Innovation Law Insights

Podcast

L’IoT è una rivoluzione per ogni settore con Ludovico Fassati di Vodafone

Ludovico Fassati a 29 anni era già amministratore delegato di Cobra Automotive Technologies, un'eccellenza italiana nel settore delle connected cars che otteneva incarichi in tutta Europa, sbaragliando la concorrenza. Poi Cobra è diventata Vodafone Automotive e, invece che rimanere in Vodafone solo per la transizione, gli è stato dato l'incarico di Head of Vertical Market Development di Vodafone IoT a Londra. Grazie alla sua bravura è stato quindi successivamente promosso al ruolo di Head of IoT, Vodafone Americas che ricopre da quasi tre anni.

Nel podcast disponibile qui, Ludovico ci racconta la sua carriera, le potenzialità, i rischi e le prospettive del IoT e come l'Italia rappresenti uno dei brand più forti al mondo, ci manca solo un po' di coraggio per ritornare nel ruolo che ci spetta.

Privacy

Quattro garanti della privacy tedeschi apprezzano le misure aggiuntive proposte da un operatore per i trasferimenti dei dati dopo la sentenza Schrems II

I Garanti privacy del Baden-Württemberg, della Baviera e dell’Assia hanno pubblicato dei comunicati stampa sulle nuove clausole contrattuali aggiuntive proposte da un tech giant americano per gestire i trasferimenti dei dati personali al di fuori dello SEE dopo la sentenza Schrems II, definendole come “preziose nella ricerca congiunta della certezza del diritto per il trasferimento di dati verso gli Stati Uniti e verso altri Stati i cui sistemi giuridici non possono garantire in modo sufficiente lo standard di protezione previsto dal GDPR".

A seguito delle raccomandazioni pubblicate dall’EDPB sulle SCC illustrate in questo articolo, secondo i garanti privacy tedeschi, questa iniziativa è un esempio per tutti i soggetti chiamati a trovare nella ricerca di soluzioni giuridicamente valide circa le misure di protezione adeguate da garantire in sede di trasferimento internazionale di dati.

Le proposte presentate mirano a un rafforzamento dei i diritti degli utenti. In particolare, contengono disposizioni relative a:

• la gestione delle informazioni degli interessati nel caso in cui la società sia chiamata dal governo a rilasciare i loro dati alle autorità di sicurezza statunitensi;
• l'obbligo della società di intraprendere un'azione legale per contestare l'ordine del governo di divulgare i dati dell’interessato; e
• il diritto al risarcimento dei danni all’interessato che abbia subito danni materiali o morali in conseguenza del trattamento illecito dei suoi dati personali;

La valutazione effettuata dalle varie autorità di controllo sulla protezione dei dati personali finora intervenute rivela che l’iniziativa non è sufficiente a risolvere in completo il problema del trasferimento dei dati verso gli Stati Uniti, perché tale aggiunta di disposizioni alle clausole contrattuali standard non impedisce comunque l'accesso ai dati degli interessati da parte dei servizi segreti americani, che rappresenta uno dei punti critici più rilevanti sollevati dalla Corte di Giustizia europea nella famosa sentenza Schrems II.

Le raccomandazioni dello European Data Protection Board sui trasferimenti di dati personali al di fuori dello SEE non sono vincolanti per loro natura, ma danno delle indicazioni circa la valutazione del trasferimento che i garanti privacy si attendono da parte delle aziende. A tal fine, noi di DLA Piper abbiamo aggiornato la nostra metodologia per la valutazione dei trasferimenti di dati personali alla luce delle raccomandazioni e potete leggere maggiori informazioni al riguardo in questo articolo.

La validità del consenso alla conservazione di dati personali nei contratti di fornitura di servizi di telecomunicazione

Il 28 marzo 2018 il garante privacy rumeno ha inflitto una sanzione ad un operatore di telefonia per aver raccolto e conservato le copie dei documenti d’identità dei suoi clienti senza il loro consenso espresso. In particolare, i contratti di fornitura di servizi di telecomunicazione mobile stipulati dall’impresa tra l’1 e il 26 marzo 2018 contenevano una clausola la cui casella di spunta attestava che i clienti erano stati informati e avevano espresso il loro consenso circa la raccolta e la conservazione di una copia del loro documento di identità per finalità identificative. In contrasto con quanto richiesto dal GDPR, tuttavia, tale spunta era stata selezionata dal responsabile del trattamento prima della stipula del contratto.

Questo ha portato il Tribunale Superiore di Bucarest a rivolgersi alla Corte di Giustizia europea per ottenere una precisazione circa le condizioni in base alle quali il consenso di clienti al trattamento dei dati personali può essere considerato valido.

Nella sentenza, la CGUE ha stabilito che non basta acquisire un consenso affinché questo sia valido; è necessario, dimostrare che sia stato “espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano […]”. Ciò comporta che non può intendersi validamente prestato in caso di silenzio, inattività o caselle preselezionate, come avvenuto nel caso in esame. I clienti, infatti, non avevano selezionato autonomamente la casella sulla raccolta e la conservazione delle copie del loro documento d’identità che era stata, invece, preselezionata dal responsabile del trattamento. Questo, secondo la Corte di Giustizia europea, poteva essere indice di un consenso non propriamente informato ai sensi del GDPR e, dunque, non effettivamente consapevole. Secondo la CGUE, “non può, infatti, essere escluso che detto utente non abbia letto l’informazione che accompagna la casella preselezionata, o addirittura che lo stesso non abbia visto tale casella, prima di continuare la propria attività”.

Di conseguenza, veniva dimostrata l’incapacità dell’operatore di telefonia di assolvere esaustivamente l’onere della prova su questo punto, poiché il “mero fatto che tale casella sia stata spuntata non è idoneo a dimostrare una manifestazione positiva” del consenso dell’interessato.

Inoltre, la Corte di Giustizia europea rilevava un’ulteriore violazione del GDPR da parte dell’operatore nel momento in cui esigeva ai clienti che non avessero voluto acconsentire al trattamento dei propri dati personali di dichiararlo per iscritto. Secondo la CGUE, un tale requisito supplementare non solo incide indebitamente sulla libera scelta di opposizione al trattamento, ma contrasta con l’obbligo della società di dimostrare che i propri clienti abbiano prestato il consenso con un comportamento attivo. I clienti non possono, dunque, essere obbligati a manifestare il rifiuto attivamente.

Su di un simile argomento, è possibile leggere l’articolo “Sanzione privacy di EUR1,24 milioni nei confronti di una compagnia di assicurazioni in Germania per attività di marketing senza consenso”.

L’Autorità privacy britannica infligge una sanzione per assenza di misure di sicurezza adeguate ai sensi del GDPR

Il 13 novembre 2020, il garante privacy inglese (l’ICO), ha annunciato di aver inflitto ad una società dii vendita e distribuzione di biglietti una sanzione di GBP1,25 milioni (pari a circa EUR1,4 milioni) per la mancata implementazione di misure di sicurezza adeguate, in violazione degli obblighi previsti dall'articolo 5, paragrafo 1, lettera f) e dall’articolo 32 del Regolamento UE 2016/679 (GDPR), tali da contrastare e contenere il verificarsi, nel 2018, di un cyberattacco sul proprio sito web che ha coinvolto 9,4 milioni di utenti europei.

La sanzione costituisce l’epilogo di una vicenda iniziata il 23 giugno 2018, quando la nota società di vendita e distribuzione di biglietti per eventi dal vivo, musica e intrattenimento ha notificato un data breach all’ICO, comportando quindi l’attivazione di quest’ultima e l’avvio di un'indagine in merito. Il garante privacy inglese è così venuto a conoscenza del fatto che, a partire dal 10 febbraio 2018, era stato introdotto un malware all’interno del chatbot disponibile sul sito web della società, in grado di estrarre copia dei dati personali ivi inseriti dagli utenti e di inoltrarli ai terzi responsabili della violazione. In tale contesto, di particolare rilievo è il fatto che, contrariamente alle best practice di settore, la società aveva incluso il chatbot anche sulla propria pagina di pagamento online e ciò ha comportato che la raccolta dei dati ha coinvolto non soltanto il nome, l’indirizzo, l’e-mail, lo username e la password dei soggetti interessati, ma altresì i dati di pagamento di questi ultimi (i.e., l’intestatario dello strumento di pagamento, il numero identificativo della carta utilizzata, la data di scadenza e il CVV). Oltre 60.000 carte di credito sono state oggetto di frode e, sebbene le relative banche emittenti avessero segnalato il sospetto di transazioni fraudolente, la società non è riuscita a identificare l’origine del problema con la dovuta tempestività: in totale, la società ha impiegato nove settimane dalla ricezione delle suddette segnalazioni di possibili frodi al monitoraggio del traffico di rete attraverso la sua pagina di pagamento online.

Alla luce della ricostruzione che precede, l’ICO ha quindi ritenuto che la condotta posta in essere dalla società costituisse una grave inosservanza delle prescrizioni del GDPR e ha pertanto comminato alla società una sanzione pecuniaria di GBP1,25 milioni. Sul punto, è peraltro opportuno rilevare che, sebbene la violazione sia iniziata nel febbraio 2018, la sanzione tiene conto di quanto accaduto soltanto a partire dall’entrata in vigore de GDPR (25 maggio 2018) e che l’importo di quest’ultima, per quanto considerevole, risulta inferiore rispetto a quello inizialmente annunciato nel primo comunicato dell'ICO in merito, pari a 1,5 milioni di sterline. In proposito, l’ICO ha commentato che sulla riduzione dell’ammontare della sanzione ha inciso l'impatto economico della pandemia COVID-19 sull’attività della società sanzionata.

Su di un simile argomento, è possibile ascoltare il podcast “La comunicazione di un data breach secondo il Garante privacy”.

Intellectual Property

Un’opera protetta da copyright non costituisce “comunicazione al pubblico” nei procedimenti civili

La Corte di Giustizia dell’Unione europea ha recentemente stabilito che la trasmissione di una copia elettronica di un’opera protetta da copyright come prova nel corso di un procedimento civile non è considerata “comunicazione al pubblico” ai sensi della Direttiva Copyright 2019/790 e, di conseguenza, non costituisce violazione di copyright.

Lo scorso 28 ottobre, nella causa C-637/19, la Corte di Giustizia europea ha affrontato un caso tra privati in Svezia, in cui uno dei due aveva presentato come prova nel processo una copia elettronica di una pagina web contenente testo e fotografie. Il titolare del diritto d’autore su tali contenuti – il soggetto convenuto nel procedimento – aveva poi fatto a sua volta causa all’altro per violazione di copyright in quanto, sosteneva, presentando tale prova un numero vasto ed imprecisato di persone avrebbe potuto accedere gratuitamente a tali opere protette e ciò avrebbe configurato una “comunicazione al pubblico” ai sensi della Direttiva 2019/790 (Direttiva Copyright).

La CGUE ha però sottolineato come tale prova fosse in realtà diretta ad un gruppo ristretto di persone – ovvero quelle coinvolte nel procedimento nello svolgimento delle proprie funzioni pubbliche – e che tale comunicazione non era diretta al pubblico in generale. La Corte di Giustizia europea ha perciò stabilito che la presentazione come prova di un’opera protetta da diritto d’autore nel corso di un procedimento civile non può rientrare nella definizione di “comunicazione al pubblico” ai sensi della Direttiva Copyright e che, perciò, non costituisce violazione di copyright. Nella stessa direzione l’opinione dell’Avvocato Generale, il quale afferma che presentare una prova di questo tipo in un procedimento non implica che essa diverrebbe di pubblico dominio.

Nel giungere a tale conclusione, la CGUE ha evidenziato che mantenere un bilanciamento tra gli interessi dei titolari del diritto d’autore e quelli degli utenti, così quelli di interesse pubblico richiede che vengano soppesati i diritti fondamentali di tutte le parti coinvolte: nello specifico, i diritti di proprietà intellettuale e il diritto ad ottenere un rimedio giudiziale efficace, entrambi garantiti dalla Carta dei Diritti Fondamentali dell’Unione Europea.

Di conseguenza, la Corte di Giustizia europea ha stabilito che il diritto ad ottenere un rimedio giudiziale efficace verrebbe gravemente compromesso se un titolare di diritto d’autore potesse impedire la divulgazione di prove nel procedimento semplicemente per il fatto che tali prove riguardino opere protette da copyright. Per questi motivi, interpretare il concetto di “comunicazione al pubblico” non estendendo la protezione alla trasmissione di copie elettroniche di opere protette da copyright usate prove in procedimento giudiziale tra individui è giustificato dal punto di vista dei diritti fondamentali e non distorce l’equo bilanciamento dei diritti.

Tale decisione si rivelerà certamente un precedente di primaria importanza nell’interpretazione della Direttiva Copyright e occorrerà valutare come sarà applicato dai tribunali nazionali.

Su un simile argomento, può essere interessante l’articolo “Via libera del Senato alla legge di delegazione europea per il recepimento della Direttiva Copyright”.

Il Parlamento Europeo vota contro il “veggie burger ban” nell’etichettatura di prodotti a base vegetale

Il Parlamento Europeo ha deliberato in merito all’etichettatura di prodotti a base vegetale e di quelli sostitutivi della carne e dei prodotti lattiero-caseari.

Nella seduta del 23 ottobre 2020, il Parlamento Europeo ha votato in relazione alle modifiche del Regolamento UE n. 1308/2013 in merito all’etichettatura di determinati prodotti a base vegetale, sempre più presenti nei supermercati. Due emendamenti prevedevano il divieto dell’impiego di denominazioni relative a carne e latticini per prodotti a base vegetale, i quali però tendono a riproporne gusto, consistenza e apporto nutrizionale, ad esempio vietando l’utilizzo di termini come “burger”, “salsiccia” o “affettato” vegetale, proponendo termini come “disco” o “tubi” vegetali. Tali emendamenti, noti anche come “veggie burger ban”, erano stati presentati da una delle maggiori associazioni di allevatori.

La proposta di questo divieto si inserisce nel solco di un orientamento già presente in ambito europeo. Infatti, nel 2017 con la sentenza Tofu Town (Causa C-422/16, 14 luglio 2017), la Corte di Giustizia dell’Unione europea aveva stabilito che l’art. 78, para. 2 del Regolamento sopra citato impedisse che le denominazioni utilizzate per prodotti lattiero-caseari (ad es. latte, burro, formaggio, yogurt, panna) potessero essere applicate nell’ambito della commercializzazione e pubblicità di prodotti a base vegetale, anche nel caso in cui “tali denominazioni siano completate da indicazioni esplicative o descrittive che indicano l’origine vegetale del prodotto in questione” in quanto tali denominazioni avrebbero l’effetto di ingannare e confondere il consumatore in merito alla provenienza e composizione di tali prodotti e ciò rientrerebbe nell’ambito della concorrenza sleale.

Dopo vari giorni di dibattito il Parlamento Europeo ha deciso – con 379 voti contrari, 284 a favore e 27 astenuti – di rigettare l’emendamento 165, per cui non ci saranno restrizioni per le denominazioni dei prodotti vegetali che richiamano prodotti a base di carne. Il Parlamento ha infatti ritenuto che tali denominazioni siano entrate nell’uso comune e che non siano idonei a creare confusione nei consumatori. Dall’altro lato, invece, è stato approvato l’emendamento 171, che segue la scia della decisione della Corte di Giustizia, vietando qualsiasi riferimento all’industria lattiero-casearia per i sostituti vegetali, inasprendo di fatto il divieto già presente.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Lara Mastrangelo, Filippo Grondona e Andrea Michelangeli.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Noemi Buttazzo.