Innovation Law Insights

Innovazione e diritto: le novità della settimana

Innovation Law Insights

Podcast

Come preparare l’azienda ad una ispezione del Garante privacy?

Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali a pochi giorni dall'adozione del nuovo piano ispettivo? Ne parliamo nel podcast disponibile QUI

Privacy

Varato il piano ispettivo del Garante per la protezione dei dati personali per il secondo semestre 2020

Il nuovo piano di ispezioni del Garante privacy si focalizza su aree ad altro rischio e data breach e rileva un aumento delle sanzioni emesse ai sensi del GDPR.

Il 1° ottobre 2020, il Garante per la protezione dei dati personali ha approvato il piano ispettivo per il secondo semestre 2020, che si pone in tendenziale linea di continuità con quanto deliberato lo scorso febbraio 2020 dal precedente Collegio del Garante, focalizzandosi principalmente sui trattamenti di dati personali svolti nell’ambito di settori particolarmente delicati.

Dal provvedimento emanato del Garante si rileva che, per il periodo luglio-dicembre 2020, verranno effettuati 30 accertamenti ispettivi di iniziativa, anche mediante la collaborazione del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, i quali continueranno a riguardare principalmente i trattamenti sui dati personali effettuati:

  • mediante gli applicativi delle segnalazioni di condotte illecite (il c.d.whistleblowing);
  • da intermediari per la fatturazione elettronica;
  • da Enti pubblici in merito al rilascio di certificati anagrafici e di stato civile tramite l’Anagrafe nazionale della popolazione residente;
  • per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
  • da società operanti nel settore del food delivery; e
  • nell’ambito del c.d. “rating reputazionale”.

Permane nel piano di ispezioni inoltre l’interesse del Garante privacy all’analisi delle violazioni della sicurezza dei dati (i data breach), così come viene reiterato l’impegno a verificare che pubbliche amministrazioni e imprese che trattano particolari categorie di dati personali abbiano debitamente adottato misure di sicurezza adeguate ai sensi della normativa privacy, nonché, in generale, il rispetto delle previsioni inerenti la corretta informazione degli interessati, i presupposti di liceità del trattamento, le condizioni per la prestazione del consenso – qualora il trattamento sia basato su tale presupposto – e la durata della conservazione dei dati. Al contrario, invece, non vengono riproposti i controlli con riferimento al settore farmaceutico e sanitario.

In ogni caso, indipendentemente dall’appartenenza alle categorie descritte dalla deliberazione, “l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti”. Pertanto, è fondamentale che tutti i titolari del trattamento si adeguino alla normativa e siano in grado, anche in un’ottica di accountability, di dimostrare di essersi conformati alle disposizioni di cui al Regolamento UE 2016/679 (“GDPR”) e al D.l.gs. 196/2003 (Codice Privacy). A tal riguardo, è infatti degno di nota il primo bilancio dell’attività ispettiva e sanzionatoria dell’Autorità nel primo semestre del 2020, riportato nella Newsletter ufficiale del Garante del 26 ottobre 2020, il quale registra un notevole incremento delle entrate complessive derivanti dalle sanzioni, che passano da 1 milione 223mila euro del primo semestre del 2019 a 7 milioni 108mila euro, con un aumento del 481%. Viene evidenziato altresì che, nello stesso periodo, sono state effettuate iscrizioni a ruolo per un importo complessivo di 5 milioni 42mila euro (+124%) a fronte dei 2 milioni 248mila euro del primo semestre 2019, che hanno riguardato trasgressori che non si sono avvalsi della facoltà di definizione agevolata delle violazioni prevista dall’articolo 18 del D.Lgs. 101/2018 di adeguamento del Codice Privacy alle disposizioni del GDPR.

Su di un simile argomento, può essere interessante l’articolo “Come preparare la propria azienda ad una ispezione del Garante privacy?”.

Technology Media & Telecom

La responsabilità dell’amministratore di una società nel caso di installazione su pc aziendali di software privi di licenza

Lo scorso 12 ottobre 2020 il Tribunale di Venezia ha condannato per violazione dei diritti d’autore sul software una società operativa nel settore della progettazione e il suo amministratore.

Inizialmente, l’attrice aveva domandato in via cautelare la descrizione inaudita altera parte dei pc aziendali utilizzati dai dipendenti della società. Ad esito della descrizione era emersa la presenza di varie copie di software prive di regolare licenza. Nel successivo giudizio di merito l’attrice aveva chiesto l’accertamento definitivo della violazione e la condanna della società e dell’amministratore al risarcimento dei danni. Quest’ultimo, infatti, secondo la prospettazione dell’attrice, sarebbe stato personalmente responsabile ai sensi degli artt. 2395 (Azione individuale del socio e del terzo) e 2476 c.c. (Responsabilità degli amministratori e controllo dei soci).

Il Tribunale ha riconosciuto sussistente anche la responsabilità personale dell’amministratore, rigettando l’eccezione secondo cui l’amministratore non era a conoscenza della presenza dei software nei pc aziendali, e ciò per almeno due ordini di motivi. In primo luogo, le ridotte dimensioni dell’azienda garantivano un certo potere di controllo in capo all’amministratore. In secondo luogo, la natura delle attività svolte dall’azienda, ossia attività di progettazione che richiedono l’utilizzo di software di disegno, come quelli illecitamente utilizzati, rendeva poco credibile l’ inconsapevolezza dell’amministratore circa l’utilizzo dei software contestati. Peraltro, il Tribunale ha precisato che la responsabilità dell’amministratore sussisterebbe anche ove non fosse dimostrabile la sua consapevolezza, in quanto il danno diretto nei confronti delle società titolari dei diritti sui software scaturirebbe anche da una condotta omissiva, ossia il mancato controllo delle licenze dei software utilizzati dai dipendenti e la mancata adozione di misure tecniche idonee ad impedire l’installazione di software privi di licenza.

Il Tribunale ha condannato la società e l’amministratore non solo per i danni patrimoniali causati all’attrice, ma anche per quelli non patrimoniali, liquidati in misura pari al danno patrimoniale, in considerazione della rilevanza anche penale delle condotte oggetto del giudizio.

Su di un simile argomento, può essere interessante l’articolo “Il Tribunale di Milano si pronuncia sulla responsabilità dei Content Delivery Network (CDN)”.

L’AGCom ritiene ammissibile il progetto di separazione della rete d’accesso e dispone una consultazione pubblica per acquisire le valutazioni del mercato

Con comunicato stampa dello scorso 22 ottobre 2020, l’AGCom ha informato che il Consiglio dell’Autorità ha svolto una preliminare discussione sul progetto di separazione legale volontaria della rete fissa di accesso dell’operatore incumbent.

L’iniziativa prevede la creazione – tramite un sistema di coinvestimento fra operatori – di una società separata alla quale l’operatore conferirà le proprie infrastrutture passive della rete di accesso secondaria (dall’armadio di strada alle sedi degli utenti), sia in rame sia in fibra.

Come fa sapere l’AGCom nel comunicato stampa, l’Autorità ha condotto una preliminare analisi volta a verificare, da un lato, l’affidabilità e la serietà del progetto di separazione e, dall’altro, la sua potenziale idoneità a migliorare le condizioni di concorrenza nel settore.

Ad esito di tali valutazioni, il Consiglio ha ritenuto il progetto suscettibile di essere oggetto di un vaglio più approfondito, nell’ambito dell’analisi coordinata dei mercati di accesso, e ha altresì disposto una consultazione pubblica al fine di acquisire le valutazioni del mercato sul progetto medesimo, garantendo così la più ampia partecipazione degli operatori del settore.

Nel contesto dell’analisi di mercato – come si legge nel comunicato stampa – l’AGCom valuterà “l’effetto del progetto di separazione sugli obblighi regolamentari esistenti avuto riguardo in particolare alle garanzie di equivalence e parità di trattamento nella fornitura dei servizi di accesso alla rete con l’obiettivo ultimo di porre le condizioni per un effettivo e rapido sviluppo della banda ultra-larga nel nostro Paese”.

Su di un simile argomento, può essere interessante l’articolo “L’AGCM invita le istituzioni a rimuovere gli ostacoli allo sviluppo della banda ultralarga”.

Intellectual Property

Aspetti IP e fiscali correlati agli eventi e concerti da remoto

In questo articolo, Elena Varese e Antonio Longo dello studio legale DLA Piper analizzano, nell’attuale momento di pandemia, la questione della protezione dei diritti di proprietà intellettuale degli artisti che si esibiscono negli eventi e concerti che si tengono da remoto, assieme agli aspetti legali e fiscali sottesi alla remunerazione delle piattaforme di streaming che permettono la diffusione e la realizzazione di tali eventi.

Per l’EPO anche un metodo di trattamento chirurgico implicito rende non brevettabile un’invenzione

L'art. 53, lettera c) della European Patent Convention (EPC) esclude la concessione di brevetti europei relativi a metodi di trattamento chirurgici del corpo umano o animale. La Commissione di Ricorso dell'European Patent Office (EPO) ha avuto l'opportunità di chiarire in una recente decisione (disponibile solo in tedesco) i limiti di tale disposizione della EPC nel caso di un brevetto relativo a una tecnologia di sostituzione dei denti.

Il brevetto oggetto della decisione, concesso nel 2013, era relativo ad un "metodo e kit di materiali per la produzione di parti di ricambio di denti". Contro il brevetto era stata presentata un'opposizione, successivamente ritirata; tuttavia, la Divisione di Opposizione dell'EPO ha ritenuto in ogni caso di proseguire il procedimento di opposizione contro il brevetto. Ciò è infatti consentito all’Ufficio ai sensi delle Guidelines for Examination qualora sia probabile che il brevetto venga limitato o revocato anche qualora non siano necessarie ulteriori azioni da parte dell'opponente.

Al termine del procedimento di opposizione, il brevetto è stato revocato per violazione dell'Art. 53, lettera c) EPC e il titolare del brevetto ha proposto appello innanzi la Commissione di Ricorso dell'EPO. Quest’ultima, nella propria decisione, ha riconosciuto che l'unica rivendicazione indipendente del brevetto, riferita al metodo di produzione di pezzi di ricambio per denti, non conteneva effettivamente alcuna caratteristica che implichi esplicitamente un metodo di trattamento chirurgico. Tuttavia, la Commissione di Ricorso ha chiarito come l’art. 53, lettera c), EPC esclude la concessione anche di brevetti che comportino tale passaggio solo implicitamente. Pertanto, la Commissione ha chiarito che nel caso in cui un metodo chirurgico di trattamento costituisce una caratteristica essenziale dell'invenzione in questione (sia implicitamente che esplicitamente), la brevettabilità di tale invenzione deve necessariamente essere esclusa ai sensi dell'art. 53, lettera c), EPC.

Nel caso di specie, la rivendicazione n. 1 del brevetto oggetto di lite prevedeva la creazione di due impronte di parte della dentatura del paziente, mentre la descrizione del brevetto affermava che il materiale dentale mancante del paziente doveva essere temporaneamente riempito prima di iniziare ad eseguire la prima delle due impronte. Pertanto, la Commissione ha ritenuto che la preparazione dei denti del paziente contenuta nella descrizione del brevetto rientrasse nell'ambito del metodo rivendicato, anche se non era esplicitamente menzionata nella rivendicazione.

La Commissione ha riconosciuto che il metodo rivendicato non potesse essere eseguito senza procedere, direttamente sul paziente, a questa fase "preparatoria" (poiché altrimenti il metodo rivendicato non avrebbe prodotto la funzione rivendicata), e che pertanto la preparazione dei denti del paziente contenuta nella descrizione del brevetto costituisse un metodo chirurgico di trattamento del corpo umano, in quanto comportava l'estrazione di tessuto corporeo in modo invasivo, concludendo per la non brevettabilità dell'invenzione ai sensi dell'art. 53, lettera c), EPC.

Su di un simile argomento, può essere interessante l’articolo "USPTO: l’intelligenza artificiale non può essere designata come inventore di un brevetto".

Gaming & Gambling

L’AGCOM sanziona il servizio GoogleAds per violazione delle norme sulla pubblicità del gioco

Il Consiglio dell’Autorità per le Garanzie nelle Comunicazioni (AGCOM) ha comminato una sanzione amministrativa pecuniaria nei confronti della società Google Ireland Limited per la violazione della normativa sul divieto di pubblicità relativa a giochi o scommesse con vincite di denaro, nonché al gioco d’azzardo di cui al c.d. “Decreto Dignità”. L’Autorità ha rilevato che il servizio Google Ads (servizio di indicizzazione e promozione di siti web), consente la diffusione, dietro pagamento, di link che indirizzano verso siti in violazione del divieto contenuto nel Decreto Dignità. In particolare, sulla base del comunicato stampa diffuso da AGCOM, la società ha diffuso l’annuncio a pagamento di un sito che svolge attività di gioco e scommessa con vincite in denaro, in assenza di regolare concessione rilasciata dall’Agenzia Dogane e Monopoli (ADM).

L’Autorità ha ritenuto che, in questo caso specifico, l’attività posta in essere da Google Ads non sia in alcun caso qualificabile come servizio di hosting, atteso che l’elemento caratterizzante la prestazione non consiste “nell’ospitare” il messaggio pubblicitario, ma piuttosto nel permetterne la diffusione. L’attività di memorizzazione è, infatti, “del tutto ancillare e tecnicamente necessaria per la prestazione del servizio principale che è invece finalizzato alla promozione diretta di scommesse e giochi a pagamento, attività espressamente vietata dall’ordinamento nazionale.”

Alla luce del Regolamento (UE) 2019/1150 che ritiene sanzionabili anche i fornitori di servizi di indicizzazione stabiliti all’estero che offrono servizi destinati al pubblico italiano, AGCOM ha deciso di sanzionare la violazione.

Uno studio del Parlamento europeo analizza se le loot boxes sono un gioco d’azzardo

Il Parlamento europeo ha analizzato in uno studio la possibile qualifica delle loot boxes come gioco d’azzardo il che comporterebbe limitazioni ingiustificate alla loro operatività.

Il settore del gambling rimane ancora tra quelli in cui gli Stati continuano a esercitare a pieno la propria sovranità per motivi di “ordine pubblico“. Tuttavia, l’Unione europea sembrerebbe cominciare a muovere i primi passi verso una potenziale futura armonizzazione della materia, almeno attraverso mere raccomandazioni.

La Commissione interna al Parlamento europeo per il mercato interno e la protezione dei consumatori (IMCO), infatti, ha pubblicato uno studio sulle loot boxes dei videogiochi – ossia sulle scatole contenenti oggetti di vario tipo selezionati in modo casuale (solitamente attraverso un algoritmo) acquistabili tramite moneta virtuale o denaro reale – che potrebbe legittimare la loro qualificazione come gioco d’azzardo, anziché come attività di mero intrattenimento.

Sebbene solitamente siano “microtransazioni” quelle che consentono l’acquisto di tali scatole misteriose, secondo alcuni studiosi queste ultime potrebbero servire da gataway del gioco d’azzardo (Drummond & Sauer, 2018). Se così fosse, bisognerebbe cominciare a riflettere sulle conseguenze – tanto psicologiche quanto finanziarie – che si ripercuoterebbero soprattutto su una parte del pubblico cui sono rivolti i videogiochi che prevedono l’acquisto di features aggiuntive tramite loot boxes e, cioè, i minori.

Diverse indagini hanno rivelato che l’offerta delle loot boxes possa contribuire a generare nel giocatore comportamenti di gioco problematici, come, ad esempio, “un irresistibile impulso al gioco e una crescente tensione che potrebbe essere alleviata solo giocando” (Desai et al., 2010). Sebbene gli studiosi ammettano di non poter ancora dimostrare che l’acquisto delle loot boxes sia la causa – o una delle cause – dell’insorgere di tali comportamenti potenzialmente patologici, finora sono stati in grado di provare che “alcuni meccanismi alla base delle loot boxes utilizzano bias comportamentali per vendere contenuti” (King & Delfabbro, 2018; Søraker, 2016) e mettono in essere strategie di prezzo e di offerta che possono causare conseguenze finanziarie.

Alla luce di tali studi, alcuni Stati, come i Paesi Bassi e il Belgio, hanno pertanto cercato di arginare la trasformazione di queste loot boxes in veri e propri sistemi del gioco d’azzardo, classificandole come elementi di gambling al fine di applicare loro la relativa disciplina legale.

Lo studio dell’IMCO, tuttavia, fornisce delle linee guida agli altri Stati che intendano regolamentare la questione, raccomandando la qualificazione delle loot boxes come gioco d’azzardo solo in quei casi in cui sia possibile riscontrarvi le tre caratteristiche principali caratterizzanti il gioco d’azzardo e cioè solo quando sussista:

  1. un corrispettivo per l’acquisto del bottino virtuale,
  2. l’elemento della casualità nel risultato dell’acquisto e
  3. la possibilità di vincere un premio che abbia valore monetario.

Il primo requisito è automaticamente soddisfatto nei giochi in cui le loot boxes possono essere acquistate direttamente con denaro reale; nel caso in cui il pagamento avvenga con moneta virtuale di gioco, questa dovrà essere collegata al denaro reale. Il secondo requisito invece richiede che il premio del bottino non sia conoscibile a priori dal giocatore e che venga determinato dall’algoritmo del gioco. Infine, il terzo requisito comporta la necessità che il premio ottenuto abbia un valore traducibile in valuta reale che non è presente nella maggior parte dei casi.

Tale valutazione avviene però in modo diverso in Belgio e nei Paesi Bassi, in cui gli editori di videogiochi sono stati obbligati a rimuovere l’offerta delle loot boxes dai giochi immessi sul mercato dei due paesi con il rischio di ricevere una multa fino a € 830.000 e di essere perseguiti penalmente in caso di inadempienza. Tale decisione è stata giustificata in Belgio da una diversa valutazione del terzo requisito, secondo la quale non è necessario che la ricompensa dell’attività del gioco d’azzardo abbia un valore monetario, essendo sufficiente che abbia un valore per il giocatore (come riporta lo studio dell’IMCO, ad esempio, la scarsità di un oggetto virtuale). Nei Paesi Bassi, invece, la ricompensa deve avere un valore di mercato che ne renda possibile il commercio, pertanto anche le loot boxes del tipo E-I (come ad esempio, quelle contenute FIFA 17 Ultimate Team) sono classificate come gambling.

Ci sembra che l’interpretazione assunta dalle autorità del Belgio e dei Paesi Bassi sia eccessiva e non tenga conto dell’effettiva natura delle loot boxes che attribuiscono un premio che non è possibile in alcun modo estrarre dal gioco.

Rimane tuttavia aperto il dibattito sull’argomento e, sulla medesima questione, è possibile leggere l’articolo “Le loot boxes non sono un gioco d’azzardo per le autorità regolatorie, ma l’House of Lords inglese dissente“.


La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Lara Mastrangelo, Filippo Grondona e Andrea Michelangeli.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Noemi Buttazzo.