Non Fungible Tokens: un’occasione unica, ma per chi?

Da qualche mese a questa parte, c’è una questione che suscita grande interesse tra i professionisti della finanza, Youtuber e le più famose gallerie d’arte: gli NFT, acronimo per “Non Fungible Tokens”.

Per comprendere cosa sono gli NFT, è necessario preliminarmente partire dalla tecnologia che vi sta alla base, ovvero la blockchain.

In estrema sintesi, per blockchain si intende un database, quindi un insieme di dati organizzati secondo criteri determinati, costituito da “blocchi”, cioè sequenze di informazioni individualmente identificabili, che invece di essere immagazzinato in un unico server centrale è distribuito in repliche identiche sui terminali di chiunque abbia installato il relativo protocollo informatico.

Chi accede e partecipa alla blockchain, che è aperta e liberamente consultabile da chiunque, può vedere una serie di informazioni, espresse in forma di sequenze numeriche, che acquistano valore in quanto sono certe e pressoché inalterabili. Questo risultato è ottenuto attraverso diversi livelli di protezione, primo fra tutti il fatto che per alterare un singolo blocco è necessario “riprogrammare” in sequenza l’intera catena, il che è reso ancora più difficile dalla presenza di strumenti crittografici.

L’inalterabilità dei singoli blocchi di informazioni garantisce l’affidabilità delle transazioni che si realizzano scambiando i blocchi, senza la necessità di un ente esterno che le certifichi o approvi preventivamente.

È chiaro, dunque, perché questa tecnologia ha trovato un primo largo utilizzo nell’ambito della moneta elettronica: ogni transazione effettuata su blockchain viene infatti registrata nei singoli blocchi, senza timore di furti o manipolazioni e in perfetta trasparenza.

In questo contesto, gli NFT svolgono un’ulteriore funzione, cioè permettono di trasferire la certezza attribuibile ai singoli blocchi della blockchain a contenuti informatici di diversa natura, come immagini, video, GIF. Invece di scambiare qualcosa di simile ad una moneta, che esprime un certo valore ma che può essere scambiata indifferentemente, grazie agli NFT è possibile trasferire un bene appunto infungibile (si pensi ad un pezzo da collezione).

È evidente il vantaggio che può avere una tecnologia che elimina la necessità di lunghi controlli per stabilire l’autenticità di un’informazione o contenuto digitale, soprattutto se si considera l’importanza che tuttora rivestono le banche dati digitali gestite da enti pubblici.

Perciò, alcuni artisti affermati e altri soggetti notori hanno iniziato a mettere in vendita sulle piattaforme digitali a ciò dedicate propri video, creazioni artistiche di vario genere e perfino semplici tweet, “trasformandoli” in NFT.

Il riscontro del pubblico è andato oltre ogni aspettativa, permettendo di realizzare ingenti ricavi, talvolta anche milionari[1]. In cambio, gli acquirenti hanno acquisito la titolarità di quel frammento di video, immagine etc..

Gli NFT sembrano quindi introdurre un nuovo orizzonte di possibilità per il mondo della produzione artistica, perché sono in grado di garantire nel mondo digitale, che per sua stessa definizione è un mondo di copie identiche e riproducibili a piacimento, l’esistenza di un unico originale inalterabile nel tempo.

Grazie agli NFT, i creatori di contenuti dispongono quindi di una fonte di guadagno e di uno strumento di facile utilizzo che permette loro di dimostrare la paternità delle proprie opere e allo stesso tempo di trasferirne il diritto di titolarità in capo ad altri soggetti.

Un ambito in cui gli NFT vengono già utilizzati è quello del gaming online, dove viene reso possibile ai giocatori acquistare armi o altri oggetti “unici” da utilizzare o scambiare durante l’attività di gioco. Ma è ragionevole ipotizzarne un ampio utilizzo anche nel diritto industriale, basti pensare alla possibilità di utilizzare tale strumento per dimostrare il preuso di una macchina industriale e invalidare un brevetto altrui, trasformando in NFT il relativo video di YouTube che costituisce la prova inalterabile e inattaccabile della divulgazione anteriore del macchinario sul mercato.

Vi sono però alcuni profili da approfondire e tenere in considerazione per quanto concerne tali strumenti.

Innanzitutto, l’autenticità e la titolarità del contenuto degli NFT si basano a loro volta su dichiarazioni dei soggetti interessati, che in linea di principio dovrebbero esserne gli autori o comunque i titolari, ovvero i licenziatari, dei diritti di sfruttamento economico dell’opera. Allo stato, quindi, a garantire la trasparenza circa tale effettiva titolarità, chiedendo agli utenti di registrarsi, sono le piattaforme che permettono di eseguire le transazioni, ma in linea teorica chiunque potrebbe creare un NFT che incorpori un contenuto digitale di titolarità altrui. Non vi è dunque alcuna attività di verifica a monte sull’effettiva titolarità del bene che l’utente intende trasferire mediante gli NFT. Circostanza dalla quale potrebbero scaturire contenziosi circa l’effettiva proprietà del contenuto trasferito.

Appare inoltre necessario che venga da subito chiarito il regime fiscale cui sono soggetti tali strumenti (specie per quanto concerne le eventuali plusvalenze ottenute dalle successive vendite tramite NFT), prima che diventino uno strumento di largo utilizzo nel mondo artistico.

Infine, va considerato un ulteriore profilo che riguarda segnatamente i diritti dei consumatori ed infatti quest’ultimi, dopo aver effettuato l’acquisto, non hanno la possibilità di tornare sui propri passi esercitando il diritto di ripensamento che, come noto, è previsto per gli acquisti effettuati a distanza (tra i quali rientrano naturalmente quelli online).

A parere di scrive, aldilà dell’euforia – a tratti propriamente speculativa – che si è creata attorno a questi nuovi strumenti, gli NFT rappresentano effettivamente una potenziale svolta nella nostra vita ed in particolare con riferimento a tutti quei servizi e beni che presuppongono e necessitano di una certificazione dell’autenticità delle informazioni e contenuti digitali, quali ad esempio titolarità, provenienza, diritti di utilizzo temporaneo.

Tuttavia, perché questo strumento diventi largamente utilizzato, è necessario, da una parte, che le piattaforme introducano e garantiscano un sistema efficiente di controllo circa la titolarità del bene ceduto per evitare possibili dispute in merito e, dall’altra, che il legislatore “scenda” in campo per introdurre specifiche garanzie per l’acquirente (quale appunto il diritto di ripensamento) e comunque una disciplina organica ad hoc (che preveda, tra le altre cose, un trattamento fiscale adeguato alle caratteristiche dello strumento).

[1] Famoso il caso dell’artista Beeple, che ha venduto attraverso la casa d’asta Christie’s la propria opera “Everydays: The First 5000 Days” al prezzo di oltre 69 milioni di USD, oppure quello di Jack Dorsey, il fondatore di Twitter, che ha venduto il primo tweet della storia per 2,9 milioni di USD.


Certificato Verde Europeo: libertà di muoversi in Europa in tempo di pandemia

Si chiama “Certificato verde” europeo, si legge “Pass Covid-19”. Ha lo scopo di facilitare la circolazione dei cittadini all’interno dell’Unione Europea, nonché di contribuire alla limitazione della diffusione del virus Sars-CoV-2.

Proviamo a comprendere quali sono le caratteristiche del certificato verde, chi potrà rilasciarlo e quali garanzie sono previste per la tutela dei dati personali, anche di natura sensibile, in esso contenuti.

1. Premessa

Lo scorso 17 marzo 2021, la Commissione Europea ha proposto l’introduzione di un “Certificato verde” europeo che ha come scopo quello di consentire, durante la pandemia da Covid-19, l'esercizio del diritto di libera circolazione dei cittadini previsto dall’art. 21 del Trattato sul funzionamento dell'UE (TFUE). Esso verrebbe rilasciato da ogni Stato Membro, in formato digitale e/o cartaceo ed avrebbe lo stesso valore giuridico in tutta l’UE.

Tuttavia, parlare di “Certificato verde” (al singolare) non è corretto. Infatti, come previsto nella Proposta di Regolamento europeo pubblicata dalla Commissione[1], sono tre le diverse tipologie di certificati che potranno essere rilasciati:

i. “Certificato di vaccinazione”: attesta che una persona ha ricevuto un vaccino contro il Covid-19 autorizzato all’immissione in commercio nell’UE;

ii. “Certificato di test”: attesta che una persona ha effettuato un test Covid-19, antigenico o molecolare (purchè non autodiagnostico), che ha dato risultato negativo;

iii. “Certificato di guarigione”: attesta che una persona che aveva contratto il Covid-19 ne è successivamente guarita.

Ogni certificato sarà redatto nella lingua ufficiale dello Stato Membro da cui è rilasciato, oltre che in lingua inglese, sarà gratuito e sarà emesso dalle istituzioni/autorità debitamente autorizzate a tale scopo (si pensi, ad esempio, ad ospedali, centri di diagnosi/test o all’autorità sanitaria stessa).

2. Come funziona il certificato?

Il certificato possiede un “QR (Quick Response) code” contenente le informazioni essenziali relative al suo titolare, una firma digitale che ne impedisce la falsificazione ed un sigillo che ne garantisce l'autenticità.

Nel momento in cui un cittadino europeo farà ingresso in uno Stato membro diverso da quello di appartenenza, le istituzioni e/o autorità competenti di tale Stato procederanno alla scansione del QR code presente sul certificato ed alla verifica della firma digitale in esso contenuta. Tale verifica della firma digitale avverrà mediante confronto della stessa con le chiavi di firma possedute dalle istituzioni/autorità dello Stato di destinazione, le quali saranno conservate in una banca dati protetta di ciascuno Stato.

Sarà inoltre reso disponibile, a livello comunitario, un unico “gateway” gestito dalla Commissione, mediante il quale le firme digitali dei certificati verdi potranno essere verificate in tutta l'UE.

3. Il trattamento dei dati personali contenuti nel certificato

Ciascun certificato – che sia di vaccinazione, di test o di guarigione – conterrà al proprio interno una serie di informazioni relative alla persona cui si riferisce quali ad esempio: nome, cognome, data di nascita, data di vaccinazione, risultato del test antigenico/molecolare effettuato, malattia da cui si è guariti. Si tratta di informazioni che rientrano nella definizione di “dati personali” di cui all’art. 4 del Regolamento 679/2016 (“GDPR”) in quanto relative ad una persona fisica identificata e, per questa ragione, devono essere trattate nel rispetto dei principi e delle garanzie previste da tale Regolamento.

A tal riguardo, è opportuno sintetizzare i contenuti più importanti del parere del 31 marzo 2021 che il Comitato Europeo per la protezione dei dati (“EDPB”) ed il Garante Europeo per la protezione dei dati (“EDPS”) hanno fornito alla Commissione UE in merito al certificato verde.

a) Il trattamento dei dati personali contenuti nei certificati dovrebbe essere effettuato solo al fine di comprovare e verificare lo stato di vaccinazione, di negatività o di guarigione del titolare del certificato e, conseguentemente, di agevolare l'esercizio del diritto di libera circolazione all'interno dell'UE durante la pandemia.

b) Al fine di agevolare l’esercizio dei diritti privacy da parte degli interessati, sarebbe opportuno che ogni Paese rediga e renda pubblico un elenco dei soggetti autorizzati a trattare tali dati in qualità di titolari o responsabili e di coloro che riceveranno i dati stessi (oltre alle autorità/istituzioni di ciascuno Stato membro competenti al rilascio dei certificati, già individuate quali “titolari del trattamento” dalla proposta di Regolamento).

c) La base giuridica del trattamento dei dati personali presenti nei certificati dovrebbe essere costituita dall’adempimento di un obbligo di legge (art. 6, co. 1, lett. c GDPR) e da “motivi di interesse pubblico rilevante” (art. 9, co. 2, lett. g GDPR).

d) Nel rispetto del principio di “limitazione della conservazione” dei dati previsto dal GDPR, la conservazione degli stessi dovrebbe essere limitata a quanto necessario per il perseguimento delle finalità del trattamento (e. facilitare l'esercizio del diritto alla libera circolazione nell'UE durante la pandemia da Covid-19) e, in ogni caso, alla durata stessa della pandemia, il cui termine sarà dichiarato dall’OMS.

e) Non sarà in alcun modo consentita la creazione di banche dati a livello comunitario.

4. Considerazioni critiche e conclusioni

Al di là della portata innovativa della proposta di Regolamento, emergono alcuni aspetti che meritano di essere ulteriormente approfonditi o, quantomeno, chiariti dal legislatore europeo per garantire la corretta applicazione della nuova normativa europea.

a. Emissione e rilascio dei certificati

La proposta di Regolamento prevede che i certificati siano “rilasciati automaticamente o su richiesta degli interessati” (cfr. Considerando 14 e artt. 5 e 6). Ci si domanda, quindi, come altresì evidenziato dall’EDPB e dall’EDPS, se un certificato:

i. sarà generato e rilasciato all’interessato solo se espressamente richiesto da quest’ultimo;
ovvero se, al contrario
ii. sarà generato automaticamente dalle autorità competenti (ad es., all’esito della vaccinazione) ma consegnato all’interessato solo su espressa richiesta.

b. Il possesso di un certificato non impedisce agli Stati membri di imporre eventuali restrizioni all’ingresso

La proposta di Regolamento prevede che uno Stato membro possa comunque decidere di imporre al titolare di un certificato determinate misure restrittive (quali, ad esempio, l’obbligo di sottoporsi ad un regime di quarantena e/o a misure di auto-isolamento) nonostante l’esibizione del certificato stesso, purché tale Stato indichi i motivi, la portata ed il periodo di applicazione delle restrizioni, compresi i dati epidemiologici pertinenti a sostegno delle stesse.

Ci si domanda, tuttavia, se tali restrizioni e le loro condizioni di applicabilità saranno definite a livello europeo ovvero se l’individuazione delle stesse sarà demandata a ciascuno Stato, accettando - in quest’ultimo caso - il rischio di vanificare il tentativo di unificazione normativa perseguito dalla proposta di Regolamento.

c. La durata temporale del certificato

La proposta di Regolamento prevede che solo il “Certificato di guarigione” debba contenere anche l’indicazione del periodo di validità. E’ lecito domandarsi, quindi, quale sia la durata degli altri due certificati (“di vaccinazione” e “di test”) e come sia possibile garantire la veridicità di quanto attestato da un certificato dopo che sia trascorso un determinato lasso di tempo dalla data di rilascio (basti pensare, ad esempio, ai diversi casi di positività riscontrati dopo la somministrazione di un vaccino o ai cd. “falsi negativi/positivi”).

d. Gli obblighi del titolare del certificato

Quali obblighi è tenuto a rispettare il titolare di un certificato? Ad esempio, qualora sia stato rilasciato un certificato che attesti lo stato di negatività al Covid-19 e, a distanza di qualche mese, il titolare scopra di essere positivo, egli ha l’obbligo di rivolgersi alle competenti autorità/istituzioni del proprio Stato al fine di far revocare il certificato? E ancora: nell’ipotesi in cui il titolare tenti di utilizzare un certificato (non veritiero) per l’ingresso in uno Stato terzo, a quali sanzioni andrebbe incontro?

e. La protezione dei dati personali

La nuova proposta di Regolamento demanda alla Commissione il compito di adottare, mendiante atti di esecuzione, specifiche disposizioni finalizzate a garantire la sicurezza dei dati personali contenuti nei certificati.

Tuttavia, considerata la natura estremamente sensibile dei dati in oggetto, la Commissione chiederà anche un parere preventivo alle Autorità per la protezione dei dati personali dei singoli Stati membri? Sarebbe forse utile garantire, anche in questo contesto e con specifico riferimento alla documentazione privacy da fornire agli interessati prima del rilascio dei certificati, un approccio europeo pressochè unanime tale da impedire l’eventuale frammentazione delle garanzie previste dal Regolamento 679/2016 (“GDPR”).

In conclusione, si tratta di una proposta che se attuata con le dovute attenzioni potrebbe contribuire ampiamente al ritorno ad una vita quasi normale; si ha tuttavia il timore che in assenza di una disciplina particolarmente dettagliata in materia sia alto il rischio di rendere ancora più complessi gli spostamenti transfrontalieri, anche considerato che molto probabilmente ogni Stato adotterebbe ulteriori misure relative alla disciplina di tale certificato.

[1] https://eur-lex.europa.eu/resource.html?uri=cellar:38de66f4-8807-11eb-ac4c-01aa75ed71a1.0024.02/DOC_1&format=PDF.


Vaccino Astra Zeneca: soluzioni giuridiche per problemi tecnici

I ritardi sulle consegne delle dosi di vaccino Astra Zeneca stanno sollevando diversi dubbi fra l’opinione pubblica (e tra gli stessi politici) circa la possibilità di rispettare i piani di vaccinazione della popolazione previsti dai Governi.

Per queste ragioni, da più parti si stanno valutando soluzioni alternative e, di recente, in Italia il dibattito sembra essersi spostato sui brevetti che proteggono i vaccini e che, da molti, vengono considerati un ostacolo alla salute pubblica.

In effetti, i brevetti, come gli altri titoli di proprietà intellettuale, non rappresentano altro che diritti di monopolio attribuiti al loro titolare per un periodo temporale ventennale, durante il quale possono essere sfruttati commercialmente.

Come noto, la ragion d’essere di questi “diritti di esclusiva” risiede in un maggior benessere per la collettività: premiando gli inventori per un periodo di tempo limitato, si ottiene da parte loro la diffusione della conoscenza, che altrimenti verrebbe tenuta nascosta il più possibile.

L’emergenza sanitaria globale impone tuttavia una riflessione e cioè se i diritti di esclusiva sul brevetto possano essere bypassati dalla necessità di ottenere i vaccini protetti da privativa in tempi rapidissimi.

In altri termini, bisogna domandarsi se in questa situazione di assoluta necessità – dove ad essere in pericolo è la salute dei cittadini – sia ragionevole persistere nel curare esclusivamente gli interessi del titolare del brevetto piuttosto che quelli della collettività.

Si prenda ad esempio il caso del noto vaccino Astra Zeneca, di cui la società titolare non è riuscita ad assicurare la produzione nei tempi e nelle quantità inizialmente previste.

Per tali ragioni, in Italia si è ipotizzato di concedere in via straordinaria ad aziende attrezzate allo scopo il diritto di produrre tale vaccino pur non essendo titolari dei brevetti, a fronte ovviamente di un corrispettivo economico a titolo di royalty.

Tale soluzione consentirebbe di ovviare ai possibili inadempimenti delle società farmaceutiche che in ogni caso riceverebbero compensi economici per le ricerche e l’attività inventiva svolta.

Più in generale, le proposte avanzate e discusse sono state le seguenti:

  1. imporre alle grandi multinazionali titolari dei brevetti di concedere “licenze obbligatorie” alle società in grado di produrre i vaccini con qualità analoga;
  2. sospendere l’efficacia del brevetto, di modo che chiunque possa servirsi delle conoscenze da esso protette per produrre vaccini fino al perdurare dell’emergenza sanitaria;
  3. espropriare i titolari dei brevetti sui vaccini rendendoli proprietà dello Stato, dietro equo indennizzo.

Tali proposte sono supportate da diverse basi giuridiche, in primo luogo il trattato internazionale conosciuto come “Accordo Trips”[1], che prevede la facoltà per gli Stati aderenti di imporre licenze obbligatorie per la fabbricazione e l’esportazione di medicinali nei Paesi che non dispongono di sufficienti capacità di produzione in proprio.

La difficoltà di utilizzare questo strumento risiede nel fatto che è stato pensato per fornire supporto a Paesi in via di sviluppo, senza le risorse interne per l’acquisto di costosi farmaci esteri (famoso il caso del farmaco contro l’HIV in Africa).

Più difficile sembrerebbe essere la sua applicazione per Paesi come l’Italia, che sta sviluppando un vaccino in proprio e che ha le risorse per acquistare i vaccini prodotti all’estero.

Sul punto vale anche la pena di menzionare l’art. 141 del codice della proprietà industriale italiano[2], che prevede la facoltà dello Stato italiano di espropriare o comunque utilizzare brevetti o domande di brevetto per ragioni di pubblica utilità. Con il termine “pubblica utilità” sembra infatti potersi ricomprendere la crisi pandemica in corso.

Se l’ipotesi di una espropriazione del brevetto appare tuttavia sproporzionata o comunque un’eccessiva compressione dei diritti del titolare del brevetto, l’ipotesi di licenze obbligatorie concesse in favore di aziende terze ci pare una strada ragionevole e percorribile per sopperire alle diverse vicissitudini descritte sopra.

Va però tenuto in considerazione anche l’aspetto pratico – e quindi tecnico – della produzione dei vaccini contro il Covid 19. Esistono infatti diverse modalità e processi di produzione del vaccino, cui corrisponde una diversa efficacia (ad esempio, tra i vaccini già approvati dalle autorità competenti, Pfizer e Moderna garantiscono un’efficacia del 94-95 %, mentre Astra Zeneca garantisce l’82,4 %)[3], così come una diversa attitudine a fornire copertura anche dalle varianti del virus.

Allo stesso tempo, i vaccini non sono oggetto di un singolo brevetto, ma di diversi brevetti connessi tra di loro che spesso appartengono a soggetti diversi. Ne deriva che le aziende terze dovrebbero ottenere licenze obbligatorie da una vasta platea di titolari, con conseguenti maggiori difficoltà organizzative.

Inoltre, è chiaro che alla base dei brevetti in questione vi è un complesso know how riservato, che dovrebbe essere trasferito e divulgato in tempi brevi dai titolari in favore delle aziende licenziatarie affinché il vaccino possa essere prodotto; tutto questo comporterebbe comunque un allungamento delle tempistiche di produzione, nonché ulteriori difficoltà organizzative.

Alla luce di quanto sopra, le strada suggerita e discussa della licenza obbligatoria appare senz’altro percorribile per risolvere la scarsità e i relativi ritardi nella consegna dei vaccini ma, a parere di scrive, c’è bisogno di una condotta collaborativa tra le società titolari e i licenziatari, piuttosto che un aperto conflitto tra le stesse, il tutto allo scopo di salvaguardare la prioritaria salute pubblica.

Peraltro, l’ipotesi discussa sarebbe immediatamente operativa senza la necessità di un intervento legislativo ex novo, che spesso richiede la convergenza delle forze politiche (frequentemente non facile da attuare). Tale circostanza è certamente un incentivo da sfruttare per raggiungere un risultato desiderabile per l’intera collettività in tempi rapidi.

[1] Art. 31 e 31bis del citato Accordo, nella sua formulazione aggiornata al Protocollo del 6 dicembre 2005, entrato in vigore il 23 gennaio 2017.
[2] D.lgs. n. 30 del 2005 e successive modifiche.
[3] https://www.aifa.gov.it/web/guest/domande-e-risposte-su-vaccini-mrna; https://www.aifa.gov.it/domande-e-risposte-su-vaccini-vettore-virale.


Internet of Things e Intelligenza Artificiale: la fine o l’inizio dei brevetti essenziali?

La pandemia COVID-19 ha imposto a tutti una quarantena forzata e quindi di riorganizzare la vita personale e lavorativa direttamente dalla propria dimora.

Tutto ciò non ha fatto altro che dimostrare e aumentare la nostra preoccupante dipendenza da strumenti informatici e nuove tecnologie, il cui utilizzo nel 2020 è aumentato in maniera esponenziale in ogni settore, anche in quelli dove si faticava ad immaginarne l’utilizzo (si pensi ad esempio alle udienze giudiziali svolte in teleconferenza ovvero la didattica a distanza, ecc.).

In maniera analoga stiamo inoltre assistendo ad una sempre maggiore integrazione digitale di oggetti, dispositivi, sensori e beni di uso quotidiano che oramai fanno parte integrante della nostra vita quotidiana.

Svolta questa dovuta premessa, c’è a questo punto da domandarsi quale impatto avrà l’attuale rivoluzione tecnologica nel settore della proprietà intellettuale e, segnatamente, nell’ambito dei brevetti.

A nostro avviso gli attuali cambiamenti porteranno certamente giovamento al settore delle invenzioni; infatti, per quanto qui d’interesse, grazie al ruolo decisivo dell’intelligenza artificiale e internet of things, è lecito attendersi un considerevole incremento di depositi di brevetti cd. essenziali.

Come noto, i brevetti essenziali – vale a dire “Standard Essential Patent” (SEP) – sono brevetti che proteggono tecnologie appunto essenziali per l’implementazione di standard riconosciuti da organismi di normazione.

Tali brevetti sono già presenti nella nostra vita più di quanto noi immaginiamo, ed infatti li usiamo per chiamare o inviare messaggi con il nostro smartphone, per inviare file tramite e-mail, per ascoltare i brani della nostra playlist o semplicemente mentre guardiamo le serie TV preferite, seduti sul divano di casa.

Gli standard più noti ad oggi sono forse “Bluetooth”, “WiFi” e “5G”, ma come detto il compimento di una delle azioni di cui sopra coinvolge decine di standard a loro volta già protetti dai citati brevetti.

La Commissione Europea in una recente comunicazione dello scorso novembre rivolta al Parlamento Europeo ha evidenziato il ruolo cruciale dei brevetti essenziali nello sviluppo della tecnologia 5G e dell’Internet of Things, rilevando, ad esempio, che solo per gli standard di connettività mobile sono state dichiarate all'ETSI (l'Istituto Europeo delle norme di telecomunicazione) più di 25.000 famiglie di brevetti.

Nella medesima comunicazione la Commissione rilevava tuttavia le difficoltà che alcune imprese continuano ad incontrare nel trovare con i titolari dei brevetti essenziali un accordo sulla concessione di licenze e il conseguente crescente numero di controversie tra titolare e utilizzatore.

Come noto, infatti, un brevetto viene definito essenziale a seguito di una sorta di autodichiarazione del titolare che dichiara che il suo brevetto è appunto necessario ed essenziale per l’applicazione di uno standard e quindi, mediante tale dichiarazione, si rende disponibile a concederlo in licenza a chi intende utilizzare lo standard in questione a condizioni cd. “FRAND” (“Fair, Reasonable And Non-Discriminatory”), vale a dire a condizioni di licenza eque, ragionevoli e non discriminatorie.

Nella pratica accade quindi che il titolare di un brevetto essenziale, una volta accertata la presenza sul mercato di un prodotto che utilizza un certo standard, si rivolge al suo produttore o distributore per chiedere di sottoscrivere un contratto di licenza a condizioni “FRAND”.

Il soggetto utilizzatore a quel punto non ha altra scelta se non quella di accettare la licenza alle condizioni proposte dal titolare del brevetto; infatti, a differenza dei brevetti non essenziali dove evidentemente l’utilizzatore può ricercare soluzioni alternative che non violino il brevetto in questione, per i brevetti essenziali ciò non è possibile in quanto si tratta di standard utilizzati per conformarsi a norme tecniche su cui si basano milioni di prodotti e che consentono quindi l’interoperabilità degli stessi.

Inoltre, investire nello sviluppo di uno standard alternativo è assai oneroso (si pensi ad esempio allo sviluppo di un’alternativa allo standard “Bluetooth”), ma – anche assumendo lo sviluppo di uno standard alternativo - bisognerebbe poi convincere i consumatori a “passare” al nuovo standard, sostituendo i vecchi dispositivi con i nuovi.

Il rischio che una tale situazione possa provocare distorsioni del mercato e soprattutto abusi da parte dei titolari dei brevetti essenziali è quindi molto alto; i titolari dei brevetti essenziali possono infatti decidere le sorti di un prodotto di un determinato mercato in quanto vincolano tutti gli operatori dello stesso ad utilizzarlo a fronte del pagamento di una royalty.

Proprio al fine di contemperare gli interessi in gioco, la nota sentenza della Corte di Giustizia nel caso “Huawei v. ZTE” (C-170/13 del 16.07.2015) era intervenuta già nel 2015 per prevedere in capo al titolare dei brevetti essenziali una serie di obblighi, vale a dire, tra gli altri, a) l’obbligo di garantire sempre condizioni cd. FRAND in favore del potenziale licenziatario; b) l’obbligo del titolare del brevetto SEP di avvisare preventivamente l’utilizzatore dello standard protetto indicando il brevetto che sarebbe stato violato e specificando in quale modo sarebbe stato contraffatto e, in caso l’utilizzatore si rifiuti di collaborare, adire le autorità giudiziali.

In presenza di tali condizioni, ad opinione dei Giudici della Corte, non sussisterebbe da parte del titolare del brevetto essenziale alcun abuso di posizione dominante sul mercato sanzionabile ai sensi dell’art. 101 TFUE.

La realtà è però ben diversa in quanto i titolari dei brevetti essenziali continuano ad avere un eccessivo potere negoziale nei confronti dell’utilizzatore dello standard protetto. Infatti, come detto, l’essenzialità o meno di un brevetto dipende da un’autodichiarazione resa dallo stesso titolare del brevetto che peraltro fonda “de facto” una presunzione di essenzialità del brevetto; tale circostanza agevola ulteriormente i titolari nei giudizi in quanto l’onere della prova viene posto a carico del presunto contraffattore che dovrà dimostrare la non interferenza o la non essenzialità.

Aggiungasi che ad oggi non esistono norme a protezione della parte debole, vale a dire l’utilizzatore del brevetto essenziale, ed infatti non vi sono ad esempio parametri di riferimento che definiscano con chiarezza le condizioni eque, ragionevoli e non discriminatorie. In altri termini, l’utilizzatore non è quindi in grado di verificare se le condizioni proposte dal titolare siano effettivamente “FRAND” e quindi ha due opzioni: accettare tali condizioni o ribellarsi e intraprendere un contenzioso nei confronti del titolare.

Malgrado la questione dei brevetti essenziali sia stata oggetto di diverse pronunce negli anni e di specifici richiami da parte della Commissione Europea, diverse questioni restano ancora aperte e necessitano di un immediato intervento da parte del legislatore sia per rafforzare la certezza giuridica sia per ridurre il crescente numero di controversie in materia.

Ad avviso di chi scrive appare ad esempio necessario creare ed istituire un organo indipendente in grado di verificare a priori il carattere essenziale di un brevetto prima che esso venga protetto, nonché prevedere norme specifiche, efficaci ed eque che regolino la concessione di licenze per brevetti essenziali.

Peraltro, in ragione della rivoluzione tecnologica in atto e del conseguente crescente utilizzo di tali brevetti, è auspicabile che tali riforme siano portate a compimento in tempi rapidi.


Facebook ancora nel mirino dell’AGCM: una sanzione pecuniaria può essere la soluzione?

Il 17 febbraio 2021 l’Autorità garante della concorrenza e del mercato (“AGCM”) ha irrogato una sanzione pari a 7 milioni di euro nei confronti di Facebook Ireland e della sua controllante Facebook Inc. per non aver ottemperato ad un precedente provvedimento, sempre dell’AGCM, del 29 novembre 2018 in virtù del quale la società di Menlo Park era già stata condannata al pagamento di una sanzione pecuniaria da 5 milioni di euro per non aver informato i propri utenti che i loro dati personali sarebbero stati utilizzati per scopi commerciali.

Tale ulteriore provvedimento, che non rappresenta altro che “la sanzione della sanzione”, ci induce necessariamente a riflettere sulla reale forza coercitiva delle sanzioni pecuniarie emesse dall’AGCM, oltre che sulla scelta di quest’ultima di insistere con sanzioni analoghe a quelle già emesse nel 2018 nonostante l’accertata inosservanza – e quindi inefficacia - delle stesse (di questo argomento ne avevamo già parlato in un nostro precedente articolo, disponibile qui).

Che forse sia quindi giunto il momento di riadattare il contenuto e la portata dei provvedimenti sanzionatori a tutela del mercato e della libera concorrenza, specialmente quando rivolti ai giganti del web? Si potrebbe, ad esempio, ipotizzare un provvedimento dell’Autorità che blocchi temporaneamente i servizi online offerti sino a quando la società non regolarizzi la propria posizione? O alla rimozione temporanea di un’applicazione dall’App/Play Store con conseguente impossibilità, per la società, di acquisire nuovi utenti? O, ancora, a sanzioni pecuniarie proporzionate al fatturato totale annuo di una società o del suo gruppo (in stile, “GDPR”)?

Ad avviso di chi scrive, una soluzione concreta non può che risiedere nel corretto bilanciamento degli interessi in gioco: da un lato, quelli privati delle multinazionali che tramite i loro social network acquisiscono una enorme quantità di dati personali (e, quindi, di “denaro”); dall’altro, quelli degli utenti del web che utilizzano quotidianamente le principali piattaforme social, spesso non solo per “svago” ma anche per ragioni professionali e di business.


Garante Privacy e attività ispettiva 2021: tra gennaio e giugno nel mirino i dati biometrici, videosorveglianza, food delivery e data breach

Il Garante Privacy ha definito il perimetro dell’attività ispettiva programmata per i primi sei mesi del 2021. Si tratta di n. 50 accertamenti che saranno condotti anche mediante delega alla Guardia di Finanza e che si concentreranno sulla verifica del rispetto della normativa privacy vigente relativa ai seguenti profili di interesse generale:

  1. trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
  2. trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);
  3. trattamenti di dati personali effettuati da "data broker”;
  4. trattamenti di dati personali effettuati dalle società che operano nel settore denominato “Food Delivery”;
  5. data breach.

Da tale elenco emergono due grandi novità: quest’anno, infatti, il Garante Privacy estenderà le proprie verifiche anche ai trattamenti di dati biometrici, nonché a quelli effettuati mediante sistemi di videosorveglianza. Due settori disciplinati non solo dal GDPR e dal Codice Privacy bensì anche da diverse linee guida ed altre norme di legge, oltre che da numerosa giurisprudenza.

Si pensi, solo per fare degli esempi, alle Linee Guida del Garante Privacy in materia di riconoscimento biometrico e firma grafometrica del 2014, al rinnovato art. 4 della L. 300/1970 e alla Circolare n. 5/2018 dell’Ispettorato nazionale del Lavoro, al Provvedimento del Garante Privacy in materia di videosorveglianza del 2010 ed alle recenti FAQ sulla videosorveglianza del 5 dicembre 2020, alla giurisprudenza nazionale e comunitaria in tema di controllo dei lavoratori e controlli cd. “difensivi”, al Parere n. 2/2017 dell’ex Gruppo di lavoro ex art. 29 (“Opinion 2/2017 on data processing at work”) nonché alle Linee Guida n. 3/2019 del Comitato Europeo (EDPB) sul trattamento dei dati attraverso dispositivi video.

Quanto appena detto induce a riflettere in merito alla corretta e non agevole operazione di individuazione degli adempimenti privacy cui sono chiamati i titolari e i responsabili del trattamento – i.e. gli operatori economici; infatti, soprattutto prima di intraprendere un’attività di trattamento di dati personali biometrici o mediante sistemi di videosorveglianza è necessario chiarire le circostanze del caso concreto (individuando le finalità del trattamento, le misure di sicurezza da adottare, il coinvolgimento di eventuali terzi provider, ecc.) al fine di poter predisporre correttamente la documentazione privacy  prevista dalle molteplici norme in materia (possibilmente con l’ausilio di professionisti specializzati).

Sarà quindi interessante analizzare gli esiti dell’attività ispettiva del Garante al fine di comprendere quale sarà, a distanza di tre anni dall’entrata in vigore del GDPR, il livello di compliance ritenuto “accettabile” dall’Autorità e quale sia quello realmente raggiunto dalle imprese che operano nel nostro Paese e che hanno a che fare con il trattamento di categorie particolari di dati personali e con sistemi di videosorveglianza.

Va da sé che gli adempimenti privacy in materia di trattamento di dati biometrici o mediante sistemi di videosorveglianza si sommano a quelli generalmente previsti per il trattamento dei dati personali; pertanto, al fine di raggiungere una piena compliance alla normativa privacy vigente occorre non solo regolamentare i particolari settori della propria attività di business (quali, ad esempio, la videosorveglianza o la biometria) bensì adottare (o meglio, aver già adottato) una solida struttura privacy interna che sia in grado di dimostrare alle autorità, in caso di eventuali ispezioni, che i trattamenti di dati personali effettuati rispettano pienamente quanto previsto dalla legge.

Proprio con particolare riferimento alla videosorveglianza, ricordiamo che il nostro Studio ha elaborato e pubblicato sul proprio sito web un rapido ed utile Vademecum per l’installazione di impianti videosorveglianza, aggiornato alle più recenti novità normative italiane ed europee. È possibile consultare il Vademecum qui.


Caso Sixthcontinent: le piattaforme e-commerce sono in grado di “soddisfare” il legittimo affidamento degli utenti?

Il 18 gennaio 2021 l’Autorità Garante della concorrenza e del mercato (AGCM) ha reso noto di aver irrogato una sanzione di 1 milione di euro alla piattaforma digitale “Sixthcontinent” per aver congelato, senza alcun preavviso e arbitrariamente, la facoltà per i consumatori di utilizzare i prodotti, gli importi e le altre utilità acquistate o conseguite sulla piattaforma stessa compresi, per quanto qui d’interesse, i crediti accumulati in virtù degli acquisti effettuati.

Sixthcontinent è innanzitutto una piattaforma e-commerce: l’utente registrato compra su tale piattaforma shopping card grazie alle quali può successivamente effettuare acquisti online o direttamente presso i negozi fisici. Per ogni nuovo acquisto effettuato mediante una shopping card, l’utente ottiene dei bonus che può utilizzare al posto della moneta reale per acquistare ulteriori shopping card, ottenendo in questo modo un considerevole risparmio. La piattaforma in questione funge inoltre anche da social network, poiché consente agli utenti di interagire tra di loro e di trarre vantaggio dai loro rapporti sociali virtuali. Infatti, gli utenti ottengono punti, anch’essi spendibili in acquisti, se introducono la piattaforma a nuovi iscritti, oppure quando soggetti a loro collegati (secondo un meccanismo analogo a quello delle “amicizie” su Facebook) effettuano acquisti su tale piattaforma.

L’idea che sta alla base di questo business è dunque quella di trarre vantaggio proprio dalla comunità, in questo caso virtuale, accumulando punti e crediti e risparmiando quindi sull’acquisto anche di beni di prima necessità, come alimentari e carburante.

In buona sostanza, il contratto che viene sottoscritto tra la piattaforma e l’utente all’atto dell’iscrizione prevede da una parte, (in capo all’utente), l’impegno di introdurre la piattaforma a più soggetti possibili, e dall’altra, quella della piattaforma, quello di offrire agli utenti un ambiente virtuale in cui sia possibile risparmiare dagli acquisti effettuati.

È proprio sul ruolo che assume la piattaforma e sul rapporto che essa va ad instaurare con ciascun consumatore che bisogna qui soffermarsi. Infatti, dal momento che tali piattaforme si propongono come strumenti di risparmio e vantaggi nell’acquisto di beni di uso quotidiano e che trovano nella larga adesione degli utenti la loro forza (nel caso di Sixthcontinent, si tratta di diversi milioni di utenti in tutto il mondo), si può affermare che esse creano un affidamento nel pubblico di utenti che è meritevole di tutela.

Maggiore è l’utilizzo della piattaforma da parte dall’utente (si pensi alla necessità di acquistare beni di prima necessità durante i periodi di lockdown), maggiore è l’aspettativa creata in capo allo stesso.

Come detto, in pochi giorni la piattaforma Sitxhcontinent ha difatti reso inutilizzabili le shopping card, imponendo inoltre agli utenti di accettare un rimborso in “punti” anziché in denaro. La condotta tenuta dalla piattaforma Sixthcontinent è assimilabile a quella di una banca che, di punto in bianco, decida di impedire ai correntisti di prelevare il proprio denaro o di eseguire pagamenti dal proprio conto.

Per buona parte del provvedimento l’AGCM condanna la piattaforma in questione per aver illegittimamente imposto nei confronti del consumatore il rimborso sotto forma di “punti”, senza dunque aver lasciato a quest’ultimo la facoltà di poter scegliere liberamente la modalità di ricezione del suo credito.

Come noto, questa condotta non è in linea con le norme del codice del consumo e non è di certo la prima volta che l’AGCM si trova a dover sanzionare tale tipologia di condotta di una piattaforma e-commerce.

C’è però un ulteriore aspetto che sembra potersi ricavare dal provvedimento in questione e cioè l’intenzione della stessa autorità di voler sanzionare la condotta ingannevole posta in essere dalla piattaforma nel prospettare agli utenti la pretesa convenienza dell’adesione alla community e alle varie offerte, salvo poi procedere al blocco ingiustificato della stessa piattaforma.

In altri termini, il provvedimento sanzionatorio dell’AGCM sopra citato sembra voler mettere in luce l’esistenza di una vera e propria responsabilità della piattaforma online verso gli utenti registrati, nel momento in cui si propone come ambiente virtuale dove è possibile, anche grazie alle interazioni tra gli utenti iscritti, acquistare beni di prima necessità ad un minor prezzo.

La piattaforma che rivolge al pubblico un’offerta di questo tipo crea negli utenti una legittima aspettativa a poter fruire della piattaforma stessa in sicurezza e con continuità, specie per quegli acquisti socialmente più “sensibili” perché essenziali alla vita quotidiana. Di conseguenza, il provvedimento in esame intende affermare che vi è lesione di tale aspettativa qualora il servizio offerto mediante la piattaforma venga improvvisamente ed arbitrariamente interrotto.

Quanto detto ci induce dunque a riflettere su due aspetti rilevanti.

In primo luogo, è ragionevole sostenere l’esistenza di un impegno latu sensu pubblico (oltre che contrattuale) che una piattaforma e-commerce assume nei confronti di ogni utente iscritto e che non può essere disatteso arbitrariamente e senza alcun preavviso, al pari di un qualsivoglia contratto sottoscritto tra le parti (in questo caso firmato tra le parti online).

Dall’altra parte, è ragionevole di conseguenza affermare che una prestazione continuativa di servizi offerti online, al pari di qualsiasi altro servizio, sia in grado di creare un’aspettativa e un legittimo affidamento verso la collettività/utenti registrati, che in quanto tale può essere protetto e fatto valere tramite gli strumenti civilistici e amministrativi offerti dall’ordinamento.


Accordo UE - Regno Unito (cd. “Brexit”): la nascita del “marchio equiparabile”

Come noto, in data 24 dicembre 2020 l’Unione Europea e il Regno Unito hanno raggiunto un accordo per la disciplina delle loro future relazioni commerciali a seguito della “Brexit”.

Tale accordo sancisce la definitiva separazione dell’ordinamento giuridico britannico da quello europeo, con la conseguenza che a decorrere dalla sua entrata in vigore (i.e. 1 gennaio 2021, cioè la fine del periodo di transizione) non si applicheranno più al Regno Unito le norme di diritto europeo, comprese quelle relative ai diritti di proprietà intellettuale e industriale.

Al fine di garantire una transizione ordinata verso il nuovo regime giuridico, la Commissione Europea ha quindi pubblicato una serie di “Notices of Withdrawal” (relativi ai principali settori dell’economia europea) nei quali vengono illustrate le principali conseguenze pratiche per i titolari dei diritti di proprietà intellettuale e industriale.

In particolare, la Notice relativa ai marchi precisa, tra le altre cose, che il titolare di un marchio UE registrato prima del 1 gennaio 2021 diventerà automaticamente titolare di un “marchio equiparabile” nel Regno Unito, registrato e opponibile nel Regno Unito secondo il diritto di tale Stato.

Tale nozione di “marchio equiparabile” risulta nuova nel panorama dei diritti IP, in quanto specificamente introdotta per tutelare coloro che prima dell’intervenuto recesso del Regno Unito dall’Unione Europea avevano ottenuto la tutela del proprio marchio UE i cui effetti, in quel momento, si estendevano anche al territorio britannico.

Consapevole della novità di tale istituto giuridico, la Commissione Europea nella medesima Notice ha chiarito in particolare che tale marchio “equiparabile”:

      1. consiste nello stesso segno oggetto della registrazione UE;
      2. reca la stessa data di deposito o la stessa data di priorità del marchio UE e, se del caso, si avvale della preesistenza di un marchio del Regno Unito rivendicata dal titolare;
      3. consente al titolare del marchio UE divenuto notorio prima del 1 gennaio 2021 di esercitare nel Regno Unito diritti equivalenti;
      4. non può essere dichiarato decaduto in ragione del fatto che il marchio UE corrispondente non è stato oggetto di un uso effettivo nel territorio del Regno Unito prima della fine del periodo di transizione;
      5. viene dichiarato nullo o decaduto o annullato se il corrispondente marchio UE è stato oggetto di decisioni in tal senso in esito ad un procedimento amministrativo o giudiziario nell’Unione Europea che risultava ancora pendente prima del 1 gennaio 2021 (in data successiva alla “clonazione”).

Il Governo britannico ha confermato che sarà l’ufficio competente del Regno Unito a provvedere gratuitamente alla clonazione (“cloning”) del marchio UE nel Regno Unito, ove diverrà “marchio equiparabile”. Non è peraltro richiesto ai titolari dei marchi UE di presentare alcuna domanda, né di attivare alcuna procedura amministrativa nel Regno Unito, né di avere un recapito postale nel Regno Unito per i tre anni successivi alla fine del periodo di transizione.

Nonostante la puntuale descrizione delle caratteristiche principali del nuovo “marchio equiparabile”, sussistono – com’è inevitabile che sia – alcune incertezze relative all’applicazione concreta di tale istituto.

In particolare, desta perplessità la persistente dipendenza del “marchio equiparabile” rispetto alle vicende amministrative o giudiziarie europee (punto e) di cui sopra) che, in modo decisamente contraddittorio, parrebbe negare la più volte asserita autonomia del Regno Unito rispetto alle leggi e regole europee.

Evidentemente consapevoli dell’esistenza di tale contraddizione, la Notice precisa (in una mera nota a piè di pagina) che le parti hanno riconosciuto al Regno Unito il potere di non “dichiarare nullo o decaduto il corrispondente diritto nel suo territorio qualora i motivi di nullità o decadenza del marchio dell’Unione Europea … non si applichino nel Regno Unito”. Tramite questa nota sembra dunque che venga conferito al Regno Unito il potere di non conformarsi alle decisioni UE.

Non è tuttavia chiaro chi debba prevalere in questa “contesa”: l’esito invalidante del procedimento europeo oppure il potere britannico di negare gli effetti della decisione europea?

Inoltre, qualora il procedimento europeo - ancorché avviato prima della fine del periodo di transizione - dovesse durare diversi anni, come dovrebbe comportarsi il titolare del marchio “clonato” nel Regno Unito? Ed ancora, come si concilia l’esistenza del “marchio equiparabile” – contemporaneamente soggetto alla giurisdizione europea e a quella britannica – con il noto principio di territorialità applicabile al mondo dei marchi?

La situazione appare quindi incerta e chi scrive non esclude che ulteriori questioni relative al nuovo “marchio equiparabile” possano in futuro formare oggetto di accesa discussione da parte degli operatori del settore IP.

Il tema è dirimente perché riguarda non solo i diritti acquisiti (che il Governo britannico si è impegnato a tutelare), ma anche i futuri rapporti politici fra l’UE e il Regno Unito, ed è interessante a tal riguardo notare come anche una questione apparentemente innocua, relativa al diritto dei marchi, sveli la fragilità di un accordo formalmente commerciale ma nella sostanza prevalentemente politico.

Alla luce di tutto quanto sopra, sembra che l’UE e il Regno Unito abbiano scelto di percorrere la via più semplice per garantire ai titolari di marchi UE una transizione ordinata verso il nuovo regime giuridico imposto dalla Brexit; dall’altra parte, tale via pone diversi interrogativi di natura giuridica, alcuni dei quali anticipati sopra, che rendono ancora incerta l’applicazione concreta del nuovo marchio “ibrido britannico”.

Da ultimo, non si può neppure ignorare come tale nuovo istituto giuridico possa rappresentare un interessante precedente qualora altri Stati Membri decidano in futuro di abbandonare l’Unione Europea. In tal senso, ci troviamo di fronte ad un istituto senz’altro interessante sotto il profilo giuridico, ma potenzialmente “pericoloso” dal punto di vista politico e quindi da tenere monitorato attentamente negli anni a venire.


Vademecum per l'installazione di impianti di videosorveglianza

Aggiornato alle FAQ del Garante Privacy del 5 dicembre 2020 e alle Linee Guida 3/2019 dell’EDPB sul trattamento dei dati personali attraverso dispositivi video


REGOLE GENERALI

  1. Rispetto del principio di “minimizzazione dei dati”: il titolare del trattamento deve scegliere modalità di ripresa e dislocazione delle telecamere sulla base delle specifiche finalità perseguite e deve raccogliere e trattare solo i dati personali pertinenti e non eccedenti le finalità stesse.
  2. No alla preventiva autorizzazione del Garante Privacy per l’installazione di telecamere, ma valutazione autonoma del titolare in merito alla liceità ed alla proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento stesso, nonché dei rischi per i diritti e le libertà delle persone fisiche.
  1. Consegna dell’informativa privacy agli interessati: sia in forma breve (mediante l’apposizione di un apposito cartello ben visibile da coloro che transitano nella zona videosorvegliata – il cui modello è disponibile sul sito del Garante - https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9496244), nonché in forma estesa.
  1. Valutazione autonoma da parte del titolare dei tempi di conservazione delle immagini (nel rispetto del principio di “accountability”), tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Sono salve le specifiche previsioni di legge che determinano i tempi di conservazione delle immagini in circostanze particolari.
  1. DPIA obbligatoria quando sono utilizzate telecamere di nuova tecnologia o sistemi “integrati” e/o “intelligenti” (che, ad es., rilevano, registrano e segnalano automaticamente alle competenti autorità comportamenti o eventi anomali), in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (ad es. autostrade, grandi centri commerciali) e negli altri casi previsti dagli artt. 35 e 36 GDPR e dal provvedimento del Garante Privacy n. 467/2018.

 

SPECIFICI CONTESTI

 


POSTO DI LAVORO
(art. 4 L. 300/1970)

Finalità del trattamento: esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
Se con le telecamere il datore di lavoro può controllare a distanza l’attività dei lavoratori:

  • è necessario l’accordo con le RSA/RSU o la preventiva autorizzazione dell’Ispettorato nazionale del lavoro;
  • la DPIA è obbligatoria;
  • occorre predisporre policy interne per i lavoratori che descrivano in maniera chiara e trasparente le modalità di utilizzo degli strumenti di lavoro (pc, smartphone, ecc.) e gli eventuali controlli che il datore di lavoro potrà effettuare;
  • occorre rispettare gli obblighi privacy di cui al GDPR e al Codice Privacy.

***


PROPRIETÀ PRIVATA / ESERCIZI COMMERCIALI

Finalità del trattamento: monitoraggio e tutela della proprietà privata o di locali in cui è esercitata un’attività commerciale, prevenzione di furti e/o atti vandalici, ecc.
Condizioni specifiche da rispettare:

  • limitazione dell’angolo di ripresa ai soli spazi di propria esclusiva pertinenza, escludendo aree comuni (cortili, pianerottoli, ecc.) ovvero zone di pertinenza di soggetti terzi;
  • vietate le riprese di aree pubbliche o di pubblico passaggio;

 Se sono installate specifiche telecamere “casalinghe” (cd. “smart cam”) all’interno della propria abitazione è necessario:

  • informare eventuali lavoratori (colf, badanti, ecc.) della presenza delle telecamere;
  • evitare il monitoraggio di ambienti che ledano la dignità della persona (come i servizi igienici, gli spogliatoi, ecc.);
  • proteggere adeguatamente i dati acquisiti o acquisibili tramite le smart cam con idonee misure di sicurezza.

***


CONDOMINIO

Finalità del trattamento: monitoraggio e tutela della sicurezza delle parti comuni dell’edificio e in generale delle singole proprietà.
Condizioni specifiche da rispettare:

  • la preventiva delibera dell’assemblea condominiale ex art. 1136 c.c.;
  • il termine massimo di 7 giorni per la conservazione delle immagini raccolte (salve diverse comprovate esigenze).

***


CATEGORIE PARTICOLARI DI DATI
(ospedali e cliniche)

Finalità del trattamento: tutela della salute di pazienti, monitoraggio di particolari reparti ospedalieri, ecc.
Se le riprese sono effettuate per ricavare particolari categorie di dati (ad es. monitorare le condizioni di salute di un paziente) occorre:

  • verificare la sussistenza di una base giuridica del trattamento ex art. 9 GDPR (quale, ad es., assistenza o terapia sanitaria, garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria, ecc.);
  • prestare particolare attenzione in modo che la raccolta sia limitata ai soli dati necessari per le finalità perseguite (“minimizzazione”);
  • predisporre obbligatoriamente la DPIA se il trattamento dei dati relativi a pazienti, disabili, infermi di mente, minori e anziani non è occasionale;
  • monitorare costantemente le misure di sicurezza (sistemi di conservazione e accesso ai dati) applicate al trattamento.

***


CIRCOLAZIONE VEICOLI

Finalità del trattamento: accertamento e rilevazione infrazioni al codice della strada.
Condizioni specifiche da rispettare:

  • limitare la dislocazione e l’angolo di visuale delle riprese esclusivamente alle zone/aree necessarie per l’accertamento delle infrazioni;
  • eliminare/oscurare eventuali immagini raccolte non necessarie per le finalità perseguite (ad es. immagini di pedoni o altri utenti della strada, passeggeri a bordo del veicolo, ecc.);
  • predisporre obbligatoriamente la DPIA se il trattamento dei dati avviene su larga scala (es. autostrade) per monitorare il comportamento di guida dei conducenti.

***


DISCARICHE COMUNALI
 

Finalità del trattamento: controllo e monitoraggio delle discariche di sostanze pericolose e delle "eco piazzole" (verifica della tipologia dei rifiuti scaricati, dell’orario di deposito, ecc.).
Limitazioni:

  • il monitoraggio è consentito solo ad un ente pubblico (no privati);
  • il monitoraggio è consentito solo se non risulta possibile, o si rivela non efficace, il ricorso a strumenti e sistemi di controllo alternativi.

***


ISTITUTI SCOLASTICI

Finalità del trattamento: tutela dell’edificio, dei beni scolastici ivi presenti, del personale e degli alunni, protezione da atti vandalici, ecc.
Condizioni specifiche da rispettare:

  • le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche;
  • se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato.

***


SICUREZZA URBANA

Finalità del trattamento: tutela della sicurezza urbana in luoghi pubblici o aperti al pubblico.
Condizioni specifiche da rispettare:

  • conservazione delle immagini per un massimo di 7 giorni  successivi  alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione (art. 6, co. 8, del D.L. 23/02/2009, n. 11)

***


RIPRESE DALL’ALTO

La normativa in materia di protezione dati non si applica al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente, come nel caso di riprese da alta quota (effettuate, ad esempio, mediante l’uso di droni o simili) o nel caso di fotocamere false e/o spente.