E’ fatto divieto di cedere i dati degli utenti whatsapp a facebook

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali con il provvedimento 9058572 del 4 ottobre 2018 chiude un’inchiesta avviata nel 2016. In particolare, nell’agosto dello stesso anno Whatsapp modificava termini e informativa sulla privacy, predisponendo la disponibilità per Facebook di una serie di informazioni concernenti i singoli account degli utenti Whatsapp. Detto altrimenti, le due società, facenti parte come noto del medesimo gruppo (Whatsapp, Facebook, Instagram), avrebbero condiviso i dati degli utenti trattandone i dati per tre precipue finalità: 1) safety and security al fine di ricevere informazioni riguardanti account abusivi, pericolosi o illeciti; 2) business analytics al fine di de-duplicare gli account sulle varie applicazioni del gruppo individuandone gli utenti unici attivi su di esse; 3) pubblicitarie per promuovere prodotti e inserzioni pubblicitarie sul social network Facebook.

A seguito dell’istruttoria compiuta da una Task Force costituita dal Gruppo Articolo 29 (WP29) e delle osservazioni e valutazioni nel merito condotte dal Garante è emerso che il consenso degli utenti italiani ottenuto da Whatsapp deve ritenersi acquisito in violazione delle regole normative vigenti. In particolare, l’informativa non rispettava il principio di correttezza poiché non conteneva tutti gli elementi dell’art. 13 del GDPR: si trattava, infatti, di un comunicato troppo generico, non facilmente comprensibile, con finalità alquanto vaghe. Il consenso, per questo, non poteva ritenersi espresso, specifico e libero: Whatsapp chiedeva ai propri utenti di “accettare” le modifiche mediante un modello imperniato sull’opt-out (casella di spunta già “flaggata”), prospettando, in caso di mancata adesione, la sospensione del servizio, cosa che appariva decisamente sproporzionata. Del resto, non sussisteva una base giuridica diversa dal consenso, come il legittimo interesse, idonea a legittimare tali trattamenti.

Cassazione: rilevazione presenze con dati biometrici – Il Garante deve autorizzarla

Avv. Vincenzo Colarocco

La Suprema Corte di Cassazione con sentenza del 4 maggio 2018, depositata il 15 ottobre 2018, si è pronunciata sul trattamento dei dati biometrici dei dipendenti, attraverso un badge per rilevare la presenza.

La vicenda prende le mosse nel 2015, a seguito della sanzione inflitta del Garante Privacy nei confronti di una società specializzata nel settore dei servizi di igiene ambientale e raccolta differenziata ed indifferenziata, di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti.

Proposta l’opposizione, il Tribunale di Catania la accoglieva, ritenendo che le apparecchiature utilizzate dalla società “non prelevino e non trattino i dati biometrici […] e che il dato biometrico è utilizzato come individualizzante, ma non come identificante”.

A seguito del ricorso del Garante, la Suprema Corte ha ribaltato l’interpretazione del giudice di merito precisando che ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati è irrilevante, essendo sufficiente “una mera attività di raccolta ed elaborazione”. Orbene, ciò che rileva al predetto fine è che “il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica”. E questo non si poteva fare senza la preventiva notifica al Garante -conclude la Suprema Corte- neppure per uno scopo legittimo come quello di ‘controllo delle presenze’.

Evidente appare la diretta correlazione della statuizione della Corte con i principi espressi dal Regolamento UE 2016/679, tenendo conto che l’istituto della notifica preliminare oggi non trova più applicazione essendo stata introdotta peraltro la valutazione d’impatto.

Il “Rating reputazionale” non è vietato: la sentenza del Tribunale di Roma

Avv. Vincenzo Colarocco

Con sentenza n. 5715/2018, il Tribunale di Roma ha stabilito che la mancanza di una disciplina normativa sul ‘rating reputazionale’ non osta allo sviluppo di infrastrutture capaci di attribuirlo.

Nel caso di specie, una associazione impugnava il provvedimento del Garante per la protezione dei dati personali inibitorio del sistema di elaborazione dei dati da questa sviluppato per quantificare la reputazione di individui, persone giuridiche ed enti, pubblici e privati, assegnando loro un vero e proprio “rating”. Di avviso opposto rispetto al Garante, che aveva ritenuto che il complesso sistema di raccolta e di trattamento dei dati personali in oggetto sarebbe stato in grado di incidere sia sulla rappresentazione economica e sociale di un’ampia categoria di soggetti, sia sulla vita privata degli individui censiti, il giudice ordinario ha rilevato come siano ormai largamente diffusi gli organismi privati di valutazione e di certificazione, riconosciuti anche a fini di attestazione di qualità e/o di conformità a norme tecniche. Il Tribunale ha, dunque, stabilito che «non può negarsi all’autonomia privata la facoltà di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato ‘valutativi’, in vista del loro ingresso nel mercato, per la conclusione di contratti e per la gestione di rapporti economici», pertanto annullando il provvedimento del Garante, fermo il divieto di trattare i dati personali di soggetti non iscritti alla piattaforma, ancorché tratti da documenti liberamente conoscibili.

Data Breach: novembre nero per i sistemi di sicurezza informatici

Avv. Vincenzo Colarocco

Il mese corrente verrà senz’altro ricordato come uno dei più drammatici per la sicurezza informatica italiana e per la riservatezza di migliaia di utenti.

Il picco della “settimana nera” annunciata dal collettivo di attivisti hacker “Anonymous” contro obiettivi italiani si è fatto registrare, in particolare, nella giornata del 5 novembre. Dopo diversi giorni di cyber azioni di sabotaggio e sottrazione di dati a diverse piattaforme di organizzazioni nazionali (solo per citarne alcune: il Dipartimento di ingegneria informatica dell’Università di Roma, l’Azienda sanitaria provinciale di Reggio Calabria, diverse sedi di Confindustria), i temuti hacker si sono concentrati su obiettivi politici divulgando nomi, cognomi, numeri di telefono, email e password di impiegati e funzionari di diversi istituti del Consiglio Nazionale della Ricerca (CNR) e del Ministero dello Sviluppo Economico. Sono stati diffusi anche dati sensibili (in quanto rivelatori di opinioni politiche) dei tesserati della Lega Nord del Trentino, di Fratelli e del Partito Democratico di Siena; il sito del partito Fratelli d’Italia, invece, risultava irraggiungibile e ad ogni tentativo si era direttamente rimandati al blog di Anonymous (redirect).

Non solo Anonymous però, anche gli hacker del collettivo “Anonplus” si sono resi protagonisti di un grave attacco informatico ai danni dei server della Società Italiana degli Autori ed Editori (SIAE), dichiarando in un successivo tweet di aver trafugato circa 3,7 GB di dati. Ha fatto seguito un’importante precisazione della stessa SIAE con cui si è dato atto dell’attacco subito ma è stata smentita – almeno a seguito di una prima analisi – la sottrazione di dati sensibili.

L’evidente deficit di sicurezza informatica mostrato in tali circostanze dai succitati titolari di dati personali – alcuni dei quali, per di più, pubbliche amministrazioni – è stato preso in esame anche dal Garante privacy italiano Antonello Soro, il quale ha evidenziato come i descritti accadimenti possano essere in parte imputati all’assenza di un piano organico e di investimenti adeguati nell’attuale processo di digitalizzazione. Lo stesso Garante ha sottolineato come appaia evidentemente distante dall’essere praticato il principio di “privacy by design” che ispira l’attuale disciplina del Regolamento Europeo 679/2016 (“GDPR”), al fine di ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati quali obiettivi centrali dell’azione.

Conclusivamente vale la pena ricordare come in caso di data breach (per tale intendendosi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali), il succitato GDPR prevede l’obbligo di notifica della violazione al Garante Privacy e al soggetto che ne è vittima, mentre per quanto attiene all’aspetto sanzionatorio possono disporsi sanzioni fino a 10 milioni di euro (o al 2% del fatturato globale annuo), oltre al risarcimento del danno in favore degli interessato. Risulta quindi di fondamentale importanza (per qualsiasi politica di sicurezza dei dati) acquisire la capacità, ove possibile, di prevenire una violazione munendosi di misure di sicurezza adeguate. Altrettanto utile risulterebbe l’elaborazione, a monte dell’attività di adeguamento al GDPR, di una chiara ed efficiente policy in materia di data breach che permetta di reagire in maniera tempestiva ed in conformità alla normativa vigente qualora se ne presentasse la necessità.

Pubblicato l’elenco delle tipologie di trattamenti soggetti al requisito di valutazione d’impatto

Avv. Vincenzo Colarocco

Con il provvedimento n. 467 dell’11 ottobre 2018, il Garante pubblica l’elenco dei trattamenti che, ai sensi del paragrafo 4 dell’art. 35 del Regolamento (UE) 2016/679, sono soggetti a valutazione d’impatto.

In particolare, tenuto conto e allo scopo di specificarne ulteriormente il contenuto delle linee guida in materia di valutazione d’impatto sulla protezione dei dati del Gruppo Articolo 29 (WP 248, rev. 01) che hanno individuato nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”, il Garante ha predisposto un elenco delle tipologie di trattamento da sottoporre obbligatoriamente a valutazione d’impatto. Tale elenco,  rilevato che potrà essere modificato o integrato anche sulla base delle risultanze emerse nel corso della prima fase di applicazione del GDPR, è stato comunicato al Comitato europeo per la protezione dei dati che, nel garantire l’applicazione coerente del Regolamento, sarà tenuto ad emettere un parere. L’Autorità pone l’accento sul fatto che si faccia riferimento esclusivamente a tipologie di trattamento soggette al meccanismo di coerenza e che l’elenco non può intendersi esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dal WP 248, rev. 01 e che in taluni casi “un titolare può ritenere – comunque – che un trattamento che soddisfa soltanto uno [dei predetti] criteri richieda una valutazione d’impatto sulla protezione dei dati”.

 

La contraffazione del marchio che gode di notorietà: il caso Gucci e i presupposti di tutela

Avv. Alessandro La Rosa

La Sezione I della Corte di Cassazione, con l’ordinanza del 17 ottobre 2018, n. 26000 è tornata sull’argomento relativo alla tutela di un marchio che gode di rinomanza e ai presupposti necessari perché questa sia riconosciuta.

La Guccio Gucci S.p.a. eccepiva l’avvenuta registrazione e utilizzazione da parte di un terzo di un marchio simile al proprio e ne chiedeva, pertanto, la dichiarazione di nullità con contestuale accertamento della contraffazione sia per rischio di confusione che per violazione della disciplina dettata in materia di marchio rinomato.

La Corte d’Appello precedentemente investita della questione aveva escluso la confondibilità tra i marchi oggetto di contestazione in quanto il marchio oggetto del giudizio “pur evocando sfacciatamente il simbolo Gucci, ne richiamava le fattezze impiegando lettere diverse e con un’impronta generale non graficamente sovrapponibile, con varianti che non potevano sfuggire ai clienti della rinomata casa; ha quindi osservato che i prodotti dello S., non comparabili per qualità, non erano intesi a proporsi come Gucci, ma tipo Gucci, sfruttando la celebrità altrui, in tal modo esaltandola e non già svilendola”.

Il noto brand di moda impugnava la decisione della Corte d’Appello sulla base di due diversi motivi.

In particolare, con il primo motivo contestava la motivazione del giudice di secondo grado in quanto, pur avendo rimarcato la forza e la rinomanza del marchio, ha ritenuto che le varianti “anche minime” fossero sufficienti a far escludere la confondibilità, riducendo in tal modo l’ambito di tutela. Con il secondo, invece, denunciava la violazione della disciplina dettata in materia di rinomanza del marchio.

La Corte di Cassazione ha ritenuto fondati entrambi i motivi stabilendo che se il segno è privo di aderenza concettuale con i prodotti da questo contraddistinti e, quindi, è forte, le “variazioni che lasciano intatta l’identità del nucleo ideologico che riassume la attitudine individualizzante del segno debbono ritenersi inidonee ad escludere la confondibilità”, occorrendo, a tal fine, sempre verificare se vi sia stata “appropriazione del nucleo centrale dell’ideativo messaggio individualizzante del marchio anteriore, con riproduzione od imitazione di esso nella parte atta ad orientare le scelte dei potenziali acquirenti” (Cass. n. 18920/2004).

Pertanto, al fine di escludere l’illecito davanti a una similitudine tra un marchio forte ed un altro potenzialmente contraffatto, si dovrà verificare che la somiglianza non riguardi il nucleo che contraddistingue il messaggio veicolato, ma la sussistenza o meno dell’affinità tra i prodotti e, infine, apprezzare il rischio di associazione. Ciò anche in quanto, il titolare del marchio registrato successivamente rispetto a quello rinomato potrebbe trarre indebito vantaggio dal carattere distintivo o dalla notorietà del marchio di impresa anteriore, recando pregiudizio allo stesso.

Oltre a ribadire tali principi, la Corte di Cassazione rileggendo le disposizioni del Codice di proprietà industriale e del Regolamento Comunitario, con specifico riferimento all’art. 5 comma 2 della Direttiva 89/104 sul ravvicinamento delle legislazioni degli Stati membri in materia di marchi, individua tre specifici profili la cui valutazione è necessaria al fine di verificare la sussistenza o meno della contraffazione di un marchio rinomato.

Il primo riguarda l’oggetto della tutela, con riferimento al marchio registrato caratterizzato dalla “rinomanza” o “notorietà”; il secondo ha ad oggetto i presupposti necessari per accedere alla tutela, posto che l’accertamento dell’identità o della somiglianza dei marchi contrapposti dei quali uno sia riconosciuto come notorio, resta del tutto sganciato dalla sussistenza o meno  di affinità tra prodotti o servizi e dalla sussistenza o meno del rischio di associazione; il terzo riguarda invece i casi in cui la tutela preservi non solo la funzione distintiva del marchio in sé, ma impedisca che terzi possano trarre un indebito pregiudizio dall’utilizzo non autorizzato di un segno simile al marchio precedentemente registrato attraverso il c.d. agganciamento parassitario, ovvero un pregiudizio alla capacità distintiva, rinomanza o notorietà del marchio stesso.

Più precisamente, le violazioni contro le quali è assicurata detta tutela sono il pregiudizio al carattere distintivo, il pregiudizio alla notorietà e infine il vantaggio indebitamente tratto dal carattere distintivo o dalla notorietà dello stesso del marchio anteriore, condotte che possono comportare la diluizione del marchio, sussistente quando viene indebolita la sua idoneità ad identificare i prodotti o i servizi per i quali è stato registrato.

La lettura proposta dalla Corte di Cassazione nell’ordinanza in commento attiene tuttavia alla delimitazione del “vantaggio indebitamente tratto dal carattere distintivo o dalla notorietà del marchio”, detto anche “parassitismo”. Difatti quest’ultimo deve essere ricollegato non tanto al pregiudizio subito dal marchio, quanto al vantaggio di cui il terzo beneficerebbe dall’uso del segno identico o simile al marchio.

Tale è il caso in cui, a seguito di un trasferimento dell’immagine del marchio o delle caratteristiche da questo proiettate sui prodotti designati dal segno identico o simile, venga sfruttata la notorietà del marchio senza che il titolare del marchio contestato abbia dovuto operare sforzi propri in proposito e senza qualsivoglia remunerazione economica atta a compensare lo sforzo commerciale posto in essere per crearlo e mantenerne l’immagine.

Ad assumere un particolare valore nonché meritevolezza di tutela sono l’attrazione e l’intrinseco valore aggiunto presenti in alcuni marchi grazie alla diffusa notorietà di cui godono: il fulcro della tutela non sarà più o non sarà solo la distintività del marchio, ma la sua stessa funzione attrattiva con il riconoscimento contestualmente della rilevanza economica della tutela di caratteri quali la carica suggestiva e l’appeal.

 

Regolamento Agcom: nuovi strumenti di contrasto alla pirateria digitale

Avv. Alessandro La Rosa

Con delibera n. 490/18/CONS del 16 ottobre 2018 l’Autorità per le Garanzie nelle Comunicazioni (Agcom) ha approvato le attese modifiche al regolamento in materia di tutela del diritto d’autore sulle reti di comunicazione elettronica (“Regolamento”), esercitando i poteri che l’art. 2 della Legge europea 2017 (Legge 20 novembre 2017, n. 167) ha attribuito all’Autorità stessa, per un più efficace contrasto degli illeciti online.

In breve, le principali novità riguardano l’adozione di misure contro la reiterazione di violazioni già accertate e l’adozione di provvedimenti cautelari. Non solo: Agcom ha chiarito che la definizione di “prestatore di servizi” (contenuta nell’art. 1) ricomprende tra le nuove forme di pirateria, sotto un profilo prettamente tecnico, i servizi di messaggistica istantanea (come quelli offerti da Telegram), limitatamente ai casi in cui gli stessi permettano la condivisione di contenuti con il pubblico via internet, considerando tali servizi alla stregua di un normale sito web. E che la misura della “disabilitazione dell’accesso” al sito, già prevista dal Regolamento anche nella forma di blocco dell’indirizzo IP (art. 1, comma 1, lett. ff), “potrebbe essere necessaria per violazioni per le quali la sola misura del blocco DNS potrebbe essere insufficiente (siti che forniscono unicamente il proprio indirizzo IP)”.

Tornando alle principali novità, il nuovo articolo 8-bis del Regolamento disciplina le ipotesi di reiterazione di una violazione già accertata con un precedente ordine di disabilitazione dell’accesso al sito: in tal caso l’Autorità provvede aggiornando l’elenco dei siti (già inibiti) che i fornitori di accesso alla rete dovranno mantenere in stato di non accessibilità. La “reiterazione” della violazione avviene nel caso di violazioni gravi o di carattere massivo con l’apertura di un sito alias da parte del gestore del sito. A tal fine l’Autorità valuterà, tra l’altro, la similarità del nome a dominio con quello del sito già oggetto di provvedimento, la corrispondenza dell’indirizzo IP, l’identità dei soggetti che hanno registrato il nome a dominio, l’impostazione grafica del sito, la struttura con cui sono costruiti gli indirizzi URL delle pagine dei siti, il rinvio ai medesimi profili, pagine o gruppi sui social network.

Il nuovo articolo 9-bis, introduce il procedimento cautelare. Presupposti necessari per accedere a questo strumento di tutela sono il carattere manifesto della violazione (fumus boni iuris, ravvisabile in presenza di forme di incoraggiamento, dirette e indirette, alla fruizione illecita, anche mediante indicazioni tecniche per accedere alle opere; di messaggi che inducono a ritenere in modo ingannevole che l’utilizzazione delle opere sia in quel caso legittima; del carattere lucrativo dell’offerta illegale delle opere) e la minaccia di un pregiudizio imminente, grave ed irreparabile per l’utilizzazione lecita delle opere digitali oppure per gli interessi economici in gioco (periculum in mora, da valutarsi anche in ragione della quantità delle opere digitali illecitamente diffuse on line; del pregiudizio per il valore dell’opera, a causa dei tempi e delle modalità di immissione sul mercato tipiche della stessa; del valore economico dei diritti violati e il conseguente danno per il titolare o licenziatario). L’ordine cautelare è adottato entro tre giorni dalla ricezione dell’istanza, notificato ai prestatori di servizi all’uopo individuati e comunicato al soggetto che ha presentato l’istanza. Notificato altresì, ove rintracciabili all’uploader e ai gestori della pagina e/o del sito internet, i quali possono porre fine alla violazione. I destinatari della notifica dell’ordine cautelare possono proporre reclamo entro cinque giorni, che però non sospende l’esecuzione dell’ordine cautelare. L’organo collegiale adotta la decisione definitiva entro sette giorni dalla proposizione del reclamo. In assenza o ritardo del reclamo l’ordine assume carattere definitivo.

Responsabile il proprietario di una connessione internet per le violazioni riconducibili al proprio indirizzo IP se non dà prova del coinvolgimento del suo familiare

Avv. Alessandro La Rosa

Il 18 ottobre u.s. la Corte di giustizia UE, nella causa C-149/17, ha stabilito che il detentore di una connessione internet, attraverso la quale siano state commesse violazioni del diritto d’autore mediante una condivisione di file attraverso un servizio di peer-to-peer, non può andare esente da responsabilità semplicemente per il fatto che un suo familiare avesse in astratto la possibilità di accedere alla medesima connessione alla rete.

Un editore tedesco aveva citato in giudizio il signor S. dinanzi al Tribunale del Land di Monaco I (Landgericht), chiedendo il risarcimento dei danni derivanti dal fatto che un audiolibro era stato condiviso per il download con un numero illimitato di utenti all’interno di una piattaforma internet di condivisione (peer-to-peer o p2p), utilizzando la connessione internet della quale il sig. S era titolare. Come strategia di difesa, il sig. S. aveva dedotto che anche i propri familiari conviventi avevano accesso alla stessa connessione, senza tuttavia fornire ulteriori precisazioni.

Nel diritto tedesco si presume che il titolare di una connessione internet, per mezzo della quale sia stata commessa una violazione del diritto d’autore, sia l’autore di tale violazione, qualora sia stato identificato con esattezza attraverso il suo indirizzo IP e qualora nessun’altra persona avesse la possibilità di accedere alla connessione di cui trattasi al momento in cui la violazione in questione ha avuto luogo.

Con la sentenza del 18 ottobre u.s., la Corte ha stabilito che il diritto dell’Unione osta a una normativa nazionale in forza della quale il titolare di una connessione internet, attraverso cui siano state commesse violazioni del diritto d’autore mediante una condivisione di file, possa non essere considerato responsabile qualora indichi un suo familiare che aveva la possibilità di accedere alla suddetta connessione, senza fornire ulteriori precisazioni quanto al momento in cui la medesima connessione è stata utilizzata da tale familiare e alla natura di tale utilizzo. Se la normativa nazionale produce l’effetto di ostacolare la facoltà, da parte del giudice nazionale adito mediante un’azione per responsabilità, di esigere su richiesta dell’attore la produzione e l’ottenimento di elementi di prova relativi ai familiari della controparte, l’accertamento dell’asserita violazione del diritto di autore nonché l’identificazione dell’autore della stessa sono resi impossibili e vengono violati in modo grave i diritti fondamentali ad un ricorso effettivo e quelli di proprietà intellettuale e, pertanto, l’esigenza di assicurare un giusto equilibrio tra i diversi diritti fondamentali in questione non è rispettata (v., per analogia, sentenza del 16 luglio 2015, Coty Germany, C-580/13).