25 Novembre - Giornata mondiale contro la violenza sulle donne
Era il 25 novembre 1960 quando le sorelle Mirabal persero la vita a Santo Domingo sotto la dittatura Trujillo. Il ricordo di quel tragico momento venne istituzionalizzato solo a partire dal 1981, quando il 25 novembre fu riconosciuto come data simbolo della lotta alla violenza contro le donne.
Oggi, esattamente 60 anni più tardi, la violenza sulle donne è perpetrata anche mediante l’utilizzo della tecnologia e di strumenti informatici; basti pensare ai dati pubblicati proprio in data odierna dalla Direzione Centrale della Polizia Criminale in base ai quali, solo in Lombardia, nel corso dell’ultimo anno sono stati registrati circa 718 casi di reati di revenge porn.
Il revenge porn è un reato di recente introduzione (Legge 69/2019 – art. 612-ter Codice Penale) che punisce chiunque, avendo ricevuto o comunque acquisito immagini o video a contenuto sessualmente esplicito, destinati a rimanere privati, li diffonde senza il consenso delle persone rappresentate al fine di recare loro nocumento.
Come far fronte a questo genere di condotte?
La risposta non è univoca ma certamente deve esistere alla base la consapevolezza e la conoscenza di due concetti, oggi ancora (purtroppo) sottovalutati, ovvero quello della “privacy” e della “riservatezza”, nonché degli strumenti che la normativa vigente mette a disposizione per proteggere i nostri dati personali da sottrazioni illecite.
Ad esempio, prestiamo sufficiente attenzione quando pubblichiamo immagini online che ci ritraggono o che ritraggono altre persone? E’ di qualche giorno fa l’infografica pubblicata dal Garante Privacy che fornisce al riguardo suggerimenti e consigli utili (disponibile al seguente link).
Abbiamo mai verificato, prima di iniziare una conversazione e/o di entrare in chat con un terzo tramite uno strumento informatico, se il fornitore del servizio di comunicazione abbia adottato idonei protocolli di sicurezza per la nostra conversazione? Per comprendere meglio di cosa si tratta, è possibile consultare la pagina esplicativa messa a disposizione da WhatsApp al seguente link.
E ancora, conosciamo quali sono le applicazioni o i dispositivi – ad esempio presenti presso la nostra abitazione o installati presso i luoghi che frequentiamo (come piscine, palestre, ecc.) - in grado di riprenderci e/o ascoltarci a nostra insaputa? Ed in quest’ultimo caso, sappiamo come esercitare i nostri diritti privacy?
Di fatto il mondo digitale apre nuovi orizzonti anche per quanto concerne la tutela delle donne contro la violenza ed in questo contesto la protezione dei nostri dati personali riveste un ruolo importantissimo.
Eliminare la violenza in tutte le sue forme è l’obiettivo comune; a tal fine consapevolezza e conoscenza sono indispensabili.
Facial Recognition e Mondo Digitale: tecnologia al servizio della praticità?
Quanti di noi sbloccano il proprio smartphone, effettuano un pagamento online, autorizzano il download di un’app e/o accedono ad un portale web semplicemente avvicinando il dispositivo mobile al volto? Con quale facilità “tagghiamo” i nostri amici nelle fotografie che ci ritraggono sui più comuni social network? E ancora: quanti e quali vantaggi è possibile ottenere conoscendo il numero di passanti che si fermano, anche per un istante, ad osservare un cartellone pubblicitario?
I numeri dimostrano che la tecnologia di facial recognition si pone al servizio di un mondo digitale che “corre” sempre più velocemente e ci costringe a rimanere al passo coi tempi. Ma a quale prezzo in termini di protezione dei nostri dati personali?
1. Introduzione
Tra social network, siti di e-commerce, riviste online, home banking e mobile app sono milioni i servizi digitali oggi presenti online di cui possiamo usufruire mediante la creazione di account personali.
Nella creazione dei profili, la tendenza più diffusa, specie tra i più giovani, è quella di affidarsi a password facili e intuitive (come la data di nascita o il nome di battesimo), poco sicure da un punto di vista informatico e spesso identiche per tutti i servizi utilizzati[1].
Per far fronte a queste cattive abitudini - che non fanno altro che alimentare il numero, già peraltro elevato, di data breach – è oggi comunemente utilizzata la tecnologia cd. di “facial recognition” (in italiano, “riconoscimento facciale”): si tratta di un particolare procedimento informatico in grado di associare ai connotati del volto di una persona un’immagine digitale e di memorizzare tale immagine all’interno di un dispositivo elettronico per poi riutilizzarla non solo per finalità di identificazione ma anche di autenticazione, di verifica e/o di profilazione degli individui.
Ma è davvero sempre sicuro affidarsi alla facial recognition? Un sistema biometrico garantisce sempre una sufficiente protezione dei nostri dati personali?
2. I più comuni utilizzi della facial recognition
Come noto, le diverse tecniche biometriche si prestano ad essere utilizzate soprattutto nel contesto informatico (ad esempio, per finalità di autenticazione ad un dispositivo) e la tendenza delle principali società high-tech è quella di investire sempre di più in questo settore.
Tuttavia, la facial recognition è presente anche al di fuori del mondo digitale: si pensi all’uso di sistemi biometrici per il controllo dell’accesso fisico ad aree riservate, per l’apertura di varchi o per l’uso di apparati e macchinari pericolosi.
Ma non solo. Le tecniche di ricoscimento facciale sono in grado di porsi anche al servizio delle pubbliche autorità e persino della ricerca. La polizia di Nuova Delhi ha infatti sperimentato la facial recognition per identificare quasi 3.000 bambini scomparsi; alcuni ricercatori per diagnosticare una rara malattia genetica riscontrata in soggetti di provenienza africana, asiatica e latinoamericana[2].
Di fronte ad un così ampio numero di utilizzi della facial recognition preoccupa che nel nostro Paese non sia ancora stata adottata un’apposita normativa nazionale in materia. Difatti, acconsentire alla rilevazione ed alla raccolta delle caratteristiche del nostro volto da parte di un titolare significa condividere con quest’ultimo un’ampia gamma di dati personali ed esporsi agli utilizzi degli stessi che il titolare decida di farne.
Pensiamo ad un semplice “selfie” con lo smartphone: in questi casi il nostro dispositivo raccoglie la nostra immagine personale e la trattiene in memoria. O al transito davanti a cartelloni pubblicitari che rilevano la nostra presenza, alla misurazione della nostra temperatura corporea mediante termometri video-digitali o ai sistemi di imbarco con video-riconoscimento che si stanno insediando nei più grandi aeroporti del mondo.
3. Un rapido vademecum per il trattamento dei dati biometrici
Le caratteristiche biometriche del volto in grado di consentire l’identificazione univoca di una persona fisica rientrano nella nozione di “dati personali biometrici” prevista dal Regolamento Europeo 679/2016 (“GDPR”)[3]. I dati biometrici infatti sono definiti dal GDPR come dati “ottenuti da un trattamento tecnico specifico e relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca”[4]. Ciò significa che un’immagine / una fotografia non è sempre qualificabile come dato biometrico se non è trattata attraverso un dispositivo tecnico che consente l'identificazione univoca o l'autenticazione di una persona fisica[5].
I dati biometrici inoltre rientrano nelle “categorie particolari di dati personali” ex art. 9 GDPR (richiamate dall’art. 2-septies del D.lgs. 196/2003 – “Codice Privacy”) e possono essere trattati solo laddove il titolare rispetti determinati obblighi di legge. Proviamo ad elencarne alcuni qui di seguito:
A. Il rispetto dei principi essenziali del trattamento. In un mondo sempre più digitale assumono un ruolo predominante i principi di “privacy by design” (protezione dei dati fin dalla progettazione) e “privacy by default” (protezione dei dati per impostazione predefinita) sanciti dall’art. 25 GDPR[6]. Per conformarsi a questi principi, i titolari che utilizzano la facial recognition per il trattamento dei dati personali devono prevedere, fin dalla fase della progettazione e definizione degli strumenti del trattamento, misure di sicurezza adeguate per garantire la tutela dei diritti e delle libertà fondamentali delle persone fisiche ed il rispetto dei principi previsti dall’art. 5 del GDPR.
In particolare, dovrebbe essere posta particolare attenzione al principio di “minimizzazione dei dati” che impone al titolare di configurare un sistema di riconoscimento biometrico in modo da raccogliere e trattare solo un numero circoscritto di informazioni, escludendo l’acquisizione di quei dati ultronei rispetto alla finalità perseguita nel caso concreto (ad esempio, se la finalità del trattamento fosse quella dell’autenticazione informatica, i dati biometrici non dovrebbero essere trattati in modo da poter desumere anche eventuali informazioni di natura sensibile dell’interessato tra cui, ad esempio, malattie della pelle chiaramente visibili).
B. L’informativa privacy. I titolari devono consegnare agli interessati una informativa privacy conforme all’art. 13 del GDPR, che indichi in maniera chiara e trasparente le finalità del trattamento, le misure di sicurezza adottate, l’eventuale centralizzazione dei dati biometrici raccolti, i tempi di conservazione degli stessi. A tal riguardo, è opportuno segnalare che, come chiarito dal Garante Privacy[7], tale informativa deve essere consegnata prima della cd. fase di “enrolment”, ossia prima della creazione di un campione biometrico[8].
C. La base giuridica. Il titolare deve chiedere il preventivo consenso degli interessati al trattamento dei loro dati biometrici, ovvero verificare la possibilità di effettuare il trattamento in presenza di un’altra base giuridica di cui all’art. 9 del GDPR (tra cui, ad esempio, la sussistenza di motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero).
D. La DPIA. Come previsto dall’art. 35 del GDPR e dall’Allegato 1 al Provvedimento n. 467/2018 del Garante Privacy, il titolare deve valutare l’impatto del trattamento dei dati biometrici e nello specifico valutare i rischi che tale trattamento può comportare per i diritti e le libertà delle persone fisiche e, contestualmente, individuare le misure di sicurezza adottate e da adottare per far fronte a tali rischi.
E. La nomina del responsabile. Laddove il titolare si avvalga di un terzo soggetto per il trattamento di dati biometrici, quest’ultimo deve essere nominato “responsabile del trattamento” ai sensi dell’art. 28 del GDPR, previa verifica del possesso, da parte del fornitore, di garanzie idonee per la tutela dei diritti degli interessati i cui dati biometrici sono trattati.
F. L’implementazione di sistemi alternativi. Il titolare del trattamento deve offrire soluzioni alternative che non comportino il trattamento di dati biometrici, senza imporre restrizioni o costi aggiuntivi all’interessato. Tali soluzioni alternative sono necessarie soprattutto per coloro che non sono in grado di rispettare i vincoli imposti da un dispositivo biometrico (si pensi ad un disabile che non è in grado di raggiungere, con il volto, l’altezza di un termoscanner) e nel caso in cui tale dispositivo risulti indisponibile per problemi tecnici (ad esempio, in caso di malfunzionamento).
4. Conclusioni
Le normative applicabili in materia di protezione dei dati personali non sono e non dovrebbero mai essere considerate come un ostacolo allo sviluppo di nuove tecnologie applicate all’industria informatica e digitale. Al contrario, il rispetto della legislazione vigente dovrebbe costituire un incentivo alla creazione di soluzioni pratiche in maniera rispettosa della riservatezza delle nostre informazioni.
E così dovrebbe avvenire anche per la tecnologia di facial recognition, in relazione alla quale è importante diffondere negli utenti consapevolezza in merito alla sicurezza del trattamento dei loro dati personali. Anche perché generare consapevolezza significa ottenere fiducia da parte dei consumatori, che è il primo passo per una corretta strategia di marketing.
Proprio come ha fatto Apple, che con il recente aggiornamento ad “iOS 14” consente ai possessori di un dispositivo mobile di ultima generazione di sapere - tramite indicatori di diversi colori (verde e arancione) che appaiono sulla barra di stato del dispositivo – se un’app installata sta utilizzando la fotocamera e quindi rilevando l’immagine dell’utente.
Dall’altro lato, la protezione dei nostri dati personali non deve mai essere sacrificata. E per fare ciò, ad avviso di chi scrive è fondamentale che il nostro Paese inizi ad adottare normative che disciplinino questa tecnologia. I valori aggiunti che il riconoscimento facciale è in grado di dare alla nostra economia sono infatti sotto gli occhi di tutti già da molto tempo ma se non si agisce a livello normativo nel breve termine il rischio è di trovarsi tra qualche anno di fronte ad uno sviluppo incontrollato (se non abuso) di queste soluzioni tecniche, con la conseguenza di dover impiegare tempo e risorse economiche per risolvere molteplici problemi piuttosto che realizzare nuovi vantaggi.
[1] Lo conferma un interessante (e a tratti preoccupante) studio pubblicato in occasione del “Safer Internet Day”, secondo cui più della metà dei millennial italiani (il 55%) utilizza la stessa password per accedere a servizi differenti e il 19% una password estremamente semplice come una sequenza di numeri.
[2] Degno di nota è anche il nuovo progetto “Telefi” finanziato dalla Commissione Europea e denominato "Verso lo scambio a livello europeo di Immagini del viso" (TELEFI). Si tratta di uno studio in merito ai vantaggi che l’utilizzo del riconoscimento facciale può fornire alle indagini sulla criminalità negli Stati membri dell'UE ed allo scambio dei dati raccolti nell’ambito del sistema “Prüm”, mediante il quale DNA, impronte digitali e dati di immatricolazione dei veicoli sono scambiati tra gli stati UE per combattere la criminalità transfrontaliera, il terrorismo e la migrazione illegale.
[3] Classici esempi di dati biometrici, oltre alle caratteristiche del volto, sono: l’impronta digitale, la dinamica apposizione della firma autografa, la struttura vascolare della retina, la forma dell’iride, le caratteristiche dell’emissione vocale.
[4] Si veda, per maggiori dettagli, il Parere del Gruppo di Lavoro ex art. 29 (oggi sostituito dal Comitato Europeo per la protezione dei dati personali – “European Data Protection Board”) n. 2/2012 - https://www.pdpjournals.com/docs/87997.pdf.
[5] Cfr. Considerando n. 51 al GDPR.
[6] Cfr. “Guidelines 4/2019 on Article 25 Data Protection by Design and by Default” - Version 2.0 Adopted on 20 October 2020.
[7] Cfr. sul punto “Linee Guida in materia di riconoscimento biometrico e firma grafometrica” del Garante Privacy del 12 novembre 2014.
[8] Con il termine “enrolment” si intende il processo attraverso cui un soggetto si accredita al sistema biometrico, attraverso la acquisizione di una sua caratteristica biometrica. Per consentire il riconoscimento biometrico è infatti necessario acquisire la caratteristica biometrica con una procedura che garantisca la correttezza dell’accreditamento nel sistema biometrico (biometric enrolment), il legame con il soggetto che si sottopone all’enrolment e la qualità del campione biometrico risultante. Generalmente, dal campione biometrico facciale tramite algoritmi, talvolta basati sulle c.d. “reti neurali”, vengono estratti un certo numero di tratti, quali la posizione degli occhi, del naso, delle narici, del mento, delle orecchie, al fine di costruire un modello biometrico.
Insight dà il benvenuto a Caterina!
Il nostro team continua a crescere... siamo entusiasti di annunciare che Caterina Bo è entrata a far parte del nostro team come trainee. Si occuperà di proprietà intellettuale e del contenzioso.
Caterina ha partecipato alla 25esima edizione della competizione di arbitrato commerciale internazionale Willem C. Vis International Commercial Arbitration Moot come oralist per gli aspetti sostanziali della controversia ed è ora junior coach della squadra dell’Università degli Studi di Pavia per la preparazione alla fase scritta e orale della competizione.
Caterina è tirocinante presso la Corte d’Appello di Milano, in particolare presso la prima sezione civile (Sezione specializzata in materia d’impresa), dove collabora con il magistrato affidatario nella preparazione delle udienze e nella redazione delle bozze dei provvedimenti.
Per il suo profilo completo clicca qui.
Benvenuta a bordo Caterina!
Segreti commerciali: più efficace la tutela civile o penale?
Attraverso gli artt. 623 c.p. e 98 del d.lgs. 10 febbraio 2005 n. 30, il legislatore ha posto le basi per la tutela del segreto industriale con il preciso scopo di proteggere tutte quelle attività e investimenti che il detentore del segreto mantiene riservate in quanto gli garantiscono un vantaggio competitivo sul mercato.
Bisogna innanzitutto partire dalla nota definizione di “segreto commerciale” offerta dall’art. 98 del Codice di proprietà industriale (di seguito “c.p.i.”) a mente del quale solo le informazioni segrete, aventi valore economico e sottoposte a rigide misure di sicurezza possono essere protette come know-how aziendale.
Non è tuttavia corretto affermare che la tutela civilistica del know how riguardi unicamente le informazioni che dimostrano di possedere le tre caratteristiche poc’anzi citate. Ed infatti, lo stesso art. 99 del c.p.i., facendo salva la disciplina della concorrenza sleale, riconosce l'esistenza di segreti industriali che, pur non rispondendo ai criteri indicati dall'art. 98 c.p.i., sono comunque meritevoli di tutela.
In buona sostanza è comunque consentito ad un imprenditore di tutelarsi attraverso un’azione di concorrenza sleale in caso di sottrazione illecita di dati oggettivamente riservati, per i quali non siano state tuttavia adottate tutte le misure di segretezza. In questo caso però l’imprenditore dovrà vincere un’ulteriore e diversa prova di forza, vale a dire avrà l’onere di dimostrare che le informazioni sottratte erano da ritenersi come oggettivamente confidenziali in ragione del proprio valore intrinseco.
Accanto alla tutela civilistica poc’anzi commentata, l'ordinamento nazionale offre anche una protezione in sede penale, in particolare, mediante l'art. 623 c.p.. Tale norma non definisce esplicitamente cosa debba intendersi per know-how, limitandosi a recitare quanto segue: “segreti commerciali o notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche”. Questa è una prima differenza ravvisabile tra la norma civile e quella penale in esame che riguarda quindi l’oggetto e i presupposti del know-how.
Grazie alla copiosa giurisprudenza penale in tema di know-how, nonché in base a quanto affermato dalla dottrina maggioritaria, è possibile tuttavia affermare che il bene giuridico protetto dall’art. 623 c.p. è rappresentato dall'interesse del detentore del segreto commerciale di evitare divulgazioni di notizie attinenti ai metodi e processi che caratterizzano la struttura industriale di un’azienda.
Dunque, il c.d. know-how – secondo la definizione da tempo affermata dal giudice di legittimità – deve essere inteso quale patrimonio cognitivo e organizzativo necessario per la costruzione, l'esercizio, la manutenzione di un apparato industriale. Tale assunto, affermato recentemente dalla Cassazione Penale nella nota sentenza n. 16975/2020, si riferisce quindi non solo ad un’unica tecnica o una prassi o ad una informazione aziendale, bensì all'intero patrimonio di conoscenze di un'impresa, frutto di esperienze, ricerca e investimenti accumulati negli anni.
Sempre nella sentenza della Corte citata poc’anzi si legge che “dottrina e giurisprudenza concordano nel ritenere che la copertura offerta dall'art. 623 c.p. vada oltre quella predisposta dall'ordinamento civilistico all'invenzione brevettabile, ed infatti il giudice di legittimità ha più volte affermato che, ai fini della tutela penale del segreto industriale, novità (intrinseca od estrinseca) ed originalità non sono requisiti essenziali delle applicazioni industriali, poiché non espressamente richiesti dal disposto legislativo e perché l'interesse alla tutela penale della riservatezza non deve necessariamente desumersi da tali caratteristiche delle notizie protette.
Questo vuol dire che, anche se la sequenza di informazioni, che, nel loro insieme, costituiscono un tutt'uno per la concretizzazione di una fase economica specifica dell'attività dell'azienda, è costituita da singole informazioni di per sé note, ove detta sequenza sia invece non conosciuta e sia considerata segreta in modo fattivo dall'azienda, essa è di per sé degna di protezione e tutela. Non è necessario, cioè, che ogni singolo dato cognitivo che compone la sequenza sia "non conosciuto"; è necessario, invece, che il loro insieme organico sia frutto di un'elaborazione dell'azienda. E' attraverso questo processo, infatti, che l'informazione finale acquisisce un valore economico aggiuntivo rispetto ai singoli elementi che compongono la sequenza cognitiva. E' ciò che accade, appunto, nel caso di una azienda che adotti una complessa strategia per lanciare un prodotto sul mercato: i suoi singoli elementi sono senz'altro noti agli operatori del settore, ma l'insieme può essere stato ideato in modo tale da rappresentare un qualcosa di nuovo e originale, costituendo, in tal modo, un vero e proprio tesoro dal punto di vista concorrenziale per l'ideatore[1]”.
I principi poc’anzi esposti definiscono, con maggior chiarezza, il perimetro della nozione di “segreto commerciale” rilevante in sede penale, prospettandone - condivisibilmente - una lettura estensiva in grado di assicurare una più incisiva tutela del patrimonio conoscitivo ed esperienziale aziendale.
E’ bene chiarire che la condotta sanzionabile ai sensi dell’art 98 c.p.i può comunque integrare la fattispecie di reato prevista e punita dall’art 623 c.p.. Quindi, il soggetto che reputi violato un suo segreto commerciale, ha la possibilità di promuovere sia un’azione civile per il ristoro dei danni patiti dalla violazione ai sensi del disposto dell’art 98 c.p.i, nonché un’azione penale per chiedere la condanna del responsabile. Tuttavia, mentre per quanto concerne l’azione civile il soggetto dovrà provare che il segreto commerciale violato non è noto, ha un valore patrimoniale ed è stato protetto con misure di sicurezza adeguate, nell’azione penale lo stesso soggetto dovrà invece dimostrare la rivelazione e/o l’impiego, per un proprio o altrui profitto, del segreto da parte della persona che era venuta a conoscenza dello stesso in ragione dei propri doveri di ufficio. Si riscontra quindi una seconda differenza tra le due tutele in esame che riguarda in questo caso un diverso regime dell’onere della prova.
Infine, da un punto di vista processuale, va precisato che in ambito civile si può procedere indifferentemente nei confronti della persona fisica che rivela il segreto commerciale e/o nei confronti dell’azienda che se ne avvantaggia, mentre nel procedimento penale si dovrà necessariamente procedere, ai sensi dell’art. 27 Cost., sia nei confronti di chi rivela il segreto che nei confronti di chi detiene la posizione di garanzia all’interno dell’azienda che eventualmente impiega a proprio vantaggio le nozioni che costituiscono il segreto commerciale. Si ravvisa quindi un’ulteriore differenza tra le norme oggetto di analisi, questa volta di natura processuale.
In sintesi, le principali differenze riscontrabili tra la tutela civilistica e quella penale del know-how riguardano:
- l’oggetto e gli elementi costitutivi del know-how;
- un diverso onere della prova del know-how;
- aspetti processuali (quali ad esempio una diversa legittimazione passiva).
[1] Cassazione penale sez. V - 11/02/2020, n. 16975
Insight Studio Legale 법무법인 nella gara d’appalto indetta dall’INAF (Osservatorio Nazionale di Astrofisica)
Insight Studio Legale è felice di aver dato il proprio contributo alla ricerca e alla scienza!
Lo Studio ha infatti assistito KASI (Korea Astronomy and Space Science Institute), Istituto Coreano di ricerca nazionale per l'astronomia sin dal 1974, specializzato nello sviluppo di strutture e strumenti di osservazione di medie e grandi dimensioni.
In particolare, il supporto legale fornito da Insight ha contribuito all’aggiudicazione da parte di KASI dell’appalto per la fornitura in favore dell’INAF di 3 ricevitori a microonde a tre-bande, del valore di quasi 3 milioni di euro, che verranno utilizzati per il potenziamento del Sardinia Radio Telescope per lo studio dell'Universo alle alte frequenze radio.
Per Insight Studio Legale, l’operazione è stata seguita dalla Managing Partner Ju Yeon Park, l’Associate Carmine Perri ed Junior Associate Liam Nowak.
Caso Brompton – la forma del celebre modello di bicicletta pieghevole “Brompton” può essere tutelata dal diritto d’autore?
Introduzione
Lo scorso 11 giugno ha rappresentato una data importante per tutti gli appassionati di diritto d’autore e per gli addetti ai lavori.
In tale data, infatti, la Corte di Giustizia Europea ha emesso una pronuncia di sicuro interesse in merito ad una questione di diritto emersa nell’ambito di un’azione per contraffazione del noto modello di bicicletta promossa dalla Brompton Bicycle Ltd nei confronti della società coreana Chedech/Get2Get dinanzi al Tribunale delle Imprese di Liegi (Belgio).
(1. Modello Brompton) | (2. Chedech/Get2Get) |
Background
La società inglese Brompton Bicycle Ltd aveva provveduto a brevettare, nel lontano 1975, il noto modello di bicicletta pieghevole, proteggendo la peculiare caratteristica che consente al prodotto di poter assumere tre diverse posizioni ossia: (i) posizione piegata, (ii) posizione aperta e (iii) posizione intermedia (che consente alla bicicletta di rimanere in equilibrio sul terreno).
Tuttavia, una volta decorso il termine ventennale e venuto meno il diritto di privativa industriale della Brompton su tale meccanismo di piegatura della bicicletta, altre società, come la Get2Get, iniziarono ad offrire sul mercato prodotti con le medesime caratteristiche. Proprio per tale ragione, quest’ultima veniva convenuta in giudizio dalla Brompton, che denunciava la violazione dei propri diritti d’autore sul prodotto in questione e, di conseguenza, chiedeva al giudice belga di ordinare alla Get2Get il ritiro da tutti i punti vendita del modello di bicicletta da essa commercializzato.
Nella propria memoria difensiva, quest’ultima sottolineava che l’aspetto peculiare del proprio prodotto era imposto dalla soluzione tecnica ricercata, idonea a consentire alla bicicletta in questione di poter assumere le tre posizioni diverse e che, pertanto, un simile aspetto non poteva essere protetto dal diritto d’autore poiché la sua tutela afferiva esclusivamente all’ambito brevettuale.
Al contrario, la ricorrente replicava che le tre posizioni della bicicletta Brompton potevano essere ottenute mediante forme diverse rispetto a quelle individuate per tale bicicletta dal suo creatore e che, quindi, la sua forma era meritevole della tutela del diritto d’autore in virtù di tale caratteristica creativa.
Pertanto, il Tribunale delle imprese di Liegi, una volta rilevato che il diritto belga protegge ai sensi del diritto d’autore qualsiasi creazione che si esprima in una forma particolare e che sia originale, ha adito la Corte di Giustizia Europea per chiedere se tale protezione debba essere esclusa nel caso in cui la forma dell’oggetto sia “necessaria per pervenire ad un risultato tecnico” e quali criteri debbano applicarsi ai fini di tale valutazione.
Inoltre, il giudice belga ha sottoposto alla Corte un ulteriore quesito, domandando se, al fine di valutare la necessità di una forma di ottenere un risultato tecnico, occorra tener conto dei seguenti criteri:
- l’esistenza di altre possibili forme che permettono di pervenire al medesimo risultato;
- l’efficacia della forma per pervenire a detto risultato;
- la volontà dell’asserito contraffattore di pervenire a tale risultato;
- l’esistenza di un brevetto anteriore, in seguito estinto, sul procedimento che permette di pervenire al risultato tecnico perseguito.
Analisi della sentenza
La Corte di Giustizia, investita dal giudice belga, è giunta ad una decisione storica stabilendo che la forma di un prodotto può essere tutelata, ai sensi del diritto d’autore, anche nel caso in cui questa sia parzialmente necessaria ad ottenere un risultato tecnico.
In particolare, la Corte è partita dalla nozione di opera, ai sensi degli artt. 2 e 5 della direttiva 2001/29, per rilevare che la stessa è costituita necessariamente da due elementi:
- l’originalità, la quale implica che l’opera sia una creazione intellettuale propria del suo autore, e
- l’estrinsecazione di tale espressione libera e creativa dell’autore dell’opera in una realtà fattuale.
Con riferimento al primo elemento, la Corte di Giustizia ha ritenuto che un’opera può essere considerata originale anche nei casi in cui la sua creazione sia stata dettata da valutazioni tecniche, in tutti quei casi in cui essa rifletta la personalità del suo autore, manifestando le scelte libere e creative di quest’ultimo.
Viceversa, è stato tuttavia precisato che, ai sensi di una giurisprudenza costante in seno alla Corte, in tutti quei casi in cui la realizzazione di un’opera sia stata determinata esclusivamente da considerazioni di carattere tecnico, da regole o altri vincoli che non lasciano margine alla libertà creativa, questa non potrà assurgere al rango di opera e godere, quindi, della protezione conferita dal diritto d’autore (v. in tal senso Cofemel – Sociedade de Vestuário SA v. G-Star Raw CV, C‑683/17[1]).
Nel pervenire a dette considerazioni la Corte ha ritenuto di non condividere, innanzitutto, la teoria della molteplicità delle forme, osservando che, ai fini dell’attestazione dell’originalità dell’opera, non può costituire un elemento dirimente la considerazione che il medesimo risultato tecnico possa essere raggiunto anche attraverso forme diverse del prodotto.
Per quanto concerne il secondo elemento, la Corte ha inoltre precisato che la nozione di “opera”, di cui alla direttiva 2001/29, implica necessariamente l’esistenza di un oggetto identificabile con sufficiente precisione e oggettività (v. ut supra Cofemel).
Ne consegue che un oggetto che soddisfa il requisito dell’originalità potrà beneficiare della protezione, ai sensi del diritto d’autore, anche qualora la sua realizzazione sia stata determinata da considerazioni tecniche purché una simile determinazione non abbia impedito all’autore di riflettere la sua personalità in tale oggetto, manifestando scelte libere e creative.
A tal proposito, come stabilito anche dall’art. 2 del Trattato OMPI sul diritto d’autore, il criterio dell’originalità non potrà essere soddisfatto dalle componenti di un oggetto che siano unicamente caratterizzate dalla loro funzione tecnica, poiché altrimenti si consentirebbe di monopolizzare le idee a discapito del progresso tecnico e dello sviluppo industriale.
Nel caso di specie, viene sottolineato che, nonostante la particolare forma della bicicletta sia necessaria ad ottenere uno specifico risultato tecnico, vale a dire l’idoneità di tale prodotto ad assumere le suddette tre posizioni, la Corte tuttavia non esclude aprioristicamente che la peculiarità data dal meccanismo di piegatura della stessa possa assurgere a caratteristica creativa dell’autore.
Dunque, con la sentenza dello scorso giugno viene stabilito che spetterà al giudice del rinvio valutare se la bicicletta in questione costituisca un’opera originale risultante da una libera creazione intellettuale.
In tale contesto (e considerato che dovrà essere valutata solo l’originalità del prodotto in esame), l’esistenza di altre forme possibili che consentono di giungere allo stesso risultato tecnico non sarà considerata determinante al fine di valutare i fattori che hanno guidato la scelta effettuata dal creatore.
Analogamente, la volontà del presunto contraffattore non verrà ad assumere alcuna rilevanza nell’ambito di una simile valutazione, mentre l’esistenza di brevetti precedenti sull’opera dovrà essere considerata come meramente indicativa e non determinante ai fini della ascrivibilità della stessa all’alveo della tutela del diritto d’autore.
Conclusioni
La sentenza in esame ha avuto, senz’altro, il merito di applicare correttamente alcuni principi cardine della disciplina europea del diritto d’autore, derivanti dalla tradizione di common law, ovvero quelli della dicotomia tra idea ed espressione, dell’originalità e della “merger doctrine”, con riferimento all’assunto che alcune idee possono essere espresse in modo comprensibile solo in uno o in un numero limitato di modi.
Permangono tuttavia delle criticità relative, innanzitutto, al mancato riferimento alla rilevanza delle intenzioni del creatore dell’opera nell’ambito della sua creazione, considerato che, nelle sue conclusioni presentate all’udienza del 6 febbraio 2020, l’Avvocato generale ne aveva sottolineato l’importanza ai fini dell’identificazione del carattere della creatività e dell’originalità dell’opera e che, il mancato riferimento a tale aspetto, contraddirebbe quanto già sancito nella pronuncia C‑310/17 ( i.e. Levola Hengelo BV v. Smilde Foods BV[2]).
Un’ulteriore criticità della sentenza in esame è rappresentata dalla mancata individuazione di una lista esaustiva dei fattori che possono fornire un parametro nell’ambito della valutazione dell’originalità dell’opera in quest’ordine di casi (come in Doceram[3]). Conseguentemente, tale valutazione verrà rimessa, caso per caso, ai giudici nazionali degli Stati membri e, pertanto, ne potrebbe derivare una disomogeneità di applicazione.
Non è da escludere che il giudice belga cui spetta adesso emettere una decisione, alla luce della pronuncia della Corte di Giustizia, riconosca la creatività e l’originalità della bicicletta Brompton e del meccanismo di piegatura della stessa, considerato che, in alcune recenti pronunce intervenute in Francia su aspetti analoghi a quelli presi in considerazione dalla Corte nel caso in esame, i diritti di privativa di diversa natura (e.g. sul brevetto e sul design) sono stati entrambi riconosciuti al titolare poiché non esattamente insistenti sugli stessi aspetti del prodotto.
Vale la pena di sottolineare infine che, anche in Italia, è stata recentemente riconosciuta la tutela del diritto d'autore sulla forma di un'auto[4] e di una moto[5], nonché sulla forma degli stivali da doposcì[6].
Non ci rimane, pertanto, che attendere la pronuncia del Tribunale delle Imprese di Liegi, consapevoli che la rilevanza della sentenza in esame della Corte di Giustizia Europea avrà un effetto tale da determinare in ogni caso un effetto evolutivo del diritto d’autore in ambito europeo.
______
[1] http://curia.europa.eu/juris/liste.jsf?num=C-683/17&language=IT.
[2] http://curia.europa.eu/juris/document/document.jsf?text=&docid=207682&&doclang=EN&.
[3] Court of Justice 8 March 2018 (Second Chamber), Case C-395/16, Doceram GmbH v CeramTec GmbH ECLI:EU:C:2018:172.
[4] Bologna Tribunal 20 June 2019 (order), Ferrari s.p.a. v Design Modena s.r.l., available at https://iusletter.com/wp- content/uploads/Ferrari-250-GTO_prima-automobile-nella-Storia-a-vedersi-garantita-la-tutela-autorale_Tribunale-di- Bologna-ordinanza-del-20-giugno-2019.pdf.
[5] App. Torino 12 dicembre 2018, Zhejiang Zhongneng Industry Group and Taizhou Zhongneng Import and Export Co. v Piaggio s.p.a., Torino Tribunal 6 April 2017, Zhejiang Zhongneng Industry Group and Taizhou Zhongneng Import and Export Co. v Piaggio s.p.a., in Giur. ann. dir. ind. 6528. The matter has been dealt with, from a different angle (a challenge to the validity of the later Community design based on prior Italian designs and trade marks, as well as copyright), by EU General Court 24 September 2019 (Sixth Chamber), Case T-219/18, Piaggio & C. s.p.a. c. EUIPO e Zhejiang Zhongneng Industry Group Co. Ltd..
[6] Milano Tribunal 12 July 2016, Tecnica Group s.p.a. v Gruppo Anniel s.n.c. di Simeoni Anna & C. and Gruppo Coin.
I segreti commerciali: convergenza fra Europa e Stati Uniti a seguito dei recenti interventi normativi
- Introduzione
In Italia sino all’anno 2018 si parlava di “informazioni riservate” per identificare quella serie di nozioni e informazioni custodite segretamente dall’azienda proprietaria in virtù del loro intrinseco valore economico. Successivamente è intervenuto il Decreto Legislativo 11 maggio 2018, n. 63 che, tra le altre cose, ha modificato l’art. 98 del Codice di proprietà industriale (di seguito “c.p.i.”) sostituendo tale espressione con quella già citata di “segreto commerciale” attualmente in vigore.
La riforma del c.p.i. è stata necessaria per effetto del recepimento nel nostro Paese della Direttiva (UE) 2016/943 del Parlamento Europeo e del Consiglio dell’8 giugno 2016 sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’illecita acquisizione, utilizzo e divulgazione degli stessi.
Il tema dei segreti commerciali è altamente rilevante per numerosissime realtà imprenditoriali che in alcuni casi fondano interamente il proprio successo commerciale su tali asset intellettuali. Si pensi ad esempio alla Coca Cola, un prodotto che ha riscosso un grande successo anche grazie alla strategia messa in atto dalla proprietaria della relativa ricetta – la società statunitense The Coca Cola Company – che ha scelto di mantenere segreta la formula di tale bevanda creata dal farmacista John Pemberton nel lontano 1886 (fatti salvi ovviamente gli innumerevoli tentativi di reverse engineering susseguitisi negli ultimi 134 anni). La ricetta della Coca Cola è certamente qualificabile come “segreto commerciale” e viene spesso citata dagli esperti del settore quale esempio virtuoso di know how aziendale.
In tal senso la direttiva europea assume fondamentale importanza nel panorama europeo dei diritti di proprietà industriale poiché mira ad armonizzare le disparate leggi sui segreti commerciali vigenti nei vari Stati Membri dell’Unione Europea.
Contemporaneamente è entrata in vigore negli Stati Uniti d’America il Defend Trade Secrets Act, firmato dall’allora Presidente Barack Obama in data 11 maggio 2016. L’atto legislativo americano si propone in particolare di rafforzare la tutela dei segreti commerciali sul piano federale, posto che la maggior parte dei singoli stati federati americani già aveva recepito le norme contenute nel Uniform Trade Secrets Act del 1979 (i.e. un modello di atto legislativo che ha sostanzialmente codificato i principi della common law statunitense in materia di segreti commerciali).
Fra la citata direttiva europea e l’impianto normativo statunitense vi sono una serie di analogie – sinteticamente descritte qui di seguito – che consentono di affermare che vi è stato un sostanziale allineamento fra Europa e Stati Uniti sul tema dei segreti commerciali.
- Similitudini e analogie fra i due sistemi normativi
Consideriamo in primo luogo la definizione di “segreto commerciale” secondo la direttiva europea e la legge statunitense:
Articolo 2 della direttiva (UE) 2016/943 “Ai fini della presente direttiva si intende per: 1) “segreto commerciale”, informazioni che soddisfano tutti i seguenti requisiti: a) sono segrete nel senso che non sono, nel loro insieme o nella precisa configurazione e combinazione dei loro elementi, generalmente note o facilmente accessibili a persone che normalmente si occupano del tipo di informazioni in questione; b) hanno valore commerciale in quanto segrete; c) sono state sottoposte a misure ragionevoli, secondo le circostanze, da parte della persone al cui legittimo controllo sono soggette, a mantenerle segrete”.
|
Defend Trade Secrets Act (18 U.S. Code § 1839) “The term “trade secret” means all forms and types of financial, business, scientific, technical, economic, or engineering information … whether tangible or intangible, and whether or how stored, compiled, or memorialized physically, electronically, graphically, photographically, or in writing if: (A) the owner thereof has taken reasonable measures to keep such information secret; and (B) the information derives independent economic value, actual or potential, from not being generally known to, and not being readily ascertainable through proper means by, another person who can obtain economic value from the disclosure or use of the information”.
|
Come si può agevolmente apprezzare, entrambe le definizioni sopra riportate individuano i medesimi elementi costitutivi di un segreto commerciale. In particolare, sia la definizione europea sia quella statunitense stabiliscono che un segreto commerciale ha ad oggetto informazioni (ivi compresi dati, documenti, ecc.) che rispettano i seguenti i requisiti:
- segretezza, atteso che le informazioni in questione non devono essere ordinariamente trattate da soggetti che operano nel settore di riferimento;
- valore economico, posto che le informazioni devono essere suscettibili di quantificazione economica (vale a dire che l’azienda titolare abbia investito significative risorse economiche in tali informazioni);
- assoggettamento a misure di protezione, poiché senza tali misure la segretezza delle informazioni verrebbe meno.
Non bisogna tuttavia ignorare talune differenze riscontrabili fra le definizioni poc’anzi citate.
Ad esempio, in relazione al requisito della segretezza (punto 1 di cui sopra), la direttiva europea prevede che le informazioni in questione non siano “note o facilmente accessibili a persone che normalmente si occupano del tipo di informazioni in questione”, laddove invece la norma statunitense prevede che le informazioni non siano conosciute ovvero conoscibili “by, another person who can obtain economic value from the disclosure or use of the information”.
Sul punto il Transatlantic Business Council[1] (in un report consultabile cliccando qui) ha concluso affermando che tale differenza è priva di conseguenze sul piano pratico atteso che la figura presa in esame dalle rispettive norme sarebbe sostanzialmente analoga ed infatti: “A person who can obtain economic value from the information’s disclosure or use (US-DTSA) generally also will be a person within the circles that normally deal with the kind of information in question (EU-TSD), and vice versa” (cfr. pag. 5).
Simili considerazioni possono a nostro avviso essere spese anche con riguardo alle ulteriori minime differenze[2] riscontrabili nelle definizioni a raffronto che – malgrado utilizzino a volte termini apparentemente differenti – condividono il medesimo significato di nozione di “segreto commerciale”.
Oltre alle definizioni di cui sopra, tra i due sistemi normativi in questione vi sono ulteriori punti di convergenza, come ha avuto di evidenziare anche la Camera di Commercio Internazionale in un suo report sul tema (reperibile cliccando qui), ed in particolare a titolo esemplificativo e non esaustivo:
- “acquisizione, utilizzo e divulgazione illeciti” di segreti commerciali nel diritto europeo (articolo 4 della citata direttiva) sono categorie giuridiche altresì presenti nel diritto statunitense (18 U.S.C. § 1839, co. 5);
- entrambi i sistemi normativi tutelano il reverse engineering e l’independent discovery (cfr. direttiva europea, art. 3, e 18 U.S.C. § 1839, comma 5);
- in merito alle attività di cd. “whistleblowing” (i.e. segnalazioni anonime aventi ad oggetto condotte illecite) sia la direttiva europea (art. 5, lett. b)) sia la legge statunitense (18 U.S.C. § 1833, comma 2) chiariscono che non commette un illecito chi rivela un segreto commerciale qualora ciò sia necessario per segnalare alle autorità una condotta scorretta da parte del titolare del segreto commerciale;
- entrambi i sistemi normativi configurano in capo al giudice il potere cautelare di inibire l’abusiva diffusione di segreti commerciali (si vedano in particolare gli artt. 10, co. I e 12, co. I della direttiva europea, nonché 18 U.S.C. §1836 (b)(3)(A)(ii) negli Stati Uniti) e di sequestrare beni prodotti in violazione di tali segreti (cfr. art. 10, co. I della direttiva europea, e 18 U.S.C. § 1836 (b)(2)).
Va nondimeno ribadito che sussistono alcune differenze fra il sistema normativo europeo e statunitense in tema di know how; si pensi ad esempio alla natura giuridica del segreto commerciale, trattato come un vero e proprio diritto di proprietà industriale nella legge statunitense ma non in quella europea (come peraltro confermato anche dalla Commissione Europea che continua ad affermare “trade secrets are not a form of exclusive intellectual property right”)[3].
Tuttavia, come detto, tali differenze non sembrano in grado di tracciare un significativo solco fra la disciplina europea e statunitense in tema di protezione dei segreti commerciali.
- Conclusioni e rilevanza (opportunità?) per l’Italia
Sulla base delle considerazioni svolte sopra è a nostro avviso ragionevole affermare che sussiste un sostanziale allineamento in tema di segreti commerciali fra l’impianto normativo dell’Unione Europea, codificato nella Direttiva (UE) 2016/943, e quello degli Stati Uniti d’America così come risulta dagli atti legislativi (in particolare il Defend Trade Secrets Act del 2016).
Questo allineamento – che rientra in un più ampio progetto di armonizzazione delle norme di proprietà intellettuale – si propone evidentemente di incoraggiare l’investitore straniero (nella specie statunitense) a collaborare con aziende europee, potendo egli operare nella ragionevole certezza di ottenere dal sistema normativo europeo una tutela dei suoi segreti commerciali analoga a quella offerta dal sistema statunitense che già conosce. E viceversa lo stesso dicasi per l’investitore europeo orientato verso il mercato USA.
Tutto questo può rappresentare di certo un’opportunità per l’Italia che è notoriamente una grande potenza europea manifatturiera, nonché un paese culturalmente più di altri orientato alla creatività e sperimentazione (cioè l’essenza della ricerca e dello sviluppo e dove quindi i segreti commerciali hanno una certa rilevanza) sia in campo artistico che scientifico.
Se dunque l’Italia saprà nel tempo valorizzare il proprio patrimonio intellettuale ed il proprio know how, riteniamo che sarà fra i Paesi europei che più di altri potrà beneficiare di questo allineamento fra le leggi europee e statunitensi relative ai segreti commerciali, incrementando sempre più le sue relazioni con partner commerciali d’oltreoceano.
In caso contrario, ci troveremo di fronte all’ennesima opportunità sprecata.
__________
[1] Il Transatlantic Business Council è un’associazione impegnata nella promozione di una maggiore integrazione economica e di un rafforzamento dei legami politici fra Europa e Stati Uniti.
[2] Altre differenze individuabili secondo il Transatlantic Business Council nelle definizioni in questione: a) l’Act statunitense precisa che le informazioni sono segrete in quanto non accessibili “through proper means”, mentre la direttiva europea non include questa formulazione nella sua definizione preferendo invece definire separatamente (all’art. 3 della stessa direttiva) l’acquisizione lecita di un segreto commerciale; b) la direttiva europea tutela i segreti commerciali anche “nella precisa configurazione e combinazione dei loro elementi”, con ciò lasciando intendere che il complesso di informazioni è protetto anche qualora le singole componenti non siano segrete; tale formulazione è assente nella specifica definizione del Defend Trade Secrets Act, tuttavia, la tutela delle combinazioni di informazioni è consolidata nella common law statunitense.
[3] Per ulteriormente riferimenti si veda il sito della Commissione Europea cliccando qui.
Contact tracing e COVID-19: il GDPR come punto di equilibrio tra tutela della salute e privacy
L’utilizzo di una tecnologia di contact tracing si rivela necessario ed essenziale per far fronte all’emergenza Covid-19 e tutelare la salute pubblica del nostro paese. Tuttavia, la mappatura degli spostamenti delle persone può comportare serie conseguenze in tema di protezione della nostra riservatezza. Come trovare quindi il giusto bilanciamento tra i due diritti fondamentali della salute e della privacy di ciascun individuo?
“Contact tracing” (in italiano, “tracciamento dei contatti”) è l’espressione del momento. Si tratta di un sistema di tracciamento digitale dei contatti delle persone fisiche che rappresenta un’importante misura tecnologica di contenimento e prevenzione della diffusione del virus Covid-19 nel nostro Paese (e altrove).
Tale sistema di tracciamento verrebbe attuato mediante l’applicazione denominata “Immuni”, progettata e sviluppata dalla software house milanese Bending Spoons che sarà lanciata in Italia (probabilmente) entro la fine del mese di maggio 2020 .
Il tracciamento dei contatti di singoli individui ed il conseguente utilizzo dei dati personali comuni e sensibili (tra cui i dati relativi alla salute) per finalità connesse alla tutela della salute pubblica comporta però ripercussioni sulla loro riservatezza.
Se da un lato, infatti, la tutela della salute è un diritto costituzionalmente garantito - “salute” intesa come fondamentale diritto dell’individuo e interesse della collettività ai sensi dell’art. 32 della Costituzione - dall’altro, la protezione dei dati personali (o riservatezza) è un diritto fondamentale espressamente previsto dalla Carta di Nizza e riconosciuto dalla nostra Costituzione.
Occorre inoltre domandarsi quali possano essere i risvolti pratici derivanti dall’utilizzo di una tecnologia di contact tracing sulla nostra vita quotidiana; come sia stato disciplinato, a livello normativo, il rapporto tra il diritto alla salute e quello alla protezione dei dati personali; e ancora se sia possibile confidare nell’utilizzo di questo nuovo strumento senza temere una violazione della nostra privacy.
1. Che cos’è “Immuni” e come funziona
Immuni è un’applicazione che può essere scaricata su ogni dispositivo di telefonia mobile e che genera - rispetto a ciascun dispositivo - un codice identificativo (ID) temporaneo, anonimo e variabile che interagisce, tramite la tecnologia “Bluetooth Low Energy”, con gli altri dispositivi mobili che si trovano nelle sue vicinanze, raccogliendo e memorizzando il codice ID ed i metadati di tali dispositivi (ad esempio, la durata dell’incontro con l’altro dispositivo, i metri di distanza, ecc.). Il titolare del trattamento dei dati raccolti dall’app Immuni è il Ministero della Salute.
Immuni verifica inoltre se tra i codici ID presenti nelle vicinanze vi siano anche i cd. “ID positivi”, ossia codici associati a dispositivi mobili di proprietà di soggetti già contagiati (o meglio, il cui contagio sia già stato accertato da una struttura sanitaria); per compiere questa operazione, Immuni scarica da un server a gestione pubblica gli ID positivi secondo intervalli di tempo regolari e li incrocia con l’ID del dispositivo su cui è installata. Successivamente, Immuni elabora i metadati raccolti tramite un apposito algoritmo e stabilisce se vi sia un “potenziale rischio di contagio” (più o meno elevato) da Covid-19.
Se la verifica dà esito positivo e Immuni ritiene che sussista un ragionevole rischio di contagio, l’utente riceve una notifica sul proprio dispositivo che lo informa di essere entrato in contatto con un soggetto contagiato e lo invita a seguire determinate istruzioni (tra cui, ad esempio, l’isolamento spontaneo domiciliare e/o l’effettuazione di approfondimenti diagnostici).
Facciamo un esempio pratico: Carlo e Giulia si incontrano per qualche minuto a breve distanza tra loro; hanno entrambi scaricato l’app Immuni e i loro dispositivi mobili catturano a vicenda l’ID dell’altro. Dopo qualche giorno, Carlo scopre di avere contratto il Coronavirus e decide spontaneamente (ricordiamo infatti che non v’è alcun obbligo in questo senso) di comunicare tale dato sensibile all’app Immuni. Nel frattempo, l’app installata sullo smartphone di Giulia esamina gli ID che ha raccolto e che ha conservato in memoria e li incrocia con quelli scaricati dal server pubblico, rilevando la presenza dell’ID di Carlo. A questo punto Giulia riceve una notifica dalla sua app Immuni che la avvisa di essere entrata in contatto con una persona risultata positiva al Coronavirus (senza indicare di chi si tratti) e la invita ad adottare determinati accorgimenti.
2. I pareri del Comitato europeo per la protezione dei dati e del Garante Privacy
Il Comitato europeo per la protezione dei dati (cfr. “Linee Guida 04/2020 sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19”) e il Garante Privacy italiano (cfr. “Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19”) hanno già avuto modo di esprimere il loro parere in merito all’utilizzo di strumenti di geo-localizzazione delle persone fisiche e di tracciamento dei contatti nel contesto dell’emergenza Covid-19 e hanno individuato quali accorgimenti andrebbero adottati al fine di garantire che i dati personali degli interessati siano trattati senza pregiudizio per i loro diritti e libertà fondamentali.
Nel merito, secondo il Garante Privacy il tracciamento dei contatti mediante l’utilizzo dell’applicazione Immuni, oltre ad allinearsi ai criteri individuati dal Comitato europeo, non appare in contrasto con i principi di protezione dei dati personali in quanto:
a) è disciplinato da una norma di legge che descrive in maniera sufficientemente dettagliata il trattamento dei dati, la tipologia di dati raccolti, le garanzie accordate agli interessati, la temporaneità della misura (il riferimento è all’art. 6 del D.L. 30 aprile 2020, n. 28);
b) si fonda sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, eventuali disparità di trattamento per coloro che decidano di non acconsentire al tracciamento;
c) è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente precisione ed esclude il trattamento secondario dei dati raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal GDPR) di utilizzo degli stessi, in forma anonima o aggregata, per fini statistici o di ricerca scientifica;
d) appare conforme ai principi di minimizzazione e ai criteri di privacy by design e by default (quindi ai principi di “protezione dei dati fin dalla progettazione” e “protezione dei dati per impostazione predefinita” di cui all’art. 25 del GDPR), nella misura in cui prevede la raccolta dei soli dati relativi alla prossimità o vicinanza tra dispositivi, il loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso a dati di geo-localizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine.
A tal riguardo, è opportuno ricordare che, ai sensi dell’art. 6 del D.L. 28/2020, l'utilizzo di Immuni ed ogni connesso trattamento di dati personali dovranno terminare alla cessazione dello stato di emergenza e comunque non oltre il 31 dicembre 2020, con cancellazione o definitiva anonimizzazione di tutti i dati personali trattati;
e) si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione, in quanto gli utenti ricevono, prima dell'attivazione dell'app, un’informativa privacy ai sensi del GDPR.
Il Garante Privacy condivide e appoggia quindi l’utilizzo di Immuni ma mantenendo sempre un occhio di riguardo verso gli interessati: all’interno del proprio parere infatti l’Autorità precisa che, da un lato, potranno essere meglio individuate le caratteristiche del trattamento dei dati effettuato da Immuni e, dall’altro, adottate misure e accorgimenti adeguati a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati (conformemente all’art. 2-quinquiesdecies del Codice Privacy e all’art. 36, comma 5, del GDPR).
3. Il GDPR come punto di equilibrio tra tutela della salute e protezione dei dati personali
È opinione purtroppo largamente diffusa, soprattutto tra i non esperti in materia, che la normativa privacy rappresenti sovente una mera “complicazione burocratica” che funge da ostacolo al perseguimento di tutti gli obiettivi che implicano un trattamento di dati personali.
Si tratta di un’opinione errata e fuorviante, spesso generata da una mancata conoscenza del diritto, oltre che pericolosa per le conseguenze cui la stessa potrebbe condurre - si pensi, nella fattispecie, alla remota possibilità di rinunciare in toto all’utilizzo di un sistema di contact tracing valido ed efficace per fronteggiare l’emergenza sanitaria da Covid-19 poiché asseritamente “incompatibile” con il diritto alla protezione dei dati personali.
Chi scrive è convinto che lo scenario attuale rappresenti il contesto ideale per dimostrare che, al contrario, la normativa privacy può (e deve) essere invece il “punto di equilibrio” per raggiungere anche gli obiettivi più ambiziosi - tra cui certamente la tutela della salute pubblica - senza rinunciare alla privacy.
Si ricordi innanzitutto che sul tema il Comitato europeo per la protezione dei dati ha avuto modo di chiarire che “i dati e le tecnologie utilizzati per contribuire alla lotta al COVID-19 devono servire a dare maggiori strumenti alle persone, piuttosto che a controllarle, stigmatizzarle o reprimerne i comportamenti”.
Da un attento esame del testo del Regolamento n. 679/2016 (cd. “GDPR”) si comprende inoltre che, con riferimento alle situazioni di emergenza sanitaria, il legislatore europeo non pone alcun ostacolo al perseguimento di interessi rilevanti nel settore della sanità pubblica (si vedano il considerando 52 e 54 e l’art. 9, comma 1, lett. g e i) - tra cui rientrano anche “il controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute” - mediante il trattamento di dati personali.
Sulla stessa scorta, anche il Codice Privacy italiano - come da ultimo aggiornato dal D. Lgs. n. 101/2018 - richiama quanto previsto dal GDPR ed anzi considera come espressamente “rilevante” l'interesse di coloro che trattano dati personali per lo svolgimento di compiti di interesse pubblico (o connessi all'esercizio di pubblici poteri) in ambito sanitario e per la salvaguardia della sicurezza e salute della popolazione.
Si può quindi riaffermare che le norme in materia di protezione dei dati personali favoriscono l’adozione di misure e soluzioni volte ad arginare la diffusione del virus Covid-19, senza tuttavia rinunciare alla tutela della riservatezza degli individui.
Soluzioni che tuttavia - ed ecco il “punto di equilibrio” - devono sempre trovare il proprio fondamento e la propria regolamentazione in norme di legge che prevedano espressamente misure appropriate e specifiche per tutelare i diritti fondamentali e le libertà degli interessati, e ciò anche in relazione alle tipologie di dati che possono essere trattati, le operazioni di trattamento eseguibili e il motivo di interesse pubblico rilevante (cfr. art. 9, comma 1, lett. i del GDPR e art. 2-sexies del Codice Privacy).
4. Conclusioni e riflessioni
Possiamo quindi “fidarci” di Immuni? La risposta deve essere affermativa.
Come detto, l’utilizzo di tale applicazione è rimesso alla coscienza di ciascuno di noi, posto che il principio cardine cui tale app si ispira è il principio di volontarietà: ciascun utente, in altre parole, sarà libero di scaricarla, di inserire nell’app i propri dati personali, anche relativi allo stato di salute (i.e. la positività al Covid-19) e di seguire o meno le istruzioni ricevute dall’app a seguito di un potenziale contatto con una persona contagiata.
Gli esperti ci informano però che almeno il 70% della popolazione dovrebbe scaricarla affinché la stessa possa contribuire ad un significativo contenimento della pandemia. È un obiettivo certamente ambizioso, che per essere raggiunto necessita innanzitutto di una campagna di sensibilizzazione della popolazione volta a rendere facilmente comprensibile, soprattutto ai non esperti della materia, quali siano le garanzie individuate dal Governo a tutela della nostra privacy.
Riassumendo, le garanzie che Immuni pone a protezione dei nostri dati personali e che ognuno ha il dovere di conoscere sono: la trasparenza nei confronti degli interessati (sapremo quindi prima di registrarci all’app, ad esempio, per quali finalità saranno trattati, per quanto tempo e a chi saranno comunicati i nostri dati personali), l’esclusività dello scopo del trattamento (i nostri dati saranno utilizzati solo per il contenimento dei contagi, escludendo altri diversi fini) e la minimizzazione del trattamento (saranno raccolti solo i dati necessari per poter tracciare i nostri contatti e saranno adottate tecniche di anonimizzazione e pseudonimizzazione affidabili).
Ma non solo. Diffondere una corretta conoscenza delle norme in materia di protezione dei dati personali, il loro reale significato, la loro funzione e il loro valore si rivela, in realtà, ancora più importante, se non indispensabile ed essenziale, per contribuire ad una diffusa “cultura giuridica” e per perseguire un ambizioso obiettivo cui tutti noi siamo chiamati in questo delicato periodo storico.
Lo ha ribadito espressamente la presidente del Comitato europeo per la protezione dei dati, Andrea Jelinek, alla Commissione Europea affermando: “l’adozione volontaria di un sistema di contact tracing va di pari passo con la fiducia individuale, e ciò sottolinea ulteriormente l’importanza dei principi di protezione dei dati”.
Consapevolezza e fiducia. E viceversa.
Copyright and videogames: Insight tiene una lezione su diritto d’autore e videogiochi all’Università Bocconi di Milano
Il team di Digital Entertainment di Insight ha tenuto una guest lecture all'Università Bocconi per gli studenti del corso di laurea magistrale in giurisprudenza, nell’ambito del modulo “European and International Intellectual Property Law”. Lo studio ha affrontato in particolare i temi dell’inquadramento del videogioco come opera protetta dal diritto d’autore e della riproduzione di beni del patrimonio culturale italiano all’interno di videogiochi.
Insight parla di spettacolo dal vivo e del suo sfruttamento su piattaforme di streaming
Lo studio Insight è intervenuto all'incontro a tema "Streaming e diritto d'autore e d'immagine all'epoca del distanziamento sociale" organizzato dal tavolo etico di A2U - Attrici e Attori Uniti. Insight ha parlato dei diritti d'autore, connessi e d'immagine degli attori, con particolare riferimento alle opportunità di sfruttamento dell'opera teatrale tramite piattaforme di streaming per fare fronte all'impossibilità di una fruizione dal vivo causata dall'emergenza COVID-19.