Tar Lazio: il dato personale tra diritto della personalità e nuovo bene “patrimoniale”

Avv. Flaviano Sanzari

Il Tar Lazio, con sentenza 260/2020, si pronuncia su un provvedimento sanzionatorio adottato dall’Autorità Garante della Concorrenza e del Mercato nei confronti di Facebook Inc. e Facebook Ireland Limited, in relazione a presunte pratiche commerciali scorrette in violazione del decreto legislativo n. 206 del 6 settembre 2005 (cd. “Codice del Consumo”).

Le censure del social network riguardavano innanzitutto la carenza di potere dell’Agcm, che avrebbe invaso un campo di esclusiva competenza dell’Autorità garante per la “privacy”, in quanto non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare.

Il Tribunale Amministrativo, sul punto, ha affermato che a fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati.

Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”.

Deve anche escludersi che l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”.

Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole.

Definire su Facebook gli amministratori pubblici “imbroglioni” è diffamazione aggravata, non critica

Avv. Flaviano Sanzari

La Corte di Cassazione, con sentenza n. 628/2020, ha confermato la sentenza resa dalla Corte d’Appello di Messina, che aveva condannato per il reato di diffamazione aggravata un cittadino responsabile di aver pubblicato sulla bacheca pubblica del portale “Facebook” due messaggi offensivi della reputazione del vice-sindaco del proprio comune di residenza, suo avversario politico.

La Suprema Corte ha ritenuto non censurabili le conclusioni della Corte d’Appello nell’aver ritenuto che il contenuto dei messaggi “postati” dall’imputato rivelasse la volontà di muovere non tanto un’aspra critica all’operato degli amministratori comunali, bensì quella di accusarli di essersi appropriati di danaro pubblico, insinuando che gli stessi si fossero “intascati” risorse provenienti dal prelievo fiscale. In tal senso, la sentenza ha dunque escluso la stessa configurabilità dell’esimente di cui all’art. 51 c.p., sostanzialmente negando la sussistenza della veridicità del fatto posto alla base dell’invocato esercizio del diritto di critica.

Configurabilità della diffamazione attraverso la lettura, in progressione, di vari articoli di stampa

Avv. Flaviano Sanzari

La Corte di Cassazione, con sentenza n. 396, pubblicata il 9 gennaio scorso, ha ricordato che la diffamazione è un illecito formale ed istantaneo che si consuma con la comunicazione a più persone, lesiva dell’altrui reputazione. L’offesa deve essere rivolta ad una persona determinata, essendo irrilevante l’assenza di indicazione nominativa del soggetto la cui reputazione è lesa, purché tale soggetto sia ugualmente individuabile, sia pure da un numero limitato di persone. L’individuazione dell’effettivo destinatario dell’offesa rappresenta, quindi, una condizione essenziale ed imprescindibile per attribuire alla condotta una rilevanza giuridica. L’applicazione di tali principi porta al rigetto della tesi secondo cui l’individuazione del destinatario dell’offesa sarebbe possibile attraverso la lettura, in progressione, di vari articoli di stampa, pubblicati in tempi diversi, per cui gli ultimi, che chiaramente menzionavano il destinatario dell’offesa, avrebbero consentito di comprendere che proprio costui era il soggetto menzionato nei primi. In realtà, trovandoci in presenza di un illecito istantaneo, tutti i requisiti della fattispecie, compreso quindi quello dell’individuazione dell’effettivo destinatario dell’offesa, devono sussistere al momento della pubblicazione di ciascun articolo.

Allarme ransomware: azienda licenzia 300 dipendenti

Avv. Vincenzo Colarocco

“The Heritage Company”, società americana con sede in Arkansas e 61 anni d’esperienza, potrebbe chiudere definitivamente. Poco prima del Natale, infatti, circa 300 lavoratori hanno ricevuto una lettera dalla compagnia in cui si invitava gli stessi a “cercare un altro lavoro”.

All’origine dell’infausto evento ci sarebbe un attacco ransomware.

Nello specifico, la società di telemarketing era stata colpita lo scorso ottobre da un virus il quale, colpendo i server aziendali, aveva ottenuto i dati in questi circolanti, paralizzando l’attività di tutti gli impiegati. Nella lettera, ottenuta dai media locali, si leggono le parole dell’amministratore delegato, Sandra Franecke, la quale spiega che all’attacco ha fatto seguito una richiesta di riscatto alla quale, la società, ha deciso di adempiere: tutto, pur di riprendere l’attività.

Purtroppo, però, le operazioni di restore hanno richiesto più tempo del dovuto, causando all’azienda perdite per centinaia di migliaia di dollari, perdite che hanno inciso sulla scelta di adottare il drastico comunicato.

Non è la prima volta che, nell’ultimo anno, attacchi ransomware hanno portato alla perdita di posti di lavoro da parte di dipendenti aziendali e persino alla chiusura d’intere aziende.

A settembre, ad esempio, il “Wood Ranch Medical”, con sede in California, ha annunciato che avrebbe chiuso a dicembre, in quanto il provider non era stato in grado di recuperare le cartelle cliniche dei pazienti perse sulla scia di un attacco ransomware di agosto.

Il “Brookside ENT and Hearing Center” del Michigan, invece, annunciò chiusura in aprile, dopo aver rifiutato di pagare il riscatto agli hackers, con il risultato che questi ultimi hanno cancellato tutti i dati dei loro pazienti.

L’Italia in pole position per le sanzioni GDPR del 2019

Avv. Vincenzo Colarocco

L’inizio dell’anno è per antonomasia tempo di bilanci e così è stato anche per l’Osservatorio di Federprivacy che ha condotto uno studio mirato ad analizzare le attività istituzionali in materia di privacy svolte nei 30 Paesi dello Spazio Economico Europeo. Più in particolare sono state computate le sanzioni inflitte nel corso dell’anno spirato da parte delle autorità di controllo. Dell’ammontare complessivo di 410 milioni di euro, il primato è detenuto dall’Italia, con 30 provvedimenti irrogati, per un totale di 4.341.990 euro. Sebbene il susseguirsi delle proroghe non abbia concesso al collegio del Garante di rinnovarsi alla scadenza del suo incarico, ciò non ha impedito all’Authority in carica di svolgere regolarmente le proprie attività ispettive, le quali già alla fine del primo semestre del 2019 avevano individuato 779 contravventori, con una riscossione complessiva prevista di circa 11 milioni di euro al termine dei singoli procedimenti sanzionatori. Tra le infrazioni ricorrenti, nel 44% dei casi si è trattato di trattamento illecito di dati, nel 18% dei procedimenti sono state riscontrate insufficienti misure di sicurezza, il 13% è costituito dal  mancato rispetto dei diritti degli interessati ed il 9% rispettivamente dalla omessa o inidonea informativa (9%) e dagli incidenti informatici e “data breach”. Subito dopo l’Italia, l’autorità spagnola (AEPD) con 28 sanzioni e al terzo posto quella romena (ANSPDCP) con 20 sanzioni comminate. Per quanto concerne il quantum delle sanzioni, l’’autorità più severa in assoluto è risultata quella del Regno Unito (ICO), che ha erogato multe per 312 milioni di euro, pari al 76% del totale complessivo relativo alle nazioni prese in esame. All’altro estremo si collocano le autorità di controllo di Irlanda e Lussemburgo, che non hanno ancora irrogato alcuna sanzione: sarà un caso che le multinazionali straniere che trattano dati personali su larga scala scelgano proprio questi Paesi per nominare il proprio rappresentante stabilito in Europa?

Cessione dei crediti e trattamento dei dati: il principio di minimizzazione deve esser sempre rispettato

Avv. Vincenzo Colarocco

Con recente ordinanza (n. 34113/2019) del 19 dicembre 2019, la Suprema Corte di Cassazione ha avuto modo di esprimersi circa il corretto (e doveroso) bilanciamento tra il trattamento dei dati personali connesso alle attività di recupero del credito ed il principio di minimizzazione dei dati, sottolineando la necessità di limitare le attività di trattamento ed il novero dei dati trattati a quanto strettamente necessario per il perseguimento delle finalità alla base della raccolta.

Per quanto attiene al caso di specie sotteso alla pronuncia in esame, basti sinteticamente rilevare che, con sentenza del 2012, il Tribunale di Napoli condannava il Banco di Napoli s.p.a. a rifondere in favore dell’attore una cospicua somma di denaro dovuta a titolo di responsabilità pre-contrattuale, oltre al risarcimento dei danni quantificati nella somma di € 5.000,00 per violazioni della vigente normativa in materia di protezione dei dati personali. Tali violazioni sarebbero, in particolare, state perpetrate in relazione al trattamento dei dati dell’attore connesso alla fase della cessione del credito da parte dell’istituto bancario.

Del medesimo avviso non risultava la competente Corte d’Appello evidenziando come, una volta eseguito il pignoramento immobiliare, risulterebbe inevitabile che la vicenda debitoria travalichi gli stretti ambiti del rapporto debitore-creditore, coinvolgendo tutti i possibili soggetto interessati all’acquisto del bene staggito.

L’interessato de quo proponeva quindi ricorso per Cassazione adducendo, tra gli altri motivi d’impugnazione, anche la violazione e falsa applicazione degli artt. 15 e seg. del D. Lgs. del Codice Privacy (per tale intendendosi la versione ratione temporis vigente, antecedente alle modifiche apportate dal D. Lgs. 101/2018) in virtù dell’asserita circostanza per cui la Banca la Banca avrebbe segnalato l’interessato debitore a soggetti privati “acquirenti di crediti”, fornendo loro dati sensibili in ordine alla persona del debitore, alla sua abitazione e alla sua situazione debitoria.

La Suprema Corte, quindi, nel rigettare le descritte doglianze, ha avuto modo di soffermarsi anche sull’attuale quadro normativo, rappresentando che il previgente “principio di necessità del trattamento”, di cui agli abrogati artt. 3 e 11 del Codice Privacy, sia stato recentemente riaffermato con l’entrata in vigore dell’art. 5 lett. c) del Regolamento UE 2016/679 (“GDPR”), a mente del quale i dati dovranno risultare “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)”.

La Cassazione, in più, si è espressa anche in ordine all’onere della prova circa la lamentata violazione del principio di minimizzazione dei dati, sottolineando come il ricorrente non avesse fornito alcuna dimostrazione in merito alla violazione del detto principio nell’ambito della comunicazione dei propri dati a soggetti terzi; ulteriormente rilevandosi che la Banca non potrebbe incorrere, a priori, in una violazione della normativa in ambito privacy “solo perché abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, ubicazione dell’immobile vincolato alla garanzia del credito, etc.”.

Elezione Garante Privacy. Il 18 febbraio si vota in Camera e al Senato

Avv. Vincenzo Colarocco

Come si apprende da key4biz.it, quotidiano online sulla digital economy, è stata fissata la data per la votazione del Garante per la protezione dei dati personali presso la Camera dei Deputati.

La conferenza dei capigruppo di Montecitorio ha deciso per il 18 febbraio 2020 e il voto sarà doppiamente “unificato”: sia perché la votazione avrà ad oggetto la scelta dei componenti di competenza della Camera non solo per l’Authority Privacy, ma anche dell’AGCOM, sia perché, nello stesso giorno si voterà anche al Senato della Repubblica sulle medesime cariche.

La decisione ha accolto il monito del Presidente della Repubblica dello scorso 27 dicembre, in cui sollecitava le conferenze deputate dei due organi costituzionali nel provvedere in tal senso.

Dati personali e ricerca scientifica: quali limiti?

Avv. Vincenzo Colarocco

L’European Data Protection Supervisor (EDPS) ha pubblicato lo scorso 6 gennaio, il parere preliminare sulla protezione dei dati e la ricerca scientifica, in un contesto in cui rilevanti sono oramai gli aspetti circa il rapporto esistente tra la digitalizzazione, il progresso delle tecnologie, i big data, rispetto alla indispensabile tutela dei dati personali e al relativo consenso: la digitalizzazione ha reso la generazione e la diffusione di dati personali più semplice ed economica trasformando il modo in cui viene condotta la ricerca scientifica.

La protezione dei dati è destinata a servire da “rete di sicurezza” per le persone i cui dati sono necessari per sostenere la ricerca scientifica: i dati personali, infatti, consentono una migliore comprensione delle malattie, dello sviluppo di nuove terapie e del miglioramento generale della qualità della vita. Si aggiunge che la digitalizzazione ha innegabilmente contribuito a creare un nuovo potenziale per la responsabilizzazione del singolo tenuto ad affrontare profonde questioni sociali come la sanità pubblica.

Il presente parere preliminare trae origine dal lavoro dell’EDPS e del Gruppo di Lavoro “Articolo 29” con lo scopo di promuovere una approfondita riflessione tra la community della ricerca e quella della protezione dei dati personali.

Il documento si struttura in sei sezioni che vengono delineati come segue:

–          in primo luogo, viene delineato il quadro generale della ricerca scientifica nell’era digitale e le questioni ad essa correlate (sezione 2);

–          successivamente, viene circoscritto il concetto di ricerca scientifica rispetto al Regolamento UE 2016/679 (“GDPR) (sezione 3);

–          viene delineato il quadro di governance e la politica di ricerca nell’Unione europea ed all’interno del quale si colloca la protezione dei dati, con particolar riguardo agli studi clinici ed alla ricerca medica nel rispetto della dignità umana e il diritto all’integrità della persona (sezioni 4 e 5);

–          viene proposto un quadro sui principi cardine del GDPR connessi al trattamento dei dati per finalità scientifiche e/o di ricerca (a mero titolo esemplificativo e non esaustivo, i principi di liceità, correttezza, trasparenza, minimizzazione dei dati personali) (sezione 6).

Telemarketing indesiderato: 11,5 milioni di euro di sanzione a Eni gas e luce

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul trattamento dei dati personali in relazione ad iniziative promozionali ed attivazione di contratti non richiesti.

All’esito di istruttorie avviate a seguito di numerose segnalazioni dei consumatori che lamentavano la ricezione di telefonate con operatore, il Garante ha potuto riscontrare condotte di sistema adottate da Eni Gas e Luce nel corso di attività di telemarketing e teleselling indesiderate, nonché violazioni nella conclusione di contratti, all’interno del mercato libero del fornitura di energia e gas, non richiesti.

Per tali motivi, il Garante ha emesso due sanzioni per un ammontare complessivo di 11,5 milioni di euro: una prima sanzione di 8,5 milioni di euro ed una seconda sanzione di euro 3 milioni.

Le gravi irregolarità sono state la conferma dell’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati, nonché determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati.

Dopo il parere dell’Avvocato Generale, la decisione della Corte di Giustizia. La vendita di libri elettronici di seconda mano tramite un sito Internet costituisce comunicazione al pubblico soggetta all’autorizzazione dell’autore

Avv. Alessandro La Rosa

Con la sentenza emessa in data 19 dicembre 2019 (C-263/18, raggiungibile all’indirizzo http://curia.europa.eu/juris/document/document.jsf;jsessionid=D57D8F2D013DB6F0732B7BC171B91E09?text=&docid=221807&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=7250639), la Corte di Giustizia ha dichiarato che la fornitura al pubblico effettuata per il tramite di download di un libro elettronico per un uso permanente rientra nella nozione di “comunicazione al pubblico” ai sensi della direttiva 2001/29 sul diritto d’autore.

La vicenda ha avuto inizio quando la Nederlands Uitgeversverbond (NUV) e la Groep Algemene Uitgevers (GAU) proponevano dinanzi al Tribunale dell’Aia un ricorso volto a vietare a un’associazione la messa a disposizione di libri elettronici a favore di un gruppo di lettura creato da quest’ultima all’interno del proprio sito Internet, ovvero di riprodurre tali libri. Ciò in quanto le predette attività avrebbero violato i diritti d’autore vantati dagli affiliati su tali libri elettronici: più precisamente, offrendo in vendita i libri elettronici di “seconda mano” seppure nell’ambito di tale gruppo di lettura, la società convenuta avrebbe effettuato una comunicazione al pubblico dei predetti libri non autorizzata dai titolari dei diritti.

La stessa società convenuta, di contro, sosteneva che tali attività sarebbero potute rientrare esclusivamente nel diritto di distribuzione soggetto, ai sensi della direttiva 2001/29 sul diritto d’autore, a una regola di esaurimento allorquando l’oggetto interessato –nella fattispecie concreta i libri elettronici- fosse stato venduto nell’Unione dal titolare del diritto o con il suo consenso. L’applicazione di tale previsione comporterebbe, pertanto, che le attrici, successivamente alla vendita dei libri elettronici di cui trattasi, non avrebbero più il diritto esclusivo di autorizzare o di vietare al pubblico la loro distribuzione.

La Corte investita della questione ha stabilito che la fornitura di un libro elettronico, concretizzata per il tramite di download, per un uso permanente non rientra nel diritto di “distribuzione al pubblico” previsto dall’articolo 4, paragrafo 1, della direttiva 2001/29, ma nel diritto di “comunicazione al pubblico” come disciplinato dall’articolo 3, paragrafo 1, della summenzionata direttiva, al quale non si applica l’esaurimento conformemente al paragrafo 3 di quest’ultimo articolo.

Ciò in quanto, a parere della Corte, intenzione del legislatore dell’Unione sarebbe stata quella di riservare la disciplina dell’esaurimento alla distribuzione di oggetti tangibili, quali i libri incorporati su un supporto materiale. Estendere la disciplina dell’esaurimento anche ai libri elettronici rischierebbe, invece, di pregiudicare o, quantomeno, limitare l’interesse dei titolari di ricevere un adeguato compenso rispetto all’ipotesi dei libri incorporati su un supporto materiale a fronte del mancato deterioramento con l’uso delle copie digitali di libri elettronici, continuando a poter essere, pertanto, delle copie nuove spendibili all’interno di un eventuale mercato di seconda mano.

Con riferimento alla nozione di “comunicazione al pubblico”, la Corte ha invece dichiarato che “come sottolineato dal considerando 23 della direttiva 2001/29, deve essere intesa in senso lato in quanto concernente tutte le comunicazioni al pubblico non presente nel luogo in cui esse hanno origine e, pertanto, copre qualsiasi trasmissione o ritrasmissione, di tale natura, di un’opera al pubblico, su filo o senza filo, inclusa la radiodiffusione”.

La Corte ha evidenziato che tale nozione consta di due elementi: il primo, l’atto di comunicazione di un’opera, il secondo, la comunicazione di quest’ultima al pubblico.

Per quanto riguarda l’atto di comunicazione dell’opera, dalla relazione sulla proposta di direttiva 2001/29 risulta che “l’atto critico è costituito dalla “messa a disposizione del pubblico di un’opera”, ovvero dall’offerta di un’opera in un sito accessibile al pubblico che precede la fase della sua reale trasmissione su richiesta (“on-demand transmission”)”. Al riguardo deve essere considerato “irrilevante se l’opera venga effettivamente richiamata da un utente o meno”. Pertanto, secondo la Corte, la circostanza che le opere oggetto di controversia siano state messe a disposizione dell’utenza registrata sul sito Internet del gruppo di lettura non può che essere considerato come una «comunicazione» di un’opera, senza che sia necessario che gli appartenenti al gruppo si siano avvalsi della possibilità di scaricare i relativi contenuti.

Con riferimento alla comunicazione delle opere al pubblico, la Corte stabilisce che si deve tener conto non solo del numero di persone che possono avere accesso contemporaneamente alla medesima opera, ma altresì di quante tra di loro possano avervi accesso in successione.

A tal riguardo, poiché secondo la Corte, il numero di persone che possono avere accesso a una stessa opera tramite il gruppo di lettura, contemporaneamente o in successione, è notevole, fatta salva una verifica da parte del giudice del rinvio che tenga conto di tutti gli elementi pertinenti, l’opera di cui trattasi deve ritenersi comunicata a un pubblico. Peraltro, sempre secondo quanto stabilito dalla Corte, perché sia considerata comunicazione al pubblico, l’opera deve essere comunicata secondo modalità tecniche specifiche, diverse da quelle fino ad allora utilizzate o, in mancanza, deve essere rivolta ad un pubblico nuovo, ossia un pubblico che non sia già stato preso in considerazione dai titolari del diritto d’autore nel momento in cui hanno autorizzato la comunicazione iniziale della loro opera. Nella fattispecie concreta, poiché la messa a disposizione di un libro elettronico è generalmente accompagnata da una licenza di utilizzo ai soli fini della lettura da parte dell’utente che ha effettuato il download per mezzo delle sue stesse apparecchiature, si deve ritenere che la comunicazione effettuata dalla società convenuta sia fatta ad un pubblico “nuovo” in quanto non preso originariamente in considerazione dai titolari del diritto d’autore, tanto da poter essere qualificato quale pubblico nuovo.