Internet of Things e Intelligenza Artificiale: la fine o l’inizio dei brevetti essenziali?

La pandemia COVID-19 ha imposto a tutti una quarantena forzata e quindi di riorganizzare la vita personale e lavorativa direttamente dalla propria dimora.

Tutto ciò non ha fatto altro che dimostrare e aumentare la nostra preoccupante dipendenza da strumenti informatici e nuove tecnologie, il cui utilizzo nel 2020 è aumentato in maniera esponenziale in ogni settore, anche in quelli dove si faticava ad immaginarne l’utilizzo (si pensi ad esempio alle udienze giudiziali svolte in teleconferenza ovvero la didattica a distanza, ecc.).

In maniera analoga stiamo inoltre assistendo ad una sempre maggiore integrazione digitale di oggetti, dispositivi, sensori e beni di uso quotidiano che oramai fanno parte integrante della nostra vita quotidiana.

Svolta questa dovuta premessa, c’è a questo punto da domandarsi quale impatto avrà l’attuale rivoluzione tecnologica nel settore della proprietà intellettuale e, segnatamente, nell’ambito dei brevetti.

A nostro avviso gli attuali cambiamenti porteranno certamente giovamento al settore delle invenzioni; infatti, per quanto qui d’interesse, grazie al ruolo decisivo dell’intelligenza artificiale e internet of things, è lecito attendersi un considerevole incremento di depositi di brevetti cd. essenziali.

Come noto, i brevetti essenziali – vale a dire “Standard Essential Patent” (SEP) – sono brevetti che proteggono tecnologie appunto essenziali per l’implementazione di standard riconosciuti da organismi di normazione.

Tali brevetti sono già presenti nella nostra vita più di quanto noi immaginiamo, ed infatti li usiamo per chiamare o inviare messaggi con il nostro smartphone, per inviare file tramite e-mail, per ascoltare i brani della nostra playlist o semplicemente mentre guardiamo le serie TV preferite, seduti sul divano di casa.

Gli standard più noti ad oggi sono forse “Bluetooth”, “WiFi” e “5G”, ma come detto il compimento di una delle azioni di cui sopra coinvolge decine di standard a loro volta già protetti dai citati brevetti.

La Commissione Europea in una recente comunicazione dello scorso novembre rivolta al Parlamento Europeo ha evidenziato il ruolo cruciale dei brevetti essenziali nello sviluppo della tecnologia 5G e dell’Internet of Things, rilevando, ad esempio, che solo per gli standard di connettività mobile sono state dichiarate all'ETSI (l'Istituto Europeo delle norme di telecomunicazione) più di 25.000 famiglie di brevetti.

Nella medesima comunicazione la Commissione rilevava tuttavia le difficoltà che alcune imprese continuano ad incontrare nel trovare con i titolari dei brevetti essenziali un accordo sulla concessione di licenze e il conseguente crescente numero di controversie tra titolare e utilizzatore.

Come noto, infatti, un brevetto viene definito essenziale a seguito di una sorta di autodichiarazione del titolare che dichiara che il suo brevetto è appunto necessario ed essenziale per l’applicazione di uno standard e quindi, mediante tale dichiarazione, si rende disponibile a concederlo in licenza a chi intende utilizzare lo standard in questione a condizioni cd. “FRAND” (“Fair, Reasonable And Non-Discriminatory”), vale a dire a condizioni di licenza eque, ragionevoli e non discriminatorie.

Nella pratica accade quindi che il titolare di un brevetto essenziale, una volta accertata la presenza sul mercato di un prodotto che utilizza un certo standard, si rivolge al suo produttore o distributore per chiedere di sottoscrivere un contratto di licenza a condizioni “FRAND”.

Il soggetto utilizzatore a quel punto non ha altra scelta se non quella di accettare la licenza alle condizioni proposte dal titolare del brevetto; infatti, a differenza dei brevetti non essenziali dove evidentemente l’utilizzatore può ricercare soluzioni alternative che non violino il brevetto in questione, per i brevetti essenziali ciò non è possibile in quanto si tratta di standard utilizzati per conformarsi a norme tecniche su cui si basano milioni di prodotti e che consentono quindi l’interoperabilità degli stessi.

Inoltre, investire nello sviluppo di uno standard alternativo è assai oneroso (si pensi ad esempio allo sviluppo di un’alternativa allo standard “Bluetooth”), ma – anche assumendo lo sviluppo di uno standard alternativo - bisognerebbe poi convincere i consumatori a “passare” al nuovo standard, sostituendo i vecchi dispositivi con i nuovi.

Il rischio che una tale situazione possa provocare distorsioni del mercato e soprattutto abusi da parte dei titolari dei brevetti essenziali è quindi molto alto; i titolari dei brevetti essenziali possono infatti decidere le sorti di un prodotto di un determinato mercato in quanto vincolano tutti gli operatori dello stesso ad utilizzarlo a fronte del pagamento di una royalty.

Proprio al fine di contemperare gli interessi in gioco, la nota sentenza della Corte di Giustizia nel caso “Huawei v. ZTE” (C-170/13 del 16.07.2015) era intervenuta già nel 2015 per prevedere in capo al titolare dei brevetti essenziali una serie di obblighi, vale a dire, tra gli altri, a) l’obbligo di garantire sempre condizioni cd. FRAND in favore del potenziale licenziatario; b) l’obbligo del titolare del brevetto SEP di avvisare preventivamente l’utilizzatore dello standard protetto indicando il brevetto che sarebbe stato violato e specificando in quale modo sarebbe stato contraffatto e, in caso l’utilizzatore si rifiuti di collaborare, adire le autorità giudiziali.

In presenza di tali condizioni, ad opinione dei Giudici della Corte, non sussisterebbe da parte del titolare del brevetto essenziale alcun abuso di posizione dominante sul mercato sanzionabile ai sensi dell’art. 101 TFUE.

La realtà è però ben diversa in quanto i titolari dei brevetti essenziali continuano ad avere un eccessivo potere negoziale nei confronti dell’utilizzatore dello standard protetto. Infatti, come detto, l’essenzialità o meno di un brevetto dipende da un’autodichiarazione resa dallo stesso titolare del brevetto che peraltro fonda “de facto” una presunzione di essenzialità del brevetto; tale circostanza agevola ulteriormente i titolari nei giudizi in quanto l’onere della prova viene posto a carico del presunto contraffattore che dovrà dimostrare la non interferenza o la non essenzialità.

Aggiungasi che ad oggi non esistono norme a protezione della parte debole, vale a dire l’utilizzatore del brevetto essenziale, ed infatti non vi sono ad esempio parametri di riferimento che definiscano con chiarezza le condizioni eque, ragionevoli e non discriminatorie. In altri termini, l’utilizzatore non è quindi in grado di verificare se le condizioni proposte dal titolare siano effettivamente “FRAND” e quindi ha due opzioni: accettare tali condizioni o ribellarsi e intraprendere un contenzioso nei confronti del titolare.

Malgrado la questione dei brevetti essenziali sia stata oggetto di diverse pronunce negli anni e di specifici richiami da parte della Commissione Europea, diverse questioni restano ancora aperte e necessitano di un immediato intervento da parte del legislatore sia per rafforzare la certezza giuridica sia per ridurre il crescente numero di controversie in materia.

Ad avviso di chi scrive appare ad esempio necessario creare ed istituire un organo indipendente in grado di verificare a priori il carattere essenziale di un brevetto prima che esso venga protetto, nonché prevedere norme specifiche, efficaci ed eque che regolino la concessione di licenze per brevetti essenziali.

Peraltro, in ragione della rivoluzione tecnologica in atto e del conseguente crescente utilizzo di tali brevetti, è auspicabile che tali riforme siano portate a compimento in tempi rapidi.


Facebook ancora nel mirino dell’AGCM: una sanzione pecuniaria può essere la soluzione?

Il 17 febbraio 2021 l’Autorità garante della concorrenza e del mercato (“AGCM”) ha irrogato una sanzione pari a 7 milioni di euro nei confronti di Facebook Ireland e della sua controllante Facebook Inc. per non aver ottemperato ad un precedente provvedimento, sempre dell’AGCM, del 29 novembre 2018 in virtù del quale la società di Menlo Park era già stata condannata al pagamento di una sanzione pecuniaria da 5 milioni di euro per non aver informato i propri utenti che i loro dati personali sarebbero stati utilizzati per scopi commerciali.

Tale ulteriore provvedimento, che non rappresenta altro che “la sanzione della sanzione”, ci induce necessariamente a riflettere sulla reale forza coercitiva delle sanzioni pecuniarie emesse dall’AGCM, oltre che sulla scelta di quest’ultima di insistere con sanzioni analoghe a quelle già emesse nel 2018 nonostante l’accertata inosservanza – e quindi inefficacia - delle stesse (di questo argomento ne avevamo già parlato in un nostro precedente articolo, disponibile qui).

Che forse sia quindi giunto il momento di riadattare il contenuto e la portata dei provvedimenti sanzionatori a tutela del mercato e della libera concorrenza, specialmente quando rivolti ai giganti del web? Si potrebbe, ad esempio, ipotizzare un provvedimento dell’Autorità che blocchi temporaneamente i servizi online offerti sino a quando la società non regolarizzi la propria posizione? O alla rimozione temporanea di un’applicazione dall’App/Play Store con conseguente impossibilità, per la società, di acquisire nuovi utenti? O, ancora, a sanzioni pecuniarie proporzionate al fatturato totale annuo di una società o del suo gruppo (in stile, “GDPR”)?

Ad avviso di chi scrive, una soluzione concreta non può che risiedere nel corretto bilanciamento degli interessi in gioco: da un lato, quelli privati delle multinazionali che tramite i loro social network acquisiscono una enorme quantità di dati personali (e, quindi, di “denaro”); dall’altro, quelli degli utenti del web che utilizzano quotidianamente le principali piattaforme social, spesso non solo per “svago” ma anche per ragioni professionali e di business.


Garante Privacy e attività ispettiva 2021: tra gennaio e giugno nel mirino i dati biometrici, videosorveglianza, food delivery e data breach

Il Garante Privacy ha definito il perimetro dell’attività ispettiva programmata per i primi sei mesi del 2021. Si tratta di n. 50 accertamenti che saranno condotti anche mediante delega alla Guardia di Finanza e che si concentreranno sulla verifica del rispetto della normativa privacy vigente relativa ai seguenti profili di interesse generale:

  1. trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
  2. trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);
  3. trattamenti di dati personali effettuati da "data broker”;
  4. trattamenti di dati personali effettuati dalle società che operano nel settore denominato “Food Delivery”;
  5. data breach.

Da tale elenco emergono due grandi novità: quest’anno, infatti, il Garante Privacy estenderà le proprie verifiche anche ai trattamenti di dati biometrici, nonché a quelli effettuati mediante sistemi di videosorveglianza. Due settori disciplinati non solo dal GDPR e dal Codice Privacy bensì anche da diverse linee guida ed altre norme di legge, oltre che da numerosa giurisprudenza.

Si pensi, solo per fare degli esempi, alle Linee Guida del Garante Privacy in materia di riconoscimento biometrico e firma grafometrica del 2014, al rinnovato art. 4 della L. 300/1970 e alla Circolare n. 5/2018 dell’Ispettorato nazionale del Lavoro, al Provvedimento del Garante Privacy in materia di videosorveglianza del 2010 ed alle recenti FAQ sulla videosorveglianza del 5 dicembre 2020, alla giurisprudenza nazionale e comunitaria in tema di controllo dei lavoratori e controlli cd. “difensivi”, al Parere n. 2/2017 dell’ex Gruppo di lavoro ex art. 29 (“Opinion 2/2017 on data processing at work”) nonché alle Linee Guida n. 3/2019 del Comitato Europeo (EDPB) sul trattamento dei dati attraverso dispositivi video.

Quanto appena detto induce a riflettere in merito alla corretta e non agevole operazione di individuazione degli adempimenti privacy cui sono chiamati i titolari e i responsabili del trattamento – i.e. gli operatori economici; infatti, soprattutto prima di intraprendere un’attività di trattamento di dati personali biometrici o mediante sistemi di videosorveglianza è necessario chiarire le circostanze del caso concreto (individuando le finalità del trattamento, le misure di sicurezza da adottare, il coinvolgimento di eventuali terzi provider, ecc.) al fine di poter predisporre correttamente la documentazione privacy  prevista dalle molteplici norme in materia (possibilmente con l’ausilio di professionisti specializzati).

Sarà quindi interessante analizzare gli esiti dell’attività ispettiva del Garante al fine di comprendere quale sarà, a distanza di tre anni dall’entrata in vigore del GDPR, il livello di compliance ritenuto “accettabile” dall’Autorità e quale sia quello realmente raggiunto dalle imprese che operano nel nostro Paese e che hanno a che fare con il trattamento di categorie particolari di dati personali e con sistemi di videosorveglianza.

Va da sé che gli adempimenti privacy in materia di trattamento di dati biometrici o mediante sistemi di videosorveglianza si sommano a quelli generalmente previsti per il trattamento dei dati personali; pertanto, al fine di raggiungere una piena compliance alla normativa privacy vigente occorre non solo regolamentare i particolari settori della propria attività di business (quali, ad esempio, la videosorveglianza o la biometria) bensì adottare (o meglio, aver già adottato) una solida struttura privacy interna che sia in grado di dimostrare alle autorità, in caso di eventuali ispezioni, che i trattamenti di dati personali effettuati rispettano pienamente quanto previsto dalla legge.

Proprio con particolare riferimento alla videosorveglianza, ricordiamo che il nostro Studio ha elaborato e pubblicato sul proprio sito web un rapido ed utile Vademecum per l’installazione di impianti videosorveglianza, aggiornato alle più recenti novità normative italiane ed europee. È possibile consultare il Vademecum qui.


Caso Sixthcontinent: le piattaforme e-commerce sono in grado di “soddisfare” il legittimo affidamento degli utenti?

Il 18 gennaio 2021 l’Autorità Garante della concorrenza e del mercato (AGCM) ha reso noto di aver irrogato una sanzione di 1 milione di euro alla piattaforma digitale “Sixthcontinent” per aver congelato, senza alcun preavviso e arbitrariamente, la facoltà per i consumatori di utilizzare i prodotti, gli importi e le altre utilità acquistate o conseguite sulla piattaforma stessa compresi, per quanto qui d’interesse, i crediti accumulati in virtù degli acquisti effettuati.

Sixthcontinent è innanzitutto una piattaforma e-commerce: l’utente registrato compra su tale piattaforma shopping card grazie alle quali può successivamente effettuare acquisti online o direttamente presso i negozi fisici. Per ogni nuovo acquisto effettuato mediante una shopping card, l’utente ottiene dei bonus che può utilizzare al posto della moneta reale per acquistare ulteriori shopping card, ottenendo in questo modo un considerevole risparmio. La piattaforma in questione funge inoltre anche da social network, poiché consente agli utenti di interagire tra di loro e di trarre vantaggio dai loro rapporti sociali virtuali. Infatti, gli utenti ottengono punti, anch’essi spendibili in acquisti, se introducono la piattaforma a nuovi iscritti, oppure quando soggetti a loro collegati (secondo un meccanismo analogo a quello delle “amicizie” su Facebook) effettuano acquisti su tale piattaforma.

L’idea che sta alla base di questo business è dunque quella di trarre vantaggio proprio dalla comunità, in questo caso virtuale, accumulando punti e crediti e risparmiando quindi sull’acquisto anche di beni di prima necessità, come alimentari e carburante.

In buona sostanza, il contratto che viene sottoscritto tra la piattaforma e l’utente all’atto dell’iscrizione prevede da una parte, (in capo all’utente), l’impegno di introdurre la piattaforma a più soggetti possibili, e dall’altra, quella della piattaforma, quello di offrire agli utenti un ambiente virtuale in cui sia possibile risparmiare dagli acquisti effettuati.

È proprio sul ruolo che assume la piattaforma e sul rapporto che essa va ad instaurare con ciascun consumatore che bisogna qui soffermarsi. Infatti, dal momento che tali piattaforme si propongono come strumenti di risparmio e vantaggi nell’acquisto di beni di uso quotidiano e che trovano nella larga adesione degli utenti la loro forza (nel caso di Sixthcontinent, si tratta di diversi milioni di utenti in tutto il mondo), si può affermare che esse creano un affidamento nel pubblico di utenti che è meritevole di tutela.

Maggiore è l’utilizzo della piattaforma da parte dall’utente (si pensi alla necessità di acquistare beni di prima necessità durante i periodi di lockdown), maggiore è l’aspettativa creata in capo allo stesso.

Come detto, in pochi giorni la piattaforma Sitxhcontinent ha difatti reso inutilizzabili le shopping card, imponendo inoltre agli utenti di accettare un rimborso in “punti” anziché in denaro. La condotta tenuta dalla piattaforma Sixthcontinent è assimilabile a quella di una banca che, di punto in bianco, decida di impedire ai correntisti di prelevare il proprio denaro o di eseguire pagamenti dal proprio conto.

Per buona parte del provvedimento l’AGCM condanna la piattaforma in questione per aver illegittimamente imposto nei confronti del consumatore il rimborso sotto forma di “punti”, senza dunque aver lasciato a quest’ultimo la facoltà di poter scegliere liberamente la modalità di ricezione del suo credito.

Come noto, questa condotta non è in linea con le norme del codice del consumo e non è di certo la prima volta che l’AGCM si trova a dover sanzionare tale tipologia di condotta di una piattaforma e-commerce.

C’è però un ulteriore aspetto che sembra potersi ricavare dal provvedimento in questione e cioè l’intenzione della stessa autorità di voler sanzionare la condotta ingannevole posta in essere dalla piattaforma nel prospettare agli utenti la pretesa convenienza dell’adesione alla community e alle varie offerte, salvo poi procedere al blocco ingiustificato della stessa piattaforma.

In altri termini, il provvedimento sanzionatorio dell’AGCM sopra citato sembra voler mettere in luce l’esistenza di una vera e propria responsabilità della piattaforma online verso gli utenti registrati, nel momento in cui si propone come ambiente virtuale dove è possibile, anche grazie alle interazioni tra gli utenti iscritti, acquistare beni di prima necessità ad un minor prezzo.

La piattaforma che rivolge al pubblico un’offerta di questo tipo crea negli utenti una legittima aspettativa a poter fruire della piattaforma stessa in sicurezza e con continuità, specie per quegli acquisti socialmente più “sensibili” perché essenziali alla vita quotidiana. Di conseguenza, il provvedimento in esame intende affermare che vi è lesione di tale aspettativa qualora il servizio offerto mediante la piattaforma venga improvvisamente ed arbitrariamente interrotto.

Quanto detto ci induce dunque a riflettere su due aspetti rilevanti.

In primo luogo, è ragionevole sostenere l’esistenza di un impegno latu sensu pubblico (oltre che contrattuale) che una piattaforma e-commerce assume nei confronti di ogni utente iscritto e che non può essere disatteso arbitrariamente e senza alcun preavviso, al pari di un qualsivoglia contratto sottoscritto tra le parti (in questo caso firmato tra le parti online).

Dall’altra parte, è ragionevole di conseguenza affermare che una prestazione continuativa di servizi offerti online, al pari di qualsiasi altro servizio, sia in grado di creare un’aspettativa e un legittimo affidamento verso la collettività/utenti registrati, che in quanto tale può essere protetto e fatto valere tramite gli strumenti civilistici e amministrativi offerti dall’ordinamento.


Accordo UE - Regno Unito (cd. “Brexit”): la nascita del “marchio equiparabile”

Come noto, in data 24 dicembre 2020 l’Unione Europea e il Regno Unito hanno raggiunto un accordo per la disciplina delle loro future relazioni commerciali a seguito della “Brexit”.

Tale accordo sancisce la definitiva separazione dell’ordinamento giuridico britannico da quello europeo, con la conseguenza che a decorrere dalla sua entrata in vigore (i.e. 1 gennaio 2021, cioè la fine del periodo di transizione) non si applicheranno più al Regno Unito le norme di diritto europeo, comprese quelle relative ai diritti di proprietà intellettuale e industriale.

Al fine di garantire una transizione ordinata verso il nuovo regime giuridico, la Commissione Europea ha quindi pubblicato una serie di “Notices of Withdrawal” (relativi ai principali settori dell’economia europea) nei quali vengono illustrate le principali conseguenze pratiche per i titolari dei diritti di proprietà intellettuale e industriale.

In particolare, la Notice relativa ai marchi precisa, tra le altre cose, che il titolare di un marchio UE registrato prima del 1 gennaio 2021 diventerà automaticamente titolare di un “marchio equiparabile” nel Regno Unito, registrato e opponibile nel Regno Unito secondo il diritto di tale Stato.

Tale nozione di “marchio equiparabile” risulta nuova nel panorama dei diritti IP, in quanto specificamente introdotta per tutelare coloro che prima dell’intervenuto recesso del Regno Unito dall’Unione Europea avevano ottenuto la tutela del proprio marchio UE i cui effetti, in quel momento, si estendevano anche al territorio britannico.

Consapevole della novità di tale istituto giuridico, la Commissione Europea nella medesima Notice ha chiarito in particolare che tale marchio “equiparabile”:

      1. consiste nello stesso segno oggetto della registrazione UE;
      2. reca la stessa data di deposito o la stessa data di priorità del marchio UE e, se del caso, si avvale della preesistenza di un marchio del Regno Unito rivendicata dal titolare;
      3. consente al titolare del marchio UE divenuto notorio prima del 1 gennaio 2021 di esercitare nel Regno Unito diritti equivalenti;
      4. non può essere dichiarato decaduto in ragione del fatto che il marchio UE corrispondente non è stato oggetto di un uso effettivo nel territorio del Regno Unito prima della fine del periodo di transizione;
      5. viene dichiarato nullo o decaduto o annullato se il corrispondente marchio UE è stato oggetto di decisioni in tal senso in esito ad un procedimento amministrativo o giudiziario nell’Unione Europea che risultava ancora pendente prima del 1 gennaio 2021 (in data successiva alla “clonazione”).

Il Governo britannico ha confermato che sarà l’ufficio competente del Regno Unito a provvedere gratuitamente alla clonazione (“cloning”) del marchio UE nel Regno Unito, ove diverrà “marchio equiparabile”. Non è peraltro richiesto ai titolari dei marchi UE di presentare alcuna domanda, né di attivare alcuna procedura amministrativa nel Regno Unito, né di avere un recapito postale nel Regno Unito per i tre anni successivi alla fine del periodo di transizione.

Nonostante la puntuale descrizione delle caratteristiche principali del nuovo “marchio equiparabile”, sussistono – com’è inevitabile che sia – alcune incertezze relative all’applicazione concreta di tale istituto.

In particolare, desta perplessità la persistente dipendenza del “marchio equiparabile” rispetto alle vicende amministrative o giudiziarie europee (punto e) di cui sopra) che, in modo decisamente contraddittorio, parrebbe negare la più volte asserita autonomia del Regno Unito rispetto alle leggi e regole europee.

Evidentemente consapevoli dell’esistenza di tale contraddizione, la Notice precisa (in una mera nota a piè di pagina) che le parti hanno riconosciuto al Regno Unito il potere di non “dichiarare nullo o decaduto il corrispondente diritto nel suo territorio qualora i motivi di nullità o decadenza del marchio dell’Unione Europea … non si applichino nel Regno Unito”. Tramite questa nota sembra dunque che venga conferito al Regno Unito il potere di non conformarsi alle decisioni UE.

Non è tuttavia chiaro chi debba prevalere in questa “contesa”: l’esito invalidante del procedimento europeo oppure il potere britannico di negare gli effetti della decisione europea?

Inoltre, qualora il procedimento europeo - ancorché avviato prima della fine del periodo di transizione - dovesse durare diversi anni, come dovrebbe comportarsi il titolare del marchio “clonato” nel Regno Unito? Ed ancora, come si concilia l’esistenza del “marchio equiparabile” – contemporaneamente soggetto alla giurisdizione europea e a quella britannica – con il noto principio di territorialità applicabile al mondo dei marchi?

La situazione appare quindi incerta e chi scrive non esclude che ulteriori questioni relative al nuovo “marchio equiparabile” possano in futuro formare oggetto di accesa discussione da parte degli operatori del settore IP.

Il tema è dirimente perché riguarda non solo i diritti acquisiti (che il Governo britannico si è impegnato a tutelare), ma anche i futuri rapporti politici fra l’UE e il Regno Unito, ed è interessante a tal riguardo notare come anche una questione apparentemente innocua, relativa al diritto dei marchi, sveli la fragilità di un accordo formalmente commerciale ma nella sostanza prevalentemente politico.

Alla luce di tutto quanto sopra, sembra che l’UE e il Regno Unito abbiano scelto di percorrere la via più semplice per garantire ai titolari di marchi UE una transizione ordinata verso il nuovo regime giuridico imposto dalla Brexit; dall’altra parte, tale via pone diversi interrogativi di natura giuridica, alcuni dei quali anticipati sopra, che rendono ancora incerta l’applicazione concreta del nuovo marchio “ibrido britannico”.

Da ultimo, non si può neppure ignorare come tale nuovo istituto giuridico possa rappresentare un interessante precedente qualora altri Stati Membri decidano in futuro di abbandonare l’Unione Europea. In tal senso, ci troviamo di fronte ad un istituto senz’altro interessante sotto il profilo giuridico, ma potenzialmente “pericoloso” dal punto di vista politico e quindi da tenere monitorato attentamente negli anni a venire.


Vademecum per l'installazione di impianti di videosorveglianza

Aggiornato alle FAQ del Garante Privacy del 5 dicembre 2020 e alle Linee Guida 3/2019 dell’EDPB sul trattamento dei dati personali attraverso dispositivi video


REGOLE GENERALI

  1. Rispetto del principio di “minimizzazione dei dati”: il titolare del trattamento deve scegliere modalità di ripresa e dislocazione delle telecamere sulla base delle specifiche finalità perseguite e deve raccogliere e trattare solo i dati personali pertinenti e non eccedenti le finalità stesse.
  2. No alla preventiva autorizzazione del Garante Privacy per l’installazione di telecamere, ma valutazione autonoma del titolare in merito alla liceità ed alla proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento stesso, nonché dei rischi per i diritti e le libertà delle persone fisiche.
  1. Consegna dell’informativa privacy agli interessati: sia in forma breve (mediante l’apposizione di un apposito cartello ben visibile da coloro che transitano nella zona videosorvegliata – il cui modello è disponibile sul sito del Garante - https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9496244), nonché in forma estesa.
  1. Valutazione autonoma da parte del titolare dei tempi di conservazione delle immagini (nel rispetto del principio di “accountability”), tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Sono salve le specifiche previsioni di legge che determinano i tempi di conservazione delle immagini in circostanze particolari.
  1. DPIA obbligatoria quando sono utilizzate telecamere di nuova tecnologia o sistemi “integrati” e/o “intelligenti” (che, ad es., rilevano, registrano e segnalano automaticamente alle competenti autorità comportamenti o eventi anomali), in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (ad es. autostrade, grandi centri commerciali) e negli altri casi previsti dagli artt. 35 e 36 GDPR e dal provvedimento del Garante Privacy n. 467/2018.

 

SPECIFICI CONTESTI

 


POSTO DI LAVORO
(art. 4 L. 300/1970)

Finalità del trattamento: esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
Se con le telecamere il datore di lavoro può controllare a distanza l’attività dei lavoratori:

  • è necessario l’accordo con le RSA/RSU o la preventiva autorizzazione dell’Ispettorato nazionale del lavoro;
  • la DPIA è obbligatoria;
  • occorre predisporre policy interne per i lavoratori che descrivano in maniera chiara e trasparente le modalità di utilizzo degli strumenti di lavoro (pc, smartphone, ecc.) e gli eventuali controlli che il datore di lavoro potrà effettuare;
  • occorre rispettare gli obblighi privacy di cui al GDPR e al Codice Privacy.

***


PROPRIETÀ PRIVATA / ESERCIZI COMMERCIALI

Finalità del trattamento: monitoraggio e tutela della proprietà privata o di locali in cui è esercitata un’attività commerciale, prevenzione di furti e/o atti vandalici, ecc.
Condizioni specifiche da rispettare:

  • limitazione dell’angolo di ripresa ai soli spazi di propria esclusiva pertinenza, escludendo aree comuni (cortili, pianerottoli, ecc.) ovvero zone di pertinenza di soggetti terzi;
  • vietate le riprese di aree pubbliche o di pubblico passaggio;

 Se sono installate specifiche telecamere “casalinghe” (cd. “smart cam”) all’interno della propria abitazione è necessario:

  • informare eventuali lavoratori (colf, badanti, ecc.) della presenza delle telecamere;
  • evitare il monitoraggio di ambienti che ledano la dignità della persona (come i servizi igienici, gli spogliatoi, ecc.);
  • proteggere adeguatamente i dati acquisiti o acquisibili tramite le smart cam con idonee misure di sicurezza.

***


CONDOMINIO

Finalità del trattamento: monitoraggio e tutela della sicurezza delle parti comuni dell’edificio e in generale delle singole proprietà.
Condizioni specifiche da rispettare:

  • la preventiva delibera dell’assemblea condominiale ex art. 1136 c.c.;
  • il termine massimo di 7 giorni per la conservazione delle immagini raccolte (salve diverse comprovate esigenze).

***


CATEGORIE PARTICOLARI DI DATI
(ospedali e cliniche)

Finalità del trattamento: tutela della salute di pazienti, monitoraggio di particolari reparti ospedalieri, ecc.
Se le riprese sono effettuate per ricavare particolari categorie di dati (ad es. monitorare le condizioni di salute di un paziente) occorre:

  • verificare la sussistenza di una base giuridica del trattamento ex art. 9 GDPR (quale, ad es., assistenza o terapia sanitaria, garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria, ecc.);
  • prestare particolare attenzione in modo che la raccolta sia limitata ai soli dati necessari per le finalità perseguite (“minimizzazione”);
  • predisporre obbligatoriamente la DPIA se il trattamento dei dati relativi a pazienti, disabili, infermi di mente, minori e anziani non è occasionale;
  • monitorare costantemente le misure di sicurezza (sistemi di conservazione e accesso ai dati) applicate al trattamento.

***


CIRCOLAZIONE VEICOLI

Finalità del trattamento: accertamento e rilevazione infrazioni al codice della strada.
Condizioni specifiche da rispettare:

  • limitare la dislocazione e l’angolo di visuale delle riprese esclusivamente alle zone/aree necessarie per l’accertamento delle infrazioni;
  • eliminare/oscurare eventuali immagini raccolte non necessarie per le finalità perseguite (ad es. immagini di pedoni o altri utenti della strada, passeggeri a bordo del veicolo, ecc.);
  • predisporre obbligatoriamente la DPIA se il trattamento dei dati avviene su larga scala (es. autostrade) per monitorare il comportamento di guida dei conducenti.

***


DISCARICHE COMUNALI
 

Finalità del trattamento: controllo e monitoraggio delle discariche di sostanze pericolose e delle "eco piazzole" (verifica della tipologia dei rifiuti scaricati, dell’orario di deposito, ecc.).
Limitazioni:

  • il monitoraggio è consentito solo ad un ente pubblico (no privati);
  • il monitoraggio è consentito solo se non risulta possibile, o si rivela non efficace, il ricorso a strumenti e sistemi di controllo alternativi.

***


ISTITUTI SCOLASTICI

Finalità del trattamento: tutela dell’edificio, dei beni scolastici ivi presenti, del personale e degli alunni, protezione da atti vandalici, ecc.
Condizioni specifiche da rispettare:

  • le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche;
  • se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato.

***


SICUREZZA URBANA

Finalità del trattamento: tutela della sicurezza urbana in luoghi pubblici o aperti al pubblico.
Condizioni specifiche da rispettare:

  • conservazione delle immagini per un massimo di 7 giorni  successivi  alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione (art. 6, co. 8, del D.L. 23/02/2009, n. 11)

***


RIPRESE DALL’ALTO

La normativa in materia di protezione dati non si applica al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente, come nel caso di riprese da alta quota (effettuate, ad esempio, mediante l’uso di droni o simili) o nel caso di fotocamere false e/o spente.


Stampanti e oggetti intelligenti: amici o nemici?

Il 9 Dicembre 2020 l’Autorità Garante della concorrenza e del mercato, tra le altre cose, ha irrogato una sanzione pari complessivamente alla somma di 10 milioni di euro nei confronti delle società HP Inc e HP Italy S.r.l. (di seguito “HP) per due differenti pratiche commerciali relative alle stampanti a marchio HP ritenute scorrette. Per il testo integrale del provvedimento si veda il seguente link https://www.agcm.it/dotcmsdoc/allegati-news/PS11144_chiusura.

In primo luogo, l’Autorità ha sanzionato le società in questione per non aver correttamente informato i clienti della installazione nelle stampanti di un software che permetteva di stampare solo con toner e cartucce HP, mentre non consentiva la stampa in caso di utilizzo di ricariche non originali.

La seconda condotta ritenuta sanzionabile dall’AGCM consisteva invece nella registrazione, tramite firmware presenti sulle stampanti HP e all’insaputa dei consumatori, dei dati relativi alle specifiche cartucce utilizzate (originali e non): tali dati venivano utilizzati sia per creare un database utile per formulare le proprie strategie commerciali, sia per negare l’assistenza per le stampanti che avessero utilizzato cartucce non originali, ostacolando così lo sfruttamento della garanzia legale di conformità.

Proprio con riferimento a quest’ultimo comportamento, è interessante notare come si tratti di un caso di uso distorto del c.d. “Internet of Things”. Con questa espressione si intende infatti “la rete di oggetti fisici contenenti tecnologia incorporata per comunicare e rilevare o interagire con i loro stati interni o l’ambiente esterno.” (Gartner).

Sebbene nel caso in esame la tecnologia utilizzata da HP si limiti ad una raccolta delle sole informazioni relative all’utilizzo delle stampanti, è chiaro però che la diffusione di oggetti in grado di registrare e trasmettere dati riguardo ai nostri comportamenti quotidiani potrebbe assumere risvolti inquietanti. La preoccupazione nasce non solo dall’eventualità che la raccolta di dati avvenga a nostra insaputa, ma anche e soprattutto dagli utilizzi e dagli scopi che spingono le aziende ad acquisire tali dati.

Naturalmente, non possono di certo ignorarsi i risvolti positivi che un flusso costante di informazioni da parte degli oggetti potrebbe fornire, ad esempio, dal punto di vista dell’efficienza e miglioramento delle catene produttive, nonché dei sistemi di sicurezza per i cittadini (si pensi ai “semafori intelligenti”). Tuttavia, casi come quello preso in esame dall’AGCM ci inducono a riflettere sull’eventualità che queste tecnologie possano limitare eccessivamente i diritti dei consumatori.

Dal caso in esame è dunque possibile trarre alcuni insegnamenti e riflessioni e cioè che innanzitutto, prima di procedere con l’acquisto, è certamente consigliabile acquisire il maggior numero di informazioni possibili sulla tipologia di sensori e rilevatori eventualmente incorporati negli oggetti che intendiamo comprare e soprattutto appurare quale sarà l’utilizzo dei dati acquisiti da tali dispositivi.

In seconda battuta, è certamente opportuno domandarsi entro quali limiti l’utilizzo di tali dispositivi “intelligenti” possa favorire l’innovazione e il miglioramento della società e quando, invece, vada a ledere e comprimere i diritti dei consumatori, intesi sia come diritti ad essere informati sia come i diritti basilari riconosciuti a seguito di un acquisto di un prodotto (si pensi alle limitazioni all’esercizio della garanzia legale di cui si è detto sopra).


Caterina Bo è entrata a far parte del board editoriale di MediaLaws

Siamo felici di annunciare che la nostra Caterina Bo è entrata a far parte del board editoriale di MediaLaws per l’annata 2020/2021.
Il board editoriale monitora le notizie rilevanti in materia di diritto dei media e contribuisce alla pubblicazione di commenti ed analisi per il blog associato alla Rivista di Diritto dei Media, nata per iniziativa dei Professori Oreste Pollicino (Università Commerciale Luigi Bocconi), Giulio Enea Vigevani (Università degli Studi di Milano-Bicocca), Marco Bassini (Università Commerciale Luigi Bocconi) e dell’Avvocato Carlo Melzi d’Eril.

#dirittodeimedia #insight #news


iPhone: né a prova d’acqua, né a prova di AGCM

IL CASO

Il 30 novembre 2020 l’Autorità garante della concorrenza e del mercato (AGCM) ha sanzionato per 10 milioni di euro le società Apple Distribution International e Apple Italia S.r.l. (di seguito “Apple”) per aver diffuso messaggi promozionali tramite i quali si esaltava la resistenza all’acqua di diversi modelli di iPhone, omettendo tuttavia di specificare che detta proprietà risultava vera solamente in presenza di particolari circostanze non corrispondenti alle normali condizioni d’uso da parte dei consumatori (pratica commerciale cd. “ingannevole[1]”).

Inoltre, tali messaggi promozionali risultavano contraddittori a causa della contestuale presenza del seguente disclaimer “La garanzia non copre i danni provocati da liquidi”. Di fatto, nella fase post-vendita veniva negata da Apple la riparazione degli iPhone danneggiati a causa dell’introduzione di acqua o di altri liquidi, ostacolando quindi l’esercizio del diritto di garanzia riconosciuto dal Codice del Consumo (pratica commerciale cd. “aggressiva[2]”).

QUALI CONSEGUENZE SULL’IMPRESA SANZIONATA

La presente vicenda ci consente di focalizzare l’attenzione sulle conseguenze che derivano in capo all’impresa destinataria di un provvedimento di un’autorità (nel caso in esame, l’AGCM).

Innanzitutto, tale provvedimento non può che avere ripercussioni sull’assai complesso rapporto di fiducia che si viene ad instaurare tra impresa e consumatori.

È noto infatti che il marchio d’impresa suggerisce al consumatore, proprio all’atto d’acquisto, che il prodotto contraddistinto da detto segno origina da tale azienda.

Fra il consumatore e l’impresa si viene dunque a costruire un rapporto di tipo psicologico ed emotivo che in quanto tale è facilmente condizionabile da circostanze esterne.

Ed è esattamente in questo delicato contesto che si inserisce il provvedimento sanzionatorio dell’AGCM nei confronti di Apple, giacché esso rende vulnerabili propri i presupposti di tale relazione, vale a dire fiducia ed affidabilità.

Non bisogna infatti dimenticare che la base di tale relazione è di tipo mnemonico e cioè si fonda sul ricordo (positivo) che il consumatore richiama e conserva rispetto ad un’azienda ed ai suoi prodotti e servizi. Il provvedimento sanzionatorio dell’autorità colpisce precisamente tale ricordo in quanto, tra le altre cose, si propone di mettere in guardia il consumatore per il futuro.

È facile infatti immaginare che oggigiorno la notizia di tale provvedimento venga diffusa rapidamente tramite i social network e raggiunga dunque una considerevole fetta dei clienti dell’impresa punita. Su questo punto è certamente condivisibile la scelta dell’AGCM di obbligare Apple ad altresì pubblicare il provvedimento nella sezione del proprio sito web dedicata alla vendita degli iPhone, sotto la dicitura “Informazioni a tutela del consumatore”.

Questo ha per l’impresa venditrice effetti più gravi rispetto ad una sanzione economica poiché lede la sua immagine e suggerisce al consumatore di prestare maggiore attenzione qualora intenda acquistare ulteriori prodotti provenienti dall’azienda colpita dal provvedimento.

Tutto questo si traduce per l’azienda in ulteriori costi “invisibili” e cioè costi che la stessa azienda dovrà sostenere nei mesi successivi al fine di ricostruire il rapporto di fiducia/affidabilità con il proprio cliente (cd. “pubblicità ricostruttiva”). Senza qui voler dimenticare le attività correttive (e relativi costi) che, a seguito del monito ricevuto dall’Autorità, l’azienda sanzionata dovrà porre in essere in relazione ai prodotti già presenti sul mercato o in procinto di esserlo.

Sotto diverso profilo, il provvedimento dell’AGCM è anche portatore di una sanzione pecuniaria.

Nel caso in esame, la sanzione irrogata, pur costituendo il massimo edittale previsto dalla normativa vigente, rappresenta tuttavia meno del 5% del fatturato globale realizzato dal gruppo Apple nell’esercizio concluso a settembre 2019, pari a circa 231,57 miliardi di euro.

Ci si domanda quindi se tale sanzione possa avere un concreto effetto deterrente.

La risposta non può che essere negativa. Bisogna però soffermarsi su un diverso aspetto e cioè sul criterio di determinazione del quantum della sanzione pecuniaria.

Se l’asserita resistenza all’acqua degli Iphone fosse stata la ragione unica che ha determinato il consumatore ad acquistare un prodotto Apple piuttosto che di un rivale, sarebbe corretta una sanzione di soli 10 milioni di euro?

Evidentemente no ed infatti in tale specifico caso bisognerebbe tenere in considerazione l’intero costo di un iPhone (circa 1.000 euro) e applicare perlomeno una percentuale a titolo di sanzione sul fatturato generato dalla vendita (scorretta) dello stesso nel territorio in cui opera l’autorità competente.

Ne deriva che un criterio predeterminato di quantificazione di una sanzione – qual è quello previsto dal Codice del Consumo per le pratiche scorrette - è di per sé insufficiente a valutare tutte le circostanze del caso e di conseguenza a punire appropriatamente una condotta commercialmente scorretta di un’impresa.

CONSIDERAZIONI FINALI

La sensazione è che le imprese, specie quelle con fatturati da capogiro, stiano sottovalutando l’importanza di mantenere una maggiore trasparenza nei confronti del mercato, forse nell’errata convinzione che talune pratiche passino inosservate. In realtà, come visto, esse hanno conseguenze piuttosto negative sul rapporto con la propria clientela. Peraltro, in settori dove la concorrenza è agguerrita, il rischio che il cliente scelga il concorrente è sempre dietro l’angolo.

La disciplina sanzionatoria potrebbe quindi non essere sufficientemente severa da sortire gli effetti deterrenti sperati. Certo è che ad essere penalizzato è lo stesso consumatore che non riceve una tutela e protezione adeguata.

E’ ragionevole quindi domandarsi l’utilità di forme sanzionatorie diverse da quelle pecuniarie perché vi sia una concreta tutela degli interessi del consumatore.

Potrebbe dunque essere opportuno valutare l’introduzione di diverse misure restrittive (che abbiano anche una portata pratica e che siano proporzionate alle quote di mercato detenute dall’azienda) nei confronti delle aziende responsabili di porre in essere pratiche commerciali scorrette.

[1] Le pratiche scorrette si definiscono ingannevoli quando rappresentano elementi e/o caratteristiche di un prodotto non corrispondenti al vero.
[2] Le pratiche scorrette si definiscono aggressive quando consistono in molestie, coercizioni o altre forme di indebito condizionamento psicologico dei consumatori. 


25 Novembre - Giornata mondiale contro la violenza sulle donne

Era il 25 novembre 1960 quando le sorelle Mirabal persero la vita a Santo Domingo sotto la dittatura Trujillo. Il ricordo di quel tragico momento venne istituzionalizzato solo a partire dal 1981, quando il 25 novembre fu riconosciuto come data simbolo della lotta alla violenza contro le donne.

Oggi, esattamente 60 anni più tardi, la violenza sulle donne è perpetrata anche mediante l’utilizzo della tecnologia e di strumenti informatici; basti pensare ai dati pubblicati proprio in data odierna dalla Direzione Centrale della Polizia Criminale in base ai quali, solo in Lombardia, nel corso dell’ultimo anno sono stati registrati circa 718 casi di reati di revenge porn.

Il revenge porn è un reato di recente introduzione (Legge 69/2019 – art. 612-ter Codice Penale) che punisce chiunque, avendo ricevuto o comunque acquisito immagini o video a contenuto sessualmente esplicito, destinati a rimanere privati, li diffonde senza il consenso delle persone rappresentate al fine di recare loro nocumento.

Come far fronte a questo genere di condotte?

La risposta non è univoca ma certamente deve esistere alla base la consapevolezza e la conoscenza di due concetti, oggi ancora (purtroppo) sottovalutati, ovvero quello della “privacy” e della “riservatezza”, nonché degli strumenti che la normativa vigente mette a disposizione per proteggere i nostri dati personali da sottrazioni illecite.

Ad esempio, prestiamo sufficiente attenzione quando pubblichiamo immagini online che ci ritraggono o che ritraggono altre persone? E’ di qualche giorno fa l’infografica pubblicata dal Garante Privacy che fornisce al riguardo suggerimenti e consigli utili (disponibile al seguente link).

Abbiamo mai verificato, prima di iniziare una conversazione e/o di entrare in chat con un terzo tramite uno strumento informatico, se il fornitore del servizio di comunicazione abbia adottato idonei protocolli di sicurezza per la nostra conversazione? Per comprendere meglio di cosa si tratta, è possibile consultare la pagina esplicativa messa a disposizione da WhatsApp al seguente link.

E ancora, conosciamo quali sono le applicazioni o i dispositivi – ad esempio presenti presso la nostra abitazione o installati presso i luoghi che frequentiamo (come piscine, palestre, ecc.) - in grado di riprenderci e/o ascoltarci a nostra insaputa? Ed in quest’ultimo caso, sappiamo come esercitare i nostri diritti privacy?

Di fatto il mondo digitale apre nuovi orizzonti anche per quanto concerne la tutela delle donne contro la violenza ed in questo contesto la protezione dei nostri dati personali riveste un ruolo importantissimo.

Eliminare la violenza in tutte le sue forme è l’obiettivo comune; a tal fine consapevolezza e conoscenza sono indispensabili.