Garante Privacy e attività ispettiva 2021: tra gennaio e giugno nel mirino i dati biometrici, videosorveglianza, food delivery e data breach

Il Garante Privacy ha definito il perimetro dell’attività ispettiva programmata per i primi sei mesi del 2021. Si tratta di n. 50 accertamenti che saranno condotti anche mediante delega alla Guardia di Finanza e che si concentreranno sulla verifica del rispetto della normativa privacy vigente relativa ai seguenti profili di interesse generale:

  1. trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
  2. trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);
  3. trattamenti di dati personali effettuati da "data broker”;
  4. trattamenti di dati personali effettuati dalle società che operano nel settore denominato “Food Delivery”;
  5. data breach.

Da tale elenco emergono due grandi novità: quest’anno, infatti, il Garante Privacy estenderà le proprie verifiche anche ai trattamenti di dati biometrici, nonché a quelli effettuati mediante sistemi di videosorveglianza. Due settori disciplinati non solo dal GDPR e dal Codice Privacy bensì anche da diverse linee guida ed altre norme di legge, oltre che da numerosa giurisprudenza.

Si pensi, solo per fare degli esempi, alle Linee Guida del Garante Privacy in materia di riconoscimento biometrico e firma grafometrica del 2014, al rinnovato art. 4 della L. 300/1970 e alla Circolare n. 5/2018 dell’Ispettorato nazionale del Lavoro, al Provvedimento del Garante Privacy in materia di videosorveglianza del 2010 ed alle recenti FAQ sulla videosorveglianza del 5 dicembre 2020, alla giurisprudenza nazionale e comunitaria in tema di controllo dei lavoratori e controlli cd. “difensivi”, al Parere n. 2/2017 dell’ex Gruppo di lavoro ex art. 29 (“Opinion 2/2017 on data processing at work”) nonché alle Linee Guida n. 3/2019 del Comitato Europeo (EDPB) sul trattamento dei dati attraverso dispositivi video.

Quanto appena detto induce a riflettere in merito alla corretta e non agevole operazione di individuazione degli adempimenti privacy cui sono chiamati i titolari e i responsabili del trattamento – i.e. gli operatori economici; infatti, soprattutto prima di intraprendere un’attività di trattamento di dati personali biometrici o mediante sistemi di videosorveglianza è necessario chiarire le circostanze del caso concreto (individuando le finalità del trattamento, le misure di sicurezza da adottare, il coinvolgimento di eventuali terzi provider, ecc.) al fine di poter predisporre correttamente la documentazione privacy  prevista dalle molteplici norme in materia (possibilmente con l’ausilio di professionisti specializzati).

Sarà quindi interessante analizzare gli esiti dell’attività ispettiva del Garante al fine di comprendere quale sarà, a distanza di tre anni dall’entrata in vigore del GDPR, il livello di compliance ritenuto “accettabile” dall’Autorità e quale sia quello realmente raggiunto dalle imprese che operano nel nostro Paese e che hanno a che fare con il trattamento di categorie particolari di dati personali e con sistemi di videosorveglianza.

Va da sé che gli adempimenti privacy in materia di trattamento di dati biometrici o mediante sistemi di videosorveglianza si sommano a quelli generalmente previsti per il trattamento dei dati personali; pertanto, al fine di raggiungere una piena compliance alla normativa privacy vigente occorre non solo regolamentare i particolari settori della propria attività di business (quali, ad esempio, la videosorveglianza o la biometria) bensì adottare (o meglio, aver già adottato) una solida struttura privacy interna che sia in grado di dimostrare alle autorità, in caso di eventuali ispezioni, che i trattamenti di dati personali effettuati rispettano pienamente quanto previsto dalla legge.

Proprio con particolare riferimento alla videosorveglianza, ricordiamo che il nostro Studio ha elaborato e pubblicato sul proprio sito web un rapido ed utile Vademecum per l’installazione di impianti videosorveglianza, aggiornato alle più recenti novità normative italiane ed europee. È possibile consultare il Vademecum qui.

by Insight

Caso Sixthcontinent: le piattaforme e-commerce sono in grado di “soddisfare” il legittimo affidamento degli utenti?

Il 18 gennaio 2021 l’Autorità Garante della concorrenza e del mercato (AGCM) ha reso noto di aver irrogato una sanzione di 1 milione di euro alla piattaforma digitale “Sixthcontinent” per aver congelato, senza alcun preavviso e arbitrariamente, la facoltà per i consumatori di utilizzare i prodotti, gli importi e le altre utilità acquistate o conseguite sulla piattaforma stessa compresi, per quanto qui d’interesse, i crediti accumulati in virtù degli acquisti effettuati.

Sixthcontinent è innanzitutto una piattaforma e-commerce: l’utente registrato compra su tale piattaforma shopping card grazie alle quali può successivamente effettuare acquisti online o direttamente presso i negozi fisici. Per ogni nuovo acquisto effettuato mediante una shopping card, l’utente ottiene dei bonus che può utilizzare al posto della moneta reale per acquistare ulteriori shopping card, ottenendo in questo modo un considerevole risparmio. La piattaforma in questione funge inoltre anche da social network, poiché consente agli utenti di interagire tra di loro e di trarre vantaggio dai loro rapporti sociali virtuali. Infatti, gli utenti ottengono punti, anch’essi spendibili in acquisti, se introducono la piattaforma a nuovi iscritti, oppure quando soggetti a loro collegati (secondo un meccanismo analogo a quello delle “amicizie” su Facebook) effettuano acquisti su tale piattaforma.

L’idea che sta alla base di questo business è dunque quella di trarre vantaggio proprio dalla comunità, in questo caso virtuale, accumulando punti e crediti e risparmiando quindi sull’acquisto anche di beni di prima necessità, come alimentari e carburante.

In buona sostanza, il contratto che viene sottoscritto tra la piattaforma e l’utente all’atto dell’iscrizione prevede da una parte, (in capo all’utente), l’impegno di introdurre la piattaforma a più soggetti possibili, e dall’altra, quella della piattaforma, quello di offrire agli utenti un ambiente virtuale in cui sia possibile risparmiare dagli acquisti effettuati.

È proprio sul ruolo che assume la piattaforma e sul rapporto che essa va ad instaurare con ciascun consumatore che bisogna qui soffermarsi. Infatti, dal momento che tali piattaforme si propongono come strumenti di risparmio e vantaggi nell’acquisto di beni di uso quotidiano e che trovano nella larga adesione degli utenti la loro forza (nel caso di Sixthcontinent, si tratta di diversi milioni di utenti in tutto il mondo), si può affermare che esse creano un affidamento nel pubblico di utenti che è meritevole di tutela.

Maggiore è l’utilizzo della piattaforma da parte dall’utente (si pensi alla necessità di acquistare beni di prima necessità durante i periodi di lockdown), maggiore è l’aspettativa creata in capo allo stesso.

Come detto, in pochi giorni la piattaforma Sitxhcontinent ha difatti reso inutilizzabili le shopping card, imponendo inoltre agli utenti di accettare un rimborso in “punti” anziché in denaro. La condotta tenuta dalla piattaforma Sixthcontinent è assimilabile a quella di una banca che, di punto in bianco, decida di impedire ai correntisti di prelevare il proprio denaro o di eseguire pagamenti dal proprio conto.

Per buona parte del provvedimento l’AGCM condanna la piattaforma in questione per aver illegittimamente imposto nei confronti del consumatore il rimborso sotto forma di “punti”, senza dunque aver lasciato a quest’ultimo la facoltà di poter scegliere liberamente la modalità di ricezione del suo credito.

Come noto, questa condotta non è in linea con le norme del codice del consumo e non è di certo la prima volta che l’AGCM si trova a dover sanzionare tale tipologia di condotta di una piattaforma e-commerce.

C’è però un ulteriore aspetto che sembra potersi ricavare dal provvedimento in questione e cioè l’intenzione della stessa autorità di voler sanzionare la condotta ingannevole posta in essere dalla piattaforma nel prospettare agli utenti la pretesa convenienza dell’adesione alla community e alle varie offerte, salvo poi procedere al blocco ingiustificato della stessa piattaforma.

In altri termini, il provvedimento sanzionatorio dell’AGCM sopra citato sembra voler mettere in luce l’esistenza di una vera e propria responsabilità della piattaforma online verso gli utenti registrati, nel momento in cui si propone come ambiente virtuale dove è possibile, anche grazie alle interazioni tra gli utenti iscritti, acquistare beni di prima necessità ad un minor prezzo.

La piattaforma che rivolge al pubblico un’offerta di questo tipo crea negli utenti una legittima aspettativa a poter fruire della piattaforma stessa in sicurezza e con continuità, specie per quegli acquisti socialmente più “sensibili” perché essenziali alla vita quotidiana. Di conseguenza, il provvedimento in esame intende affermare che vi è lesione di tale aspettativa qualora il servizio offerto mediante la piattaforma venga improvvisamente ed arbitrariamente interrotto.

Quanto detto ci induce dunque a riflettere su due aspetti rilevanti.

In primo luogo, è ragionevole sostenere l’esistenza di un impegno latu sensu pubblico (oltre che contrattuale) che una piattaforma e-commerce assume nei confronti di ogni utente iscritto e che non può essere disatteso arbitrariamente e senza alcun preavviso, al pari di un qualsivoglia contratto sottoscritto tra le parti (in questo caso firmato tra le parti online).

Dall’altra parte, è ragionevole di conseguenza affermare che una prestazione continuativa di servizi offerti online, al pari di qualsiasi altro servizio, sia in grado di creare un’aspettativa e un legittimo affidamento verso la collettività/utenti registrati, che in quanto tale può essere protetto e fatto valere tramite gli strumenti civilistici e amministrativi offerti dall’ordinamento.

by Insight

Accordo UE - Regno Unito (cd. “Brexit”): la nascita del “marchio equiparabile”

Come noto, in data 24 dicembre 2020 l’Unione Europea e il Regno Unito hanno raggiunto un accordo per la disciplina delle loro future relazioni commerciali a seguito della “Brexit”.

Tale accordo sancisce la definitiva separazione dell’ordinamento giuridico britannico da quello europeo, con la conseguenza che a decorrere dalla sua entrata in vigore (i.e. 1 gennaio 2021, cioè la fine del periodo di transizione) non si applicheranno più al Regno Unito le norme di diritto europeo, comprese quelle relative ai diritti di proprietà intellettuale e industriale.

Al fine di garantire una transizione ordinata verso il nuovo regime giuridico, la Commissione Europea ha quindi pubblicato una serie di “Notices of Withdrawal” (relativi ai principali settori dell’economia europea) nei quali vengono illustrate le principali conseguenze pratiche per i titolari dei diritti di proprietà intellettuale e industriale.

In particolare, la Notice relativa ai marchi precisa, tra le altre cose, che il titolare di un marchio UE registrato prima del 1 gennaio 2021 diventerà automaticamente titolare di un “marchio equiparabile” nel Regno Unito, registrato e opponibile nel Regno Unito secondo il diritto di tale Stato.

Tale nozione di “marchio equiparabile” risulta nuova nel panorama dei diritti IP, in quanto specificamente introdotta per tutelare coloro che prima dell’intervenuto recesso del Regno Unito dall’Unione Europea avevano ottenuto la tutela del proprio marchio UE i cui effetti, in quel momento, si estendevano anche al territorio britannico.

Consapevole della novità di tale istituto giuridico, la Commissione Europea nella medesima Notice ha chiarito in particolare che tale marchio “equiparabile”:

      1. consiste nello stesso segno oggetto della registrazione UE;
      2. reca la stessa data di deposito o la stessa data di priorità del marchio UE e, se del caso, si avvale della preesistenza di un marchio del Regno Unito rivendicata dal titolare;
      3. consente al titolare del marchio UE divenuto notorio prima del 1 gennaio 2021 di esercitare nel Regno Unito diritti equivalenti;
      4. non può essere dichiarato decaduto in ragione del fatto che il marchio UE corrispondente non è stato oggetto di un uso effettivo nel territorio del Regno Unito prima della fine del periodo di transizione;
      5. viene dichiarato nullo o decaduto o annullato se il corrispondente marchio UE è stato oggetto di decisioni in tal senso in esito ad un procedimento amministrativo o giudiziario nell’Unione Europea che risultava ancora pendente prima del 1 gennaio 2021 (in data successiva alla “clonazione”).

Il Governo britannico ha confermato che sarà l’ufficio competente del Regno Unito a provvedere gratuitamente alla clonazione (“cloning”) del marchio UE nel Regno Unito, ove diverrà “marchio equiparabile”. Non è peraltro richiesto ai titolari dei marchi UE di presentare alcuna domanda, né di attivare alcuna procedura amministrativa nel Regno Unito, né di avere un recapito postale nel Regno Unito per i tre anni successivi alla fine del periodo di transizione.

Nonostante la puntuale descrizione delle caratteristiche principali del nuovo “marchio equiparabile”, sussistono – com’è inevitabile che sia – alcune incertezze relative all’applicazione concreta di tale istituto.

In particolare, desta perplessità la persistente dipendenza del “marchio equiparabile” rispetto alle vicende amministrative o giudiziarie europee (punto e) di cui sopra) che, in modo decisamente contraddittorio, parrebbe negare la più volte asserita autonomia del Regno Unito rispetto alle leggi e regole europee.

Evidentemente consapevoli dell’esistenza di tale contraddizione, la Notice precisa (in una mera nota a piè di pagina) che le parti hanno riconosciuto al Regno Unito il potere di non “dichiarare nullo o decaduto il corrispondente diritto nel suo territorio qualora i motivi di nullità o decadenza del marchio dell’Unione Europea … non si applichino nel Regno Unito”. Tramite questa nota sembra dunque che venga conferito al Regno Unito il potere di non conformarsi alle decisioni UE.

Non è tuttavia chiaro chi debba prevalere in questa “contesa”: l’esito invalidante del procedimento europeo oppure il potere britannico di negare gli effetti della decisione europea?

Inoltre, qualora il procedimento europeo - ancorché avviato prima della fine del periodo di transizione - dovesse durare diversi anni, come dovrebbe comportarsi il titolare del marchio “clonato” nel Regno Unito? Ed ancora, come si concilia l’esistenza del “marchio equiparabile” – contemporaneamente soggetto alla giurisdizione europea e a quella britannica – con il noto principio di territorialità applicabile al mondo dei marchi?

La situazione appare quindi incerta e chi scrive non esclude che ulteriori questioni relative al nuovo “marchio equiparabile” possano in futuro formare oggetto di accesa discussione da parte degli operatori del settore IP.

Il tema è dirimente perché riguarda non solo i diritti acquisiti (che il Governo britannico si è impegnato a tutelare), ma anche i futuri rapporti politici fra l’UE e il Regno Unito, ed è interessante a tal riguardo notare come anche una questione apparentemente innocua, relativa al diritto dei marchi, sveli la fragilità di un accordo formalmente commerciale ma nella sostanza prevalentemente politico.

Alla luce di tutto quanto sopra, sembra che l’UE e il Regno Unito abbiano scelto di percorrere la via più semplice per garantire ai titolari di marchi UE una transizione ordinata verso il nuovo regime giuridico imposto dalla Brexit; dall’altra parte, tale via pone diversi interrogativi di natura giuridica, alcuni dei quali anticipati sopra, che rendono ancora incerta l’applicazione concreta del nuovo marchio “ibrido britannico”.

Da ultimo, non si può neppure ignorare come tale nuovo istituto giuridico possa rappresentare un interessante precedente qualora altri Stati Membri decidano in futuro di abbandonare l’Unione Europea. In tal senso, ci troviamo di fronte ad un istituto senz’altro interessante sotto il profilo giuridico, ma potenzialmente “pericoloso” dal punto di vista politico e quindi da tenere monitorato attentamente negli anni a venire.

by Insight

Vademecum per l'installazione di impianti di videosorveglianza

Aggiornato alle FAQ del Garante Privacy del 5 dicembre 2020 e alle Linee Guida 3/2019 dell’EDPB sul trattamento dei dati personali attraverso dispositivi video

REGOLE GENERALI

  1. Rispetto del principio di “minimizzazione dei dati”: il titolare del trattamento deve scegliere modalità di ripresa e dislocazione delle telecamere sulla base delle specifiche finalità perseguite e deve raccogliere e trattare solo i dati personali pertinenti e non eccedenti le finalità stesse.
  2. No alla preventiva autorizzazione del Garante Privacy per l’installazione di telecamere, ma valutazione autonoma del titolare in merito alla liceità ed alla proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento stesso, nonché dei rischi per i diritti e le libertà delle persone fisiche.
  1. Consegna dell’informativa privacy agli interessati: sia in forma breve (mediante l’apposizione di un apposito cartello ben visibile da coloro che transitano nella zona videosorvegliata – il cui modello è disponibile sul sito del Garante - https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9496244), nonché in forma estesa.
  1. Valutazione autonoma da parte del titolare dei tempi di conservazione delle immagini (nel rispetto del principio di “accountability”), tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Sono salve le specifiche previsioni di legge che determinano i tempi di conservazione delle immagini in circostanze particolari.
  1. DPIA obbligatoria quando sono utilizzate telecamere di nuova tecnologia o sistemi “integrati” e/o “intelligenti” (che, ad es., rilevano, registrano e segnalano automaticamente alle competenti autorità comportamenti o eventi anomali), in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (ad es. autostrade, grandi centri commerciali) e negli altri casi previsti dagli artt. 35 e 36 GDPR e dal provvedimento del Garante Privacy n. 467/2018.

 

SPECIFICI CONTESTI

 


POSTO DI LAVORO
(art. 4 L. 300/1970)

Finalità del trattamento: esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
Se con le telecamere il datore di lavoro può controllare a distanza l’attività dei lavoratori:

  • è necessario l’accordo con le RSA/RSU o la preventiva autorizzazione dell’Ispettorato nazionale del lavoro;
  • la DPIA è obbligatoria;
  • occorre predisporre policy interne per i lavoratori che descrivano in maniera chiara e trasparente le modalità di utilizzo degli strumenti di lavoro (pc, smartphone, ecc.) e gli eventuali controlli che il datore di lavoro potrà effettuare;
  • occorre rispettare gli obblighi privacy di cui al GDPR e al Codice Privacy.

***


PROPRIETÀ PRIVATA / ESERCIZI COMMERCIALI

Finalità del trattamento: monitoraggio e tutela della proprietà privata o di locali in cui è esercitata un’attività commerciale, prevenzione di furti e/o atti vandalici, ecc.
Condizioni specifiche da rispettare:

  • limitazione dell’angolo di ripresa ai soli spazi di propria esclusiva pertinenza, escludendo aree comuni (cortili, pianerottoli, ecc.) ovvero zone di pertinenza di soggetti terzi;
  • vietate le riprese di aree pubbliche o di pubblico passaggio;

 Se sono installate specifiche telecamere “casalinghe” (cd. “smart cam”) all’interno della propria abitazione è necessario:

  • informare eventuali lavoratori (colf, badanti, ecc.) della presenza delle telecamere;
  • evitare il monitoraggio di ambienti che ledano la dignità della persona (come i servizi igienici, gli spogliatoi, ecc.);
  • proteggere adeguatamente i dati acquisiti o acquisibili tramite le smart cam con idonee misure di sicurezza.

***


CONDOMINIO

Finalità del trattamento: monitoraggio e tutela della sicurezza delle parti comuni dell’edificio e in generale delle singole proprietà.
Condizioni specifiche da rispettare:

  • la preventiva delibera dell’assemblea condominiale ex art. 1136 c.c.;
  • il termine massimo di 7 giorni per la conservazione delle immagini raccolte (salve diverse comprovate esigenze).

***


CATEGORIE PARTICOLARI DI DATI
(ospedali e cliniche)

Finalità del trattamento: tutela della salute di pazienti, monitoraggio di particolari reparti ospedalieri, ecc.
Se le riprese sono effettuate per ricavare particolari categorie di dati (ad es. monitorare le condizioni di salute di un paziente) occorre:

  • verificare la sussistenza di una base giuridica del trattamento ex art. 9 GDPR (quale, ad es., assistenza o terapia sanitaria, garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria, ecc.);
  • prestare particolare attenzione in modo che la raccolta sia limitata ai soli dati necessari per le finalità perseguite (“minimizzazione”);
  • predisporre obbligatoriamente la DPIA se il trattamento dei dati relativi a pazienti, disabili, infermi di mente, minori e anziani non è occasionale;
  • monitorare costantemente le misure di sicurezza (sistemi di conservazione e accesso ai dati) applicate al trattamento.

***


CIRCOLAZIONE VEICOLI

Finalità del trattamento: accertamento e rilevazione infrazioni al codice della strada.
Condizioni specifiche da rispettare:

  • limitare la dislocazione e l’angolo di visuale delle riprese esclusivamente alle zone/aree necessarie per l’accertamento delle infrazioni;
  • eliminare/oscurare eventuali immagini raccolte non necessarie per le finalità perseguite (ad es. immagini di pedoni o altri utenti della strada, passeggeri a bordo del veicolo, ecc.);
  • predisporre obbligatoriamente la DPIA se il trattamento dei dati avviene su larga scala (es. autostrade) per monitorare il comportamento di guida dei conducenti.

***


DISCARICHE COMUNALI 

Finalità del trattamento: controllo e monitoraggio delle discariche di sostanze pericolose e delle "eco piazzole" (verifica della tipologia dei rifiuti scaricati, dell’orario di deposito, ecc.).
Limitazioni:

  • il monitoraggio è consentito solo ad un ente pubblico (no privati);
  • il monitoraggio è consentito solo se non risulta possibile, o si rivela non efficace, il ricorso a strumenti e sistemi di controllo alternativi.

***


ISTITUTI SCOLASTICI

Finalità del trattamento: tutela dell’edificio, dei beni scolastici ivi presenti, del personale e degli alunni, protezione da atti vandalici, ecc.
Condizioni specifiche da rispettare:

  • le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche;
  • se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato.

***


SICUREZZA URBANA

Finalità del trattamento: tutela della sicurezza urbana in luoghi pubblici o aperti al pubblico.
Condizioni specifiche da rispettare:

  • conservazione delle immagini per un massimo di 7 giorni  successivi  alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione (art. 6, co. 8, del D.L. 23/02/2009, n. 11)

***


RIPRESE DALL’ALTO

La normativa in materia di protezione dati non si applica al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente, come nel caso di riprese da alta quota (effettuate, ad esempio, mediante l’uso di droni o simili) o nel caso di fotocamere false e/o spente.

by Insight

Stampanti e oggetti intelligenti: amici o nemici?

Il 9 Dicembre 2020 l’Autorità Garante della concorrenza e del mercato, tra le altre cose, ha irrogato una sanzione pari complessivamente alla somma di 10 milioni di euro nei confronti delle società HP Inc e HP Italy S.r.l. (di seguito “HP) per due differenti pratiche commerciali relative alle stampanti a marchio HP ritenute scorrette. Per il testo integrale del provvedimento si veda il seguente link https://www.agcm.it/dotcmsdoc/allegati-news/PS11144_chiusura.

In primo luogo, l’Autorità ha sanzionato le società in questione per non aver correttamente informato i clienti della installazione nelle stampanti di un software che permetteva di stampare solo con toner e cartucce HP, mentre non consentiva la stampa in caso di utilizzo di ricariche non originali.

La seconda condotta ritenuta sanzionabile dall’AGCM consisteva invece nella registrazione, tramite firmware presenti sulle stampanti HP e all’insaputa dei consumatori, dei dati relativi alle specifiche cartucce utilizzate (originali e non): tali dati venivano utilizzati sia per creare un database utile per formulare le proprie strategie commerciali, sia per negare l’assistenza per le stampanti che avessero utilizzato cartucce non originali, ostacolando così lo sfruttamento della garanzia legale di conformità.

Proprio con riferimento a quest’ultimo comportamento, è interessante notare come si tratti di un caso di uso distorto del c.d. “Internet of Things”. Con questa espressione si intende infatti “la rete di oggetti fisici contenenti tecnologia incorporata per comunicare e rilevare o interagire con i loro stati interni o l’ambiente esterno.” (Gartner).

Sebbene nel caso in esame la tecnologia utilizzata da HP si limiti ad una raccolta delle sole informazioni relative all’utilizzo delle stampanti, è chiaro però che la diffusione di oggetti in grado di registrare e trasmettere dati riguardo ai nostri comportamenti quotidiani potrebbe assumere risvolti inquietanti. La preoccupazione nasce non solo dall’eventualità che la raccolta di dati avvenga a nostra insaputa, ma anche e soprattutto dagli utilizzi e dagli scopi che spingono le aziende ad acquisire tali dati.

Naturalmente, non possono di certo ignorarsi i risvolti positivi che un flusso costante di informazioni da parte degli oggetti potrebbe fornire, ad esempio, dal punto di vista dell’efficienza e miglioramento delle catene produttive, nonché dei sistemi di sicurezza per i cittadini (si pensi ai “semafori intelligenti”). Tuttavia, casi come quello preso in esame dall’AGCM ci inducono a riflettere sull’eventualità che queste tecnologie possano limitare eccessivamente i diritti dei consumatori.

Dal caso in esame è dunque possibile trarre alcuni insegnamenti e riflessioni e cioè che innanzitutto, prima di procedere con l’acquisto, è certamente consigliabile acquisire il maggior numero di informazioni possibili sulla tipologia di sensori e rilevatori eventualmente incorporati negli oggetti che intendiamo comprare e soprattutto appurare quale sarà l’utilizzo dei dati acquisiti da tali dispositivi.

In seconda battuta, è certamente opportuno domandarsi entro quali limiti l’utilizzo di tali dispositivi “intelligenti” possa favorire l’innovazione e il miglioramento della società e quando, invece, vada a ledere e comprimere i diritti dei consumatori, intesi sia come diritti ad essere informati sia come i diritti basilari riconosciuti a seguito di un acquisto di un prodotto (si pensi alle limitazioni all’esercizio della garanzia legale di cui si è detto sopra).

by Insight

Caterina Bo è entrata a far parte del board editoriale di MediaLaws

Siamo felici di annunciare che la nostra Caterina Bo è entrata a far parte del board editoriale di MediaLaws per l’annata 2020/2021.
Il board editoriale monitora le notizie rilevanti in materia di diritto dei media e contribuisce alla pubblicazione di commenti ed analisi per il blog associato alla Rivista di Diritto dei Media, nata per iniziativa dei Professori Oreste Pollicino (Università Commerciale Luigi Bocconi), Giulio Enea Vigevani (Università degli Studi di Milano-Bicocca), Marco Bassini (Università Commerciale Luigi Bocconi) e dell’Avvocato Carlo Melzi d’Eril.

#dirittodeimedia #insight #news

by Insight

iPhone: né a prova d’acqua, né a prova di AGCM

IL CASO

Il 30 novembre 2020 l’Autorità garante della concorrenza e del mercato (AGCM) ha sanzionato per 10 milioni di euro le società Apple Distribution International e Apple Italia S.r.l. (di seguito “Apple”) per aver diffuso messaggi promozionali tramite i quali si esaltava la resistenza all’acqua di diversi modelli di iPhone, omettendo tuttavia di specificare che detta proprietà risultava vera solamente in presenza di particolari circostanze non corrispondenti alle normali condizioni d’uso da parte dei consumatori (pratica commerciale cd. “ingannevole[1]”).

Inoltre, tali messaggi promozionali risultavano contraddittori a causa della contestuale presenza del seguente disclaimer “La garanzia non copre i danni provocati da liquidi”. Di fatto, nella fase post-vendita veniva negata da Apple la riparazione degli iPhone danneggiati a causa dell’introduzione di acqua o di altri liquidi, ostacolando quindi l’esercizio del diritto di garanzia riconosciuto dal Codice del Consumo (pratica commerciale cd. “aggressiva[2]”).

QUALI CONSEGUENZE SULL’IMPRESA SANZIONATA

La presente vicenda ci consente di focalizzare l’attenzione sulle conseguenze che derivano in capo all’impresa destinataria di un provvedimento di un’autorità (nel caso in esame, l’AGCM).

Innanzitutto, tale provvedimento non può che avere ripercussioni sull’assai complesso rapporto di fiducia che si viene ad instaurare tra impresa e consumatori.

È noto infatti che il marchio d’impresa suggerisce al consumatore, proprio all’atto d’acquisto, che il prodotto contraddistinto da detto segno origina da tale azienda.

Fra il consumatore e l’impresa si viene dunque a costruire un rapporto di tipo psicologico ed emotivo che in quanto tale è facilmente condizionabile da circostanze esterne.

Ed è esattamente in questo delicato contesto che si inserisce il provvedimento sanzionatorio dell’AGCM nei confronti di Apple, giacché esso rende vulnerabili propri i presupposti di tale relazione, vale a dire fiducia ed affidabilità.

Non bisogna infatti dimenticare che la base di tale relazione è di tipo mnemonico e cioè si fonda sul ricordo (positivo) che il consumatore richiama e conserva rispetto ad un’azienda ed ai suoi prodotti e servizi. Il provvedimento sanzionatorio dell’autorità colpisce precisamente tale ricordo in quanto, tra le altre cose, si propone di mettere in guardia il consumatore per il futuro.

È facile infatti immaginare che oggigiorno la notizia di tale provvedimento venga diffusa rapidamente tramite i social network e raggiunga dunque una considerevole fetta dei clienti dell’impresa punita. Su questo punto è certamente condivisibile la scelta dell’AGCM di obbligare Apple ad altresì pubblicare il provvedimento nella sezione del proprio sito web dedicata alla vendita degli iPhone, sotto la dicitura “Informazioni a tutela del consumatore”.

Questo ha per l’impresa venditrice effetti più gravi rispetto ad una sanzione economica poiché lede la sua immagine e suggerisce al consumatore di prestare maggiore attenzione qualora intenda acquistare ulteriori prodotti provenienti dall’azienda colpita dal provvedimento.

Tutto questo si traduce per l’azienda in ulteriori costi “invisibili” e cioè costi che la stessa azienda dovrà sostenere nei mesi successivi al fine di ricostruire il rapporto di fiducia/affidabilità con il proprio cliente (cd. “pubblicità ricostruttiva”). Senza qui voler dimenticare le attività correttive (e relativi costi) che, a seguito del monito ricevuto dall’Autorità, l’azienda sanzionata dovrà porre in essere in relazione ai prodotti già presenti sul mercato o in procinto di esserlo.

Sotto diverso profilo, il provvedimento dell’AGCM è anche portatore di una sanzione pecuniaria.

Nel caso in esame, la sanzione irrogata, pur costituendo il massimo edittale previsto dalla normativa vigente, rappresenta tuttavia meno del 5% del fatturato globale realizzato dal gruppo Apple nell’esercizio concluso a settembre 2019, pari a circa 231,57 miliardi di euro.

Ci si domanda quindi se tale sanzione possa avere un concreto effetto deterrente.

La risposta non può che essere negativa. Bisogna però soffermarsi su un diverso aspetto e cioè sul criterio di determinazione del quantum della sanzione pecuniaria.

Se l’asserita resistenza all’acqua degli Iphone fosse stata la ragione unica che ha determinato il consumatore ad acquistare un prodotto Apple piuttosto che di un rivale, sarebbe corretta una sanzione di soli 10 milioni di euro?

Evidentemente no ed infatti in tale specifico caso bisognerebbe tenere in considerazione l’intero costo di un iPhone (circa 1.000 euro) e applicare perlomeno una percentuale a titolo di sanzione sul fatturato generato dalla vendita (scorretta) dello stesso nel territorio in cui opera l’autorità competente.

Ne deriva che un criterio predeterminato di quantificazione di una sanzione – qual è quello previsto dal Codice del Consumo per le pratiche scorrette - è di per sé insufficiente a valutare tutte le circostanze del caso e di conseguenza a punire appropriatamente una condotta commercialmente scorretta di un’impresa.

CONSIDERAZIONI FINALI

La sensazione è che le imprese, specie quelle con fatturati da capogiro, stiano sottovalutando l’importanza di mantenere una maggiore trasparenza nei confronti del mercato, forse nell’errata convinzione che talune pratiche passino inosservate. In realtà, come visto, esse hanno conseguenze piuttosto negative sul rapporto con la propria clientela. Peraltro, in settori dove la concorrenza è agguerrita, il rischio che il cliente scelga il concorrente è sempre dietro l’angolo.

La disciplina sanzionatoria potrebbe quindi non essere sufficientemente severa da sortire gli effetti deterrenti sperati. Certo è che ad essere penalizzato è lo stesso consumatore che non riceve una tutela e protezione adeguata.

E’ ragionevole quindi domandarsi l’utilità di forme sanzionatorie diverse da quelle pecuniarie perché vi sia una concreta tutela degli interessi del consumatore.

Potrebbe dunque essere opportuno valutare l’introduzione di diverse misure restrittive (che abbiano anche una portata pratica e che siano proporzionate alle quote di mercato detenute dall’azienda) nei confronti delle aziende responsabili di porre in essere pratiche commerciali scorrette.

[1] Le pratiche scorrette si definiscono ingannevoli quando rappresentano elementi e/o caratteristiche di un prodotto non corrispondenti al vero.
[2] Le pratiche scorrette si definiscono aggressive quando consistono in molestie, coercizioni o altre forme di indebito condizionamento psicologico dei consumatori. 

by Insight

Facial Recognition e Mondo Digitale: tecnologia al servizio della praticità?

Quanti di noi sbloccano il proprio smartphone, effettuano un pagamento online, autorizzano il download di un’app e/o accedono ad un portale web semplicemente avvicinando il dispositivo mobile al volto? Con quale facilità “tagghiamo” i nostri amici nelle fotografie che ci ritraggono sui più comuni social network? E ancora: quanti e quali vantaggi è possibile ottenere conoscendo il numero di passanti che si fermano, anche per un istante, ad osservare un cartellone pubblicitario?

I numeri dimostrano che la tecnologia di facial recognition si pone al servizio di un mondo digitale che “corre” sempre più velocemente e ci costringe a rimanere al passo coi tempi. Ma a quale prezzo in termini di protezione dei nostri dati personali?

1. Introduzione

Tra social network, siti di e-commerce, riviste online, home banking e mobile app sono milioni i servizi digitali oggi presenti online di cui possiamo usufruire mediante la creazione di account personali.

Nella creazione dei profili, la tendenza più diffusa, specie tra i più giovani, è quella di affidarsi a password facili e intuitive (come la data di nascita o il nome di battesimo), poco sicure da un punto di vista informatico e spesso identiche per tutti i servizi utilizzati[1].

Per far fronte a queste cattive abitudini - che non fanno altro che alimentare il numero, già peraltro elevato, di data breach – è oggi comunemente utilizzata la tecnologia cd. di “facial recognition” (in italiano, “riconoscimento facciale”): si tratta di un particolare procedimento informatico in grado di associare ai connotati del volto di una persona un’immagine digitale e di memorizzare tale immagine all’interno di un dispositivo elettronico per poi riutilizzarla non solo per finalità di identificazione ma anche di autenticazione, di verifica e/o di profilazione degli individui.

Ma è davvero sempre sicuro affidarsi alla facial recognition? Un sistema biometrico garantisce sempre una sufficiente protezione dei nostri dati personali?

2. I più comuni utilizzi della facial recognition

Come noto, le diverse tecniche biometriche si prestano ad essere utilizzate soprattutto nel contesto informatico (ad esempio, per finalità di autenticazione ad un dispositivo) e la tendenza delle principali società high-tech è quella di investire sempre di più in questo settore.

Tuttavia, la facial recognition è presente anche al di fuori del mondo digitale: si pensi all’uso di sistemi biometrici per il controllo dell’accesso fisico ad aree riservate, per l’apertura di varchi o per l’uso di apparati e macchinari pericolosi.

Ma non solo. Le tecniche di ricoscimento facciale sono in grado di porsi anche al servizio delle pubbliche autorità e persino della ricerca. La polizia di Nuova Delhi ha infatti sperimentato la facial recognition per identificare quasi 3.000 bambini scomparsi; alcuni ricercatori per diagnosticare una rara malattia genetica riscontrata in soggetti di provenienza africana, asiatica e latinoamericana[2].

Di fronte ad un così ampio numero di utilizzi della facial recognition preoccupa che nel nostro Paese non sia ancora stata adottata un’apposita normativa nazionale in materia. Difatti, acconsentire alla rilevazione ed alla raccolta delle caratteristiche del nostro volto da parte di un titolare significa condividere con quest’ultimo un’ampia gamma di dati personali ed esporsi agli utilizzi degli stessi che  il titolare decida di farne.

Pensiamo ad un semplice “selfie” con lo smartphone: in questi casi il nostro dispositivo raccoglie la nostra immagine personale e la trattiene in memoria. O al transito davanti a cartelloni pubblicitari che rilevano la nostra presenza, alla misurazione della nostra temperatura corporea mediante termometri video-digitali o ai sistemi di imbarco con video-riconoscimento che si stanno insediando nei più grandi aeroporti del mondo.

3. Un rapido vademecum per il trattamento dei dati biometrici

Le caratteristiche biometriche del volto in grado di consentire l’identificazione univoca di una persona fisica rientrano nella nozione di “dati personali biometrici” prevista dal Regolamento Europeo 679/2016 (“GDPR”)[3]. I dati biometrici infatti sono definiti dal GDPR come dati “ottenuti da un trattamento tecnico specifico e relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca[4]. Ciò significa che un’immagine / una fotografia non è sempre qualificabile come dato biometrico se non è trattata attraverso un dispositivo tecnico che consente l'identificazione univoca o l'autenticazione di una persona fisica[5].

I dati biometrici inoltre rientrano nelle “categorie particolari di dati personali” ex art. 9 GDPR (richiamate dall’art. 2-septies del D.lgs. 196/2003 – “Codice Privacy”) e possono essere trattati solo laddove il titolare rispetti determinati obblighi di legge. Proviamo ad elencarne alcuni qui di seguito:

A. Il rispetto dei principi essenziali del trattamento. In un mondo sempre più digitale assumono un ruolo predominante i principi di “privacy by design” (protezione dei dati fin dalla progettazione) e “privacy by default” (protezione dei dati per impostazione predefinita) sanciti dall’art. 25 GDPR[6]. Per conformarsi a questi principi, i titolari che utilizzano la facial recognition per il trattamento dei dati personali devono prevedere, fin dalla fase della progettazione e definizione degli strumenti del trattamento, misure di sicurezza adeguate per garantire la tutela dei diritti e delle libertà fondamentali delle persone fisiche ed il rispetto dei principi previsti dall’art. 5 del GDPR.

In particolare, dovrebbe essere posta particolare attenzione al principio di “minimizzazione dei dati” che impone al titolare di configurare un sistema di riconoscimento biometrico in modo da raccogliere e trattare solo un numero circoscritto di informazioni, escludendo l’acquisizione di quei dati ultronei rispetto alla finalità perseguita nel caso concreto (ad esempio, se la finalità del trattamento fosse quella dell’autenticazione informatica, i dati biometrici non dovrebbero essere trattati in modo da poter desumere anche eventuali informazioni di natura sensibile dell’interessato tra cui, ad esempio, malattie della pelle chiaramente visibili).

B. L’informativa privacy. I titolari devono consegnare agli interessati una informativa privacy conforme all’art. 13 del GDPR, che indichi in maniera chiara e trasparente le finalità del trattamento, le misure di sicurezza adottate, l’eventuale centralizzazione dei dati biometrici raccolti, i tempi di conservazione degli stessi. A tal riguardo, è opportuno segnalare che, come chiarito dal Garante Privacy[7], tale informativa deve essere consegnata prima della cd. fase di “enrolment”, ossia prima della creazione di un campione biometrico[8].

C. La base giuridica. Il titolare deve chiedere il preventivo consenso degli interessati al trattamento dei loro dati biometrici, ovvero verificare la possibilità di effettuare il trattamento in presenza di un’altra base giuridica di cui all’art. 9 del GDPR (tra cui, ad esempio, la sussistenza di motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero).

D. La DPIA. Come previsto dall’art. 35 del GDPR e dall’Allegato 1 al Provvedimento n. 467/2018 del Garante Privacy, il titolare deve valutare l’impatto del trattamento dei dati biometrici e nello specifico valutare i rischi che tale trattamento può comportare per i diritti e le libertà delle persone fisiche e, contestualmente, individuare le misure di sicurezza adottate e da adottare per far fronte a tali rischi.

E. La nomina del responsabile. Laddove il titolare si avvalga di un terzo soggetto per il trattamento di dati biometrici, quest’ultimo deve essere nominato “responsabile del trattamento” ai sensi dell’art. 28 del GDPR, previa verifica del possesso, da parte del fornitore, di garanzie idonee per la tutela dei diritti degli interessati i cui dati biometrici sono trattati.

F. L’implementazione di sistemi alternativi. Il titolare del trattamento deve offrire soluzioni alternative che non comportino il trattamento di dati biometrici, senza imporre restrizioni o costi aggiuntivi all’interessato. Tali soluzioni alternative sono necessarie soprattutto per coloro che non sono in grado di rispettare i vincoli imposti da un dispositivo biometrico (si pensi ad un disabile che non è in grado di raggiungere, con il volto, l’altezza di un termoscanner) e nel caso in cui tale dispositivo risulti indisponibile per problemi tecnici (ad esempio, in caso di malfunzionamento).

4. Conclusioni

Le normative applicabili in materia di protezione dei dati personali non sono e non dovrebbero mai essere considerate come un ostacolo allo sviluppo di nuove tecnologie applicate all’industria informatica e digitale. Al contrario, il rispetto della legislazione vigente dovrebbe costituire un incentivo alla creazione di soluzioni pratiche in maniera rispettosa della riservatezza delle nostre informazioni.

E così dovrebbe avvenire anche per la tecnologia di facial recognition, in relazione alla quale è importante diffondere negli utenti consapevolezza in merito alla sicurezza del trattamento dei loro dati personali. Anche perché generare consapevolezza significa ottenere fiducia da parte dei consumatori, che è il primo passo per una corretta strategia di marketing.

Proprio come ha fatto Apple, che con il recente aggiornamento ad “iOS 14” consente ai possessori di un dispositivo mobile di ultima generazione di sapere - tramite indicatori di diversi colori (verde e arancione) che appaiono sulla barra di stato ­del dispositivo – se un’app installata sta utilizzando la fotocamera e quindi rilevando l’immagine dell’utente.

Dall’altro lato, la protezione dei nostri dati personali non deve mai essere sacrificata. E per fare ciò, ad avviso di chi scrive è fondamentale che il nostro Paese inizi ad adottare normative che disciplinino questa tecnologia. I valori aggiunti che il riconoscimento facciale è in grado di dare alla nostra economia sono infatti sotto gli occhi di tutti già da molto tempo ma se non si agisce a livello normativo nel breve termine il rischio è di trovarsi tra qualche anno di fronte ad uno sviluppo incontrollato (se non abuso) di queste soluzioni tecniche, con la conseguenza di dover impiegare tempo e risorse economiche per risolvere molteplici problemi piuttosto che realizzare nuovi vantaggi.

 

[1] Lo conferma un interessante (e a tratti preoccupante) studio pubblicato in occasione del “Safer Internet Day”, secondo cui più della metà dei millennial italiani (il 55%) utilizza la stessa password per accedere a servizi differenti e il 19% una password estremamente semplice come una sequenza di numeri.

[2] Degno di nota è anche il nuovo progetto “Telefi” finanziato dalla Commissione Europea e denominato "Verso lo scambio a livello europeo di Immagini del viso" (TELEFI). Si tratta di uno studio in merito ai vantaggi che l’utilizzo del riconoscimento facciale può fornire alle indagini sulla criminalità negli Stati membri dell'UE ed allo scambio dei dati raccolti nell’ambito del sistema “Prüm”, mediante il quale DNA, impronte digitali e dati di immatricolazione dei veicoli sono scambiati tra gli stati UE per combattere la criminalità transfrontaliera, il terrorismo e la migrazione illegale.

[3] Classici esempi di dati biometrici, oltre alle caratteristiche del volto, sono: l’impronta digitale, la dinamica apposizione della firma autografa, la struttura vascolare della retina, la forma dell’iride, le caratteristiche dell’emissione vocale.

[4] Si veda, per maggiori dettagli, il Parere del Gruppo di Lavoro ex art. 29 (oggi sostituito dal Comitato Europeo per la protezione dei dati personali – “European Data Protection Board”) n. 2/2012 - https://www.pdpjournals.com/docs/87997.pdf.

[5] Cfr. Considerando n. 51 al GDPR.

[6] Cfr. “Guidelines 4/2019 on Article 25 Data Protection by Design and by Default” - Version 2.0 Adopted on 20 October 2020.

[7] Cfr. sul punto “Linee Guida in materia di riconoscimento biometrico e firma grafometrica” del Garante Privacy del 12 novembre 2014.

[8] Con il termine “enrolment” si intende il processo attraverso cui un soggetto si accredita al sistema biometrico, attraverso la acquisizione di una sua caratteristica biometrica. Per consentire il riconoscimento biometrico è infatti necessario acquisire la caratteristica biometrica con una procedura che garantisca la correttezza dell’accreditamento nel sistema biometrico (biometric enrolment), il legame con il soggetto che si sottopone all’enrolment e la qualità del campione biometrico risultante. Generalmente, dal campione biometrico facciale tramite algoritmi, talvolta basati sulle c.d. “reti neurali”, vengono estratti un certo numero di tratti, quali la posizione degli occhi, del naso, delle narici, del mento, delle orecchie, al fine di costruire un modello biometrico.

by Insight

Segreti commerciali: più efficace la tutela civile o penale?

Attraverso gli artt. 623 c.p. e 98 del d.lgs. 10 febbraio 2005 n. 30, il legislatore ha posto le basi per la tutela del segreto industriale con il preciso scopo di proteggere tutte quelle attività e investimenti che il detentore del segreto mantiene riservate in quanto gli garantiscono un vantaggio competitivo sul mercato.

Bisogna innanzitutto partire dalla nota definizione di “segreto commerciale” offerta dall’art. 98 del Codice di proprietà industriale (di seguito “c.p.i.”) a mente del quale solo le informazioni segrete, aventi valore economico e sottoposte a rigide misure di sicurezza possono essere protette come know-how aziendale.

Non è tuttavia corretto affermare che la tutela civilistica del know how riguardi unicamente le informazioni che dimostrano di possedere le tre caratteristiche poc’anzi citate. Ed infatti, lo stesso art. 99 del c.p.i., facendo salva la disciplina della concorrenza sleale, riconosce l'esistenza di segreti industriali che, pur non rispondendo ai criteri indicati dall'art. 98 c.p.i., sono comunque meritevoli di tutela.

In buona sostanza è comunque consentito ad un imprenditore di tutelarsi attraverso un’azione di concorrenza sleale in caso di sottrazione illecita di dati oggettivamente riservati, per i quali non siano state tuttavia adottate tutte le misure di segretezza. In questo caso però l’imprenditore dovrà vincere un’ulteriore e diversa prova di forza, vale a dire avrà l’onere di dimostrare che le informazioni sottratte erano da ritenersi come oggettivamente confidenziali in ragione del proprio valore intrinseco.

Accanto alla tutela civilistica poc’anzi commentata, l'ordinamento nazionale offre anche una protezione in sede penale, in particolare, mediante l'art. 623 c.p.. Tale norma non definisce esplicitamente cosa debba intendersi per know-how, limitandosi a recitare quanto segue: “segreti commerciali o notizie destinate a rimanere segrete, sopra scoperte o invenzioni scientifiche”. Questa è una prima differenza ravvisabile tra la norma civile e quella penale in esame che riguarda quindi l’oggetto e i presupposti del know-how.

Grazie alla copiosa giurisprudenza penale in tema di know-how, nonché in base a quanto affermato dalla dottrina maggioritaria, è possibile tuttavia affermare che il bene giuridico protetto dall’art. 623 c.p. è rappresentato dall'interesse del detentore del segreto commerciale di evitare divulgazioni di notizie attinenti ai metodi e processi che caratterizzano la struttura industriale di un’azienda.

Dunque, il c.d. know-how – secondo la definizione da tempo affermata dal giudice di legittimità – deve essere inteso quale patrimonio cognitivo e organizzativo necessario per la costruzione, l'esercizio, la manutenzione di un apparato industriale. Tale assunto, affermato recentemente dalla Cassazione Penale nella nota sentenza n. 16975/2020, si riferisce quindi non solo ad un’unica tecnica o una prassi o ad una informazione aziendale, bensì all'intero patrimonio di conoscenze di un'impresa, frutto di esperienze, ricerca e investimenti accumulati negli anni.

Sempre nella sentenza della Corte citata poc’anzi si legge che “dottrina e giurisprudenza concordano nel ritenere che la copertura offerta dall'art. 623 c.p. vada oltre quella predisposta dall'ordinamento civilistico all'invenzione brevettabile, ed infatti il giudice di legittimità ha più volte affermato che, ai fini della tutela penale del segreto industriale, novità (intrinseca od estrinseca) ed originalità non sono requisiti essenziali delle applicazioni industriali, poiché non espressamente richiesti dal disposto legislativo e perché l'interesse alla tutela penale della riservatezza non deve necessariamente desumersi da tali caratteristiche delle notizie protette.

Questo vuol dire che, anche se la sequenza di informazioni, che, nel loro insieme, costituiscono un tutt'uno per la concretizzazione di una fase economica specifica dell'attività dell'azienda, è costituita da singole informazioni di per sé note, ove detta sequenza sia invece non conosciuta e sia considerata segreta in modo fattivo dall'azienda, essa è di per sé degna di protezione e tutela. Non è necessario, cioè, che ogni singolo dato cognitivo che compone la sequenza sia "non conosciuto"; è necessario, invece, che il loro insieme organico sia frutto di un'elaborazione dell'azienda. E' attraverso questo processo, infatti, che l'informazione finale acquisisce un valore economico aggiuntivo rispetto ai singoli elementi che compongono la sequenza cognitiva. E' ciò che accade, appunto, nel caso di una azienda che adotti una complessa strategia per lanciare un prodotto sul mercato: i suoi singoli elementi sono senz'altro noti agli operatori del settore, ma l'insieme può essere stato ideato in modo tale da rappresentare un qualcosa di nuovo e originale, costituendo, in tal modo, un vero e proprio tesoro dal punto di vista concorrenziale per l'ideatore[1].

I principi poc’anzi esposti definiscono, con maggior chiarezza, il perimetro della nozione di “segreto commerciale” rilevante in sede penale, prospettandone - condivisibilmente - una lettura estensiva in grado di assicurare una più incisiva tutela del patrimonio conoscitivo ed esperienziale aziendale.

E’ bene chiarire che la condotta sanzionabile ai sensi dell’art 98 c.p.i può comunque integrare la fattispecie di reato prevista e punita dall’art 623 c.p.. Quindi, il soggetto che reputi violato un suo segreto commerciale, ha la possibilità di promuovere sia un’azione civile per il ristoro dei danni patiti dalla violazione ai sensi del disposto dell’art 98 c.p.i, nonché un’azione penale per chiedere la condanna del responsabile. Tuttavia, mentre per quanto concerne l’azione civile il soggetto dovrà provare che il segreto commerciale violato non è noto, ha un valore patrimoniale ed è stato protetto con misure di sicurezza adeguate, nell’azione penale lo stesso soggetto dovrà invece dimostrare la rivelazione e/o l’impiego, per un proprio o altrui profitto, del segreto da parte della persona che era venuta a conoscenza dello stesso in ragione dei propri doveri di ufficio. Si riscontra quindi una seconda differenza tra le due tutele in esame che riguarda in questo caso un diverso regime dell’onere della prova.

Infine, da un punto di vista processuale, va precisato che in ambito civile si può procedere indifferentemente nei confronti della persona fisica che rivela il segreto commerciale e/o nei confronti dell’azienda che se ne avvantaggia, mentre nel procedimento penale si dovrà necessariamente procedere, ai sensi dell’art. 27 Cost., sia nei confronti di chi rivela il segreto che nei confronti di chi detiene la posizione di garanzia all’interno dell’azienda che eventualmente impiega a proprio vantaggio le nozioni che costituiscono il segreto commerciale. Si ravvisa quindi un’ulteriore differenza tra le norme oggetto di analisi, questa volta di natura processuale.

In sintesi, le principali differenze riscontrabili tra la tutela civilistica e quella penale del know-how riguardano:

  1. l’oggetto e gli elementi costitutivi del know-how;
  2. un diverso onere della prova del know-how;
  3. aspetti processuali (quali ad esempio una diversa legittimazione passiva).

 

[1] Cassazione penale sez. V - 11/02/2020, n. 16975

by Insight