Tratti i dati personali senza consenso? Per la Cassazione è illecito permanente

Con l’ordinanza 18288/20 la seconda sezione civile della Corte di Cassazione pone un principio destinato a incidere nell’attività di molti titolari di banche dati, non solo per le Big-Tech ma anche per i data-broker, gli intermediari che forniscono dati e profili alle aziende e per i fornitori di servizi tecnologici.
 
La fattispecie

Il casus belli esaminato dai giudici ermellini riguardava l’ingiunzione di 340 mila euro comminata nel 2013 al Garante per la protezione dei dati personali a Postel per aver violato gli obblighi di idonea informativa e di raccolta del consenso, unitamente agli articoli 162.2-bis, 164 e 164-bis del decreto legislativo 196/2003. Tra i motivi di gravame – oltre a profili di incostituzionalità – anche l’intervenuta prescrizione dell’azione amministrativa. Rilievi a cui però la Suprema Corte ha opposto la natura permanente di quegli illeciti, ancorché rimasti “dormienti” per un lungo periodo.

Il principio

Questo orientamento fa desumere un importante principio: il termine di prescrizione non decorre sino a quando sussiste l’illecito. La vittima avrà quindi la possibilità di agire contro il responsabile in qualsiasi momento – anche dopo molti anni – se medio tempore la condotta illecita non è terminata. Il dies a quo del termine prescrizionale decorrerà dal primo giorno di avvenuta cessazione dell’illecito.

Conclusioni

La Corte ha ritenuto che il trattamento di dati personali senza adeguata informativa e senza la raccolta del consenso dell’interessato siano illeciti permanenti e dunque soggetti alla sanzione ratione temporis prevista all’atto dell’accertamento da parte delle autorità di controllo.

La soluzione interpretativa, resa nell’ottica di una tutela rafforzata dei diritti dell’interessato, suscita molte perplessità circa l’impatto sulla prescrizione dell’illecito amministrativo e sulla ragionevole durata dei procedimenti.

Avv. Vincenzo Colarocco e Dott. Niccolò Olivetti

Trasferimento dei dati negli Stati Uniti? No, grazie! Il caso Facebook

La Commissione irlandese per la protezione dei dati è la prima Autorità Privacy dell’Unione Europea ad aver ordinato a Facebook una preliminare sospensione dei trasferimenti di dati negli Stati Uniti sui suoi utenti dell’UE.
 
In rilievo

A seguito della sentenza pronunciata dalla Corte di Giustizia europea il 16 luglio 2020 nella causa C-311/18 (Caso SchremsFacebook Ireland), che invalida la decisione di esecuzione UE 2016/1250 della Commissione europea, con cui era stato sancito che il “Privacy Shield fosse una normativa idonea per regolare il trasferimento dei dati dall’Unione Europea agli USA, è arrivata una prima risposta concreta da parte della Commissione irlandese per la protezione dei dati, la quale, con un ordine preliminare di sospensione, vieta alla sede europea di Facebook di trasferire negli USA i dati dei cittadini irlandesi, adottando come base giuridica lo “Scudo Privacy”, ormai privo di efficacia in quanto considerato non sufficiente il livello di protezione del diritto alla riservatezza dei dati personali dei cittadini europei trasferiti negli Stati Uniti d’America.

Conseguenze e soggetti coinvolti

Nonostante si tratti di un ordine preliminare di sospensione pronunciato solo nei confronti di Facebook, tale decisione impatta anche tutti gli altri operatori economici che utilizzano provider per il trattamento dei dati presenti sul territorio USA, ma questa conseguenza potrebbe costituire una risorsa per l’economia del vecchio continente, accelerando il ricorso ad infrastrutture di cloud computing europeo.

L’intervento delle istituzioni europee

Alla luce di quanto esposto, per tentare di superare il limbo in cui attualmente navigano i dati, il Comitato europeo per la protezione dei dati (EDPB), guidato dal presidente Andrea Jelinek, ha annunciato una duplice iniziativa per fornire adeguato riscontro allo scenario creatosi a seguito della sentenza Schrems II: in primis istituendo una task force incaricata di esaminare i ben 101 identici reclami presentati dall’ONG NOYB alle autorità per la protezione dei dati del SEE nei confronti di diversi titolari del trattamento, in merito al loro utilizzo di servizi di Google/Facebook che comportano il trasferimento di dati personali. In secondo luogo, ha istituito una task force con lo specifico compito di elaborare raccomandazioni per titolari e responsabili del trattamento nell’individuazione e nell’attuazione di adeguate misure di natura giuridica, tecnica e organizzativa al fine di garantire un’adeguata protezione in caso di trasferimento di dati personali verso paesi terzi.

Avv. Vincenzo Colarocco e Dott. Pietro Vitucci

La Cassazione sui limiti alla diffusione dei dati personali di dipendenti comunali

Legittima la sanzione irrogata dal Garante a un Comune per aver pubblicato sull’albo pretorio on line per oltre un anno una determina dirigenziale contenete dati personali di un dipendente.

Con l’ordinanza numero 18292 del 3 settembre 2020 la Corte di Cassazione ha chiarito che l’ostensione da parte di un comune dei dati personali (non sensibili) di un dipendente, mediante pubblicazione sull’albo pretorio di una determina dirigenziale per un periodo superiore a 15 giorni, viola il codice della privacy.

Nel caso di specie il Comune aveva mantenuto visibili per oltre un anno sul proprio albo pretorio on line una determinazione dirigenziale dalle quali risultavano dati quali il nome e il cognome del dipendente e l’esistenza di un contenzioso con il Comune (determina di nomina del difensore dell’amministrazione, con relativo impegno di spesa), ma anche lo stato di famiglia, nonché la circostanza che vivesse da solo, che avesse avanzato una domanda di rateizzazione del debito e che tale istanza fosse stata rigettata.

Il Garante per la protezione dei dati personali ritenendo illegittima la diffusione dei dati personali di un dipendente comunale per un periodo superiore di quindici giorni stabiliti come periodo necessario di pubblicazione delle delibere comunali nell’albo pretorio ex art. 124 del Tuel, ha sanzionato l’ente locale. In particolare, secondo l’Autorità le predette informazioni, in quanto non afferenti all’assetto organizzativo degli uffici e pertanto non riconducibili alle strette esigenze di trasparenza amministrativa, avrebbero dovuto essere archiviate e celate immediatamente dopo la scadenza del termine minimo di quindici giorni.

Secondo gli ermellini, dunque, decorso il termine minimo di pubblicazione obbligatoria sull’albo pretorio delle determinazioni del Comune, gli atti amministrativi contenenti dati personali (praticamente tutti) devono essere cancellati e resi non più accessibili.

Avv. Ginevra Proia

Il Comitato europeo per la protezione dei dati fornisce nuove linee guida sui concetti di titolare e responsabile del trattamento

Il 2 settembre scorso, il Comitato europeo per la protezione dei dati ha emanato le Guidelines n. 7/2020 sui concetti di titolare del trattamento e responsabile del trattamento al fine di aggiornare e superare l’Opinion n. 1/2010 del Working Party 29 e di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, sui tali definizioni. Il documento si presta anche a riflessioni sulle conseguenze connesse alla scelta dei ruoli della privacy.
 
Premessa

Le Linee guida sui concetti di titolare del trattamento e responsabile del trattamento (nel seguito “Linee guida”), adottate in data 2 settembre 2020, sostituiscono, dopo ben dieci anni comprensivi dall’emanazione del nuovo corpus normativo, l’Opinion n. 1 del Working Party 29 (“WP29”) sugli stessi temi risalente al febbraio 2010.

La predisposizione ed adozione del documento in esame risponde all’esigenza percepita dalle autorità indipendenti nazionali e dallo stesso Comitato europeo di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, sui concetti di titolare e responsabile del trattamento. L’occasione ha consentito, poi, al Comitato di pronunciarsi anche in relazione agli aspetti ancora poco limpidi del rapporto di contitolarità, disciplinato dall’art. 26 del Regolamento, dunque sugli obblighi del responsabile del trattamento, fissati, in particolare, dall’art. 28 GDPR. Le Linee guida sono attualmente oggetto di consultazione pubblica.

Sul loro contenuto, occorre precisare in premessa come il documento si articoli in due sezioni principali, rispettivamente sugli elementi costitutivi le singole definizioni di titolare, responsabile e contitolari del trattamento e sulle principali conseguenze connesse a detti ruoli.

Nel seguito ci si soffermerà sui chiarimenti offerti sui ruoli privacy, facendo breve menzione degli aspetti salienti delle conseguenze ad essi connesse.

Le definizioni

Partendo dal ruolo del titolare del trattamento, il Comitato, ha fornito specifici chiarimenti sui suoi elementi costitutivi, prendendo le mosse dal disposto dell’art. 4 n. 7 del GDPR.

In particolare, la definizione di titolare è costituita da cinque “momenti” principali: i) “la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo“, ii) “determina“, iii) “da sola o congiuntamente ad altri“, iv) “le finalità e i mezzi“, v) “del trattamento dei dati personali“.

Con la prima locuzione, chiarisce il Comitato, il legislatore ha inteso non prevedere alcuna limitazione alla tipologia di entità potenzialmente in grado di assumere il ruolo di titolare del trattamento. Titolare potrà dunque essere indistintamente la singola persona fisica, l’associazione di persone o la persona giuridica, senza confondere il caso in cui nell’organigramma aziendale venga individuata la figura preposta alla gestione del trattamento, mantenendo la società di appartenenza le responsabilità ad esso connesse. Il Comitato a tal proposito cita una vicenda giunta innanzi alla Corte di Giustizia dell’Unione Europea, ove una intera comunità religiosa veniva ritenuta, insieme ai propri fedeli, titolare del trattamento (C-25/17, “Jehovah’s witnesses”).

Il secondo elemento costitutivo del concetto di titolare, ovvero il verbo “determina”, si riferisce all’ “influenza” del titolare, in virtù dell’esercizio di un potere decisionale. Per vagliare la sussistenza di tale influenza, ai fini definitori, occorre procedere con un’analisi fattuale piuttosto che formale. In particolare, secondo il Comitato, si possono distinguere due tipologie di controllo: i) controllo derivante da disposizioni di legge e ii) controllo derivante da una concreta influenza fattuale.

Mentre il terzo elemento fa riferimento all’eventualità di un rapporto di contitolarità nella determinazione di finalità e modalità del trattamento, specifica l’EDPB che la locuzione “le finalità ed i mezzi” non è scelta casuale del legislatore europeo e, di conseguenza, perché possa dirsi ricorrente il ruolo di titolare è necessario che la determinazione attenga non soltanto alle finalità ma anche alle modalità attraverso le quali il trattamento si articola.

Il Comitato ritiene che le decisioni sullo scopo del trattamento debbano essere sempre di esclusiva competenza del titolare, mentre per quanto riguarda la determinazione dei mezzi  si possa distinguere tra mezzi essenziali e non essenziali: per i primi si intendono i mezzi strettamente legati allo scopo e alla portata del trattamento, intrinsecamente riservati al titolare (es. tipologia di dati trattati, durata del trattamento, categorie di destinatari, categorie di interessati coinvolti), mentre per i secondi gli aspetti più pratici dell’attuazione, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate, suscettibili di essere definiti anche dal  responsabile del trattamento.

Infine, sul ruolo del titolare, è necessario dare applicazione ai predetti parametri tenendo conto del solo trattamento di dati personali, non rilevando il controllo, l’influenza o il ruolo decisorio dell’entità in altri contesti organizzativi, seppur connessi al trattamento stesso. Allo stesso tempo, il ruolo di titolare potrebbe essere differentemente assegnato tenuto conto del trattamento nel suo complesso o considerate le singole attività che ne fanno parte.

La novità delle Linee guida rispetto all’antecedente Opinion riguarda i chiarimenti resi in relazione alla contitolarità del trattamento, scenario enucleato dall’art. 26 del Regolamento, per cui è stata disposta apposita disciplina.  

La contitolarità può assumere la forma di una comune decisione presa da due o più entità o del risultato di decisioni convergenti di due o più entità per quanto riguarda gli scopi e i mezzi essenziali del trattamento.

Le decisioni possono essere considerate convergenti su finalità e mezzi se sono complementari e necessarie per il trattamento, in modo tale da avere un impatto tangibile sulla determinazione degli scopi e dell’elaborazione. Per identificare le decisioni convergenti in questo contesto è necessario chiedersi, afferma il Comitato, se il trattamento sarebbe possibile senza la partecipazione di entrambe le parti, oppure se il trattamento posto in essere da ciascuna parte sia inseparabile, cioè indissolubilmente legato al trattamento dell’altra parte.

Da tenere distinta l’ipotesi di gestione congiunta di una piattaforma: l’utilizzo di un sistema o di un’infrastruttura comune di elaborazione dati non porta a qualificare le parti coinvolte come contitolari del trattamento, in particolare quando le operazioni di trattamento da queste effettuate sono separabili e possono essere eseguite anche da una sola parte senza l’intervento dell’altra, o ancora le parti presentino scopi propri (il mero vantaggio commerciale per entrambe le parti coinvolte non è sufficiente per qualificare il trattamento in contitolarità).

Con riguardo alla figura del responsabile del trattamento, il Comitato ha indicato due condizioni di base per la ricorrenza della sua qualifica:

            a) essere un’entità separata dal titolare del trattamento;

            b) svolgere il trattamento dei dati personali per conto del titolare.

Per quanto concerne la prima delle due condizioni, il Comitato chiarisce che il responsabile può essere definito per esclusione dal momento che le risorse coinvolte nel trattamento ed appartenenti all’organizzazione del titolare coincidono con il titolare stesso, o comunque potranno essere definite quali persone autorizzate o designate.

Il trattamento deve poi essere svolto a beneficio del titolare del trattamento: il responsabile deve “servire” l’interesse del titolare, ricorrendo lo schema della delega di funzioni.

Fatte queste premesse, le Linee guida precisano che il ruolo del responsabile deriva dalle sue attività concrete, tenuto conto di uno specifico contesto. Qualora il servizio fornito non sia specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il fornitore di servizi potrebbe trovarsi nella posizione di determinare autonomamente le finalità e i mezzi di tale trattamento, potendo dunque essere considerato titolare autonomo del trattamento (l’esempio è qui quello della piattaforma per servizi di transfert di cui si serve l’azienda per garantire gli spostamenti sul territorio dei propri dipendenti e collaboratori).

Nelle ipotesi in cui il trattamento dei dati non sia strettamente connesso al servizio, in ogni caso, le Linee guida suggeriscono ai titolari di tenere in debita considerazione il potere di controllo concretamente esercitato, tenendo conto anche della natura, dell’ambito, del contesto e delle finalità del trattamento.

Conseguenze dell’attribuzione dei differenti ruoli

La seconda parte delle Linee guida verte sugli adempimenti previsti e connessi a seguito della definizione dei ruoli della privacy. Senza dilungarsi sulla nota disciplina normativa dell’accordo di nomina a responsabile e del contratto di contitolarità, si riportano nel seguito gli aspetti salienti delle riflessioni da ultimo svolte dal Comitato.

Con riferimento alla nomina del responsabile esterno, il Comitato, rammentando come il titolare abbia il dovere di ricorrere solo a responsabili che forniscono garanzie sufficienti per implementare misure tecniche e organizzative adeguate, equipara tale verifica preliminare ad una vera e propria valutazione del rischio, durante la quale il titolare è tenuto a prendere in considerazione i) le conoscenze specialistiche del processore (ad es. competenza tecnica in materia di misure di sicurezza e violazioni dei dati), ii) l’affidabilità del fornitore e iii) le risorse in suo possesso. Anche la reputazione del responsabile sul mercato può essere, a dire del Comitato, un fattore rilevante ai fini della valutazione.

Di più: il Comitato precisa che l’obbligo di ricorrere a responsabili “che offrano garanzie sufficienti” è un obbligo “continuo”, con la conseguenza che il titolare è tenuto a valutare il rischio anche successivamente alla stipulazione del data processing agreement, anche mediante apposite ispezioni presso il responsabile.

Sulla forma dell’atto o contratto di designazione del responsabile del trattamento rileva quanto affermato con riferimento ai contratti predisposti unilateralmente.

In particolare, quale o quali parti redigeranno il contratto può dipendere da diversi fattori, tra cui la posizione delle parti sul mercato e il potere contrattuale, la loro competenza tecnica, nonché l’accesso ai servizi legali, o anche la prassi del ricorso a termini e condizioni standard, ma lo squilibrio del potere contrattuale, afferma l’EDPB, non deve tradursi nell’automatica accettazione da parte del titolare di clausole e termini contrattuali non conformi alla normativa, né può esonerarlo dai suoi obblighi in materia di protezione dei dati. Inoltre, qualsiasi modifica al data processing agreement proposta nel corso del rapporto contrattuale deve essere direttamente notificata al titolare ed approvata da questo, non potendo la semplice pubblicazione sul sito web o la mera comunicazione via mail sostituirne l’informazione e l’approvazione.

Quanto al contenuto dell’atto o contratto di nomina del responsabile, è interessante riportare quanto osservato in relazione alla previsione di cui al paragrafo 2 dell’art. 28 GDPR, a mente del quale il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

Osserva il Comitato che il mancato riscontro entro il periodo di tempo previsto per l’approvazione viene in alcuni casi interpretato come implicita autorizzazione. In realtà, e con riferimento ad entrambi gli scenari della specifica o generale autorizzazione, il contratto dovrebbe includere i dettagli relativi alle modalità di comunicazione dell’approvazione/obiezione, nonché disciplinarne l’eventualità del ritardo.

Infine, il riferimento della norma all’imposizione degli “stessi” obblighi del responsabile anche al sub-responsabile nominato dovrebbe essere interpretato in modo funzionale piuttosto che formale: afferma il Comitato che non è necessario che il contratto contenga esattamente le stesse parole usate nel contratto tra titolare e responsabile, essendo sufficiente che sul piano fattuale vengano garantiti gli stessi obblighi.

Avv.ti Vincenzo Colarocco e Chiara Benvenuto

L’embedding non autorizzato di opere audiovisive costituisce violazione del diritto d’autore, secondo l’Avvocato Generale della Corte di Giustizia

Secondo l’Avvocato Generale della Corte di Giustizia dell’Unione Europea costituisce comunicazione al pubblico e, quindi, violazione del diritto d’autore, l’embedding di un’opera audiovisiva su un sito Web diverso da quello originariamente autorizzato alla sua pubblicazione.

Le conclusioni rese dall’Avvocato Generale della Corte di Giustizia Maciej Szpunar nella causa C-392/19 hanno offerto allo stesso l’occasione per suggerire l’affermazione di un principio di diritto potenzialmente rivoluzionario per l’esperienza di navigazione sul Web degli utenti.

Più che per la soluzione – negativa, nell’opinione dell’Avvocato Generale – proposta alla questione pregiudiziale avanzata dalla Corte federale di giustizia tedesca, che ha domandato alla Corte “se l’articolo 3, paragrafo 1, della direttiva 2001/29 debba essere interpretato nel senso che l’inserimento mediante framing, nel sito Internet di un terzo, di un’opera disponibile, con il consenso del titolare dei diritti d’autore, su un sito Internet liberamente accessibile costituisca una comunicazione al pubblico di tale opera ai sensi di detta disposizione, qualora tale inserimento eluda le misure di protezione contro il framing adottate o imposte da detto titolare”, le conclusioni dell’Avvocato Generale costituiscono motivo di interesse per quanto affermato in tema di embedding.

L’AG ha infatti ritenuto opportuno tracciare una differenziazione, sia dal punto di vista tecnico che dal punto di vista giuridico, tra framing (“che consiste nel dividere la schermata in più parti, ognuna delle quali può presentare il contenuto di un altro sito Internet”) ed embedding (o, per usare il linguaggio dell’AG, “inline linking” o “collegamento automatico” che “mostra la risorsa quale elemento che costituisce parte integrante della pagina Internet contenente tale link”).

Se una ripubblicazione di contenuti di una pagina di un sito web condivisa attraverso la prima tecnica di collegamento ipertestuale, come accennato, viene considerata legittima (anche senza un espresso consenso da parte dell’autore che pure aveva autorizzato la prima pubblicazione dei contenuti sul sito d’origine), così non può essere per quanto riguarda l’embedding. Ciò in considerazione del fatto, in particolare, che in tali casi “per l’utente, non vi è quindi alcuna differenza tra un’immagine incorporata in una pagina Internet a partire dallo stesso server e quella incorporata a partire da un altro sito Internet”. Il che, dando continuità ai principi espressi dalla stessa Corte di Giustizia nella sentenza Renckhoff (del 7 agosto 2018, causa C‑161/17), secondo cui “il pubblico preso in considerazione dal titolare dei diritti d’autore al momento della messa a disposizione iniziale dell’opera “era costituito esclusivamente dagli utenti del sito Internet sul quale è avvenuta tale messa a disposizione iniziale «e non dagli utilizzatori del sito Internet sul quale l’opera è stata ulteriormente messa in rete senza l’autorizzazione di detto titolare, o dagli altri internauti»” porta ad affermare che “nel caso di un collegamento automatico, il pubblico che gode dell’opera non può essere considerato in alcun modo come costituente il pubblico del sito originario dell’opera. Infatti, per il pubblico, non esiste più alcun legame con il sito originario: tutto avviene sul sito che contiene il link. È quindi il pubblico di quest’ultimo sito a beneficiare dell’opera”. Secondo l’AG non si può presume, pertanto, “che il titolare dei diritti d’autore abbia preso in considerazione tale pubblico nel rilasciare la propria autorizzazione per la messa a disposizione iniziale, salvo ritornare alla costruzione del pubblico costituito da tutti gli utenti di Internet”.

A ciò l’Avvocato Generale aggiunge anche una interessante considerazione, in ottica di bilanciamento degli interessi in gioco, secondo cui poiché “questi link «aspirano» il contenuto presente sul Web, dispensando gli utenti dalla «navigazione» tra i diversi siti Internet”, “essi contribuiscono così alla monopolizzazione del Web e alla concentrazione delle informazioni in un numero limitato di servizi dominanti sul mercato, appartenenti a un numero ancor più limitato di società”.

Sulla base di queste (ed altre) considerazioni, dunque, l’Avvocato Generale propone che venga dichiarato “che l’articolo 3, paragrafo 1, della direttiva 2001/29 deve essere interpretato nel senso che costituisce una comunicazione al pubblico, ai sensi di tale disposizione, il fatto di incorporare, in una pagina Internet, opere protette dal diritto d’autore messe a disposizione del pubblico in modo liberamente accessibile con l’autorizzazione del titolare dei diritti d’autore su altri siti Internet, in maniera tale che dette opere siano automaticamente visualizzate su tale pagina non appena viene aperta, senza alcuna azione supplementare da parte dell’utente”.

Avv. Riccardo Traina Chiarini

Un segno identico, ripetuto nello stesso punto su un numero imprecisato di modelli diversi del medesimo prodotto, è percepito come segno distintivo

La Corte d’Appello di Roma, con sentenza del 5 giugno 2020, n. 2641 ha stabilito che “Un segno presente sempre nella stessa forma e sempre nello stesso punto su un numero imprecisato di modelli diversi del medesimo prodotto (nel caso di specie: pantaloni tipo jeans) può essere percepito dal consumatore, anche dal più avveduto e smaliziato, soltanto come segno distintivo, come marchio”.

La fattispecie concreta

La Levi Strauss a tutela del marchio registrato in sede comunitaria e nazionale “ad ali di gabbiano” radicava una serie di procedimenti contro altra società che offriva al pubblico un jeans che, nelle tasche posteriori, riproduceva un simbolo molto simile a quello oggetto di registrazione.

La sentenza della Corte d’Appello in commento ha confermato i provvedimenti emessi in precedenza e, da ultimo, la decisione del Tribunale che ha qualificato quale illecito di contraffazione e, al contempo, atto di concorrenza sleale, l’apposizione nelle tasche posteriori dei jeans del motivo ad “ali di gabbiano” simile a quello della Levis. In particolare, il segno contestato è caratterizzato da due archi di cerchio che si incontrano al centro della tasca. Di tali due archi di cerchio, però, nel segno utilizzato dall’appellante, uno è realizzato, proprio come nel marchio registrato dalla Levis, con una doppia impuntura e l’altro, invece, con una impuntura singola.

I principi di diritto enunciati

La Corte d’Appello ha rigettato in toto le doglianze della società appellante secondo cui il segno da sempre utilizzato nella maggior parte dei modelli dei jeans Levis non sarebbe distintivo e assurgerebbe a una funzione meramente decorativa. Difatti, ha precisato che “un segno presente sempre nella stessa forma e sempre nello stesso punto su un numero imprecisato di modelli diversi del medesimo prodotto (nel caso di specie: pantaloni tipo jeans) può essere percepito dal consumatore, anche dal più avveduto e smaliziato, soltanto come segno distintivo, come marchio”. Una decorazione, in quanto tale, compare su un singolo modello o, al più, su tutti i modelli di una sola collezione (limitata, quindi, ad una sola stagione). Se invece quest’ultima si ripete sistematicamente, senza distinzione di modelli, collezioni o stagioni commerciali, la presunta decorazione viene percepita dal pubblico soltanto come segno distintivo.

Peraltro, la Corte d’Appello ha precisato che l’unica, minima differenza tra i due segni oggetto di contestazione (presenza di un’impuntura singola, anziché doppia di uno due archi di cerchio) non è per il consumatore medio, né per l’esperto di settore, di evidenza immediata e non è suscettibile di essere immediatamente notata. Da ciò consegue che ogni tipo di indagine comparativa arriverebbe alla medesima conclusione e, cioè, alla sussistenza di una somiglianza tra i due segni tanto stretta da avvicinarsi di molto alla identità assoluta.

Avv. Silvia Perra

Assenza di abuso di posizione dominante nella fissazione delle tariffe da parte delle CMO: il parere dell’avvocato generale

L’avvocato generale Pitruzzella lo scorso 16 luglio ha presentato le proprie conclusioni con riguardo a due cause gemelle in tema di legittimità delle tariffe applicate dagli organismi di gestione collettiva a società che organizzano eventi musicali. Il parere pare estremamente cauto, andando sostanzialmente a rimandare al giudice di merito la valutazione sul caso concreto e, di riflesso, la verifica sulla sussistenza o meno di una condotta di concorrenza sleale.
Le questioni pregiudiziali sollevate dai giudici di rinvio

Nei contenziosi gemelli che vedono la SABAM, organismo di gestione collettiva belga, come ricorrente, con riguardo alle contestazioni azionate nei propri confronti da società che organizzano eventi musicali, i giudici di rinvio hanno chiesto di verificare la sussistenza di abuso di posizione dominante nelle modalità di  fissazione delle tariffe da parte di CMO che operino in condizioni di monopolio di fatto.

Alla Corte di giustizia europea viene chiesto:

Se l’articolo 102 del TFUE, eventualmente in combinato disposto con l’articolo 16 della direttiva 2014/26, debba essere interpretato nel senso che si configura abuso di posizione dominante qualora una società di gestione di diritti d’autore, che in uno Stato membro ha un monopolio di fatto,

  • applichi agli organizzatori di eventi musicali, per il diritto di comunicazione al pubblico di opere musicali, un modello di compenso, fondato tra l’altro sul fatturato, utilizzando una tariffa forfettaria in scaglioni, invece di una tariffa che tenga conto (utilizzando le sofisticate attrezzature tecniche) della quota precisa del repertorio tutelato dalla società di gestione nella musica ascoltata durante l’evento,
  • fa dipendere i compensi delle licenze anche da elementi esterni, come, inter alia, il prezzo di ingresso, il prezzo delle consumazioni, il budget artistico per gli esecutori e il budget per altri elementi, come la scenografia.
La posizione di Pitruzzella

Con il parere reso lo scorso 16 luglio l’avvocato generale Pitruzzella assume una posizione cauta e condivisibile rispetto ai quesiti proposti dalle corti di rinvio. Infatti, pur ritenendo di massima che nell’interpretazione dell’ art. 102, secondo comma, lettera a) del Trattato, non sussista abuso di posizione dominante quando un organismo di gestione imponga prezzi tramite una struttura tariffaria basata su un’aliquota applicata ai ricavi, tuttavia, non esclude che l’applicazione di sistemi tariffari forfettari e non analitici possa condurre all’imposizione di compensi non equi, specie ove si possano adoperare altri metodi che consentano di meglio identificare e di quantificare in maniera più precisa le opere musicali realmente eseguite.

L’avvocato generale, nel rimandare la valutazione di merito al giudice di rinvio, precisa che laddove sussistano alternative, debbano essere idonee a realizzare lo stesso scopo legittimo che è la tutela degli interessi degli autori, compositori ed editori musicali, senza tuttavia comportare un aumento sproporzionato delle spese sostenute per la gestione dei contratti e per la sorveglianza sull’utilizzazione delle opere musicali tutelate dal diritto d’autore.

Avv. Maria Letizia Bixio

Appropriazione indebita di dati digitali: la Cassazione rafforza la tutela del patrimonio digitale aziendale

Con sentenza n. 11959/2020, la Cassazione ha introdotto il principio dell’applicabilità, a certe condizioni, dell’appropriazione indebita ex art. 646 c.p. ai dati informatici. Il principio apre nuovi percorsi di tutela penale del patrimonio digitale delle aziende.

I fatti

Il giudizio sottoposto alla Corte ha avuto ad oggetto, tra le altre cose, la qualificabilità come appropriazione indebita prevista dall’art. 646 codice penale, della condotta del dipendente che, dimessosi, aveva prima copiato e trattenuto su altro supporto proprio i dati digitali aziendali archiviati sul pc concessogli in uso, per poi riconsegnare all’azienda il pc solo dopo aver formattato l’hard disk, causando malfunzionamenti alla procedura di backup dei dati aziendali e in particolare della posta elettronica aziendale.

Il principio espresso dalla Cassazione

Con sentenza della II Sez. Penale, del 11959 del 7 novembre 2019-13 aprile 2020, Pres. Cammino, Rel. Di Paola la Corte ha stabilito che ”I dati informatici (files) sono qualificabili cose mobili ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale affidato per motivi di lavoro dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati e alla restituzione del computer ‘formattato’”.

La Cassazione, differenziando la decisione dall’orientamento maggioritario che escludeva la materialità dei dati, ha riqualificato dal punto di vista giuridico i file come “cose” materiali e, concorrendo la copia dei dati effettuata e trattenuta dal dipendente con la cancellazione dei dati originari, ha ritenuto che si fosse realizzato il requisito dello spossessamento dei file e quindi il reato di appropriazione indebita dei dati digitali.

Gli effetti della decisione in ambito aziendale digitale

Tale decisione, al di là della discutibilità dell’approdo sia dal punto di vista della coerenza con il sistema tecnico-dommatico, sia dei limiti intrinseci alle argomentazioni a sostegno della decisione, apre la strada alla punibilità delle condotte di appropriazione di dati digitali aziendali con una ricaduta operativa di rilevante importanza.

Rileggendo le norme a tutela del patrimonio in chiave adeguamento progressivo del sistema all’evoluzione digitale, la Corte ha di fatto esteso la “tutela penale del patrimonio” al patrimonio digitale aziendale. Inoltre, ed è ciò che segna la possibilità di ulteriori sviluppi giuridico-operativi, la decisione apre le porte all’applicabilità di una ben più ampia serie di norme del codice penale ai fatti aventi ad oggetto dati digitali aziendali.

La rilevanza della decisione per la strategia difensiva delle aziende digitalizzate

Ne risulta rafforzata l’opportunità per le aziende di chiedere la tutela del patrimonio digitale aziendale sia in sede civile che in sede penale, percorrendo i due ambiti parallelamente. In tal caso, le aziende dovranno sempre tener conto del fatto che l’efficacia dei procedimenti aventi ad oggetto i fatti digitali è soggetta ad un regime probatori particolarmente rigoroso e complesso, secondo i principi dell’informatica forense. Pertanto, si consolida la necessità che le aziende si rivolgano ad operatori forensi che siano culturalmente qualificati e tecnicamente attrezzati per offrire alle aziende digitalizzate i più adeguati strumenti di tutela giuridica messa a disposizione dall’evoluzione normativa e giurisprudenziale.

Avv. Antonio Gammarota

Nuove norme per il mercato unico dei servizi digitali?

La Commissione UE ha promosso una serie di iniziative per l’ammodernamento di un quadro normativo che coinvolge anche le piattaforme online: quadro per molti aspetti fermo al 2000, anno di approvazione della c.d. direttiva sul commercio elettronico.

Si è da poco conclusa (lo scorso 8 settembre c.a.) la consultazione pubblica avviata dalla Commissione UE relativamente al mercato unico dei servizi digitali.
La Commissione UE ha avviato la detta consultazione pubblica nel contesto del suo lavoro di raccolta delle prove, al fine di individuare problemi che potrebbero richiedere un intervento su questioni connesse ai servizi digitali e alle piattaforme online, questioni che saranno analizzate più approfonditamente in vista di eventuali iniziative future, qualora le questioni individuate richiedessero effettivamente un intervento normativo. 

Tra i temi affrontati dalla consultazione compaiono anche:

  1. la sicurezza degli utenti online;
  2. il regime di responsabilità dei servizi digitali che agiscono da intermediari;
  3. la gestione dei problemi derivanti dall’impatto delle grandi piattaforme con significativi effetti di rete (gatekeeper) sul controllo di determinati segmenti di mercato.

Con specifico riferimento al regime di responsabilità degli intermediari della rete, la Commissione ha chiesto di indicare quali responsabilità (ossia obblighi giuridici) dovrebbero essere imposte alle piattaforme online e a quali condizioni e se, tali misure, dovrebbero essere adottate da tutte le piattaforme online o solo da piattaforme specifiche (ad es. a seconda delle dimensioni, delle capacità, dell’entità dei rischi di esposizione ad attività illegali condotte dagli utenti). Tra le misure suggerite dalla Commissione UE compaiono le seguenti:

Mantenere un sistema efficace di “notifica e azione” per segnalare merci o contenuti illegali
Mantenere un sistema di valutazione del rischio di esposizione a merci o contenuti illegali
Disporre di squadre di moderazione dei contenuti, adeguatamente formate e dotate delle risorse necessarie
Rispondere in modo sistematico alle richieste delle autorità preposte all’applicazione della legge
Cooperare con le autorità nazionali e le autorità preposte all’applicazione della legge, secondo procedure chiare
Cooperare con organizzazioni attendibili e di comprovata esperienza in grado di segnalare attività illegali per un’analisi rapida (“segnalatori attendibili”)
Individuare contenuti, merci o servizi illegali
Informare gli utenti professionali dei loro obblighi a norma del diritto dell’UE, in particolare quando agiscono da intermediario per vendite di merci o servizi
Richiedere agli utenti professionali di identificarsi chiaramente (“conosci il tuo cliente”)
Fornire mezzi tecnici che consentano agli utenti professionali di adempiere i loro obblighi (ad es. consentire loro di pubblicare sulla piattaforma le informazioni precontrattuali che i consumatori devono ricevere in conformità del diritto dei consumatori applicabile)
Informare i consumatori quando vengono a conoscenza di richiami di prodotti o vendite di merci illegali
Cooperare con altre piattaforme online per scambiare le migliori prassi e condividere informazioni o strumenti per contrastare le attività illegali
Essere trasparenti sulle politiche e misure relative ai contenuti e sui relativi effetti
Mantenere un efficace sistema di “contro notifica” affinché gli utenti le cui merci o i cui contenuti sono stati rimossi possano contestare decisioni errate

Sotto altro profilo, per contrastare la diffusione della disinformazione online, la Commissione UE ha chiesto di indicare quali tra le seguenti misure appaiono adeguate:

Informare i consumatori in modo trasparente sulla pubblicità di natura politica e sui contenuti sponsorizzati, in particolare in periodo elettorale
Fornire agli utenti strumenti per segnalare la disinformazione online e stabilire procedure trasparenti per trattare i reclami degli utenti
Affrontare il problema dell’uso di account falsi, falsi engagement e bot nonché del comportamento non autentico degli utenti volti ad amplificare narrazioni false o ingannevoli
Strumenti per la trasparenza e accesso sicuro ai dati delle piattaforme per ricercatori attendibili al fine di monitorare i comportamenti inappropriati e comprendere meglio l’impatto della disinformazione e le politiche concepite per contrastarla
Strumenti per la trasparenza e accesso sicuro ai dati delle piattaforme per le autorità al fine di monitorare i comportamenti inappropriati e comprendere meglio l’impatto della disinformazione e le politiche concepite per contrastarla
Adeguate valutazioni dei rischi e strategie di mitigazione adottate dalle piattaforme online
Garantire l’accesso effettivo a una varietà di fonti giornalistiche autentiche e professionali e la loro visibilità

La Commissione UE ha giustificato la suddetta iniziativa (insieme a tante altre) sul presupposto che il mercato unico europeo richiede un quadro giuridico moderno per garantire la sicurezza degli utenti online e consentire la crescita delle imprese digitali innovative, rispettando i principi alla base dell’attuale quadro giuridico della direttiva sul commercio elettronico. Non ci resta che attendere le valutazioni finali della Commissione (anche) alla luce delle risposte ricevute al suddetto questionario.

Avv. Alessandro La Rosa

Responsabilità dell’imprenditore e misure di prevenzione per la tutela dei dipendenti

La responsabilità dell’imprenditore per la mancata adozione di misure idonee per la tutela dell’integrità fisica dei dipendenti discende o da norme specifiche o, nell’ipotesi in cui esse non siano rinvenibili, dalla norma di ordine generale di cui all’art. 2087 c.c., costituente norma di chiusura del sistema antinfortunistico che impone all’imprenditore l’obbligo di adottare tutte le misure che, avuto riguardo alla particolarità del lavoro in concreto svolto dai dipendenti, siano necessarie a tutelare l’integrità psico-fisica dei lavoratori.

Il caso

Una dipendente di Poste Italiane S.p.A. con la qualifica di operatrice di sportello, proponeva ricorso, dinanzi al Tribunale di Napoli, nei confronti della società datrice di lavoro e dell’INAIL, al fine di ottenere il risarcimento del danno biologico patito “da cui era derivato un disturbo post-traumatico da stress di grado grave stabilizzatosi solo nel 2005, quale conseguenza delle dieci rapine subite presso i menzionati uffici postali tra il 1985 ed il 2005“.

La sentenza, che aveva accolto parzialmente la domanda della lavoratrice, veniva confermata anche dalla corte territoriale che aveva stabilito che tutte le misure di sicurezza attuate dal datore di lavoro quali l’impianto di telesorveglianza, la bussola multitransito, la cassaforte con apertura a tempo programmata, la cassaforte con apertura programmabile ogni 15 minuti, l’impianto di teleallarme a tastiera programmata e i vari pulsanti antirapina direttamente collegati a Orion, erano tutte misure dirette a rendere infruttuosa per gli assalitori un’azione criminale di rapina, ma non certo a tutelare i dipendenti.

Come era emerso dalla prova testimoniale esperita, il fine, dunque, non era certamente quello di proteggere i lavoratori dalle rapine ma di fare in modo che questi non recassero troppi danni alla azienda, “vietando di consegnare valori ai rapinatori che tenessero in ostaggio i colleghi ed obbligandoli così ad assistere inerti alle percosse dei primi ai secondi e pretendendo il rimborso da parte del dipendente di quanto rapinato laddove avesse consegnato il denaro“.

Poste Italiane SpA proponeva ricorso in Cassazione lamentando che i giudici di merito avrebbero addebitato alla società una ipotesi di responsabilità oggettiva, non considerando che la responsabilità datoriale deve essere necessariamente collegata alla violazione degli obblighi di comportamento imposti da una fonte legislativa, ovvero suggeriti dalle conoscenze tecniche del momento, omettendo, tra l’altro, ogni esame e valutazione in ordine alla idoneità degli strumenti predisposti a fornire la tutela adeguata ai dipendenti.

Le considerazioni della Corte e la decisione

Osserva la Corte, con ordinanza del 15 luglio 2020 n. 15105, che la responsabilità dell’imprenditore per la mancata adozione delle misure idonee a tutelare l’integrità fisica del lavoratore discende o da norme specifiche o, nell’ipotesi in cui esse non siano rinvenibili, dalla norma di ordine generale di cui all’art. 2087 c.c., costituente norma di chiusura del sistema antinfortunistico estensibile a situazioni ed ipotesi non ancora espressamente considerate e valutate dal legislatore al momento della sua formulazione e che impone all’imprenditore l’obbligo di adottare, nell’esercizio dell’impresa e con riguardo alla particolarità del lavoro in concreto svolto dai dipendenti, tutte le misure necessarie per la tutela dell’integrità psico-fisica dei lavoratori.

Prosegue la Corte precisando che nelle ipotesi, poi, di attività lavorativa divenuta «pericolosa», come nella fattispecie, a causa della numerose e continue rapine (ben dieci) subite dai dipendenti presso gli uffici postali di cui si tratta, la responsabilità del datore di lavoro-imprenditore ai sensi dell’art. 2087 c.c. non configura una ipotesi di responsabilità oggettiva e tuttavia non è circoscritta alla violazione di regole di esperienza o di regole tecniche preesistenti e collaudate, ma deve ritenersi volta a sanzionare, anche alla luce delle garanzie costituzionali del lavoratore, l’omessa predisposizione, da parte del datore di lavoro, di tutte quelle misure e cautele atte a preservare l’integrità psicofisica e la salute del lavoratore nel luogo di lavoro, tenuto conto della concreta realtà aziendale, del concreto tipo di lavorazione e del connesso rischio.

La Corte, richiamando la dottrina sul punto, rileva che la mancata predisposizione di tutti i dispositivi di sicurezza per la tutela della salute dei dipendenti sul luogo di lavoro viola l’art. 32 della Costituzione, che garantisce il diritto alla salute come primario ed originario dell’individuo, nonché le diposizioni antinfortunistiche, fra le quali quelle contenute nel D.Lgs. n. 626/94 ed altresì l’art. 2087 c.c. che, imponendo la tutela dell’integrità psico-fisica del lavoratore da parte del datore di lavoro, prevede un obbligo, da parte di quest’ultimo, che non si esaurisce “nell’adozione e nel mantenimento perfettamente funzionale di misure di tipo igienico-sanitarie o antinfortunistico“, ma attiene anche – e soprattutto – alla predisposizione “di misure atte, secondo le comuni tecniche di sicurezza, a preservare i lavoratori dalla lesione di quella integrità nell’ambiente o in costanza di lavoro anche in relazione ad eventi, pur se allo stesso non collegati direttamente, ed alla probabilità di concretizzazione del conseguente rischio“.

La Corte, nel rigettare il ricorso, ha ritenuto non provato dal datore di lavoro, sul quale incombeva l’onere della prova, di avere fatto tutto il possibile per evitare il danno derivato alla dipendente, attraverso l’adozione di cautele previste in via generale e specifica dalle norme antinfortunistiche, di cui, correttamente, i giudici di merito hanno ravvisato la violazione, ritenendo la sussistenza del nesso causale tra il danno occorso alla lavoratrice, a seguito delle dieci rapine subite, e l’attività svolta dalla stessa, senza la predisposizione, da parte della datrice di lavoro, di adeguate misure dirette a tutelare i dipendenti.

Avv. Francesca Frezza