudice del rinvio ha nutrito dubbi in merito all’incidenza del meccanismo del one-stop-shop previsto dal GDPR sulle competenze dell’autorità di controllo belga e si è posto, più in particolare, la questione se, per i fatti successivi all'entrata in vigore del GDPR (i.e., 25 maggio 2018) l’autorità potesse agire nei confronti di Facebook Belgium, dal momento che è Facebook Ireland (avente stabilimento principale in Irlanda) ad essere stata individuata come titolare del trattamento dei dati interessati. Infatti, a partire da tale data e segnatamente in applicazione del principio del One-Stop-Shop, solo l’autorità di controllo irlandese sarebbe stata competente ad intentare tale azione. Per i trattamenti transfrontalieri, il GDPR prevede il meccanismo del One-stop-shop, basato su una ripartizione delle competenze tra le autorità capofila, legittimate ad intentare azioni legali in casi di presunte violazioni del GDPR, e le altre autorità nazionali di controllo interessate. Il GDPR stabilisce, a tal riguardo, la competenza di principio dell’autorità di controllo capofila ad adottare una decisione che accerti che un trattamento transfrontaliero viola le norme contenute in detto regolamento, mentre la competenza delle altre autorità nazionali di controllo ad adottare una siffatta decisione, anche in via provvisoria, costituisce l’eccezione.

Tuttavia, nell’esercizio delle proprie competenze, la leading authority non può sottrarsi a un dialogo indispensabile nonché a una cooperazione leale ed efficace con le altre autorità di controllo interessate. Di conseguenza, sottolinea la CGUE, nell’ambito di detta cooperazione, l’autorità di controllo capofila non può ignorare le opinioni delle altre autorità di controllo interessate e qualsiasi obiezione pertinente e motivata formulata da una di queste ultime autorità ha l’effetto di bloccare, almeno temporaneamente, l’adozione del progetto di decisione dell’autorità di controllo capofila. Nella sua decisione, la CGUE dichiara che, in caso di trattamento transfrontaliero di dati, l'esercizio del potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di intentare un'azione giudiziaria non richiede che il titolare del trattamento o il responsabile del trattamento transfrontaliero di dati personali oggetto di tale azione disponga di uno stabilimento principale o di un altro stabilimento nel territorio di tale Stato membro, purché l’esercizio del potere rientri nei margini di applicazione del GDPR. In tal senso, è presupposto che il titolare del trattamento o il responsabile del trattamento transfrontaliero disponga di uno stabilimento nel territorio dell'Unione.

Tale potere di contestazione, inoltre, può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, purché l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito delle attività di detto stabilimento e l’autorità di cui trattasi sia competente ad esercitare siffatto potere.

Nel caso di specie, poiché le attività dello stabilimento del gruppo Facebook situato in Belgio sono inscindibilmente connesse al trattamento dei dati personali in esame nel procedimento principale, per il quale il titolare del trattamento è Facebook Ireland, tale trattamento è effettuato “nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento”, rientrando nei margini di applicazione del GDPR.

Tale azione può, in aggiunta, essere mantenuta in forza del diritto dell'Unione, sulla base delle disposizioni della Direttiva sulla protezione dei dati a quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute fino alla data in cui tale direttiva è stata abrogata.

La nuova linea interpretativa adottata dalla CGUE potrà sortire un effetto corrosivo sul sistema di ripartizione della competenza territoriale tra autorità privacy europee basato sul principio del One-stop-shop. D’altro canto, la chiave fornita dal giudice europeo è chiaramente preordinata a garantire un’applicazione più omogenea e coerente del GDPR e dei suoi principi, incoraggiando una maggiore cooperazione tra autorità di controllo.

Su un simile argomento potrebbe essere interessante l’articolo “Il rapporto della Commissione europea sui primi due anni del GDPR mette in luce le lacune del sistema e i possibili margini di miglioramento”.

Il garante privacy norvegese ha notificato una sanzione per illecito trasferimento di dati in Cina

La Datatilsynet, l’autorità norvegese per la protezione dei dati personali, ha annunciato di aver notificato alla società di pedaggio norvegese, la decisione di multare la stessa per NOK 5.000.000 (circa € 500.000) per aver trasferito i dati personali degli automobilisti a un responsabile in Cina in violazione della disciplina sul trasferimento dei dati.

In particolare, in base alla ricostruzione pubblicata dall’Autorità, quest’ultima, tramite una notizia veicolata dell'emittente nazionale norvegese, è venuta a conoscenza del fatto che la società trasferiva informazioni relative ai passaggi in anelli di pedaggio ad un responsabile del trattamento con sede in Cina. È così stata avviata un’ispezione volta ad indagare in merito all’adempimento degli obblighi previsti dal Regolamento (UE) 2016/679 (GDPR) in via prodromica rispetto alle attività di trattamento dei dati personali, ossia: (i) la sottoscrizione di un accordo di trattamento dei dati ex articolo 28(3) del GDPR; (ii) lo svolgimento di una valutazione dei rischi ai sensi dell’articolo 32 del GDPR; e (iii) l’individuazione di una base giuridica per il trasferimento dei dati personali al di fuori del SEE, in conformità con gli articoli 44 e ss. del GDPR.

A seguito di tali attività l’Autorità ha rinvenuto che la società (i) non aveva sottoscritto un accordo di trattamento dei dati; (ii) non aveva effettuato alcuna valutazione dei rischi prima del trattamento manuale di oltre 12 milioni di immagini di targhe; e (iii) non disponeva di una base giuridica adeguata per il trasferimento dei dati personali degli automobilisti in Cina. Le indagini si sono concentrate sulle condizioni riferibili al periodo intercorrente tra settembre 2017 e ottobre 2019 e ciò significa che la Datatilsynet non ha valutato le altre questioni relative al trattamento dei dati personali da parte della società, ivi incluso il contenuto degli accordi stipulati, il contenuto della valutazione dei rischi e le ulteriori verifiche necessarie a seguito dall’emanazione della sentenza della Corte di giustizia europea nel caso Schrems II.

In considerazione di quanto precede, l’Autorità ha annunciato l’intenzione di voler comminare alla società una sanzione pari a circa € 500.000. Tale importo trova giustificazione nel fatto che dette violazioni sono sensibilmente gravi, riguardando strumenti essenziali per stabilire il quadro per il trattamento dei dati personali, identificare possibili debolezze in tale sistema e garantire il trattamento sicuro e riservato dei dati.

Ad ogni modo, essendo una comunicazione preliminare, la società ha la possibilità di sottoporre eventuali commenti prima dell’emanazione della decisione definitiva.

Su un simile argomento può essere interessante l’articolo “Cosa cambia con le nuove clausole contrattuali standard sui trasferimenti di dati personali?”.

Technology, Media and Telecommunications

L’EBA pubblica un report sull’implementazione delle SCA da parte dei PSP

L’EBA ha pubblicato un report riguardante i dati dei fornitori di servizi di pagamento (PSP) e la loro disponibilità ad applicare l’autenticazione forte del cliente per le operazioni di pagamento basate su carte di commercio elettronico.

Le SCA (Strong Customer Authentication), quale sistema di autenticazione del cliente tramite un sistema multifattoriale, sono state introdotte dalla Direttiva (UE) 2015/2366 sui sistemi di pagamento (PSD2) come requisito per i pagamenti online, al fine di limitare il più possibile atti fraudolenti da parte di terzi non autorizzati, aumentando così la fiducia degli acquirenti e la loro predisposizione allo shopping online. Dal report dell’EBA risulta che siano stati registrati progressi significativi negli ultimi 9 mesi per quanto riguarda l’implementazione della SCA nelle transazioni di pagamento basate su carte, risultato auspicato considerata la crescita imponente dell’e-commerce negli ultimi anni.

Le analisi effettuate dell’Osservatorio eCommerce B2c del Politecnico di Milano – compiute tramite survey, interviste e studi di caso su un campione di 350 tra i primi operatori di eCommerce B2c rappresentativi di più del 95% del mercato – avevano già da tempo rivelato la crescita del mercato di € 3,8 miliardi nel 2019 rispetto al 2018, con acquisti online superiori a € 27,4 miliardi (pari a un aumento del 16%). Quest’anno, il trend non cambierà rotta: le prime stime rivelate dall’Osservatorio prevedono un incremento del +18% che porterà i prodotti a raggiungere i € 30,6 miliardi di transato, derivante per il 38% dal settore del food&grocery, dal 26% da quello dell’abbigliamento e accessori, +20% dal beauty e così via.

In questo panorama, i positivi risultati dell’analisi dell’EBA potrebbero lasciar sperare in un ulteriore aumento del commercio online negli anni a venire. In particolare, il report – che mostra un’analisi realizzata sulla base di una serie di indicatori riportati nel parere EBA del 2019 sulla scadenza per la migrazione alla conformità SCA per l’e-commerce basato su carte – fornisce risultati promettenti circa l’acquisizione della SCA da parte dei PSP, da settembre 2019 ad aprile 2021. I risultanti rivelano che:

  • il 99% dei commercianti europei sono in grado di dare seguito alla SCA;
  • il 94% delle carte di pagamento europee sono abilitate alla SCA;
  • il 92% delle richieste di autenticazione basate su carta per l’e-commerce segnalate dagli acquirenti sono conformi ai requisiti della SCA;
  • l’87% delle transazioni di pagamento di e-commerce basate su carta e segnalate dagli emittenti sono conformi ai requisiti della SCA.

Su un simile argomento può essere interessante l’articolo “Cambia la disciplina dei siti web per il confronto tra le offerte relative ai conti di pagamento”.

Intellectual Property

Il Tribunale dell’UE si pronuncia in tema di nullità relativa di un marchio europeo

Nella causa T-44/20, il Tribunale dell’UE si è pronunciato sulla disputa sorta tra due marchi notori in merito alla sussistenza dei requisiti per invocare la nullità relativa del marchio contestato.

Il caso ruotava attorno l’applicabilità degli articoli 8(1)(b) e 8(5) del Regolamento n. 207/2009, oggi articoli 8(1)(b) e 8(5) del Regolamento n. 2017/1001. Essi riguardano i cosiddetti relative grounds, ovvero motivi di nullità legati per lo più a un conflitto tra un marchio registrato (o in registrazione) e i diritti di privativa vantati da un terzo, il quale si ritiene pregiudicato dalla presenza sul mercato del segno contestato.

A riguardo, l’attore sosteneva che il marchio della convenuta era evocativo del proprio, così ingenerando confusione tra il pubblico, alla luce della forte somiglianza tra i due. Infatti, l’attore riteneva che guardando il marchio contestato da un diverso punto di vista, ossia ruotandolo di 90 gradi, esso era altamente simile al proprio marchio registrato.

Il Tribunale è intervenuto stabilendo innanzitutto le condizioni – da verificarsi cumulativamente – per l’applicazione dell’art. 8(5) del regolamento di cui sopra. Nello specifico: i marchi in questione devono essere identici o simili; il marchio anteriore avanzato in opposizione deve godere di reputazione; deve sussistere il rischio che l'uso senza giusta causa del marchio successivo possa avvantaggiarlo indebitamente, così come essere lesivo del carattere distintivo o della notorietà del marchio anteriore. Inoltre, il Tribunale ha affermato che l’esame comparativo dei marchi deve essere effettuato sulla base della forma in cui ciascuno è protetto, vale a dire come appare nel certificato o nella domanda di registrazione. Ne consegue che l’uso effettivo o potenziale dei marchi registrati in forma od orientamento diversi è irrilevante quando si confrontano i segni. Pertanto, i segni erano da considerarsi sostanzialmente diversi sulla base dell’art. 8(5) del Regolamento. Analogamente, in mancanza di somiglianza, non risultava integrato neppure l’articolo 8(1)(b) del Regolamento.

La decisione risulta dunque rilevante ai fini delle valutazioni sui relative grounds in quanto indirizza le modalità con cui procedere a un confronto tra il marchio contestato e quello anteriore.

Su un simile argomento può essere interessante l’articolo “Le prove di notorietà del marchio anteriore sono chiarite dall’EUIPO”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Benedetta Cordova, Filippo Grondona, Lara Mastrangelo, Andrea Michelangeli, Giuseppe Modugno, Alessandra Tozzi e Giacomo Vacca.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere le legal predictions per il 2021 dei professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 45 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.

Stampa