Telemarketing aggressivo: 600 mila euro di sanzione a Fastweb

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali, con ordinanza ingiunzione del 26 luglio scorso del  ha irrogato 600.000 Euro di sanzione alla Società Fastweb in relazione a delle violazioni già rilevate in un provvedimento adottato prima dell’entrata in vigore del nuovo Regolamento europeo in materia di protezione dei dati personali relativo all’asserita conduzione, su circa 8 milioni di utenti, di campagne di telemarketing direttamente svolte da Fastweb, sia svolte dalle agenzie e dai partner commerciali della medesima.

Ad avviso del Garante, Fastweb “era nelle condizioni di avvedersi dell’enorme numero di contatti di soggetti non inseriti nelle liste fornite ai call-center, del mancato incrocio delle numerazioni con la black-list della società e con il registro delle opposizioni e della rilevante quantità di segnalazioni di interessati che lamentavano contatti indesiderati per conto della stessa Fastweb”.

L’Autorità aveva, infatti, accertato che i call center che lavoravano per la società spesso contattavano clienti o potenziali clienti senza il loro consenso commerciale, chiamando più volte anche chi si era già opposto al trattamento dei propri dati per finalità di marketing.

Ad aggravare la sanzione irrogata dall’Autorità vi è anche l’adozione, da parte della società, di sofisticate attività di profilazione di alcune categorie di clienti senza aver prima acquisito il loro consenso informato e senza avere effettuato una notificazione completa al Garante.

Auto rubate, via libera del Garante Privacy ai Vigili per accedere al ced del Viminale

Avv. Vincenzo Colarocco

Con parere n. 316/2018, l’Autorità Garante ha dato una sua impronta in merito alla regolamentazione degli accessi al cd. alla banca dati (Ced) del Viminale da parte della polizia. Secondo quanto riportato dal Garante, questo tipo di attività dovrà tener conto di tutti quelli che sono i rapporti tra comune e dipartimento di pubblica sicurezza, alla luce del d.lgs. 51/2018 di attuazione della direttiva 2016/680. Una questione non poco problematica quella di regolamentare l’accesso della polizia alla predetta banca dati.

Difatti, se da un lato ai sensi del d.l n. 8/1993, viene prevista la possibilità da parte degli operatori qualificati di polizia locale di accedere a una piccola porzione della banca dati del Ministero dell’Interno, limitatamente alla verifica dei veicoli e dei documenti smarriti, dall’altro lato, per poter ammettere questo tipo di consultazione, – che per altro viene realizzata in modalità automatica in molte città – occorrerà regolare dettagliatamente anche la questione relativa al trattamento dei dati.

Per questi motivi, l’intervento dell’Autorità Garante, oltre a chiarire le modalità ed i compiti della stessa polizia, spiega allo stesso tempo quale impianto normativo seguire: al caso di specie troverà diretta applicazione non il nuovo Regolamento Europeo n. 679/2016, ma la cd. direttiva 2016/680.

Pertanto, non occorrerà regolare l’attività di trattamento dei dati ai sensi della normativa privacy vigente (Codice Privacy), ma facendo specifico riferimento al d.lgs. 51/2018. In virtù di ciò difatti, il titolare del trattamento dei dati, così come secondo il parere della stessa Autorità Centrale, non sarà solo il Dipartimento di Pubblica Sicurezza, ma anche il comune. Discorso diverso per quanto concerne la figura del comandante di polizia locale, il quale diventerà quindi un co-titolare del trattamento di questi dati.

Per cui alla luce del quadro predetto, la regolarizzazione della gestione tecnica e dell’attività operativa spetterà al dirigente, il quale a sua volta, nominerà i soggetti autorizzati.

 

Il Garante dichiara legittimi i software di riconoscimento facciale

Avv. Vincenzo Colarocco

Il Garante ha espresso valutazione positiva sull’Istanza di verifica preliminare che Aeroporti di Roma s.p.a. presentò con riguardo alla installazione di un sistema di rilevazione delle immagini dotato di un software che rende possibile il riconoscimento di un individuo mediante un confronto con le immagini rilevate in punti differenti e successivi.

Un sistema utilizzato con la principale funzione di monitoraggio delle code, avente funzione di migliorare i servizi al pubblico (come richiesto dall’Airport Council International) e di controllare la densità istantanea dei passeggeri in coda.

Il sistema non prevede la memorizzazione delle immagini e dei volti durante la fase dell’entrollement, ma le immagini verrebbero conservate solo per gli istanti strettamente necessari (mediamente 45 minuti) alla loro codifica in tamplate biometerico che non sarebbe più riconducibile a dati personali.

“Il template, dunque, estrapolerebbe solamente i “tratti salienti del volto” e, inoltre, non permetterebbe la ricostruzione di quest´ultimo partendo dal codice numerico” si legge nel provvedimento in cui il Garante valuta positivamente il rispetto dei principi di necessità, proporzionalità, finalità e correttezza: “Al riguardo, vale osservare che il sistema previsto, non è destinato all´identificazione dei passeggeri, ma ad un mero raffronto di volti, con l´obiettivo di individuare lo stesso passeggero che transita in due punti successivi di osservazione al fine di misurare l´afflusso di passeggeri provvedendo al loro conteggio nelle fasi di accodamento in aerostazione. Ciò viene realizzato con modalità tali da minimizzare l´utilizzo dei dati personali, essendo le immagini conservate per gli istanti strettamente necessari alla loro codifica in template biometrico, e senza che sia effettuato alcun incrocio con altri dati identificativi (es. nome e cognome) dei soggetti, con la conseguenza di un trattamento di dati ridotto al minimo.”

Resta l’obbligo per la società della informativa resa in via preventiva verso gli interessati , anche se prevista l’adozione di un modello semplificato di informativa minima.

Caso Google e Mastercard: verifica e valutazione della privacy

Avv. Vincenzo Colarocco

Google ha raggiunto un accordo con Mastercard, colosso delle carte di credito, che consente al gigante californiano di tracciare le transazioni fatte nei negozi di oltre due miliardi di consumatori.

Le persone interessate sono clienti Mastercard negli Stati Uniti, che hanno un account Gmail e che non hanno rifiutato il tracciamento pubblicitario dell’azienda nelle impostazioni. Tuttavia, la stragrande maggioranza dei due miliardi di titolari di Mastercard non è stata avvertita di questa trasmissione di informazioni, iniziata circa un anno fa.
Per ottenere l’accesso a questi dati, Google avrebbe pagato diversi milioni di dollari a Mastercard, secondo due persone che hanno partecipato alla finalizzazione dell’accordo.

Infatti, monitorando gli acquisti dei clienti nei negozi, la società può determinare l’efficacia della pubblicità online degli inserzionisti:

In una dichiarazione ufficiale inviata all’editore, Mastercard spiega che non è a conoscenza degli articoli che un consumatore acquista in un carrello, fisico o digitale, affermando che, in questo modo, non vengono fornite transazioni personali o dati personali.

Google ha inoltre chiarito che i clienti Mastercard possono rinunciare al monitoraggio del browser se non desiderano che i loro dati vengano utilizzati per le finalità sopradescritte.

Il Garante per la privacy italiano verificherà la fondatezza della notizia e le modalità del trattamento dei dati dei consumatori effettuato da Google e Mastercard

I dati dell’indagato potranno essere conservati nelle banche dati della Polizia per 20 anni

Avv. Vincenzo Colarocco

È quanto deciso dalla Corte di Cassazione, prima sezione Civile, con Ordinanza del 29 agosto 2018 (ud. 29 maggio 2018), n. 21362.

La Corte, si è pronunciata su ricorso di un professionista che, inizialmente sottoposto ad indagini penali, aveva ottenuto un decreto di archiviazione, senza tuttavia riuscire ad ottenere in sede penale la cancellazione del proprio nominativo dalla banca dati dell’Archivio Interforze.

Il Professionista, pertanto, conveniva in giudizio il Ministero dell’Interno chiedendo che la propria iscrizione nelle banche dati della polizia fosse rimossa perché non più utile per le finalità di prevenzione dei reati e, al contrario, lesiva della propria immagine professionale.

La Corte, nel rigettare il ricorso, ricorda che Il trattamento dei dati personali da parte delle forze di Polizia è disciplinato dal Capo I del Titolo II del d.lgs. 30 giugno 2003, n. 196, nel quale è espressamente previsto che “le modalità di attuazione dei principi del presente codice relativamente al trattamento di dati effettuato per le finalità di cui all’art. 53 dal Centro Elaborazioni dati e da Organi, uffici o comandi di Polizia, sono individuate con decreto del presidente della Repubblica”.

A tale previsione si è data attuazione con il D.P.R. 15 del 15 gennaio 2018, il quale prevede che  “i dati personali soggetti a trattamento automatizzato, trascorsa la metà del tempo massimo di conservazione di cui  al  comma  3,  se uguale  o  superiore  a  quindici  anni,  sono  accessibili  ai  soli operatori a ciò abilitati e designati,  incaricati  del  trattamento secondo  profili  di  autorizzazione   predefiniti   in   base   alle indicazioni del capo dell’ufficio o del comandante del reparto  e  in relazione a specifiche  attività  informative,  di  sicurezza  o  di indagine di polizia giudiziaria”.

Tali norme, ad avviso della Corte, “costituiscono il risultato di un difficile bilanciamento tra l’interesse collettivo alla prevenzione e repressione dei reati nonché alla tutela dell’ordine pubblico e quello individuale alla tutela della propria sfera di riservatezza”. La lunghezza dei termini a tal fine previsti – prosegue la Corte – rispetto alla quale il Garante per la protezione dei dati personali ha ripetutamente manifestato perplessità (cfr. pareri n. 86 del 2 marzo 2017 e n. 337 del 26 luglio 2017), trova infatti uno specifico temperamento nelle restrizioni imposte all’accessibilità delle informazioni, ove sia trascorsa la metà del tempo prescritto, e nelle precauzioni da adottarsi in via generale per la conservazione dei dati e per la loro comunicazione anche tra soggetti pubblici”.

L’insieme di tali cautele, ad avviso del Supremo collegio, unito alla possibilità di chiedere l’intervento dell’Autorità giudiziaria, fornisce un quadro di garanzie che consente di ritenere sostanzialmente rispettati i vincoli derivanti dalla normativa sovranazionale ed internazionale, primo fra tutti, l’art. 8 della CEDU e la normativa europea sulla protezione dei dati personali.

Da ultimo, la Corte, ricorda anche che lo stesso GDPR prevede per gli stati membri la possibilità d’imporre limitazioni a specifici principi e diritti, ivi compreso quello alla cancellazione dei dati, “ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, ivi comprese (…) le attività di prevenzione, indagine e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica” (considerando n. 72), escludendo, peraltro, dal proprio ambito di applicazione proprio i trattamenti di dati personali “effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse” (art. 2, comma secondo, lett. d).

Il primo grande data breach: vittima British Airways

Avv. Vincenzo Colarocco

Il primo grande caso di data breach in epoca GDPR ha colpito la compagnia aerea British Airways, i cui dati (dei passeggeri) sono stati trafugati in un attacco hacker di vasta dimensione: si parla della violazione degli estremi delle carte di credito di oltre 380mila clienti che, da una prima ricostruzione, avrebbero acquistato online biglietti aerei nel periodo tra il 21 agosto e il 5 settembre. British Airways ha provveduto a notificare l’attacco all’ICO (Authority britannica) nelle prime 72 ore. Ciò, però, non basta a tenere esente la società dalle dure sanzioni previste dal nuovo Regolamento: si stima una multa pari al 4% del fatturato globale, ossia 500mila sterline. Per quanto riguarda gli effetti che l’attacco ha prodotto sugli interessati, ci vorrà del tempo, forse dei mesi, per stimarli, trattandosi infatti di dati bancari: per precauzione, l’Autorità sta consigliando il blocco e la sostituzione delle carte di credito violate.

Pubblicato in Gazzetta Ufficiale il decreto n. 101/2018, attuativo del Regolamento n. 679/2016 (GDPR)

Avv. Vincenzo Colarocco 

Il 4 settembre scorso è stato finalmente pubblicato in Gazzetta Ufficiale il decreto legislativo n. 101 del 10 agosto 2018, recante le disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati, meglio noto come “GDPR”. Il Regolamento era già obbligatorio dal 25 maggio scorso, ma la normativa nazionale, e precisamente il Codice della privacy, necessitava di opportuno adeguamento. Il risultato è quello di un Codice più “snello” ma anche più coerente con la normativa comunitaria. La tecnica legislativa adottata dal legislatore è stata quella di evitare di duplicare alcune disposizioni, molto simili ma non coincidenti, presenti sia nel Regolamento che nel Codice. Il decreto entrerà in vigore il 19 settembre 2018: si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Si sono rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi. Tra le novità più rilevanti si segnalano:

  1. la previsione per cui per i primi otto mesi dall’entrata in vigore, nell’erogare le sanzioni il Garante per la protezione dei dati personali tiene conto del fatto di essere ancora in una fase iniziale di attuazione della normativa;
  2. il consenso dei minori italiani sin dall’età dei 14 anni per il trattamento dei dati personali nella fruizione dei servizi della società dell’informazione;
  3. l’abrogazione del reato di cui all’art. 169 del Codice Privacy, non essendo più previste le misure minime di sicurezza, insieme ad altre sanzioni penali che, a fronte delle nuove sanzioni amministrative, avrebbero violato il principio del “ne bis in idem”, a fronte dell’inserimento di nuove fattispecie di reato.
  4. la previsione per cui nei casi di ricezione dei curricula spontaneamente trasmessi dai candidati, al fine della instaurazione di un rapporto di lavoro, l’informativa deve esser fornita al momento del primo contatto utile, successivo all’invio del curriculum. Peraltro il consenso al trattamento dei dati personali presenti nei curricula non è dovuto;
  5. la gestione dei diritti riguardanti le persone decedute che possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.

Premier League: esteso l’ordine di blocco in tempo reale di streaming illegali delle partite

La Corte Suprema inglese, con decisione del 18 luglio u.s. ([2018] EWHC 1828 (Ch), The Football Association Premier contro British Telecommunications), ha concesso l’estensione dell’ordine di blocco ai flussi di streaming illegali delle partite della FA Premier League, la massima serie del campionato inglese di calcio, gestita dalla Football Association (“FA”).

Un simile ordine di blocco “in tempo reale” era stato originariamente concesso nel 2017, ([2017] EWHC 480 (Ch), The Football Association Premier League Limited contro British Telecommunications plc & Ors) a norma dell’art.s97A del Copyright, Designs and Patents Act del 1988, il quale autorizza la Corte Suprema “a concedere un’ingiunzione nei confronti di un fornitore di servizi, laddove tale fornitore di servizi abbia effettiva conoscenza del fatto che un soggetto terzo utilizzi il proprio servizio per violare il diritto d’autore”), per l’intera stagione 2017/2018, consentendo di interrompere o bloccare quasi 200.000 streaming illegali, ed è stato il primo del suo genere ad essere concesso dai tribunali del Regno Unito. A seguito della richiesta da parte della FA Premier League, di estendere tale ordine, lo stesso avrà dunque nuova validità per la stagione 2018/19, per tutte le partite di Premier League trasmesse. La FA utilizza un’avanzata tecnologia di monitoraggio video per identificare i flussi illeciti, i quali vengono notificati ai fornitori di servizi Internet, tra cui BT Sport, Sky, Virgin Media, e TalkTalk, i quali saranno obbligati a bloccare gli indirizzi IP di tutti i server che trasmetteranno le partite illecitamente.

Il sapore di un alimento non può essere tutelato dal diritto d’autore

Avv. Alessandro La Rosa

Non può essere invocata la tutela di diritto d’autore per il sapore di un alimento.

A tale conclusione è giunto l’Avvocato Generale nella controversia tra due società operanti nel settore alimentare (C-310/17, Levola Hengelo contro Smilde Foods), avente ad oggetto l’assunta violazione, da parte di una delle due, del diritto d’autore in relazione al sapore di una crema spalmabile.

In particolare, la società ricorrente, definendo l’oggetto del diritto d’autore relativo a un sapore come l’«impressione complessiva sugli organi del gusto prodotta dal consumo di un alimento, compresa la sensazione tattile percepita nella bocca», ha chiesto che il sapore della crema spalmabile fosse qualificabile come opera intellettuale di diritto d’autore.

Il tribunale olandese investito della controversia rigettava le richiesta di tutela autoriale avanzata dalla società attrice per carenza di motivazione: non erano stati esplicati quali elementi o quali combinazioni di sapore dovessero essere presenti al fine di conferire alla crema il carattere originario particolare e l’impronta personale richiesti dal diritto d’autore per la tutela di un’opera.

Contro tale decisione, la società attrice radicava giudizio d’appello finalizzato a ribaltare la decisione e ottenere una pronuncia che, corrispondentemente a quanto avvenuto con il riconoscimento dell’odore di un profumo (sentenza Lancôme, 16 giugno 2006), riconoscesse tutela come opera letteraria, scientifica o artistica protetta dal diritto d’autore anche a un sapore.

Nel giudizio d’appello si costituiva la società convenuta la quale, opponendosi alla tutelabilità del sapore, ribadiva il principio secondo cui il diritto d’autore tutelerebbe esclusivamente le opere visive e sonore, suscettibili di rappresentazione grafica. Di contro, il sapore, allo stato non rappresentabile graficamente, sarebbe caratterizzato esclusivamente dal carattere soggettivo della percezione gustativa che non consentirebbe di attribuire oggettività alla tutela autoriale reclamata.

A fronte delle lacune normative e interpretative, la Corte sospendeva il procedimento chiedendo che l’Avvocato Generale formulasse un parere in relazione a diversi quesiti di diritto tra cui la possibilità che il sapore di un alimento – come creazione intellettuale dell’autore – fosse tutelabile dal diritto d’autore.

L’avvocato Generale investito della questione, ha sviluppato il ragionamento percorrendo tre diversi livelli: il primo, relativo alla necessaria definizione unitaria tra gli Stati membri dell’opera tutelabile; il secondo relativo al carattere di originalità che deve contraddistinguere una creazione intellettuale secondo la disciplina autoriale; il terzo relativo alla qualificazione del sapore come opera non soltanto avente carattere originale, ma anche suscettibile di identificazione.

In particolare, per quanto più attiene a tale ultimo punto, nucleo centrale della questione, l’Avvocato Generale ha rilevato che l’espressione «opere letterarie ed artistiche» di cui all’articolo 2, paragrafo 1, della Convenzione di Berna, «comprende tutte le produzioni nel campo letterario, scientifico e artistico, qualunque ne sia il modo o la forma di espressione». Lo stesso articolo 2, paragrafo 1, della Convenzione di Berna contiene inoltre un elenco non esaustivo delle opere «letterarie ed artistiche» protette il quale, pur non facendo alcun riferimento ai sapori, né a opere analoghe ai sapori, quali gli odori o profumi, non li esclude espressamente.

Tuttavia, nonostante ciò, sembrerebbe che l’espressione «opere letterarie ed artistiche» faccia riferimento unicamente ad opere percepibili attraverso mezzi visivi o sonori, suscettibili, pertanto, di una rappresentazione visiva, non contemplando invece le produzioni percepibili attraverso altri sensi, quali il gusto, l’olfatto o il tatto.

Proprio la circostanza che il sapore rimanga confinato all’interno di una percezione meramente soggettiva, non suscettibile di essere rappresentata e, soprattutto, di essere valutata obiettivamente – essendo, quest’ultimo, esclusivamente legato al carattere soggettivo dell’esperienza gustativa – precluderebbe secondo le Conclusioni dell’Avvocato Generale la qualificazione dello stesso non soltanto come opera ai sensi della disciplina dettata in materia di diritto d’autore, ma anche di opera identificabile e distinguibile, non consentendo, pertanto, la sua proteggibilità.