Reddito di cittadinanza e GDPR: Il Garante interviene evidenziando i gravi rischi

Avv. Vincenzo Colarocco

Il Presidente dell’Autorità Garante per la protezione dei dati personali, con la memoria dell’8 febbraio 2019, evidenzia come molte norme del decreto legge 28 gennaio 2019 n. 4 presentino notevoli criticità sotto il profilo della protezione dei dati personali. Si rileva come, non essendo stato richiesto il parere preventivo previsto dall’art. 36 al paragrafo 4, non sia stato possibile preventivamente individuare i rischi derivanti dalle diverse attività di trattamento. Ad avviso del Garante, infatti, le norme mancano di sufficiente precisione: le previsioni, di portata generale, si rivelano inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati. In particolare, non appare rispettato il principio di proporzionalità poiché la sorveglianza su larga scala, continua e capillare, dei soggetti interessati determinerebbe un’intrusione sproporzionata e ingiustificata nella sfera privata dei singoli. Si contesta, in particolare, che attraverso le due piattaforme digitali, da istituire una presso l’ANPAL e l’altra presso il Ministero del lavoro, transiterebbe un massivo flusso di informazioni e di dati, riferiti tanto ai richiedenti quanto ai componenti il nucleo familiare degli stessi – ivi inclusi i dati dei minorenni – idonei anche a rivelare lo stato di salute o l’eventuale sottoposizione a misure restrittive della libertà personale. La mancanza di regole pertinenti e di adeguati accorgimenti, in grado di garantire la qualità e l’esattezza dei dati, espone a rischi di non poco momento. Forti dubbi si nutrono anche in merito al cd. monitoraggio sull’utilizzo della carta Rdc, su cui possono essere compiuti dei controlli puntuali, centralizzati e sistematici sulle scelte di consumo individuali, in assenza di procedure ben definite. L’Autorità si mostra preoccupata anche dalla Dichiarazione sostitutiva unica (DSU), presupposto per il riconoscimento del reddito di cittadinanza e prodromica al rilascio dell’attestazione Isee: il documento in parola, infatti, verrebbe precompilato a cura dell’INPS, con la collaborazione dell’Agenzia delle Entrate. La precompilazione, per quanto risponda all’ esigenza di semplificazione amministrativa, non può pregiudicare la sicurezza e l’integrità dei dati contenuti.. Il Garante, infine, rileva come il sito web del Governo, dedicato al reddito di cittadinanza, mostri alcune carenze, specie con riferimento all’informativa sul trattamento dei dati.

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.

Il caso Wind Tre: iniziative di telemarketing e trattamento illecito di dati

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul tema del trattamento dei dati personali in relazione ad iniziative di marketing, pronunciandosi nei confronti di Wind Tre s.p.a.. All’esito di un’istruttoria avviata a seguito di numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale, l’Autorità Garante italiana ha emesso un’ordinanza di ingiunzione nei confronti di Wind Tre s.p.a (Provvedimento n. 493 del 29 novembre 2018) condannando la compagnia di telecomunicazioni al pagamento di una sanzione pecuniaria pari a 600 mila euro. La sanzione deriva da un provvedimento adottato nel mese di maggio 2018 (Provvedimento n. 330 del 22 maggio 2018) e quindi precedente all’entrata in vigore del Regolamento n. 679/2016, nell’ambito del quale l’Autorità aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica a fini di marketing. Le violazioni contestate a Wind Tre s.p.a. dal Garante Privacy sono da ricondurre a due condotte specifiche: la mancata verifica delle liste di chi non aveva prestato il consenso per essere contattato a scopi pubblicitari (“black list”), detenute dalla società, nelle quali erano presenti i segnalanti, e la sistematica, prolungata e illecita comunicazione di dati della clientela a terzi partner commerciali. La società, infatti aveva proceduto ad un’erronea qualificazione soggettiva della maggior parte dei punti vendita, individuandoli come titolari autonomi, anziché come responsabili del trattamento, incorrendo pertanto in una illecita comunicazione. Inoltre, tutte le richieste provenienti dai soggetti interessati inerenti alla revoca del consenso per finalità di telemarketing e marketing non erano state registrate ed organizzate dalla società ma solo  comunicate ai partner, che avrebbero dovuto poi provvedere in autonomia. Pertanto, accertata l’illiceità del trattamento, nel definire l’importo dovuto, l’Autorità ha tenuto conto della gravità delle violazioni contestate, del fatto che siano stati impiegati differenti canali di contatto (telefonate, sms) con esponenziale aumento dell’invasività delle campagne promozionali, della loro reiterazione nel tempo nonché della dimensione e delle condizioni economiche della società, ma anche – in termini favorevoli – del fatto che Wind Tre s.p.a abbia posto in essere autonome iniziative per eliminare le criticità emerse. Inoltre, sulla qualifica soggettiva dei partner commerciali, l’Autorità ha chiarito che l’omessa designazione di tali soggetti quali “responsabili del trattamento” ha dato luogo ad una sistematica oltre che prolungata comunicazione illecita dei dati riferiti alla clientela a terzi, fino al 93% degli operatori economici che vanno a comporre la rete commerciale della Società. Tuttavia, l’iniziale sanzione di 150 mila euro è risultata  inefficace, costringendo l’Autorità in questa occasione ad aumentarla del quadruplo, arrivando cosi alla somma di 600 mila euro.

Facebook e la raccolta dati in Germania: l’antitrust perimetra l’area di incidenza

Avv. Vincenzo Colarocco

Il Bundeskartellamt (l’Antitrust tedesco) ha deciso di imporre a Facebook severe restrizioni nei casi di elaborazione dei dati che prevedano una combinazione di dati estrapolati da diverse fonti, come per esempio WhatsApp e Instagram. Questa authority, infatti, è dell’opinione che la sconfinata raccolta di dati da più fonti e la fusione degli stessi costituisca un abuso di posizione dominante. In più, i termini d’uso proposti dall’azienda californiana nonché le stesse modalità di raccolta ed utilizzo dei dati costituirebbero, secondo il Bundeskartellamt, una violazione del GDPR.

Si legge, infatti, nella decisione che secondo i termini d’uso di Facebook l’utilizzo del social network da parte degli utenti comporta il trattamento dei loro dati in relazione sia al sito web Facebook, sia alla sua app mobile, sia ai servizi WhatsApp e Instagram, ed ancora ai siti terzi che gli utenti visitino durante la navigazione Internet. Tale mole di dati vengono attribuiti all’account Facebook dell’utente ma, secondo il Bundeskartellamt, verrebbero trattati senza consenso dello stesso, rendendo così il trasferimento illecito. Per l’autorità tedesca, al fine di trattare i dati provenienti dai diversi servizi del gruppo, come WhatsApp e Instagram,  sarà necessario, per Facebook, ottenere il consenso informato dell’utente stesso, in assenza del quale, i dati dovranno rimanere attribuiti al servizio che li ha raccolti e, quindi, non potranno essere elaborati assieme agli altri. Ugualmente per i dati raccolti dalla navigazione su siti terzi (ad esempio quando l’utente condivide sulla sua bacheca un link esterno a Facebook). L’autorità federale ci tiene a sottolineare la posizione dominante di cui Facebook gode sul mercato tedesco. Questo infatti conta 23 milioni di utenti attivi quotidianamente, equivalenti a un market share di oltre il 95% per gli utenti giornalieri e di oltre l’80%, cifre queste caratteristiche di un monopolio. Il Bundeskartellamt ha altresì chiesto al colosso di Menlo Park di presentare, entro 12 mesi, delle proposte volte ad attuare i cambiamenti richiesti. Ad ogni modo, la decisione dell’autorità di vigilanza non è definitiva e Facebook non ha tardato a richiedere appello avverso la stessa presso l’Alto tribunale regionale di Düsseldorf. Secondo i legali della compagnia, l’autorità federale non avrebbe tenuto conto della concorrenza che Facebook ha in Germania affermando, inoltre, che questa avrebbe male interpretato la compliance con il GDPR, mettendo in serio pericolo così l’omogeneità degli standard per la protezione dei dati  nel vecchio continente.

Diritto d’accesso dei lavoratori e riservatezza aziendale: quali Limiti?

Avv. Vincenzo Colarocco

Con l’ordinanza n. 32533 del 14 dicembre 2018, la Suprema Corte di Cassazione, rigettando il ricorso promosso da una banca avverso una sentenza del Tribunale di Roma (confermativa di un precedente provvedimento reso dal Garante per la protezione dei dati personali), ha ribadito la sussistenza del diritto di accesso in favore del dipendente rispetto alla documentazione inerente ad un procedimento disciplinare cui il medesimo era stato sottoposto. In particolare, il dipendente in questione proponeva ricorso dinanzi al Garante Privacy ribadendo la richiesta (già formulata all’istituto di credito datore di lavoro) di ottenere due documenti elaborati dalla banca che, inevitabilmente, riportavano alcuni suoi dati personali. L’istante sosteneva che l’accesso a tali dati avrebbe trovato giustificazione nell’esigenza di esercitare il proprio diritto di difesa e di impugnazione avverso la sanzione irrogatagli. La Banca replicava di aver fornito al ricorrente tutte le informazioni necessarie, essendo le stesse riportate all’interno della lettera di contestazione trasmessagli, in più assumeva che i documenti oggetto di richiesta, oltre a contenere dati della società di uso strettamente interno (in quanto espressione del diritto, costituzionalmente garantito, di organizzare e gestire la propria attività), risultavano atti “endoprocedimentali” e, pertanto, attinenti solo al momento formativo della volontà datoriale, pertanto irrilevanti ai fini di esercizio dell’asserito diritto di difesa. Il Garante rilevava come a mente della versione del D. Lgs n. 196/2003 (“Codice Privacy”) ratione temporis applicabile, l’art. 8, comma 4 (ora abrogato dal D. Lgs. 101/2018), riconoscesse espressamente il carattere di dato personale dei c.d. “dati valutativi” (quelle informazioni personali che non hanno carattere oggettivo essendo relative a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo) e che, anche rispetto a questi ultimi, fosse possibile esercitare i diritti di cui all’art. 7 (anch’esso successivamente abrogato dal D. Lgs. 101/2018), compreso il diritto di accesso. L’Autorità precisava inoltre che il summenzionato diritto fosse esercitabile senza dover motivare la richiesta o dimostrare di dover acquisire i dati per difendere un diritto in giudizio. Dinanzi alle doglianze espresse dalla banca, gli Ermellini, rigettando il ricorso, precisano che il diritto di accesso non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dello stesso soggetto interessato, atteso che scopo della norma suddetta è garantire  la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati; tale diritto, pertanto, andrebbe garantito in ogni momento del rapporto lavorativo, dal momento che “la documentazione relativa alle vicende del rapporto di lavoro, imposta dalla legge (come per i libri paga e matricola), o prevista dall’organizzazione aziendale (tramite circolari interne), dà luogo alla formazione di documenti che formano oggetto di diritto di accesso”. Inoltre, dalla lettura del disposto normativo in tema di diritto di accesso non si evince alcuna specifica limitazione in ordine alle concrete finalità per le quali il diritto di accesso possa essere esercitato. Il diritto di accesso, quindi, ben può essere utilizzato dal dipendente per proprie finalità difensive.

Consulenti del lavoro: il Garante Privacy chiarisce “sono responsabili del trattamento”

Avv. Vincenzo Colarocco

Con l’entrata in vigore del Regolamento europeo n. 679/2016, anche noto come GDPR, i titolari del trattamento hanno iniziato ad interrogarsi sul ruolo da attribuire ai soggetti terzi che avrebbero dovuto compiere operazioni del trattamento per loro conto e, dunque, per le loro finalità, come per esempio i fornitori di servizi o i consulenti esterni. Tra questi, una figura molto dibattuta è stata quella del consulente del lavoro che nell’esercizio della propria prestazione professionale inevitabilmente tratta i dati personali dei dipendenti e collaboratori del titolare del trattamento. Il consulente tratterebbe i dati per la finalità – di gestione del rapporto lavorativo – definita dal titolare ma al tempo stesso manterrebbe una sostanziale autonomia, trattandosi di figura professionale dotata di competenze sue proprie. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito avente ad oggetto proprio il ruolo del consulente del lavoro alla luce del GDPR. Il Garante ha risposto al quesito sottopostogli in data 22 gennaio 2019 chiarendo come occorra distinguere il segmento di attività del consulente, se questi tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista. Nel primo caso, afferma il Garante, il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività e dovrà, quindi, ricoprire il ruolo di titolare del trattamento. Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile, dal momento che il consulente tratterà i dati per finalità definite da altro soggetto, appunto, il titolare. Qualora, poi, il consulente si avvalga normalmente di collaboratori di propria fiducia, questi potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento e dell’art. 2 quaterdecies del Codice della Privacy. Il Garante ha escluso a priori, invece, la sussistenza di un rapporto di contitolarità tra il datore di lavoro ed il consulente in questione. Ritenuto responsabile del trattamento, il consulente dovrà essere nominato con apposito atto o contratto ai sensi dell’art. 28 del GDPR ed al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.

Il Tribunale delle Imprese di Roma sul caso RTI contro Vimeo (Sentenza 693/2019 del 10.1.2019)

Avv. Alessandro La Rosa

Nel 2012 RTI (società del Gruppo Mediaset) accertava la presenza di centinaia di brani estratti da notissime trasmissioni delle reti Mediaset ed abusivamente caricati dagli utenti e pubblicati attraverso la piattaforma gestita dalla VIMEO LLC. Nonostante una diffida e la pendenza del giudizio promosso davanti alla Corte romana, i brani abusivamente pubblicati sono diventati, nel tempo, più di due mila.

I principi affermati dal Tribunale delle Imprese di Roma con la sentenza in commento sono in piena sintonia con l’orientamento della Corte di Giustizia UE.

I provider con “ruolo attivo” non possono beneficiare del regime di esenzione di responsabilità previsto dalla Direttiva e-commerce (2000/31).

Questo principio è stato affermato tra gli altri nel caso C-324/09 L’Oréal c. eBay (“Laddove, per contro, detto gestore abbia prestato un’assistenza consistente segnatamente nell’ottimizzare la presentazione delle offerte in vendita di cui trattasi e nel promuovere tali offerte, si deve considerare che egli non ha occupato una posizione neutra tra il cliente venditore considerato e i potenziali acquirenti, ma che ha svolto un ruolo attivo atto a conferirgli una conoscenza o un controllo dei dati relativi a dette offerte. In tal caso non può avvalersi, riguardo a tali dati, della deroga in materia di responsabilità di cui all’art. 14 della direttiva 2000/31” punti 116 e 117) e nel caso C-610/15, caso Stichting v. Ziggo dove la Corte di Giustizia UE ha affrontato la questione se la messa a disposizione e la gestione di una piattaforma di condivisione online, configurino un «atto di comunicazione», ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29 affermando che la detta questione vada risolta avendo riguardo al comportamento concreto dei suoi amministratori il cui comportamento rileva nella misura in cui “detti amministratori, mediante la messa a disposizione e la gestione di una piattaforma di condivisione online, come quella di cui al procedimento principale, intervengono con piena cognizione delle conseguenze del proprio comportamento, al fine di dare accesso alle opere protette, in particolare quando, in mancanza di questo intervento, tali clienti non potrebbero, o potrebbero solo con difficoltà, fruire dell’opera diffusa (punto 26) […]. E’ rilevante a tal fine il fatto che benché “le opere così messe a disposizione degli utenti della piattaforma di condivisione online TPB sono state messe online su tale piattaforma non dagli amministratori di quest’ultima, bensì dai suoi utenti. Tuttavia detti amministratori, mediante la messa a disposizione e la gestione di una piattaforma di condivisione online, come quella di cui al procedimento principale, intervengono con piena cognizione delle conseguenze del proprio comportamento, al fine di dare accesso alle opere protette, indicizzando ed elencando su tale piattaforma i file torrent” (punto 36). Rileva altresì il fatto che “la piattaforma di condivisione online TPB propone, in aggiunta a un motore di ricerca, un indice che classifica le opere in diverse categorie, a seconda della natura delle opere, del loro genere o della loro popolarità, e che gli amministratori di tale piattaforma verificano che un’opera sia inserita nella categoria adatta” (punto 37).

I Giudici capitolini hanno posto alla base della decisione in commento l’analisi di elementi fattuali, constatando che Vimeo non si è limitata alla fornitura di servizi di stoccaggio di informazioni (che è la figura di hosting provider neutro e passivo prevista dall’articolo 14 della direttiva cit.), proprio in ragione dei complessi servizi aggiuntivi che fornisce ai suoi utenti. Ed hanno chiarito che i concetti di “consapevolezza” o “controllo” presenti nella direttiva e-commerce (cfr. art. 14) non presuppongono “una conoscenza personale e diretta del contenuto illecito, ma è sufficiente che i mezzi tecnologici dallo stesso utilizzati siano comunque idonei a conferirgli la conoscenza o il controllo dei dati memorizzati”.

Un altro importante principio stabilito dai Giudici romani è che Vimeo ha violato il dovere di diligenza ragionevolmente esigibile da un operatore del settore, incorrendo in quella specifica forma di responsabilità che il Tribunale qualifica “da contatto sociale” e che Vimeo avrebbe rispettato solo qualora si fosse comportata “secondo correttezza e buona fede, in prospettiva solidaristica”.

Tale principio è pienamente aderente al parere reso dall’Avvocato Generale l’8 febbraio 2017 (Causa C‑610/15, Stichting Brain punti 70.6 e 70.13) secondo il quale sugli intermediari di servizi della rete incombe un “obbligo di cooperazione nella lotta contro le violazioni dei diritti d’autore” In particolare, afferma l’AG, “occorre altresì notare che la normativa relativa ai servizi della società dell’informazione, ossia principalmente Internet, è particolarmente concepita per tale modello di funzionamento il quale prevede, segnatamente, che i prestatori intermediari non sono responsabili per i contenuti, ma impone agli stessi taluni obblighi di cooperazione nella lotta contro i contenuti illeciti”, punto 19) rilevando che “le deroghe in materia di responsabilità dei prestatori intermedi previste dalla direttiva 2000/31 costituiscono uno degli elementi dell’equilibrio tra i vari interessi in gioco che rappresenta tale direttiva, ai sensi del considerando 41 della stessa. Tali deroghe, nell’ambito di tale equilibrio, devono essere controbilanciate non solo dall’assenza di responsabilità dei prestatori intermedi nel violare la legge, ma anche dalla loro cooperazione al fine di evitare o prevenire tali infrazioni. Essi non possono sottrarsi a tale obbligo invocando, in funzione delle circostanze né il carattere troppo restrittivo delle misure, né la loro inefficacia”.

Vimeo quindi è stata giudicata responsabile a titolo di “cooperazione colposa mediante omissione, per la violazione dei diritti d’autore” spettanti a Mediaset e dovrà anche ottemperare ad uno specifico obbligo di “rimozione immediata” in relazione a tutti i brani video che in futuro dovessero essere caricati dagli utenti, a condizione che siano estratti dai medesimi programmi televisivi oggetto della causa. Pena il pagamento di una penale di 1000,00 euro per ogni violazione ed un’altra di 500,00 euro per ogni giorno di ritardo. Oltre alla condanna della società americana al risarcimento di 8,5 milioni di euro.

Anche su questo punto la Corte capitolina ha fatto esatta applicazione sia del dato normativo che della giurisprudenza della stessa Corte di Giustizia UE che impongono espressamente all’intermediario di agire da operatore diligente anche in ottica di prevenzione rispetto a specifici casi di illecito, impedendone la ripetizione.

Tanto emerge univocamente sia dal considerando 47 della Direttiva 2000/31/CE, ove si legge che il divieto dell’obbligo generale di sorveglianza “non riguarda gli obblighi di sorveglianza in casi specifici”, che dall’articolo 15 della detta direttiva (e dall’art. 17 del decreto leg. 20037/70) che infatti vietano l’imposizione solo di un obbligo “generale” di sorveglianza ed il cui contenuto sarebbe svuotato di ogni significato se si estendesse tale divieto anche ad obblighi di sorveglianza su casi specifici. Tale assunto è recepito anche dalla Corte di Giustizia Ue sia nel caso C-360/10, Netlog secondo cui ad essere vietato è solo “un sistema di filtraggio sulla totalità o sulla maggior parte delle informazioni memorizzate presso il prestatore di servizi di hosting coinvolto, (se) illimitata nel tempo, (e se) riguarda qualsiasi futura violazione e postula che si debbano tutelare non solo opere esistenti, bensì anche opere che non sono state ancora create nel momento in cui viene predisposto detto sistema” che, da ultimo, con la sentenza del 15.9.2016, C-484/14, caso McFadden vs SonyLa Corte ha già dichiarato che le misure adottate dal destinatario di un’ingiunzione, come quella in causa nel procedimento principale, in sede di ottemperanza alla stessa, devono essere abbastanza efficaci da garantire una tutela effettiva del diritto fondamentale in parola, vale a dire che esse devono avere l’effetto di impedire o, almeno, di rendere difficilmente realizzabili le consultazioni non autorizzate dei materiali protetti e di scoraggiare seriamente gli utenti di Internet che ricorrono ai servizi del destinatario di tale ingiunzione dal consultare tali materiali messi a loro disposizione in violazione del suddetto diritto fondamentale (sentenza del 27 marzo 2014, UPC Telekabel Wien, C‑314/12, , punto 62) (punto 95).

Corte di Giustizia UE (causa C-572/17): il solo stoccaggio di merci contraffatte è di per sé un atto di contraffazione?

Avv. Alessandro La Rosa

Con provvedimento del 19 dicembre u.s., la Corte di Giustizia UE si è pronunciata sull’interpretazione dell’articolo 4, par. 1, della Direttiva 2001/29/CE (sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società̀ dell’informazione) che, come è noto, riconosce in capo agli autori il diritto esclusivo di autorizzare o vietare qualsiasi forma di distribuzione al pubblico dell’originale o di copie delle loro opere.

La decisione muove dalla domanda di pronuncia pregiudiziale ex art. 267 TFUE, presentata dalla Corte Suprema svedese nei confronti dell’Imran Syed per contraffazione di marchi e violazione del diritto d’autore relativo alle opere letterarie e artistiche ai sensi della legge 1960:729, che recepisce la richiamata direttiva 2001/29 nel diritto svedese.

In particolare, nel caso di specie, il Sig. Syed gestiva un negozio al dettaglio di vendita di abiti e accessori decorati con motivi richiamanti la musica rock.

Attestato che la vendita di alcune merci violava marchi e diritti d’autore dei denuncianti, dinanzi la Corte Suprema svedese, il PM chiedeva per il titolare dei negozi la condanna per tutte le merci, comprese quelle stoccate nei magazzini. La difesa del Syed lamentava che per una tale violazione fosse indispensabile una condotta pro-attiva nei confronti del pubblico, finalizzata alla vendita di ogni specifico prodotto; circostanza che, nel caso dell’acquisto e immagazzinamento di merci, non poteva ritenersi esistente.

La Corte svedese, rilevato che né la direttiva richiamata né la legge 1960/729 vietano espressamente lo stoccaggio di merci lesive di diritti d’autore ai fini della loro messa in vendita, sospendeva il procedimento e rimetteva tale questione alla CGUE.

Un atto preparatorio alla vendita di un prodotto può costituire una violazione del diritto di distribuzione purché, in ogni caso, sia dimostrato che le merci fossero effettivamente destinate ad essere distribuite al pubblico in uno Stato membro nel quale l’opera è protetta, senza l’autorizzazione dell’autore. Questo il principio espresso dalla Corte europea, la quale ha altresì rilevato che l’identità tra le merci in stock e quelle vendute nel negozio costituisce solo un indizio per dimostrare che le merci stoccate siano anch’esse destinate ad essere vendute. Infatti, una parte o la totalità delle merci stoccate ben potrebbe essere destinata alla vendita in uno Stato membro diverso da quello nel quale l’opera apposta su tali merci è protetta.

Rimettendo al giudice nazionale la valutazione circa la destinazione delle merci stoccate identiche a quelle vendute nel negozio, la Corte UE ha così concluso: “occorre procedere ad una analisi complessiva di diversi fattori, tra cui la distanza tra il luogo di stoccaggio e il luogo di vendita, che, sebbene possa costituire un indizio per dimostrare che le merci in questione sono destinate ad essere vendute in tale luogo, detto indizio non può, di per sé, essere determinante”.

Opposizione a decreto ingiuntivo ed a precetto. Connessione

Avv. Daniele Franzini

La contemporanea pendenza, relativamente al medesimo credito, di un procedimento di opposizione a decreto ingiuntivo e di altro di opposizione a precetto intimato sulla base di quel medesimo titolo, non comporta modificazioni della competenza, che, rispettivamente, appartiene, secondo criteri inderogabili, in base all’art. 645 c.p.c., al giudice che ha emesso il decreto ingiuntivo opposto e, in base agli artt. 27, comma 1, e 615, comma 1, c.p.c. al giudice del luogo dell’esecuzione competente per materia e per valore.

Ne deriva che il “simultaneus processus” di opposizione a decreto ingiuntivo e di opposizione a precetto è possibile, se il giudice che ha emesso l’ingiunzione coincida con quello del luogo dell’esecuzione competente per materia e per valore.

Lo ha stabilito con l’ordinanza n. 30183 del 22.11.2018 la Corte di Cassazione.