Innovation Law Insights

Privacy

Il garante privacy spagnolo ha sanzionato una banca per il trasferimento illegittimo di dati dei propri clienti

La Agencia Española de Protección de Datos (AEPD), il garante privacy spagnolo ha sanzionato una banca per EUR6 milioni per il trattamento di dati personali dei propri clienti in violazione delle disposizioni contenute negli articoli 6, 13 e 14 del Regolamento UE 2016/679 (il GDPR).

La sanzione è stata comminata a seguito di un reclamo presentato alla stessa Autorità da parte di un cliente dell’istituto bancario il quale lamentava che la banca gli aveva imposto l’obbligo di accettare nuove condizioni in materia di protezione dei dati personali che ricomprendevano la prestazione del consenso al trasferimento dei dati personali alle altre società del gruppo. Tale consenso poteva essere revocato dal cliente solamente tramite la presentazione di un’apposita lettera da indirizzare a ciascuna delle società del gruppo coinvolte nel trasferimento.

In primo luogo, il garante privacy spagnolo ha rilevato come la banca aveva violato i propri obblighi di informazione di cui agli articoli 13 e 14 del GDPR insieme alle prescrizioni sulla trasparenza in materia di informativa sul trattamento dei dati personali avendo fornito ai propri clienti informazioni incoerenti e insufficienti per determinare la natura dei trattamenti effettuati nonché le categorie e la tipologia di dati personali oggetto di tali trattamenti. Allo stesso modo, l’AEPD ha ritenuto che le informazioni fornite includessero terminologie imprecise ed un linguaggio che non permetteva ai clienti di comprendere in maniera chiara e precisa quali fossero i soggetti responsabili e i diritti esercitabili dall’interessato rispetto ai singoli trattamenti effettuati dalla banca.

Il garante privacy spagnolo ha altresì rilevato come la banca aveva trattato i dati personali dei propri clienti, con particolare riferimento ai trasferimenti fra le società del gruppo, in maniera illegittima poiché in assenza di una specifica base giuridica ai sensi dell’articolo 6 del GDPR. A tal proposito, l’AEPD ha contestato all’istituto bancario carenze nei processi della gestione dell’ottenimento del consenso dei clienti al trattamento dei dati, il quale veniva raccolto attraverso l’accettazione delle nuove condizioni contrattuali senza che fosse data la possibilità di poter dissentire al trasferimento infragruppo dei dati. Pertanto, il garante privacy spagnolo ha ritenuto che tale consenso non fosse una base giuridica idonea per il trasferimento non essendo stato espressione di una volontà specifica, inequivocabile e informata dell’interessato, determinando dunque l’illiceità del trattamento.

Alla luce di quanto sopra indicato, l’AEPD ha condannato la banca al pagamento di una somma pari a EUR6 milioni a titolo di sanzione pecuniaria e dovrà, entro sei mesi, adeguare i trattamenti alla vigente normativa in materia di protezione dei dati personali. ll garante spagnolo ha precisato che l'ammontare delle sanzioni comminate è correlato alla gravità delle infrazioni, all'elevato volume di dati personali, e all’elevato numero di interessati, oltre 15 milioni di clienti.

Su di un simile argomento può essere interessante l’articolo: “L‘EDPB e l’EDPS adottano pareri congiunti sulle nuove clausole contrattuali standard per il trasferimento dei dati personali”.

Il Ministero dell’Interno francese sanzionato dal garante privacy francese per uso illegale dei droni per monitorare le misure anti-COVID

La Commission nationale de l'informatique et des libertés (CNIL), il garante privacy francese ha comminato una sanzione al Ministero dell'Interno per il trattamento illecito dei dati personali conseguente all’uso dei droni ai fini del controllo del rispetto delle misure di contenimento del COVID-19.

Già a partire dal marzo 2020, la stampa francese cominciava a rivelare l'uso da parte della polizia e della gendarmeria di droni dotati di telecamere incorporate al fine di agevolare il controllo del rispetto delle misure di contenimento della diffusione del COVID-19, portando il CNIL a rivolgersi al Ministero dell'Interno per maggiori dettagli sulla natura e le caratteristiche dei dispositivi utilizzati e ad avviare una procedura di controllo.

Il Ministero dell’Interno aveva ammesso di utilizzare droni dotati di videocamera non solo per verificare il rispetto delle misure di contenimento del COVID-19, ma anche per la sorveglianza delle manifestazioni, per missioni di polizia giudiziaria (come la ricognizione di un luogo prima di un arresto o la sorveglianza del traffico di droga), o per la sorveglianza dei rodei urbani. A ciò si aggiungevano i risultati dell’ispezione del garante privacy francese nei locali della Prefettura di Polizia di Parigi, che, in occasione dell’effettuazione di un volo di prova di uno dei droni in questione, avevano rivelato l’identificabilità delle persone riprese dal dispositivo.

E’ emerso che l’effetto della sfocatura delle immagini scattate dai droni finalizzato a impedire l’identificazione delle persone, è stato attivato solo ad agosto 2020 e, quindi, in via successiva alla raccolta di immagini contenenti dati personali, perciò comportando una violazione del GDPR. Altrettanto grave è stata la scoperta della mancata adozione di un testo di legge che autorizzasse l’uso dei droni, nonché del risultato della valutazione d'impatto sulla protezione dei dati effettuata, la quale aveva rilevato l'esistenza di un rischio elevato per i diritti e le libertà dei singoli.

Tali violazioni hanno portato il CNIL a emettere la sanzione contro il Ministero dell’Interno francese, ordinando altresì la cessazione dell'uso dei droni fino all’adozione di un quadro normativo che autorizzi tale trattamento dei dati personali e l’osservanza della legge n. 78-17 del 6 gennaio 1978 all’informatica, agli schedari e alle libertà.

Su di un simile argomento può essere interessante l’articolo: “COVID-19: arriva l’ok del Garante privacy per l’app di contact tracing Immuni”.

Technology

DLA Piper IPT Predictions 2021 - Technology

Quale parte delle DLA Piper IPT Predictions per il 2021, analizziamo il questo articolo le nostre predictions sulle principali sfide legali del settore Technology.

L'obiettivo fondamentale nella gestione di sfide dinamiche e imprevedibili è la resilienza: la pandemia ha imposto l'adozione su larga scala della tecnologia per fronteggiare vari aspetti critici della crisi, come la garanzia della continuità del business.

Questo massiccio passaggio ai servizi digitali ha avuto un impatto enorme sul settore tecnologico, che ha visto le aziende costrette a gestire una domanda senza precedenti. I risultati della nostra indagine mostrano che il settore tecnologico si è dimostrato uno dei più resistenti: le aziende tecnologiche hanno reagito meglio di altre alla crisi, ottenendo una crescita dei ricavi più ampia e minori perdite.

In particolare, la pandemia ha accelerato gli sforzi di trasformazione digitale esistenti e ha dato una spinta generale agli investimenti IT. Il 76% delle aziende tecnologiche intervistate ritiene che la trasformazione digitale influenzerà positivamente l'interazione con i clienti. Di conseguenza, le aziende tecnologiche stanno investendo più di altre in soluzioni tecnologiche volte a gestire la relazione a distanza con i clienti (58,82% rispetto a una media del 47%), destinando al contempo meno risorse finanziarie al lavoro a distanza.

In questo contesto, la padronanza di soluzioni di identificazione e contrattualizzazione a distanza sarà fondamentale, soprattutto in vista dell’atteso incremento del mercato dell'eCommerce per una gamma di soluzioni esponenzialmente ampia, che secondo oltre il 35% degli intervistati deve essere supportata da un intervento legislativo volto a facilitare l'uso delle tecnologie.

Inoltre, secondo il 70% delle aziende tecnologiche che hanno partecipato alla nostra indagine, l'intelligenza artificiale e la sicurezza informatica saranno il trend significativo del settore tecnologico nel 2021, con cifre sostanzialmente superiori alla media (43%). Se da un lato è vero che, a causa del massiccio passaggio ai servizi digitali, i rapidi cambiamenti imposti nel panorama informatico rischiano di indebolire le misure di sicurezza informatica esistenti, queste rappresentano un fattore di fiducia per gli utenti e, quindi, una componente cruciale per facilitare la trasformazione digitale. È proprio verso il rafforzamento della sicurezza che si muovono le autorità di controllo della protezione dei dati dell'Unione Europea, che stanno iniziando ad esercitare i loro poteri esecutivi, costringendo le aziende tecnologiche e i loro clienti ad aumentare sostanzialmente la forza e la resilienza delle misure di sicurezza tecniche ed organizzative al fine di limitare il rischio di violazioni dei dati. Ad aumentare la fiducia nel fatto che ciò sia possibile è la duplice natura dell’IA, di generatore di rischio, da un lato, ma anche di mitigatore dall’altro. Infatti, con un numero crescente di malware e di attacchi basati sul web, nel 2021, l'intelligenza artificiale e l'apprendimento delle macchine nell'ambito della pratica della sicurezza informatica aumenteranno l'efficienza, consentendo una riduzione dei passaggi manuali nel monitoraggio della superficie di attacco.

Infine, anche se, secondo il World Economic Forum, gli investimenti in infrastrutture IT in-the-cloud sono aumentati del 35% nel secondo trimestre del 2020, quasi il 65% degli intervistati è preoccupato che i cambiamenti imminenti nei modelli di business dei propri clienti possano rappresentare una minaccia significativa per la propria attività. E tali cambiamenti potrebbero essere guidati da interventi normativi come la recente decisione della Corte di Giustizia dell'Unione Europea nel caso Schrems II, che ha notevolmente influenzato i trasferimenti di dati al di fuori del SEE e che potrebbe portare le aziende che operano nell'UE a passare a diversi fornitori di tecnologia.

Mentre l'esito della discordia geopolitica è incerto, è facile prevedere che il futuro delle aziende tecnologiche nel 2021 dipenderà dalla loro capacità di guadagnare la fiducia dei propri clienti, dei governi e degli utenti. Crediamo che la famosa citazione di Peter Drucker rifletta la situazione attuale: "il pericolo maggiore in caso di turbolenza non è la turbolenza, ma agire con la logica di ieri".

E’ possibile leggere le altre nostre predictions per il 2021 a link disponibile qui.

Media, Sports and Entertainment

DLA Piper IPT Predictions 2021 - Media, Sport and Entertainment

Quale parte delle DLA Piper IPT Predictions per il 2021, analizziamo il questo articolo le nostre predictions sulle principali sfide legali del settore Media, Sport and Entertainment.

I risultati della nostra indagine sull'impatto della pandemia COVID-19 sui settori dei media, dello sport e dell'intrattenimento (PMI) erano prevedibili: l'80% degli intervistati ha dichiarato di aver subito una leggera diminuzione dei ricavi, il 10% perdite significative e il 10% aumento dei ricavi. I mercati dell'intrattenimento e dello sport sono stati sicuramente tra i più colpiti dall'epidemia.

Il maggiore tempo a disposizione da trascorrere al chiuso ha portato i consumatori a trovare forme di intrattenimento alternative agli eventi dal vivo – come ad esempio spettacoli musicali, teatrali, competizioni sportive –, in particolare online, nel settore dei media, che si è rivelato essere una delle aree che ha beneficiato maggiormente dei vincoli imposti dal COVID-19. Le aziende che offrono servizi di streaming o SVOD (video-on-demand in abbonamento) hanno aumentato i loro ricavi e hanno guadagnato nuovi abbonati. Altri mezzi di svago, come la TV, le piattaforme di intrattenimento sociale ed online e la radio hanno mantenuto o acquisito un nuovo pubblico, determinando senza dubbio un leggero aumento dei ricavi.

Sebbene la trasformazione digitale avesse già iniziato a trasformare il panorama del settore delle PMI negli ultimi anni, lo scoppio della pandemia non ha fatto altro che accelerare questa tendenza. In particolare, nell’ambito dell'industria cinematografica, avevamo già assistito all'insorgere di una "guerra dello streaming" tra le tradizionali importanti società di produzione e i nuovi attori per fornire i migliori servizi SVOD e streaming. La situazione avrebbe potuto inizialmente favorire le società di produzione storiche, poiché potevano contare sui loro archivi centenari. Tuttavia, sebbene il blocco abbia causato la temporanea cessazione delle riprese in molti Paesi, abbiamo iniziato a vedere un aumento (destinato a esplodere nel 2021) di produzioni indipendenti da parte dei nuovi attori del mercato, che ora possono contare sui massicci budget guadagnati negli ultimi anni, soprattutto nel 2020.

Il nuovo status quo ha costretto il settore dello sport e dell'intrattenimento a reinventarsi creando nuovi format; dai concerti digitali alle opere in live streaming e ai tour dei musei virtuali, come confermato dal 40% degli intervistati, i quali hanno dichiarato che le loro aziende stanno investendo in prodotti e servizi per gestire le relazioni a distanza con i propri clienti. La creazione di nuovi formati pone diverse questioni legali, connesse primariamente alla necessità di garantire la tutela del copyright e di gestire i rischi di violazioni della legge sulla privacy legati a strategie aggressive di monetizzazione dei dati. Quest’ultima, principalmente guidata dal marketing personalizzato e dalla pubblicità, sarà una delle tendenze significative del prossimo anno per il settore delle PMI, secondo il 50% degli intervistati, poiché necessaria per bilanciare le perdite dovute alle richieste dei clienti di rinegoziare i prezzi o alla riduzione degli investimenti dovuti al COVID-19.

I nuovi social media che hanno sviluppato il loro modello di business prevalentemente (o esclusivamente) intorno all'intrattenimento basato su algoritmi continueranno ad espandere la loro portata a spese dei media tradizionali, attirando sempre più inserzionisti. Inoltre, gli influencer non hanno mai smesso di creare "microstorie" per l'intrattenimento del "grande pubblico", rendendo il rispetto degli obblighi normativi del marketing influencer ancora più cruciale per la strategia di qualsiasi azienda.

Affidarsi ai nuovi modelli di business sopra citati può, tuttavia, risultare particolarmente difficile per il settore sportivo, che nell'ultimo anno ha subito sconvolgimenti in relazione ad eventi significativi. I flussi di ricavi essenziali - dalle sponsorizzazioni, alla produzione e distribuzione dei diritti mediatici, al ticketing - si sono improvvisamente prosciugati. Infatti, il 50% degli intervistati ha chiesto misure finanziarie a sostegno del settore delle PMI.

Ciononostante, questi eventi hanno portato l'industria sportiva ad espandere i propri servizi, in particolare investendo nel settore degli e-sports, che ha avuto un notevole livello di visibilità durante il blocco e che potrebbe diventare un nuovo pilastro del mercato. Ma, per fare questo, è necessario introdurre regole nuove e chiare che operino a livello internazionale per attirare gli investimenti.

Si spera che l'epidemia di COVID-19 finisca presto. Ma è una lezione imparata per il settore delle PMI per capire come creare un business che sia meno influenzato da fattori esterni.

E’ possibile leggere le altre nostre predictions per il 2021 a link disponibile qui.

Life Sciences

La Corte di Giustizia si pronuncia in materia di etichettatura di prodotti cosmetici

La Corte di Giustizia si è recentemente pronunciata in materia di etichettatura di prodotti cosmetici nel caso C-667/19 (A.M. v E.M), chiarendo due importanti concetti: le informazioni sulla "funzione" di un prodotto cosmetico che devono figurare sul contenitore dello stesso e sulla sua confezione devono informare chiaramente i consumatori circa lo scopo e le modalità di utilizzo del prodotto; quanto poi alle informazioni relative agli ingredienti e alle particolari precauzioni da osservare nell'utilizzo del prodotto, esse possono figurare solo sui supporti esterni indicati nel Regolamento n. 1223/2009 e non in un generico catalogo aziendale.

In particolare, con la prima questione, il giudice del rinvio chiedeva se l’articolo 19, paragrafo 1, lettera f), del Regolamento n. 1223/2009 debba essere interpretato nel senso che l’indicazione della "funzione del prodotto cosmetico" che deve figurare, in forza di tale disposizione, sul recipiente e sull’imballaggio del prodotto, deve essere idonea ad informare il consumatore unicamente sugli scopi perseguiti con l’impiego del prodotto (es. pulire, profumare, modificare l’aspetto, correggere gli odori corporei ecc.) o anche sull’insieme delle funzioni che consentono di identificare le specifiche proprietà del prodotto di cui trattasi. Sul punto, la Corte ha abbracciato un’interpretazione estensiva di "funzione del prodotto cosmetico", tale da comprendere tutte le caratteristiche che permettano al consumatore di disporre di informazioni complete circa l’uso del prodotto e le sue modalità di utilizzo al fine di garantire che quest’ultimo possa essere utilizzato in modo sicuro senza nuocere alla salute.

Inoltre, con la seconda questione il giudice del rinvio chiedeva se l’articolo 19, paragrafo 2, del regolamento n. 1223/2009 debba essere interpretato nel senso che le indicazioni di cui all’articolo 19, paragrafo 1, lettere d), f), e g), di tale regolamento, vale a dire rispettivamente quelle relative alle precauzioni particolari per l’impiego del prodotto cosmetico, alla funzione di tale prodotto e ai suoi ingredienti, possono figurare in un catalogo aziendale che presenta anche altri prodotti, quando sull’imballaggio o sul recipiente del prodotto cosmetico è apposto il simbolo previsto all’allegato VII, punto 1 del Regolamento. A tal proposito, la Corte ha chiarito innanzitutto che, ai sensi dell’articolo 19, paragrafo 2, solo le indicazioni relative alle informazioni concernenti le precauzioni particolari per l’impiego e gli ingredienti previste alle lettere d) e g) dell’articolo 19, paragrafo 1 (e non anche l’indicazione relativa alla funzione del prodotto, di cui alla lett. f)), possono figurare su un supporto diverso dall’etichettatura del prodotto, qualora sia impossibile per ragioni pratiche indicarle sull’etichetta.

Inoltre la Corte, pur precisando che la valutazione circa l’applicabilità della deroga di cui all’articolo 19, paragrafo 2 vada fatta caso per caso dal giudice del rinvio, sottolinea però che tale regime derogatorio deve essere interpretato restrittivamente. In particolare, (i) i supporti esterni contenenti le informazioni sono solo quelli indicati dal regolamento, ossia "un foglio, (…) un’etichetta, una fascetta o un cartellino allegati o fissati al prodotto cosmetico", con l’effetto che un catalogo aziendale fornito separatamente, che contiene una descrizione del prodotto o dei prodotti cosmetici di cui trattasi, ma anche di altri prodotti della gamma proposta dal fabbricante, non è allegato o fissato ad un prodotto specifico; e (ii) l’indicazione delle informazioni su un supporto esterno è consentita solo in caso di impossibilità dal punto di vista pratico di farli figurare sull’etichetta, ossia situazioni in cui non sia materialmente possibile, a causa della natura e della presentazione stessa del prodotto, far figurare talune indicazioni.

In materia di etichettatura può essere interessante l’articolo: “Il decreto sull’etichettatura NutrInform Battery pubblicato in Gazzetta Ufficiale.”

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Lara Mastrangelo, Alessandra Tozzi, Filippo Grondona e Andrea Michelangeli.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.