Innovazione e diritto: le novità della settimana

Innovation Law Insights

Infografica

Nuovi obblighi privacy introdotti dal Garante sui cookie

Questa infografica illustra i cambiamenti più rilevanti sui cookie nel introdotti dalle nuove linee guida del Garante privacy in relazione al trattamento dei dati personali. L’infografica è disponibile qui.

Podcast

Angelo Meregalli, ex Sr. Director di PayPal, sulle opportunità per la digitalizzazione con il PNRR

Angelo Meregalli illustra nell’evento Momentum di DLA Piper il suo punto di vista circa le opportunità per la digitalizzazione derivanti dal recovery plan sviluppato tramite il PNRR dal Governo. Il podcast è disponibile qui.

Privacy

Il Garante privacy sanzione una società di food delivery per algoritmi discriminatori verso i rider

Con un recente provvedimento, il Garante per la protezione dei dati personali ha comminato ad una nota società di food delivery una sanzione di 2,6 milioni di euro, obbligandola anche a modificare il trattamento dei dati dei propri rider, effettuato tramite l’utilizzo di una piattaforma digitale, e a verificare che gli algoritmi di prenotazione e assegnazione degli ordini di cibo e prodotti non producano forme di discriminazione.

La complessa attività istruttoria del Garante, innestata in un primo ciclo ispettivo avete ad oggetto le principali piattaforme di food delivery operanti in Italia, ha evidenziato numerose violazioni dello Statuto dei lavoratori, della normativa applicabile in materia di protezione dei dati personali nonché del quadro normativo a tutela di dei lavoratori della c.d. gig economy (i.e., L. n. 128/2019, di conversione del D.L. n. 101/2019, che ha inserito il capo V-bis rubricato “Tutela del lavoro tramite piattaforme digitali” nel D.Lgs. n. 81/2015, nonché il nuovo periodo nell’art. 2, comma 1, D.Lgs. n. 81/2015, che fa riferimento alle “modalità di esecuzione della prestazione […] organizzate mediante piattaforme anche digitali”).

In seno all’attività istruttoria avente ad oggetto la piattaforma digitale della capogruppo, inoltre, il Garante privacy ha per la prima volta attivato un’operazione coordinata con il Garante spagnolo (AEPD) nell’ambito del meccanismo di cooperazione tra autorità di controllo europee sancito dall’art. 60 del GDPR.

Tra le pratiche in violazione della normativa privacy più gravi riscontrate dal Garante risalta l’implementazione di algoritmi decisionali non chiari e potenzialmente discriminatori per la gestione dei rider. Dall’attività di accertamento è infatti emerso che la società effettua, attraverso il sistema complessivamente utilizzato per l’operatività della piattaforma, trattamenti automatizzati, compresa la profilazione, nell’ambito del c.d. “sistema d’eccellenza” che attribuisce a ciascun rider, attraverso l’operatività di specifici e predeterminati parametri, un punteggio che consente di accedere prioritariamente al “sistema di selezione delle fasce orarie (slots)” stabilite dalla società. Il “sistema di eccellenza” si baserebbe su un sistema che penalizza i rider che non accettano tempestivamente l’ordine o lo rifiutano favorendo invece i rider che accettano nei termini stabiliti o consegnano il maggior numero di ordini (il punteggio prende in considerazione gli ordini effettivamente consegnati, l’effettuazione del check-in all’interno dello slot prenotato pochi minuti dopo l’inizio della fascia oraria, l’accettazione entro 30 secondi dell’ordine assegnato). Il funzionamento dell’algoritmo, tuttavia, amplifica il rischio di bias, errori di calcolo e di effetti distorsivi che potrebbero, ad esempio, portare alla limitazione delle consegne assegnate a ciascun rider o all’esclusione di uno o più lavoratori dalla piattaforma.

Il Garante ha contestato poi alla società di non aver adeguatamente informato i rider circa funzionamento del sistema e di non aver adottato misure tecniche e organizzative a tutela degli interessati volte a verificare periodicamente la correttezza ed accuratezza dei risultati dei sistemi algoritmici, la esattezza, pertinenza ed adeguatezza dei dati utilizzati dal sistema rispetto alle finalità perseguite, e a ridurre al massimo il rischio di effetti distorti o discriminatori, con riferimento al funzionamento della piattaforma digitale, compresi il sistema di punteggio e il sistema di assegnazione degli ordini. In tal senso, il tema della trasparenza algoritmica è stato recentemente affrontato dalla Corte di Cassazione in una pronuncia sulle piattaforme online di rating.

Nelle lettere del provvedimento, considerato che nel caso concreto risulta applicabile l’esenzione di cui all’articolo 22, comma 2, lett a) del GDPR rispetto al diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, tuttavia, non risulta che la società abbia provveduto ad attuare misure appropriate per “tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione”. Diversamente da quanto sostenuto dalla società, a giudizio del Garante non vi è evidenza alcuna della adozione di misure relative all’esercizio dei diritti attraverso l’attivazione di canali dedicati. Né risulta che gli interessati fossero in alcun modo consapevoli della possibilità di esercitare tali diritti nei confronti delle decisioni adottate mediante l’utilizzo della piattaforma.

Il Garante ha pertanto prescritto alla società di individuare misure per tutelare i diritti e le libertà dei rider a fronte di decisioni automatizzate, compresa la profilazione.

Inoltre ha imposto alla società di verificare l’esattezza e la pertinenza dei dati utilizzati dal sistema ed i relativi periodi di conservazione nel rispetto del principio di minimizzazione dei dati (chat, email e telefonate intercorse tra i rider e il customer care, geolocalizzazione ogni 15 secondi e visualizzazione su mappa del percorso, tempi di consegna stimati ed effettivi, dettagli sulla gestione dell’ordine in corso e di quelli già effettuati, feedback di clienti e partner, livello della batteria rimanente del dispositivo etc.).

Infine, il Garante privacy ha concesso alla società 60 giorni di tempo per implementare le misure correttive pertinenti alle criticità rilevate e ulteriori 90 giorni per perfezionare gli interventi richiesti sugli algoritmi reputazionali basati sul feedback di clienti e partner commerciali.

Su un simile argomento può essere interessante l’articolo “Il consenso privacy non è valido se non è possibile comprendere le modalità di trattamento dei dati tramite un algoritmo”.

Trattamento dei dati giudiziari e privacy del dipendente: il Garante apre a tutele maggiori

Il Garante privacy ha espresso parere favorevole sullo schema di regolamento, predisposto dal Ministero della Giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti, con particolare attenzione ai rapporti lavorativi.

La bozza di regolamento recepisce buona parte delle indicazioni fornite dal Garante nel corso di diverse interlocuzioni con il Ministero, rafforzando considerevolmente le tutele previste per gli interessati. In tal senso, il documento definisce un complesso di garanzie minime e coerenti nei principali settori nei quali possono essere trattati dati giudiziari: dall’ambito forense a quello lavoristico, dalla verifica dei requisiti di onorabilità a quella della solidità e affidabilità di soggetti privati, dal settore assicurativo a quello delle professioni intellettuali o della ricerca storica e statistica, oppure nella mediazione e conciliazione delle controversie civili e commerciali nonché nella conduzione di investigazioni private.

Il testo prescrive, inoltre, l’allineamento per tutti i titolari ai principi di proporzionalità e di minimizzazione previsti all’art. 5 del Regolamento (UE) 2016/679 (GDPR). Di conseguenza, il trattamento dei dati giudiziari dovrà sostanziarsi esclusivamente nella misura e per il tempo strettamente necessario rispetto alla finalità perseguita. Chi tratta i dati, dovrà costantemente verificare l’affidabilità delle fonti, adottando specifiche garanzie volte a garantire l’esattezza dei dati trattati, che dovranno essere sempre aggiornati rispetto, tra l’altro, all’evoluzione della posizione giudiziaria dell’interessato.

Al fine di rafforzare ulteriormente le garanzie previste nello schema di regolamento, il Garante ha comunque espresso ulteriori osservazioni. In particolare, ha richiesto che (i) le garanzie introdotte con il decreto siano previste come parametro di riferimento minimo anche per quei trattamenti che vengono svolti in ambito pubblico sulla base di previsioni normative diverse; (ii) sia prestata particolare attenzione ai dati giudiziari raccolti da fonti aperte in caso di trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità nei pagamenti. In tali casi si dovrebbero ammettere, quali legittime fonti di raccolta, solo i siti internet istituzionali, nonché quelli di ordini professionali e di associazioni di categoria. Le fonti qualificate dalle quali i dati sono acquisibili sono limitate alle sentenze definitive – anche rese ai sensi dell'articolo 444 del codice di procedura penale – decreti penali di condanna divenuti irrevocabili, provvedimenti definitivi di applicazione di misure di prevenzione.

Particolare attenzione è, inoltre, rivolta al tema controverso del trattamento dei dati giudiziari nell’ambito lavorativo. In linea con la posizione delle autorità di controllo europee, il Garante Privacy sottolinea la necessità di conformare lo schema di regolamento ai principi di cui all’art. 5 del GDPR. Inoltre, il parere del Garante sottolinea come il consenso dell’interessato non possa essere considerato una base giuridica legittima per il trattamento dei dati giudiziari; questo aspetto vale in particolare nel contesto lavorativo, dove il dipendente si trova in una posizione di vulnerabilità rispetto al datore di lavoro. Una posizione che, come reiterato dalle autorità di controllo europee e dallo stesso European Data Protection Board nelle Linee guida 5/2020, è tale da non garantire una libera espressione della volontà dell’interessato.

Il parere, infine, introduce quale ulteriore garanzia per i trattamenti in ambito lavoristico, lo svolgimento di una valutazione d’impatto sulla protezione dei dati, che individui segnatamente le categorie di personale o le specifiche posizioni per le quali si rende necessario trattare dati giudiziari per finalità di verifica di requisiti soggettivi anche di onorabilità, nel rispetto del principio di proporzionalità. Tale posizione è avvalorata nelle Linee guida a suo tempo adottate dall’allora Gruppo di Lavoro “Articolo 29”, in considerazione del carattere “vulnerabile” dell’interessato-lavoratore (“Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento ‘possa presentare un rischio elevato’ ai sensi del regolamento 2016/679”) e nel provvedimento del Garante n. 467 dell’11 ottobre 2018, relativamente ai trattamenti di dati giudiziari transfrontalieri.

L’Autorità ha poi rilevato l’importanza di disciplinare anche i trattamenti svolti da soggetti no-profit, per finalità di mediazione e conciliazione delle controversie civili e commerciali, nonché quelli per finalità di accesso a sistemi o aree sensibili in determinati ambiti, particolarmente rilevanti nel contesto socio-economico attuale.

Su un simile argomento può essere interessante l’articolo “I margini di legittimità dell’accesso ai dati di traffico telefonico”.

Technology, Media and Telecommunications

Crescono la banda larga e il consumo di dati

L’AGCom ha recentemente pubblicato una sintesi dei dati raccolti nell’Osservatorio delle Comunicazioni per il primo trimestre del 2021 in merito al numero di accessi in postazione fissa e in postazione mobile e all’utilizzo di internet sul territorio nazionale, oltre che all’andamento dei settori televisivo e dell’editoria.

Dai dati indicati nell’Osservatorio delle Comunicazioni emerge che:

  • gli accessi complessivi alla rete fissa hanno registrato un aumento di 450.000 unità su base annua e di 137.000 unità rispetto al trimestre precedente, anche tramite le tecnologie FTTC (+ 7.11 milioni di unità), FTTH (+ 1.65 milioni), FWA (+ 0,70 milioni) – le quali, come noto, consentono prestazioni qualitativamente migliori rispetto a quelle in rame. Infatti, l’incremento delle attivazioni su queste tecnologie si riflette, a sua volta, in un aumento generale delle prestazioni in termini di velocità di connessione: le linee con velocità pari o superiore ai 100 Mbit/s sono passate da marzo 2017 a marzo 2021 dal 5,6% al 55,1% del totale delle linee fisse presenti sul territorio nazionale (quelle in rame sono oggi pari al 33%, mentre nel 2017 ammontavano all’80% delle linee fisse sul territorio nazionale);
  • per quanto riguarda la rete mobile nel primo trimestre del 2021 si è registrato un aumento pari a 1,2 milioni di sim su base annua, principalmente di tipo M2M (Machine To Machine), sebbene le sim “solo voce” e “voce + dati” siano diminuite di 800.000 unità rispetto allo scorso anno. Nello stesso periodo di riferimento, si è riconfermata la crescita dell’utilizzo della banda larga mobile, con un aumento superiore al 40% su base annua del consumo medio unitario di dati; e
  • quanto all’utilizzo di internet, la rete è stata utilizzata da una media di 44 milioni di utenti al giorno, per una media complessiva di 66 ore di navigazione mensile per persona. Le principali piattaforme utilizzate dagli utenti si sono riconfermate essere quelle dei social network.

Su un simile argomento può essere interessante l’articolo “Recovery Plan e osservazioni su banda larga, 5G e monitoraggio satellitare”.

Intellectual Property

Approvato l’emendamento sulle licenze obbligatorie in caso di emergenza sanitaria

La Camera dei Deputati ha recentemente approvato la modifica all'attuale Codice della Proprietà Industriale, come formulata dalla legge di conversione del cd. “Decreto Semplificazioni” (Decreto legge n. 77/2021). In particolare, la Camera ha votato a favore dell'introduzione dell'articolo 70-bis c.p.i., in tema di licenza obbligatoria in caso di emergenza sanitaria nazionale.

La norma prevede sostanzialmente che in caso di dichiarata emergenza sanitaria nazionale possano essere concesse licenze obbligatorie per superare determinate difficoltà di approvvigionamento di farmaci o dispositivi medici essenziali. Nello specifico, tali licenze obbligatorie conferiranno ai licenziatari un diritto non esclusivo e inalienabile di sfruttamento dei brevetti rilevanti ai fini della produzione, principalmente indirizzata al mercato italiano, di detti beni e saranno valide per tutta la durata del periodo di emergenza o fino ad un massimo di dodici mesi dalla fine dello stesso. Inoltre, esse saranno concesse per decreto, il quale dovrà prevedere, a favore del titolare dei diritto di proprietà intellettuale obbligatoriamente concesso, un adeguato indennizzo che deve tenere conto del valore economico dell'autorizzazione. La concessione verrà valutata anche dal Ministro della salute, di concerto con il Ministro dello sviluppo economico, sentito il titolare del diritto e previo parere dell'Agenzia italiana del farmaco (AIFA), in caso di medicinali, o dell'Agenzia nazionale per i servizi sanitari regionali (AGENAS), in caso di dispositivi medici.

Il sistema delle licenze obbligatorie non è nuovo al nostro sistema, essendo regolato già all’art. 70 c.p.i.. Tuttavia, la sostanziale innovazione della nuova disposizione proposta consiste nell’accorciare i tempi di attesa, assicurando che un brevetto su farmaci o dispositivi medici essenziali possa essere concesso in licenza non appena inizi un periodo di emergenza sanitaria.

Il testo dell’articolo è stato dunque modificato e integrato nel corso dell'esame in sede referente, svolto dalle Commissioni riunite I e VIII della Camera. A questo punto, il prossimo passo è quello dell'eventuale approvazione finale da parte del Senato.

Su un simile argomento può essere interessante l’articolo “Le linee guida del Medical Device Coordination Group sui regolamenti relativi ai dispositivi medici”.

Marchio tridimensionale: ammessa la registrazione di un rossetto cilindrico a forma di culla

Il Tribunale dell’Unione Europea ha recentemente ammesso la registrazione del marchio dell’Unione europea tridimensionale di una particolare forma di rossetto.

Il caso in esame risale al 2019, quando la ricorrente depositava una domanda di registrazione di marchio tridimensionale presso l’Ufficio dell’Unione europea per la proprietà intellettuale (EUIPO), relativa a un rossetto di forma allungata, oblunga, conica e cilindrica. Tuttavia, l’EUIPO respingeva tale domanda, ritenendo il marchio privo del carattere distintivo necessario alla luce degli impedimenti assoluti elencati nell’art. 7, paragrafo 1, lettera b) del regolamento (UE) 2017/1001. Tale decisione veniva poi confermata dalla commissione di primo ricorso, secondo la quale il segno non si discostava a sufficienza dalle norme e dagli usi di settore. Successivamente, la ricorrente si rivolgeva al Tribunale che, in occasione della sentenza del 14 luglio 2021 e contrariamente a quanto sostenuto nelle precedenti sedi, affermava la sussistenza del carattere distintivo del marchio tridimensionale in questione.

In particolare, il Tribunale rilevava una divergenza significativa con gli standard e le consuetudini del settore e riteneva che la forma ad oggetto fosse insolita per un rossetto, oltre che ben diversa da quelle già presenti sul mercato, paragonandola a quella dello scafo di una barca o di una culla. Inoltre, poneva attenzione sulla circostanza per cui il rossetto rappresentato non potesse essere posizionato in verticale. Secondo i giudici, questi elementi erano idonei a determinare un aspetto visivo non comune nel settore di riferimento e a determinare altresì la percezione di una forma distante dalla norma e dagli usi ad esso relativi.

A tale conclusione il Tribunale giungeva affermando che il carattere distintivo di un marchio tridimensionale non può essere valutato solo in termini di originalità o considerando il mancato uso nel settore cui appartengono i prodotti e servizi considerati. Infatti, un marchio tridimensionale costituito dalla forma del prodotto deve necessariamente discostarsi in modo significativo dalla norma o dagli usi del settore interessato. Pertanto, la semplice novità di tale forma non è sufficiente per concludere che vi sia carattere distintivo. Tuttavia, la grande varietà di forme che può caratterizzare un dato settore non è parimenti sufficiente per dedurre che ogni nuova forma sia necessariamente percepita come una di esse. Da ultimo, il Tribunale ribadiva che la valutazione dell’aspetto estetico non è una mera valutazione della bellezza e attrattività del prodotto in esame, bensì un’attività utile per determinare se il prodotto sia in grado di generare un effetto visivo oggettivo non comune nella percezione del pubblico di riferimento.

Su un simile argomento può essere interessante l’articolo “Marchi tridimensionali: ulteriori indicazioni da parte della CGUE circa le forme necessarie per il conseguimento di un risultato tecnico”.


La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Benedetta Cordova, Tamara D’Angeli, Filippo Grondona, Lara MastrangeloGiuseppe Modugno, Alessandra Tozzi e Giacomo Vacca.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere l’analisi della bozza di Regolamento europeo sull’intelligenza artificiale curata dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dagli stessi professionisti in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.