Innovation Law Insights

Podcast

L’impatto del COVID-19 sulla trasformazione digitale e l’importanza della continua innovazione

In questo podcast, Rosy Cinefra, Vice President, Head of Legal and Compliance di NTT Data, dialoga con Giulio Coraggio su temi quali innovazione e techlaw, analizzando come e in che misura l’emergenza COVID-19 ha accelerato la trasformazione digitale delle imprese. Ascolta il podcast

Privacy

Regolamento ePrivacy: cosa aspettarsi nel prossimo semestre

Dopo la rivoluzione del mercato dei dati dovuta al GDPR, il regolamento ePrivacy potrebbe avere un effetto altrettanto – o forse ancor di più – dirompente, ma l’iter legislativo è in ritardo sulla tabella di marcia.

Il regolamento ePrivacy mira a garantire la riservatezza nelle comunicazioni elettroniche, introducendo importanti cambiamenti nei settori fondamentali dell’economia digitale, dall'IoT, all’attività delle società di telecomunicazioni fino all’online advertising e al direct marketing, con impatti su tutte le organizzazioni attive nel settore digital, ivi compresi gli OTT.

La bozza di regolamento è stata oggetto di lunghe negoziazioni . Dopo il fallimento delle trattative sulle bozze proposte dagli ultimi due Stati membri che si sono succeduti alla presidenza del Consiglio dell’UE (Finlandia e Croazia), la Germania ha assunto la presidenza il 1° luglio 2020, ed ha da subito presentato un documento di sintesi dei principali temi su cui incentrare la discussione.

La presidenza tedesca si pone l'obiettivo di raggiungere un approccio generale, o un mandato per avviare i negoziati con il Parlamento europeo entro entro la fine del 2020 o al più tardi l’inizio del 2021.

Per raggiungere questo obiettivo, la presidenza tedesca ritiene che gli Stati membri debbano trovare un accordo sull'articolo 6 (protezione delle comunicazioni elettroniche) e sull'articolo 8 (protezione delle apparecchiature degli utenti finali) dell’attuale bozza di regolamento ePrivacy.

Per quanto riguarda l'articolo 8, la presidenza tedesca sta contemplando i due approcci delle presidenze precedenti. Toccherà agli Stati membri scegliere se favorire l'approccio proposto dalla presidenza croata, che include la possibilità di accedere alle apparecchiature degli utenti (es. per installare cookie) sulla base dell'interesse legittimo, oppure se preferire l'approccio proposto nel novembre 2019 dalla presidenza finlandese, che non includeva l'interesse legittimo, ma indicava come base legale il consenso e cercava di trovare un equilibrio introducendo alcune formulazioni nei considerando 20 e 21 per quanto riguarda la condizionalità dell'accesso tramite i c.d. cookie wall.

Se la proposta della presidenza croata verrà approvata, gli Stati membri dovranno discutere in merito alla sicurezza dei dispositivi . Ciò è dovuto al fatto che questa proposta faciliterebbe notevolmente l'accesso a tali dispositivi senza il consenso dell'utente. Al contrario, qualora fosse approvata la proposta della presidenza finlandese, occorrerà valutare se le norme in vigore saranno in grado di bilanciare adeguatamente gli interessi in gioco, garantendo un elevato livello di protezione della privacy degli utenti finali e la tutela degli interessi legittimi degli editori online. La questione non è di poco conto, in quanto potrebbe mettere a rischio interi modelli di business se non si dovesse prevedere un'eccezione per l'accesso alle apparecchiature degli utenti (ad esempio nel settore della pubblicità online).

Anche se il testo del Regolamento ePrivacy non è definitivo, è utile prendere in considerazione questa riforma già durante la progettazione di qualsiasi prodotto o servizio da lanciare nel medio-lungo termine. Ad esempio, coloro che sviluppano prodotti IoT potrebbero voler tener conto dei requisiti di segretezza delle comunicazioni elettroniche previsti dal Regolamento ePrivacy, per evitare di dover interrompere o rivoluzionare i progetti nei prossimi anni.

Qualsiasi soggetto che intenda creare un sito web o un'applicazione, potrebbe anche riconsiderare l'uso diffuso dei tag piuttosto che dei cookie, optando per identificatori e strumenti di monitoraggio alternativi, al fine di prevenire e fronteggiare le perdite che l’industria della pubblicità online potrebbe subire a causa della progressiva eliminazione dei cookie di terze parti, preannunciata ormai dai principali browser.

Più in generale, può essere utile identificare i settori principali di operatività che saranno impattati dal Regolamento ePrivacy, in modo che quando il testo finale sarà pubblicato, sia possibile adeguare più rapidamente il modello di business.

L’Autorità privacy norvegese ha comminato una sanzione per illiceità del trattamento effettuato mediante un sistema di videosorveglianza

La Datatilsynet, l’autorità norvegese per la protezione dei dati personali, ha inflitto una sanzione pecuniaria alla Norwegian Public Roads Administration (la NPRA) di ammontare pari a NOK 400.000,00 (circa EUR37.290), per aver trattato i dati raccolti mediante il sistema di videosorveglianza stradale per finalità incompatibili con quelle originariamente disposte e per non aver cancellato le immagini e le registrazioni delle telecamere in conformità con il principio di limitazione della conservazione, violando quindi le previsioni del Regolamento UE 2016/679 (GDPR) e del Personal Data Act, i.e. la normativa locale sulla protezione dei dati personali modificata nel 2018 a seguito dell’entrata in vigore del GDPR.

La sanzione costituisce l’epilogo di una vicenda iniziata nel 2018, quando la NPRA risolveva per inadempimento un contratto con una società appaltatrice, avente ad oggetto lo svolgimento di attività di gestione e manutenzione delle strade di un distretto della Norvegia. A riprova di tale inadempimento, la NPRA aveva fornito delle immagini registrate mediante il sistema di videosorveglianza stradale, risalenti a diversi mesi prima rispetto alla loro esibizione.

A seguito delle indagini, l’autorità privacy norvegese ha ritenuto che la condotta così posta in essere dall’amministrazione fosse in contrasto con la normativa sul trattamento dei dati personali sotto diversi profili.

In primo luogo, il sistema di videosorveglianza era stato installato per garantire la sicurezza stradale e il flusso ottimale del traffico, mentre le registrazioni erano state utilizzate dalla NPRA per verificare l’esatto adempimento delle obbligazioni contrattuali della controparte, monitorando l’operato degli appaltatori, dei subappaltatori e dei rispettivi dipendenti. A tal proposito, l'amministrazione norvegese aveva sostenuto che l’ulteriore trattamento dei dati fosse “prevedibile” e quindi legittimo. Tuttavia, ai sensi di quanto disposto dal Gruppo di lavoro Articolo 29 (WP29) nel Parere 03/2013 sul principio di limitazione delle finalità (WP203) – confermato nel Considerando 50 del GDPR –, “un ulteriore trattamento non può essere considerato prevedibile se non è sufficientemente correlato alla finalità originaria e non soddisfa le ragionevoli aspettative degli interessati al momento della raccolta, sulla base del contesto della raccolta” e che, “[i]n altre parole, si tratta di stabilire per cosa una persona ragionevole nella situazione dell'interessato si aspetterebbe che i suoi dati vengano utilizzati in base al contesto della raccolta”. Nel caso di specie, l’ulteriore uso delle immagini e delle registrazioni non poteva in effetti ritenersi compatibile con la finalità di garanzia della sicurezza stradale, ed era al contrario da ritenersi “significativamente aldilà” rispetto alla ragionevole aspettativa degli interessati al trattamento.

In secondo luogo, la condotta dell’amministrazione risultava altresì in contrasto con il Personal Data Act nella parte in cui prevede che, salvo il caso di indagini su atti criminosi o incidenti, le registrazioni debbano essere cancellate entro 7 giorni dalla data in cui sono state effettuate. Infatti, non rinvenendosi nel contesto di riferimento margine di applicazione per tale eccezione, la Datatilsynet ha ravvisato nella conservazione delle immagini e delle registrazioni oltre il termine di 7 giorni una violazione dell'obbligo di cancellazione previsto dalla normativa applicabile.

Alla luce di tutto quanto precede, l’amministrazione norvegese è stata pertanto condannata a versare una somma pari a NOK 400.000,00 a titolo di sanzione pecuniaria. E peraltro necessario evidenziare come l’importo di tale sanzione sia stato commisurato in base ai parametri pre-GDPR, sensibilmente meno onerosi rispetto a quelli introdotti con la nuova normativa in materia di protezione dei dati personali.

Questa decisione mostra ancora una volta come la violazione del termine di conservazione dei dati personali sia uno degli aspetti sui quali i garanti privacy locali sono maggiormente inclini ad emettere delle sanzioni. Sull’argomento è possibile leggere l’articolo “Il Garante privacy danese sanziona una catena alberghiera per conservazione dei dati dei propri clienti oltre il termine”.

Technology Media & Telecom

Le principali novità del Decreto Semplificazioni in tema di reti di comunicazione elettronica

Lo scorso 15 settembre è entrata in vigore la legge n. 120/2020 di conversione del decreto legge n. 76/2020 recante misure urgenti per la semplificazione e l’innovazione digitale (il c.d. Decreto Semplificazioni).

L’obiettivo che si propone il Decreto Semplificazioni è, in estrema sintesi, quello di rendere la pubblica amministrazione più efficiente, celere e digitale, introducendo misure volte a velocizzare i procedimenti amministrativi, a eliminare gli adempimenti burocratici e a favorirne la digitalizzazione.

Per quanto interessa le reti di comunicazione elettronica, sono state introdotte misure finalizzate a velocizzare i lavori sulle infrastrutture di rete per la banda ultralarga, con la previsione di procedure autorizzative semplificate per gli interventi di scavo, installazione e manutenzione di reti in fibra e degli impianti radioelettrici di comunicazione.

In questo contesto, il Decreto Semplificazioni ha escluso l’applicazione della disciplina edilizia e urbanistica “alla installazione di reti di comunicazione elettronica mediante posa di fibra ottica”, con l’obiettivo di rendere più veloci e semplici le procedure per l’istallazione di questo tipo di reti.

Il Decreto Semplificazioni ha altresì apportato alcune integrazioni all’art. 82 del c.d. Decreto Cura Italia che avevamo trattato in questo precedente articolo, al fine di dare esecuzione all’obiettivo ivi previsto di potenziamento delle infrastrutture.

In particolare, in deroga a quanto disposto dal Codice delle Comunicazioni Elettroniche e dai regolamenti adottati dagli enti locali, è previsto che sia sufficiente la presentazione della segnalazione certificata di inizio attività – in luogo della richiesta di autorizzazione – per le opere di posa della fibra ottica (e, in particolare, per i lavori di scavo, installazione e manutenzione). La SCIA così presentata ha “valore di istanza unica effettuata per tutti i profili connessi alla realizzazione delle infrastrutture oggetto dell’istanza medesima”.

Per l’installazione degli impianti temporanei di telefonia mobile (da attivare in caso di emergenze, per motivi di sicurezza, in occasione di eventi o di esigenze stagionali e, comunque, destinati ad essere rimossi entro e non oltre 120 giorni dalla loro collocazione) il Decreto Semplificazioni ha stabilito che sia necessaria una semplice comunicazione di avvio lavori all’ente locale interessato.

Tali impianti possono essere attivati qualora, entro trenta giorni dalla presentazione della relativa richiesta di attivazione, non sia stato presentato un provvedimento di diniego dall’ente stesso a cui deve essere presentata la richiesta (ossia, l’organismo competente ad effettuare i controlli sanitari e ambientali previsti dall'art. 14 della legge n. 36/2001).

Inoltre, il Decreto Semplificazioni ha previsto che per l’installazione di impianti di telefonia mobile “la cui permanenza in esercizio non superi i setti giorni” è sufficiente un’autocertificazione, da inviare contestualmente alla realizzazione dell’intervento, all’ente locale interessato e agli organismi competenti per i controlli sanitari e ambientali previsti dalla legge n. 36/2001.

Pubblicate dall’AgID le linee guida sulla formazione, gestione e conservazione dei documenti informatici

L’11 settembre 2020, l’Agenzia per l’Italia Digitale (AgID) ha reso pubbliche le “Linee guida relative alla formazione, gestione e conservazione dei documenti informatici” (Linee Guida) che, una volta in vigore, dovranno essere adottate da tutte le pubbliche amministrazioni e dai privati che trattano documenti informatici.

Il vademecum dell’AgID è composto da un documento principale e da sei allegati tecnici il cui scopo è quello di aggiornare le regole tecniche attualmente in vigore sulla formazione, protocollazione, gestione e conservazione dei documenti informatici e, allo stesso tempo, fornire una cornice unica di regolamentazione per le regole tecniche e le circolari in materia.

Una delle questioni che viene ripresa dalle Linee Guida rispetto alla disciplina precedente ha ad oggetto la conservazione dei documenti informatici, ovvero l’insieme delle procedure, regole e tecnologie finalizzate a garantire l’autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici. In particolare, la conservazione potrà essere effettuata dallo stesso titolare dei documenti oppure può essere esternalizzata ad un soggetto terzo, il cd. conservatore, purché vengano formalizzate nel contratto di servizi e nel manuale di conservazione del titolare e del conservatore i requisiti del processo di conservazione dei documenti, le responsabilità e compiti delle parti nonché le modalità di interazione tra le stesse.

A tal proposito, l’AgID coglie anche l’occasione per chiarire i ruoli e le funzioni dei soggetti coinvolti nella conservazione dei documenti informatici. Il titolare dei documenti dovrà nominare un responsabile della conservazione, il quale definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia. Occorro sottolineare come, nell’ambito della pubblica amministrazione il responsabile della conservazione deve essere un soggetto interno all’organizzazione della stessa, mentre i privati potranno nominare un soggetto esterno purché estraneo al conservatore. In ogni caso il responsabile della conservazione deve essere un soggetto dotato di idonee competenza giuridiche, informatiche ed archivistiche. D’altro canto, il titolare del patrimonio documentale rimane responsabile in generale rispetto alla conservazione dei documenti, nonché in relazione alla redazione del manuale della conservazione, la quale non può essere delegata a terzi.

Infine, le Linee Guida pongono particolare attenzione alla questione della sicurezza dei sistemi usati per la conservazione e al rispetto della normativa in materia di trattamento dei dati personali. In particolare, oltre ad essere richiesta una particolare aderenza ai principi di privacy by design e by default, l’AgID sottolinea la rilevanza dei principi di integrità e riservatezza rispetto ai dati conservati. A tal proposito, i soggetti che conservano documenti informatici dovranno adottare opportune misure tecniche ed organizzative per garantire al sistema di conservazione un livello di sicurezza adeguato al rischio in materia di protezione dei dati.

Su questo argomento è possibile ascoltare il nostro podcast su “Firme elettroniche e contratti a distanza all’epoca del COVID-19”.

Intellectual Property

Stop ad una delle più grandi organizzazioni coinvolte nella pirateria online

Una organizzazione criminale attiva nella pirateria online, responsabile di atti di pirateria cinematografica e di hosting di contenuti digitali illegali in tutto il mondo, è stata oggetto alla fine del mese di agosto 2020 di un'azione coordinata condotta dalle autoriotà competenti di diverse Paesi, con il supporto dell’European Union Agency for Criminal Justice Cooperation (Eurojust) e dell’European Union Agency for Law Enforcement Cooperation (Europol).

L‘attività illegale stava causando significative perdite alle industrie del cinema e della televisione; un gruppo di hacker, chiamato "Sparks Group", ingannando i distributori autorizzati, si procurava copie di DVD e dischi in formato Blu-Ray di film, spettacoli televisivi e fiction e altri contenuti multimediali in anticipo rispetto alle date di uscita ufficiali, e caricava e e distribuiva le copie illegali attraverso i server gestiti dall’organizzazione stessa.

Sul tema è possibile ascoltare il nostro podcast “Perchè durante l’emergenza COVID-19 la responsabilità degli ISP è così importante”.

Pubblicata l’opinione dell’AG nella causa C 392/19 sulla nozione di comunicazione al pubblico

Lo scorso 10 settembre 2020 è stata pubblicata l’opinione dell’avvocato generale (AG) Maciej Szpunar, circa il concetto di "comunicazione al pubblico" ai sensi dell’art. 3, para. 1, della direttiva 2001/29.

La vertenza riguarda i rapporti tra due società tedesche. Da un lato una fondazione di diritto tedesco che gestisce una biblioteca digitale e il cui sito Internet contiene link a contenuti digitalizzati memorizzati sui portali Internet delle istituzioni partecipanti e che, quale “vetrina digitale”, memorizza a sua volta solo le miniature (thumbnails), ossia versioni di immagini le cui dimensioni sono ridotte rispetto alle dimensioni originali. Dall’altro lato, c’è una società di gestione collettiva dei diritti d’autore nel settore delle arti visive in Germania.

Quest’ultima aveva subordinato la stipula di un contratto di licenza d’uso del proprio catalogo di opere sotto forma di miniature all’inserimento di una clausola in base alla quale il licenziatario si impegna ad adottare misure tecnologiche efficaci contro il framing da parte di terzi delle miniature di tali opere o di tali materiali protetti, visualizzate sul sito Internet della biblioteca. Il framing è una tecnica – ormai obsoleta – che consente di suddividere lo schermo in più parti, ognuna delle quali può visualizzare, in modo autonomo, una pagina o una risorsa Internet diversa.

L’esito del ricorso di fronte alla Corte federale di giustizia tedesca riguarda il quesito circa la qualificazione dell’incorporazione mediante framing nel sito Internet di un terzo di un’opera disponibile, con il consenso del titolare dei diritti, su un sito Internet, come quello della biblioteca, come comunicazione al pubblico dell’opera ai sensi dell’articolo 3, paragrafo 1, della Direttiva UE 2001/29, qualora essa eluda le misure di protezione contro il framing adottate dal titolare dei diritti o imposte da quest’ultimo al licenziatario. Se così fosse, i diritti dei membri della società di gestione collettiva dei diritti d’autore sarebbero interessati e quest’ultima potrebbe validamente chiedere l’inserimento dell’obbligo di adozione delle misure tecnologiche contro il framing nel contratto di licenza con la biblioteca.

La corte di giustizia federale ha deciso di sospendere il procedimento e di sottoporre un quesito alla Corte di Giustizia.

Nelle sue conclusioni, l’avvocato generale Maciej Szpunar propone di dichiarare che l’incorporazione, in una pagina Internet, di opere provenienti da altri siti Internet (in cui tali opere sono messe a disposizione del pubblico in modo liberamente accessibile su un sito Internet, con l’autorizzazione del titolare dei diritti d’autore) tramite collegamenti cliccabili che utilizzano il framing non richiede l’autorizzazione del titolare dei diritti d’autore, poiché si considera che quest’ultimo l’abbia rilasciata al momento della messa a disposizione iniziale dell’opera. Per contro, l’incorporazione di simili opere tramite collegamenti automatici (inline linking, con cui le opere vengono automaticamente visualizzate non appena la pagina Internet consultata viene aperta, senza alcuna azione supplementare da parte dell’utente), che serve di norma a incorporare file grafici e audiovisivi, richiede, secondo l’avvocato generale, l’autorizzazione del titolare dei diritti sulle opere.

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Lara Mastrangelo, Filippo Grondona e Andrea Michelangeli.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Noemi Buttazzo.