Articoli

Trasferimento dei dati negli Stati Uniti? No, grazie! Il caso Facebook

La Commissione irlandese per la protezione dei dati è la prima Autorità Privacy dell’Unione Europea ad aver ordinato a Facebook una preliminare sospensione dei trasferimenti di dati negli Stati Uniti sui suoi utenti dell’UE.
 
In rilievo

A seguito della sentenza pronunciata dalla Corte di Giustizia europea il 16 luglio 2020 nella causa C-311/18 (Caso SchremsFacebook Ireland), che invalida la decisione di esecuzione UE 2016/1250 della Commissione europea, con cui era stato sancito che il “Privacy Shield fosse una normativa idonea per regolare il trasferimento dei dati dall’Unione Europea agli USA, è arrivata una prima risposta concreta da parte della Commissione irlandese per la protezione dei dati, la quale, con un ordine preliminare di sospensione, vieta alla sede europea di Facebook di trasferire negli USA i dati dei cittadini irlandesi, adottando come base giuridica lo “Scudo Privacy”, ormai privo di efficacia in quanto considerato non sufficiente il livello di protezione del diritto alla riservatezza dei dati personali dei cittadini europei trasferiti negli Stati Uniti d’America.

Conseguenze e soggetti coinvolti

Nonostante si tratti di un ordine preliminare di sospensione pronunciato solo nei confronti di Facebook, tale decisione impatta anche tutti gli altri operatori economici che utilizzano provider per il trattamento dei dati presenti sul territorio USA, ma questa conseguenza potrebbe costituire una risorsa per l’economia del vecchio continente, accelerando il ricorso ad infrastrutture di cloud computing europeo.

L’intervento delle istituzioni europee

Alla luce di quanto esposto, per tentare di superare il limbo in cui attualmente navigano i dati, il Comitato europeo per la protezione dei dati (EDPB), guidato dal presidente Andrea Jelinek, ha annunciato una duplice iniziativa per fornire adeguato riscontro allo scenario creatosi a seguito della sentenza Schrems II: in primis istituendo una task force incaricata di esaminare i ben 101 identici reclami presentati dall’ONG NOYB alle autorità per la protezione dei dati del SEE nei confronti di diversi titolari del trattamento, in merito al loro utilizzo di servizi di Google/Facebook che comportano il trasferimento di dati personali. In secondo luogo, ha istituito una task force con lo specifico compito di elaborare raccomandazioni per titolari e responsabili del trattamento nell’individuazione e nell’attuazione di adeguate misure di natura giuridica, tecnica e organizzativa al fine di garantire un’adeguata protezione in caso di trasferimento di dati personali verso paesi terzi.

Avv. Vincenzo Colarocco e Dott. Pietro Vitucci

Pubblicato il nuovo Rapporto UE in materia di licenze copyright

L’Osservatorio europeo dell’audiovisivo del Consiglio d’Europa ha pubblicato il nuovo Rapporto dedicato alle leggi che regolano il diritto d’autore nel settore dell’audiovisivo, valutando tutti i passaggi che consentono o meno lo sfruttamento di tali diritti da parte dei titolari e la concessione delle licenze copyright per l’utilizzo delle opere.

Nella produzione e distribuzione cinematografica e audiovisiva, da un lato vi è la legislazione e dall’altro le realtà del mercato. La prima fornisce un quadro di riferimento che tutela gli interessi delle diverse parti interessate, lasciando spazio alla negoziazione individuale, ma il vasto numero di partecipanti alla creazione e alla distribuzione di un film o di altro prodotto audiovisivo comportano un alto grado di complessità giuridica al tavolo delle trattative.

In tal senso, lo scorso luglio, l’Osservatorio europeo dell’audiovisivo del Consiglio d’Europa ha pubblicato il tanto atteso Rapporto che si concentra sul quadro giuridico applicabile alla produzione e alla distribuzione di opere audiovisive, fornendo una visione d’insieme degli standard minimi internazionali ed europei di protezione che intervengono nel processo di concessione delle licenze.

I primi due capitoli del Rapporto sono dedicati ai diritti legati alla produzione e distribuzione di opere cinematografiche e televisive lungo l’intera catena del valore, mediante l’introduzione di nuove disposizioni per agevolare l’accesso ai contenuti audiovisivi offerti dalle piattaforme on demand e, allo stesso tempo, per facilitare l’equa remunerazione dei titolari dei diritti di copyright.

Al di là degli standard minimi di protezione, particolare attenzione viene dedicata alla paternità dell’opera e alla suddivisione dei diritti tra i vari soggetti che hanno sufficientemente contribuito alla creazione della stessa.

In seguito, il Rapporto si occupa di regolare l’ambito spinoso della territorialità dei diritti.

Ogni Paese ha una certa libertà di manovra in termini di applicazione del copyright: pur all’interno di un quadro regolatorio europeo ed internazionale, i diritti d’autore possono essere licenziati su base territoriale.

L’ultimo capitolo è dedicato alla casistica sui modelli di licenza dei servizi VOD, con attenzione al fenomeno di Netflix. La recente comparsa di nuovi attori e servizi on-demand interni ed esterni all’UE, sfida i modelli tradizionali ed ha portato ad un’importante diversificazione dei contenuti degli accordi sempre più complessi e dettagliati.

Al di là dei contenuti originali sviluppati dai servizi di streaming online, una delle principali differenze tra le offerte di licenza si pone con riferimento all’esclusività dei diritti. Gli accordi di licenza che non sono esclusivi per un singolo servizio di streaming online sono meno costosi da ottenere, mentre gli accordi di licenza esclusiva sono ben più onerosi seppure hanno il potenziale di portare un numero maggiore di abbonati nel tempo.

Ne emerge che la concessione di licenze per i contenuti diventerà sempre più articolata in quanto emittenti (servizio pubblico e commerciale) e servizi di intrattenimento online stanno lanciando servizi di streaming stand-alone e ibridi, con la conseguenza che i produttori avranno più opportunità e leva nelle trattative per la concessione delle licenze copyright.

Avv. Priscilla Casoni

La Commissione UE adotta una raccomandazione sul contenimento del Coronavirus attraverso le applicazioni

Avv. Vincenzo Colarocco

La Commissione europea, con raccomandazione dell’8 aprile 2020, ha definito un percorso per l’adozione, insieme agli Stati membri, di un pacchetto di misure per l’utilizzo delle applicazioni su dispositivi mobili per ragioni di prevenzione e contenimento del Coronavirus.

Tale percorso prevede: a) un approccio coordinato e paneuropeo per l’utilizzo delle applicazioni mobili al fine di consentire ai cittadini di adottare misure di distanziamento sociale efficaci e più mirate e per scopi di allerta, prevenzione e tracciamento dei contatti e b) un approccio comune per la standardizzazione e previsione dell’evoluzione del virus mediante dati relativi all’ubicazione aggregati e anonimizzati.

Il 23 marzo 2020 la Commissione ha già avviato un dialogo con gli operatori di telefonia mobile degli Stati membri.

Le predette attività sono prodromiche all’elaborazione, prevista entro il 15 aprile 2020, da parte degli Stati membri, insieme alla Commissione e in collaborazione con il Comitato europeo per la protezione dei dati, di un pacchetto di strumenti per un approccio paneuropeo per le applicazioni mobili. Per sostenere gli Stati membri la Commissione emanerà orientamenti, anche in materia di protezione dei dati e di tutela della vita privata. Gli Stati membri dovrebbero riferire in merito alle misure intraprese entro il 31 maggio 2020 e renderle accessibili agli altri Stati membri e alla Commissione per la loro valutazione. La Commissione valuterà i progressi compiuti e pubblicherà relazioni periodiche a partire dal giugno 2020 e per tutta la durata della crisi, raccomandando azioni e/o provvedendo all’eliminazione graduale delle misure non più necessarie.

Direttiva PSD2: l’autenticazione forte diventa d’obbligo

Avv. Vincenzo Colarocco

La Direttiva (UE) 2015/2366 del Parlamento e del Consiglio Europeo del 25 novembre 2015, entrata in vigore il 13 gennaio 2018, relativa ai servizi di pagamento nel mercato interno, meglio nota come Payment Services Directive 2 (PSD2) ha introdotto sostanziali novità nell’ambito dell’autenticazione del cliente di prestatori di servizi di pagamento.

A partire dal 14 settembre 2019 p.v., infatti, tutti gli Istituti Bancari operanti nel mercato Europeo dovranno adeguare le misure di autenticazione con l’obiettivo di aumentare la sicurezza online degli utenti. Più precisamente, viene introdotta la “Strong Customer Authentication” (nota anche come “Autenticazione Forte”) definita come “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”. Questo sistema di sicurezza aggiuntivo permette di identificare e autenticare in maniera univoca il cliente, riducendo i rischi legati all’accesso ai propri conti online e all’esecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati. Pertanto, anche le piattaforme e-commerce dovranno implementare le proprie procedure di pagamento con sistemi di autenticazione innovativi quando il pagatore ad esempio, i) accede al suo conto di pagamento online; ii) avvia un’operazione di pagamento elettronico e/o iii) compie un’azione, attraverso un mezzo di comunicazione a distanza, che può comportare un rischio di frode nei pagamenti o qualsiasi altro uso fraudolento.

La Commissione Europea adotta la decisione di adeguatezza relativa al Giappone

Avv. Vincenzo Colarocco

Il GDPR prevede regole specifiche per consentire trasferimenti di dati personali verso Paesi terzi ed organizzazioni internazionali, estranei all’ambito di applicazione del Regolamento. In particolare, l’art. 45 disciplina l’ipotesi di trasferimento dei dati effettuati sulla base di una decisione di adeguatezza.

Il 23 gennaio 2019 la Commissione europea ha adottato la decisione di adeguatezza relativa al Giappone, così consentendo la libera circolazione dei dati personali tra le due economie sulla base di solide garanzie di protezione senza la necessità di autorizzazioni specifiche. L’adozione della decisione costituisce l’ultima fase della procedura avviata nel settembre 2018 e fa parte della strategia dell’UE nel settore della protezione e dei flussi internazionali di dati, già annunciata nel gennaio 2017 con la comunicazione della Commissione sullo scambio e la protezione dei dati personali in un mondo globalizzato.

Com’è stato sostenuto da Věra Jourová, Commissaria responsabile per la Giustizia, i consumatori e la parità di genere: “Questa decisione di adeguatezza crea il più grande spazio al mondo di circolazione sicura dei dati. I cittadini europei i cui dati personali saranno trasferiti in Giappone beneficeranno di una protezione forte delle informazioni relative alla vita privata. Investire nella tutela della vita privata paga: questo accordo costituirà un modello per futuri partenariati in questo settore fondamentale e contribuirà alla definizione di standard di livello mondiale”.

Già prima dell’adozione della decisione, il Giappone aveva cominciato a predisporre, nel proprio ordinamento, un sistema di norme integrative volto a riconoscere un quadro in materia di protezione dei dati analogo a quello adottato dall’Ue. In particolare, nel 2003 sono state promulgate la legge sulla protezione delle informazioni personali (APPI); la legge sulla protezione delle informazioni personali detenute da organi amministrativi (APPIHAO); la legge sulla protezione delle informazioni personali detenute da agenzie amministrative registrate (APPI-IAA).

La Commissione, tenendo conto del parere precedentemente espresso dal Comitato europeo per la protezione dei dati, ha ritenuto che il Giappone garantisca un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea a operatori economici che gestiscono informazioni personali in Giappone. La legge nazionale giapponese è stata specificamente integrata dalle norme di cui all’allegato I, nonché dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali che figurano nell’allegato II.

Al fine di consentire alla Commissione il monitoraggio costatante della corretta applicazione del quadro giuridico su cui si basa la decisione e per verificare se il Giappone continui o meno a garantire un livello adeguato di protezione, tra due anni sarà effettuato un primo riesame congiunto di rivalutazione del quadro normativo. I rappresentanti del Comitato europeo per la protezione dei dati parteciperanno al riesame per quanto riguarda l’accesso ai dati per motivi di contrasto o di sicurezza nazionale. Successivamente, il riesame avrà luogo almeno ogni quattro anni.

Il Cybersecurity Act e il nuovo quadro europeo per la sicurezza dei dati personali

Avv. Vincenzo Colarocco

Lo scorso 7 giugno 2019 è stato pubblicato in Gazzetta Ufficiale il Cybersecurity Act, un Regolamento UE volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali. Il 27 giugno, il testo entrerà formalmente in vigore e trattandosi di un Regolamento, sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanta riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che si propone di rafforzare la resilienza dell’Unione agli attacchi informatici, creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e accrescere la fiducia dei consumatori nelle tecnologie digitali. Esso si compone di due parti nelle quali, da un lato, viene specificato il ruolo e il mandato dell’ENISA (European Network and Information Security Agency),  dall’altro, viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali. Ebbene, se fino ad oggi il ruolo dell’ENISA è stato principalmente quello di coadiuvare da un punto di vista tecnico gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi con l’obbiettivo di rafforzare le capacità di prevenzione e reazione agli incidenti informatici, il nuovo Regolamento intende ulteriormente rafforzare tale ruolo, garantendo un mandato permanente e consentendo di svolgere non solo compiti di consulenza tecnica, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. Nell’ottica del Cybersecurity Act il rafforzamento del ruolo dell’ENISA è strumentale all’adozione di un quadro complessivo di regole in grado di disciplinare gli schemi europei di certificazione della sicurezza informatica. A rigore è bene precisare che il Regolamento non istituisce schemi di certificazione direttamente operativi, creando piuttosto una “cornice” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali (e.g. dispositivi medici, sistemi di controllo industriali, veicoli automatizzati), validi e riconosciuti in tutti gli Stati membri. Tali schemi europei di certificazione saranno predisposti, in prima battuta, dall’ENISA e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione.

Regolamento Privacy UE: reclami, ricorsi e azioni per il risarcimento del danno

Avv. Flaviano Sanzari

Rispetto alla disciplina del Codice Privacy (D.Lgs. 196/2003), il nuovo Regolamento UE 2016/679 reca alcune novità anche in materia di reclami, ricorsi e azioni esperibili in ipotesi di trattamento di dati non conforme alla legge. In particolare, (1.) sono ora assenti gli strumenti della segnalazione e del ricorso amministrativo all’autorità di controllo (Garante), (2.) vi è dissociazione tra autorità adita e autorità decidente nell’ipotesi di attività di trattamento transfrontaliere per quanto riguarda l’istituto del reclamo e, per finire, (3.) vi è la previsione che il titolare (e/o il responsabile) sarà tenuto a risarcire il danno se non dimostra che esso non gli è “in alcun modo” imputabile.

  1. Il Titolo I (“Tutela amministrativa e giurisdizionale”) della Parte III (“Tutela dell’interessato e sanzioni”) del Codice Privacy, con gli articoli da 141 a 152, disciplina gli strumenti:

– del reclamo circostanziato al Garante (per rappresentare una violazione della normativa ‘privacy’);

– della segnalazione al medesimo (quando non è possibile presentare un reclamo circostanziato ed al fine di sollecitare un controllo da parte del Garante sul rispetto della disciplina);

– del ricorso, da presentare al Garante o dinanzi alla competente Autorità giurisdizionale al fine di ottenere quanto riconosciuto dall’art. 7.

Sono invariabilmente strumenti a disposizione degli interessati, cioè delle persone cui sono riferiti i dati oggetto dei trattamenti.

Poi, è prevista l’ipotesi in cui un provvedimento del Garante accolga o rigetti il ricorso di cui sopra: in tal caso, tanto l’interessato quanto il titolare del trattamento avranno il diritto di proporre opposizione, con ricorso al competente tribunale ex art. 152. Per l’art. 152, anzi, “tutte le controversie che riguardano, comunque, l’applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, nonché le controversie previste dall’articolo 10, comma 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, sono attribuite all’autorità giudiziaria ordinaria” (per inciso, il comma 5 dell’art. 10 della L. 121/1981 così recita: “Chiunque viene a conoscenza dell’esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, può chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l’integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi”).

Il Regolamento 2016/679, invece, al Capo VIII (“Mezzi di ricorso, responsabilità e sanzioni”), dedica 6 disposizioni alla materia – artt. dal 77 all’82 – dando vita agli strumenti del:

– reclamo (art. 77) e del

– ricorso giurisdizionale nei confronti dell’autorità di controllo (art. 78) e nei confronti del titolare e/o del responsabile del trattamento (art. 79).

Seguono la disciplina della rappresentanza degli interessati (art. 80) e quella dell’ipotesi in cui, essendo le norme del Regolamento valide in tutta l’UE, più azioni giurisdizionali aventi il medesimo oggetto siano (state) azionate in differenti Paesi (art. 81).

Infine, l’art. 82 disciplina la fattispecie dell’azione risarcitoria, a fronte di un danno (anche immateriale) cagionato mediante una violazione della disciplina sul trattamento dei dati personali.

Il Regolamento, quindi, conferma lo strumento del reclamo, ma perde – almeno, così appare – la segnalazione e il ricorso all’autorità di controllo.

Tuttavia, nulla sembra ostare ad una permanenza degli istituti del Codice Privacy, se non c’è contrasto con la disciplina del Regolamento. Il quale, oltretutto, con l’art. 77 fa “salvo ogni altro ricorso amministrativo o giurisdizionale” da parte dell’interessato che “ritenga che il trattamento che lo riguarda violi il presente regolamento.” E’ probabile che il legislatore (italiano) vorrà intervenire a formalizzare un assetto che individui inequivocamente gli strumenti a disposizione dell’interessato in via amministrativa. Per il resto, il reclamo previsto dal Regolamento non differisce nella sostanza da quello del Codice Privacy. L’attributo “circostanziato”, che caratterizza il reclamo “italiano”, pare dovuto all’esigenza di differenziarlo rispetto alla segnalazione.

  1. L’art. 77 individua l’autorità di controllo presso cui il reclamo deve essere presentato, ossia quella dello Stato UE in cui l’interessato “risiede abitualmente”, ovvero “lavora”. In alternativa, è possibile rivolgersi a quella dello Stato in cui la presunta violazione ha avuto luogo.

Nel caso di trattamenti transfrontalieri, la vicenda può complicarsi, potendo succedere che l’autorità di controllo adita (dall’interessato) non corrisponda a quella (evidentemente, di altro Stato membro) chiamata a decidere sul reclamo.

In base all’art. 56, par. 1, “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare (…) è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri”. Se, però (par. 2), l’eventuale violazione “riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”, l’autorità di controllo adita può dirsi competente per assumere la decisione, anche se sarà comunque l’autorità di controllo capofila (par. 3) – una volta informata – a dire l’ultima parola sul punto.

Due sono le possibili decisioni:

– l’autorità capofila decide di non trattare il caso e allora vi provvederà l’autorità adita, ma “conformemente agli articoli 61 e 62”, che disciplinano, rispettivamente, le fattispecie di “assistenza reciproca” e di “operazioni congiunte delle autorità di controllo”;

– l’autorità capofila decide di trattare il caso e, per conseguenza, l’autorità adita (par. 4) potrà presentarle un progetto di decisione, che la prima valuterà, tenendola “nella massima considerazione”. La procedura di riferimento è dettata dall’art. 60, che, al par. 7, stabilisce che la decisione viene adottata dall’autorità capofila, la quale a sua volta provvede a notificarla al titolare, ad informarne le autorità di controllo interessate e il comitato europeo per la protezione dei dati. Spetta, quindi, all’autorità di controllo presso cui il reclamo è stato proposto la comunicazione della decisione al reclamante.

  1. Specifica trattazione, all’interno del Regolamento, nella parte riguardante la tutela giurisdizionale, è dedicata all’azione di risarcimento del danno, “causato da una violazione del presente regolamento”.

I soggetti convenuti sono il titolare e/o il responsabile, eventualmente anche in solido per l’intero ammontare del danno (art. 82.4), ove la responsabilità pertenga al medesimo danno cagionato. Stessa solidarietà, alla medesima condizione, può riguardare più titolari del trattamento.

L’esonero dalla responsabilità è legato alla dimostrazione (verosimilmente, una autentica probatio diabolica) da parte del titolare e/o responsabile che “l’evento dannoso non gli è in alcun modo imputabile.” Il meccanismo è quello dell’inversione dell’onere della prova, per cui in mancanza di tale dimostrazione una responsabilità sarà comunque accertata in capo a detti soggetti.

Interessante è la previsione di cui all’art. 80, che al par. 1 riconosce il diritto dell’interessato di dare mandato, per essere rappresentato in giudizio, ad un organismo, ad un’organizzazione, ad un’associazione senza scopo di lucro, debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore “privacy”. Questi soggetti hanno la possibilità di proporre non solo le azioni sin qui viste, ma anche – ove previsto dal diritto interno dello Stato membro – di rivolgersi al giudice per la richiesta di risarcimento del danno.

Chiude la disposizione il par. 2, che riconosce ai soggetti sopra richiamati il diritto di proporre reclamo e di presentare ricorsi giurisdizionali anche laddove non abbiano ricevuto mandato dagli interessati, ma pur sempre per tutelare la posizione di costoro a fronte di violazioni del Regolamento nello svolgimento di attività di trattamento dei dati.