28 giugno 202221 minuti di lettura

Webinar

DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze

Riviviamo il webinar organizzato dal team di Intellectual Property dello studio legale DLA Piper su DOP, marchi collettivi e marchi storici: forme di tutela delle eccellenze. La registrazione dell’evento e il materiale sono disponibili qui.

Podcast

Cosa sono gli Smart Contracts

Giulio Coraggio discute nel podcast Dirottare il Futuro di Panorama.it di cosa sono gli Smart Contracts e quali sono le loro potenzialitàlità ed aree grigie. Il podcast è disponibile qui.

Privacy

Le Q&A sulle nuove Clausole Contrattuali Tipo per i trasferimenti dei dati della Commissione europea

A seguito dell’adozione di nuovi set di Clausole Contrattuali Tipo (SCC), avvenuta il 4 giugno 2021 con la decisione di esecuzione (UE) 2021/914, la Commissione europea ha pubblicato una raccolta di domande e risposte (Q&A) atte a fornire indicazioni pratiche sull’implementazione delle SCC in conformità con il Regolamento generale sulla protezione dei dati (GDPR).

Le Q&A si basano sul feedback ricevuto da vari stakeholder in merito alla loro esperienza nell’utilizzo delle SCC, nei primi mesi dopo la loro adozione, e intendono essere una fonte di informazione “dinamica”, che verrà via via aggiornata. Le Q&A rappresentano un ulteriore strumento a disposizione di esportatori ed importatori di dati sul tema dei trasferimenti, aggiungendosi alle Linee Guida dello European Data Protection Board (EDPB) sull’interazione fra l’articolo 3 del GDPR – che ne disciplina l’ambito di applicazione territoriale – ed il Capo V del GDPR, che regola i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo (SEE), nonché alle Raccomandazioni 01/2020 relative alle misure che integrano trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE.

Sebbene le Q&A non introducano significativi elementi di novità, esse rappresentano un strumento utile per le organizzazioni che intendono fare affidamento sulle SCC come meccanismo di trasferimento, riassumendo in un unico documento gli aspetti più rilevanti da considerare e fornendo indicazioni pratiche per assicurare il corretto utilizzo delle SCC stesse. Pertanto, di seguito si riassumo gli aspetti più interessanti che emergono dall’analisi delle Q&A.

1. Come si compilano e sottoscrivono le SCC?

In primo luogo, le Q&A ribadiscono ancora una volta che le parti non possono modificare il testo delle SCC, ad eccezione della necessità di:

  • selezionare i moduli e/o le opzioni specifiche all’interno di determinate clausole;
  • completare il testo, ove necessario (come indicato da parentesi quadre all’interno delle SCC), ad esempio scegliendo il Giudice e l’Autorità di controllo competenti;
  • completare gli allegati alle SCC.

È fatta salva la possibilità di inserire, nel contratto che disciplina compiutamente il rapporto fra le parti, delle previsioni aggiuntive che integrino le SCC, purché aumentino il livello di protezione dei dati e non siano in contrasto con le SCC stesse, le cui disposizioni saranno in ogni caso prevalenti su eventuali accordi contrastanti.

Questo aspetto appare particolarmente rilevante in relazione ad eventuali disposizioni volte a limitare la responsabilità delle parti. Infatti, la clausola 12(a) delle SCC disciplina in maniera puntuale la responsabilità delle parti per eventuali violazioni delle SCC stesse, rendendo così inammissibili accordi che escludano o limitino la responsabilità di una parte in caso di violazione delle SCC. A tal proposito, va considerato che le SCC pongono in capo all’importatore un’ampia serie di obblighi concernenti il trattamento dei dati personali allo stesso trasferiti. Di conseguenza, lo spazio per consentire limitazioni di responsabilità derivanti da tale trattamento è ormai estremamente limitato e gli importatori difficilemente potranno aggirare gli obblighi previsti dal GDPR.

Inoltre, la Commissione europea sottolinea l’importanza di una compilazione puntuale ed accurata degli allegati alle SCC. La tendenza – purtroppo ancora diffusa – a lasciare “in bianco” o completare tali documenti con informazioni vaghe ed imprecise dovrà essere definitivamente superata. Ciò anche tenendo conto del fatto che una copia delle SCC potrebbe dover essere condivisa con gli interessati. Benché sia prevista la possibilità per le parti di espungere determinati contenuti confidenziali, gli interessati che ne facciano richiesta dovranno essere messi nelle condizioni di comprendere cosa accade ai propri dati nell’ambito di un trasferimento. E questo sarà possibile solo grazie ad una compilazione sufficientemente chiara e precisa degli allegati.

Ciò vale anche in relazione ai sub-responsabili coinvolti nel trattamento dei dati, da indicare puntualmente anche ove si opti per l’autorizzazione generale, da parte dell’esportatore, al loro coinvolgimento. In altre parole, l’autorizzazione generale non può rappresentare un escamotage per non elencare in maniera completa i riferimenti di tutti i sub-responsabili coinvolti nel trattamento, come ancora avviene di frequente nella pratica. D’altra parte è interessante notare come le Q&A chiariscano che, qualora il responsabile del trattamento intenda avvalersi di un nuovo sub-responsabile ed il titolare si opponga, il coinvolgimento del nuovo sub-responsabile non sarà possibile. Questa affermazione sembra perciò vietare eventuali clausole del contratto che si limitino a riconoscere il diritto del titolare del trattamento di recedere dall’accordo, in caso di opposizione alla nomina di un nuovo sub-responsabile, sottolineando che il responsabile del trattamento è tenuto a non conferire alcun nuovo incarico ad un sub-fornitore in caso di opposizione della sua controparte contrattuale: “Clause 7.7 of the SCCs for controllers and processors imposes an obligation on the processor to request an authorisation from the controller when it engages a sub-processor. The parties may not include in a broader commercial contract between the controller and the processor a clause, which allows the processor to sub-contract data processing without such obligation to consult and request an authorisation from the controller as this clause will directly contradict clause 7.7 of the SCCs”. Inoltre, “According to OPTION 2 in clause 7.7 of the SCCs the processor has to specifically inform in writing the controller of any intended changes of the agreed list of sub-processors, respecting an agreed time period of notice. If the controller objects to the intended changes, the processor may not engage the new sub-processor(s)”.

Un ulteriore profilo interessante, trattato nelle Q&A, attiene ai requisiti di forma per la firma delle SCC: si chiarisce infatti che occorre fare riferimento ai requisiti eventualmente previsti dalla legge applicabile alle SCC, lasciando così al diritto nazionale la disciplina di questo importante aspetto.

2. È comunque necessario effettuare un transfer impact assessment quando si sottoscrivono le SCC?

La clausola 14 delle SCC richiede alle parti di effettuare, prima di sottoscrivere le SCC stesse, una valutazione in merito alle leggi vigenti e alle prassi delle autorità locali dei paesi terzi di destinazione dei dati, applicabili al trattamento di dati personali da parte dell’importatore, al fine di valutare se tale quadro normativo possa impedire all’importatore di adempiere gli obblighi derivanti dalle SCC.

In linea di principio, perciò, le SCC non sono sufficienti a garantire la conformità di un trasferimento al GDPR, ma si rende necessario eseguire, in via preliminare, un transfer impact assessment (TIA) che fornisca una “fotografia” del trasferimento di dati effettuato, esaminando i fattori che caratterizzano lo specifico trasferimento analizzato, quali:

  • la normativa applicabile nei paesi extra-EEA dove i dati sono trasferiti;
  • le caratteristiche dello specifico trasferimento eseguito, conducendo una valutazione di tutte le circostanze di fatto rilevanti, in primo luogo le categorie di interessati e dati personali effettivamente coinvolti, il formato in cui i dati sono conservati, il settore economico in cui opera l’importatore, l’identità dei sub-responsabili del trattamento; e
  • le misure supplementari implementate per proteggere i dati personali.

Il transfer impact assessment dovrà essere effettuato seguendo la metodologia descritta dall’EDPB nelle Raccomandazioni 01/2020 relative alle misure che integrano trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE.

Le Q&A evidenziano inoltre come la sola eccezione alla necessità di eseguire un transfer impact assessment ricorra qualora le parti utilizzino il Modulo 4 (P2C) delle SCC, in ragione del fatto che, in questo scenario, i dati erano già in origine trattati al di fuori dello SEE e soggetti alla normativa locale. Naturalmente, le deroghe appena descritte non saranno applicabili nel caso in cui i dati trasferiti dovessero includere anche dati personali che provenienti dall’Europa.

3. Le SCC possono essere utilizzate anche da esportatori extra-SEE?

Dato l’ambito di applicazione extra-territoriale del GDPR, che si estende ad alcune operazioni di trattamento di titolari e responsabili basati al di fuori dello SEE, le SCC possono essere utilizzate anche da tali soggetti per i trasferimenti di dati relativi a tali operazioni di trattamento verso altri soggetti non appartenenti allo SEE.

In particolare, le SCC potranno essere utilizzate:

  • da un titolare del trattamento extra-SEE soggetto al GDPR, per il trasferimento verso un altro titolare o responsabile extra-SEE non soggetto al GDPR; e
  • da un responsabile stabilito extra-SEE soggetto al GDPR, per il trasferimento verso un altro responsabile o titolare extra-SEE (per conto del quale sta trattando i dati), non soggetto al GDPR.

Tuttavia, la Commissione ribadisce che le SCC non possono essere utilizzate per il trasferimento di dati a titolari o responsabili del trattamento le cui operazioni di trattamento siano direttamente soggette al GDPR, in tal modo contraddicendo quanto indicato dall’EDPB nelle Linee Guida sull’interazione fra l’articolo 3 del GDPR ed il Capo V del GDPR, che regola i trasferimenti di dati personali al di fuori dello SEE.

A tal proposito, la Commissione europea chiarisce anche che si sta lavorando all’adozione di un nuovo set di SCC per regolare puntualmente il suddetto scenario, senza tuttavia fornire indicazioni su quale soluzione debba essere adottata nel frattempo.

4. Come scegliere la legge applicabile e l’autorità competente?

Le parti dovranno oculare la scelta della legge applicabile alle SCC che, per i Moduli 1, 2 e 3, dovrà necessariamente ricadere sulla normativa di uno degli stati membri del SEE mentre, per il Modulo 4, le parti potranno optare anche per una normativa extra-SEE, purché riconosca i third party beneficiary rights.

Per quanto concerne, invece, l’individuazione dell’autorità di controllo competente, qualora vi fossero più esportatori, potranno essere competenti più autorità. In ogni caso, l’individuazione dell’autorità di controllo dovrà tenere conto dei seguenti scenari:

  • se l’esportatore ha sede nello SEE, l’autorità designata per la protezione dei dati deve essere quella competente a vigilare sulla conformità dell’esportatore al GDPR. Per le imprese che svolgono attività di trattamento transfrontaliero, si tratterà dell’autorità capofila; mentre
  • se l’esportatore ha sede al di fuori dello SEE ma è direttamente soggetto al GDPR, l’autorità competente sarà l’autorità di protezione dei dati del paese SEE in cui:
    - è stabilito il rappresentante, se l’esportatore è tenuto a nominarlo ai sensi dell’articolo 27 del GDPR; oppure
    - l’autorità di protezione dei dati del paese SEE in cui si trovano gli interessati i cui dati sono trasferiti, nel caso in cui non fosse tenuto alla nomina del suddetto rappresentante.

È bene infine ricordare che le SCC consentono agli interessati di presentare un reclamo all’autorità di controllo del paese SEE in cui risiedono abitualmente o lavorano: ove si trattasse di un’autorità diversa da quella designata dalle parti, le due autorità dovranno collaborare nella gestione del reclamo.

Su questo tema, potrebbero interessarvi i seguenti contenuti “Transfer - Il tool di legal tech sui data transfer di DLA Piper”, “Verso l’adozione di nuove Clausole Contrattuali Tipo dopo la bozza di linee guida dell’EDPB sui trasferimenti dei dati?” e “Infografica – Come usare le nuove Clausole Contrattuali Standard per regolare i trasferimenti dei dati”.

Technology, Media and Telecommunications

Gli exchange di criptovalute ufficialmente in Italia. Quali i requisiti normativi per operare legalmente?

La recente iscrizione di uno dei più grandi exchange di criptovalute al mondo, alla sezione speciale dell’Organismo degli Agenti e Mediatori (OAM) in Italia è una notizia che non deve passare inosservata per almeno due ordini di ragioni: (i) anzitutto perché si presume potranno concretamente osservarsi le modalità attraverso cui l’autorità cercherà di tracciare le criptoattività; (ii) in secondo luogo, ciò rappresenta un importantissimo passo verso la strategia di ampliamento dell’Exchange, che potrà pertanto consolidare la presenza sul territorio anche attraverso l’apertura di uffici e l’assunzione di professionisti specializzati.

Questa importante notizia ci ricorda che col nuovo Decreto del Ministero dell’Economia e delle Finanze (MEF) pubblicato in Gazzetta Ufficiale all’inizio di quest’anno saranno obbligati ad iscriversi al suddetto registro entro il 18 maggio 2022 (i) i prestatori di servizi relativi all’utilizzo di valuta virtuale; e (ii) quelli di servizi di portafoglio digitale.

Di seguito le principali condizioni e requisiti per l’iscrizione nel registro:

  • la condizione di iscrizione al registro è subordinata ai requisiti di cui articolo 17-bis, comma 2, del decreto legislativo 141/2010, ossia per i soggetti diversi dalle persone fisiche la sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica; alternativamente, sarà possibile iscriversi, quindi operare legalmente, solo se vi è una stabile organizzazione sul territorio nazionale. In altre parole, sarà necessario costituire una società in Italia;
  • affinchè l’operatore possa iscriversi alla sezione speciale del registro, è richiesto l’invio telematico dei dati di cui l’art. 3, comma 4, del Decreto del Ministero;
  • bisognerà, poi, distinguere chi opera già in Italia; se questi ultimi soggetti avranno i requisiti di cui sopra (la sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica) allora godranno di un ulteriore termine per iscriversi al registro (60 giorni dall’istituzione dello stesso);
  • a quest’obbligo si affianca, poi, quello di trasferimento dei dati identificativi al MEF dei clienti nonché una sintesi delle operazioni svolte da ognuno con cadenza trimestrale.

Infine, l’OAM deciderà, sulla base delle informazioni fornite e delle opportune verifiche, la conferma o il diniego per l’iscrizione entro un termine di 15 giorni che potrà essere sospeso per una sola volta per un periodo non superiore a 10 giorni, in caso ritenga debba essere integrata la documentazione fornita.

Da un punto di vista sanzionatorio, invece, il mancato rispetto dei requisiti imposti dal Decreto comportano l’esercizio abusivo della relativa attività. Ciò significa che, oltre una sanzione amministrativa, una volta accertata la violazione in questione, le autorità competenti potranno procedere al sequestro e oscuramento del sito internet.

Su di un simile argomento, potrebbe interessarti il podcast “Gianluigi Guida di Binance su cryptocurrency e NFT”.

Aggiornamento di Infratel sull’andamento del Piano Scuole connesse

Con comunicato stampa del 12 maggio 2022, Infratel ha fornito un aggiornamento sullo stato di avanzamento del Piano Scuole Connesse.

Il Piano Scuole Connesse è stato previsto nell’ambito della Strategia nazionale per la Banda Ultra Larga – “Verso la Gigabit Society”, approvata dal Comitato interministeriale per la transizione digitale (CiTD) il 25 maggio 2021, nell’ambito del Piano Nazionale di Ripresa e Resilienza (“PNRR”).

Il Piano Scuole Connesse è volto alla realizzazione di interventi finalizzati a fornire accesso a Internet a più di 30.000 sedi scolastiche presenti sul territorio italiano, garantendo una velocità di connessione pari ad almeno 1 Gigabit/s.

Più precisamente, come evidenziato da Infratel nel comunicato stampa, il Piano mira a fornire connettività alle scuole secondarie di primo e secondo grado su tutto il territorio nazionale nonché alle scuole primarie e dell’infanzia ubicate nelle c.d. “aree bianche”, ossia quelle aree del territorio nazionale “a fallimento di mercato”, in cui sono assenti interventi di investimento da parte di operatori privati.

Il Bando relativo al Piano Scuole Connesse è stato pubblicato il 28 gennaio scorso. A seguito dell’aggiudicazione del Bando e della stipulazione dei contratti quadro con gli operatori aggiudicatari, il 23 aprile scorso sono state avviate le attività per l’esecuzione del Piano, la cui conclusione è prevista nel 2023.

Infratel rende noto che le attività operative del Piano Scuole Connesse hanno subito un incremento nel mese di aprile. Tali attività sono realizzate ad opera di società in-house regionali in Emilia-Romagna, Umbria, Friuli-Venezia Giulia, Valle d’Aosta e nella Provincia autonoma di Trento, mentre nelle restanti regioni le attività sono realizzate dagli operatori aggiudicatari del Bando.

Infratel riporta nel comunicato stampa che, al 30 aprile, “sono state attivate 12.168 scuole con intervento Infratel e 1.246 scuole con intervento delle società regionali” e che il Piano si concluderà nel 2023”.

Su questo argomento può essere interessante l’articolo “Pubblicati i Bandi dei Piani “Scuole connesse” e “Sanità connessa””.

Intellectual Property

La pronuncia della Corte di Giustizia sul caso C-401/19: la ricerca di un giusto equilibrio tra tutela dei titolari dei diritti IP e libertà di espressione

La Corte di Giustizia dell'Unione Europea si è recentemente pronunciata sul caso C-401/19, un ricorso di annullamento introdotto dalla Polonia nel 2019 (art. 263 TFUE).

Tale pronuncia è stata a lungo attesa sia dai prestatori di servizi di condivisione di contenuti online che dagli Stati Membri, in quanto vertente su uno degli articoli più critici (e criticati) della direttiva (UE) 2019/790 (la cd. "Direttiva Copyright"): l'articolo 17.

In estrema sintesi, l'articolo 17 della Direttiva Copyright fornisce ai prestatori di servizi di condivisione di contenuti online una sorta di guida, indicando, inter alia, le attività che questi ultimi sono tenuti a compiere per prevenire e/o reprimere le violazioni di diritto d’autore che avvengano online. Come noto, nel corso dei lavori preparatori alla Direttiva, l’articolo 17 è stato oggetto di un’accesa discussione tra coloro che sottolineavano la necessità di rafforzare la posizione dei titolari dei diritti, che in qualche modo hanno "subito" per un certo tempo gli effetti di una normativa non propriamente al passo con l’evoluzione tecnologica, e chi, invece, temeva che un’eccessiva tutela dei diritti di proprietà intellettuale mettesse in secondo piano la salvaguardia dei diritti fondamentali, e in particolare la libertà di espressione.

Come prevedibile, non è bastata l'adozione della Direttiva per spegnere questo dibattito. Nel maggio 2019, infatti, il governo polacco ha proposto un ricorso dinanzi alla Corte di Giustizia dell'Unione Europea, chiedendo l'annullamento, in tutto o in parte, dell'articolo 17 della Direttiva Copyright. La vicenda si è conclusa lo scorso 26 aprile 2022, quando la Corte di Giustizia ha confermato la validità dell'articolo 17, nonché la sua piena compatibilità con il diritto alla libertà di espressione, ritenendo che lo stesso fornisce adeguate garanzie ai diritti fondamentali degli utenti.

Ma procediamo con ordine, esaminando premesse e conseguenze di questa (non imprevedibile) decisione.

1. Il regime di responsabilità: un riassunto degli episodi precedenti

Prima dell'adozione della Direttiva Copyright, il regime di responsabilità degli Internet Service Providers era disciplinato dalla direttiva 2000/31/CE ("Direttiva e-Commerce"), che escludeva un obbligo generale di sorveglianza sulle informazioni in capo ai prestatori di servizi della società dell'informazione. Similmente, nessuna delle categorie di Internet Service Providers identificate dalla direttiva e-Commerce (i.e. mere conduit, caching e hosting provider) era soggetta ad un obbligo generale di ricercare attivamente fatti o circostanze che indicassero la presenza di attività illecite.

In questo contesto, quindi, la Direttiva Copyright ha segnano un vero e proprio "cambio di passo" in materia di responsabilità dei provider.

In primo luogo, l'articolo 17 è volto a disciplinare nel dettaglio la responsabilità dei prestatori di servizi di condivisione di contenuti online (di seguito, i "Prestatori di Servizi"), definiti come "prestatori di servizi della società dell'informazione il cui scopo principale o uno dei principali scopi è quello di memorizzare e dare accesso al pubblico a grandi quantità di opere protette dal diritto d'autore o altri materiali protetti caricati dai [loro] utenti, che [essi] organizzano e promuovono a scopo di lucro". La Direttiva Copyright stabilisce, altresì, che per comunicare al pubblico o mettere a disposizione del pubblico opere protette, i Prestatori di Servizi sono tenuti ad ottenere un'autorizzazione dai titolari dei diritti (ad esempio, mediante la conclusione di un accordo di licenza). Nel caso in cui non venga concessa alcuna autorizzazione, l’articolo 17 stabilisce che i Prestatori di Servizi possono essere esonerati dalla responsabilità solo qualora dimostrino:

  • di aver compiuto i massimi sforzi per ottenere un'autorizzazione, e
  • di aver compiuto, secondo elevati standard di diligenza professionale, i massimi sforzi per assicurare che non siano disponibili opere e altri materiali specifici per i quali abbiano ricevuto le informazioni dai titolari dei diritti; e in ogni caso,
  • di aver agito tempestivamente, dopo aver ricevuto una segnalazione sufficientemente motivata dai titolari dei diritti, per disabilitare l'accesso o rimuovere dai loro siti web le opere e aver compiuto i massimi sforzi per impedirne il caricamento in futuro.

2. Il caso C-401/19

Come si è detto, subito dopo l'adozione della Direttiva Copyright, la Repubblica di Polonia proponeva ricorso dinanzi alla Corte Giustizia, chiedendo di annullare l'articolo 17, paragrafo 4, lettera b) (massimi sforzi per garantire l'indisponibilità dei contenuti illeciti) e lettera c), in fine (massimi sforzi per impedire il futuro caricamento di contenuti illeciti) e, in subordine, qualora la Corte dovesse ritenere che tali disposizioni non possano essere separate dalle altre disposizioni dell’articolo 17 senza alterarne la sostanza, di annullare integralmente tale articolo 17.

Tale richiesta si basava sull’assunto che, secondo la ricorrente, l’attuale testo dell'articolo 17 violerebbe il diritto alla libertà di espressione e di informazione, garantito dall'articolo 11 della Carta dei Diritti Fondamentali dell'Unione Europea.

In altri termini, la Polonia sosteneva che al fine di essere esonerati da qualsiasi responsabilità per aver dato al pubblico l'accesso a contenuti protetti caricati dagli utenti, i Prestatori di Servizi sono tenuti ad effettuare un controllo preventivo di tutti i contenuti che i loro utenti desiderano caricare. Per soddisfare questo requisito, i Prestatori di non potrebbero far altro che utilizzare strumenti informatici che consentano una filtrazione automatica dei contenuti, precedente rispetto alla diffusione al pubblico. Tale approccio, tuttavia, aprirebbe la strada ad errori e a conseguenti violazioni dei diritti fondamentali: tali tecnologie, infatti, possono essere fallici e non possono escludere il rischio che siano bloccati contenuti leciti, nonché quello che l’illiceità (e conseguente blocco) dei contenuti sia determinato in modo automatico da algoritmi. Ne discenderebbe, quindi, secondo la Repubblica di Polonia, una limitazione potenzialmente grave e ingiustificata del diritto alla libertà di espressione.

Nel pronunciarsi sulla questione, la Corte ha dapprima confermato la conclusione dell'Avvocato Generale, affermando che le lettere contestate dell'articolo 17(4) non sono separabili dal resto dell'articolo e che, se del caso, l'articolo potrebbe essere annullato solo in toto e non parzialmente.

Quanto al merito, la Corte ha riconosciuto che le attività richieste ai Prestatori di Servizi ai sensi dell’articolo 17 vanno ben oltre l'obbligo di agire rapidamente per porre fine alle violazioni (come veniva richiesto, invece, dalla direttiva e-Commerce) e che, in buona sostanza, ai Prestatori di Servizi è richiesto l’utilizzo di strumenti di riconoscimento e filtraggio automatico. Ne discende, secondo la stessa Corte, che "il regime specifico di responsabilità, introdotto all’articolo 17, paragrafo 4, della direttiva 2019/790 per i fornitori di servizi di condivisione di contenuti online, comporta una limitazione dell’esercizio del diritto alla libertà di espressione e d’informazione degli utenti di tali servizi di condivisione, garantito all’articolo 11 della Carta".

Ciononostante, la Corte ricorda che la libertà di espressione può essere legittimamente limitata a determinate condizioni (cfr. articolo 52(1) della Carta) e che, al fine di valutare se la limitazione della libertà di espressione derivante dall'articolo 17(4) sia giustificata, detto articolo non può essere considerato isolatamente, ma occorre esaminare il nuovo regime di responsabilità nel suo complesso. Così, la Corte precisa che l’analisi deve tener conto anche dei punti da 17(7) a 17(10) della Direttiva Copyright e, più in generale, della ratio perseguita dall'istituzione di tale regime di responsabilità, vale a dire la protezione dei titolari dei diritti d'autore.

Alla luce di tali considerazioni, la Corte ha concluso che il regime di responsabilità di cui all’articolo 17 prevede diverse misure che proteggono adeguatamente i diritti fondamentali degli utenti. In particolare:

  • il legislatore UE ha già stabilito nella giurisprudenza precedente (cfr. par. 67 della decisione) un limite chiaro e preciso agli strumenti che possono essere adottati o richiesti nell'attuazione degli obblighi di cui all'articolo 17(4) (ad esempio, un sistema di filtraggio che rischi di non distinguere adeguatamente tra un contenuto illecito e un contenuto lecito sarebbe incompatibile con il diritto alla libertà di espressione);
  • l'articolo 17(7)(2) impone agli Stati Membri di includere nella normativa nazionale diverse eccezioni al fine di permettere che gli utenti siano autorizzati a caricare e a mettere a disposizione contenuti generati dagli stessi utenti per le finalità di citazione, critica, rassegna, caricatura, parodia o pastiche;
  • l'obbligo di prevenire automaticamente le future violazioni del diritto d'autore trova applicazione a patto che i titolari dei diritti abbiano fornito le informazioni necessarie ai Prestatori di Servizi;
  • un obbligo generale di monitoraggio deve essere escluso, in modo che il Prestatore di Servizi non sia tenuto a "prevenire il ca
Stampa