,

La privacy by default in pratica secondo il Garante spagnolo.

,

Andrea Antognini - Of Counsel

markus-spiske-iar-afB0QQw-unsplash.jpg

Il GDPR è un testo, salvo eccezioni, identico in tutta Europa ed il Garante spagnolo ha detto la sua sul principio generale di protezione dei dati by default, un concetto in astratto chiaro ma difficile da declinare in concreto:

il titolare del trattamento (l’azienda) deve trattare, per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento. Esattamente l’opposto di quando, nel form online, vedete che la casella per la ricezione della newsletter è “preflaggata”.

La guida del Garante spagnolo [https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf] offre una visione pratica per aiutare ad applicare questo principio al trattamento dei dati in conformità con le disposizioni del GDPR e le linee guida adottate dal Comitato europeo per la protezione dei dati.

I destinatari del presente documento sono i titolari del trattamento dei dati, i DPO ma anche gli sviluppatori o i fornitori, nella misura in cui forniscono prodotti e servizi ai titolari del trattamento e cercano di garantire che questi siano conformi ai requisiti del GDPR.

Il concetto di privacy per default impone la necessità di segmentare l'utilizzo dell'insieme dei dati tra le diverse operazioni di trattamento e tra le diverse fasi del trattamento, in modo tale che non tutte le operazioni effettuate nell'ambito di un'operazione di trattamento siano effettuate su tutti i dati, ma solo su quelli necessari e nei momenti in cui è strettamente necessario.

Il trattamento dovrà essere minimamente intrusivo (quantità minima di dati personali, estensione minima del trattamento, periodo minimo di conservazione e accessibilità minima ai dati personali) e senza necessità di intervento del soggetto i cui dati sono trattati.

L'esecuzione di queste misure si concentra su strategie di ottimizzazione, configurabilità e limitazione.

L'obiettivo dell'ottimizzazione è quello di analizzare il trattamento dal punto di vista della protezione dei dati, il che significa applicare misure in relazione alla quantità di dati raccolti, all'estensione del trattamento, alla loro conservazione e alla loro accessibilità.

La seconda strategia è la configurazione di servizi, sistemi o applicazioni, che devono permettere di stabilire parametri o opzioni che determinano il modo in cui l'elaborazione deve essere effettuata, e che sono suscettibili di essere modificati dall’azienda e anche dall'utente.

Infine, la limitazione garantisce che, per default, il trattamento sia il più possibile rispettoso della privacy, in modo che le opzioni di configurazione siano adeguate, a quei parametri che limitano la quantità di dati raccolti, l'estensione del trattamento, la sua conservazione e la sua accessibilità.

Nella guida si trova anche un documento operativo e modificabile con le misure da adottare per l'attuazione delle strategie di protezione dei dati di default in lingua spagnola e comprende anche un capitolo sulla documentazione e la revisione contabile, necessarie per dimostrare la conformità alla norma.

Il principio di privacy by default non deriva dal risultato di un'analisi dei rischi per i diritti e le libertà, ma si tratta di misure e garanzie che devono essere stabilite ogni volta che vi sia un trattamento di dati personali.

Tecnologia 5G: velocità, profitto e liabilities.

Stiamo celebrando gli indubbi aspetti positivi legati all’utilizzo di questa nuova strabiliante tecnologia, da declinare in molteplici ed eterogenei campi di applicazione, nondimeno sappiamo che l’introduzione della telefonia mobile di quinta generazione darà luogo a nuovi scenari di esposizione della popolazione ai campi elettromagnetici a radiofrequenza che saranno emessi in bande di frequenza (694-790 MHz, 3,6-3,8 GHz e 26,5-27,5 GHz) molto diverse da quelle utilizzate attualmente per la telefonia mobile (da 800 MHz a 2,6 GHz).

Fermo restando l’impatto di grande innovazione, utilità e di profitto su larga scala (l’asta, ad esempio, porterà allo Stato 6,4 miliardi di euro in 4 anni), intendiamo svolgere qualche considerazione in ottica preventiva sul tema dei possibili effetti nocivi del 5G sui beni primari della salute e dell’ambiente.

Infatti, gli studi istituzionali pubblicati in subiecta materia nulla di certo ci dicono in relazione all’impatto ed ai rischi nel medio-lungo periodo, limitandosi ad un poco preciso “i dati disponibili non fanno ipotizzare particolari problemi per la salute della popolazione connessi all’introduzione del 5G - quindi non in termini di certezza nè di robusta probabilità della sua innocuità - solo nel breve. (cfr. Emissioni elettromagnetiche del 5G e rischi per la salute di Alessandro Polichetti - Centro Nazionale per la Protezione dalle Radiazioni e Fisica Computazionale, Istituto Superiore di Sanità, Roma).

Questo deriva sicuramente dal fatto che le frequenze che verranno utilizzate per il 5G sono state oggetto di un numero di studi inferiore rispetto a quelle utilizzate dalle attuali tecnologie per le telecomunicazioni e per le trasmissioni radiotelevisive.

Pertanto è, in primo luogo, fondamentale che l’introduzione di questa tecnologia sia affiancata da un attento monitoraggio dei livelli di esposizione (come del resto avviene già per le attuali tecnologie di telefonia mobile) e che proseguano, possibilmente aumentando, le ricerche sui possibili effetti a lungo termine.

Rispetto alle attuali tecnologie, la rete 5G si basa su un numero straordinariamente elevato di antenne pianificate (small cells), l’altissima energia di uscita utilizzata per garantirne la diffusione, le frequenze straordinariamente alte, le apparenti interazioni di alto livello della frequenza 5G sugli ioni, compresi i gruppi responsabili delle pompe ioniche cellulari. Perciò da più parti – a torto o a ragione – viene sostenuta la sua possibile pericolosità per la salute e l’ambiente.

Le conclusioni del Consiglio Europeo sull’importanza del 5G per l’economia europea e sulla necessità di attenuare i relativi rischi per la sicurezza (14517/19 del 3.12.2019) stabiliscono inter alia che l'approccio alla sicurezza della rete 5G deve essere globale e basato sul rischio. La sicurezza del 5G è considerata un processo continuo che inizia con la selezione dei fornitori e dura per tutta la fase di produzione degli elementi di rete e il tempo di vita utile delle reti.

Pare che oggi ci si trovi ancora distanti da un giudizio di innocuità o di probabile innocuità nel medio-lungo periodo, muovendoci piuttosto all’interno dello spinoso perimetro del giudizio basato sul rischio che, attualmente, sembrerebbe dai più battezzato come remoto ma che, in assenza di dati certi, ben potrebbe – negli anni – “salire” a rischio possibile se non probabile.


Ora, l’Organizzazione Mondiale della Sanità, la Commissione Europea e l’Istituto Superiore di Sanità, ad esempio, non sembra abbiano ancora tenuto in adeguata considerazione il “rischio possibile”, rispettando il principio di precauzione, quando i risultati disponibili circa l’esistenza di effetti biologici da esposizione a campi elettromagnetici – compreso il 5G – e la valutazione scientifica che non permette di determinare con certezza il rischio, molto probabilmente sono già sufficienti per applicare detto principio, definire i soggetti esposti come potenzialmente vulnerabili e rivalutare, quantomeno parzialmente, le conclusioni istituzionali correnti.

Su queste basi, sarebbe probabilmente auspicabile una moratoria per l’implementazione del 5G su tutto il territorio nazionale sino a quando non sia adeguatamente pianificato quantomeno un coinvolgimento attivo degli enti pubblici deputati al controllo ambientale e sanitario (Ministero Ambiente, Ministero Salute, ISPRA, ARPA, Dipartimenti di Prevenzione), non siano messe in atto valutazioni preliminari di rischio secondo metodologie codificate e un piano di monitoraggio dei possibili effetti sanitari sui soggetti esposti i quali dovrebbero essere in ogni caso opportunamente ed adeguatamente informati dei potenziali rischi ovvero dell’attuale tasso di non conoscenza sul medio-lungo periodo.

In altre parole, i players e le istituzioni dovrebbero evitare che quello del 5G possa rivelarsi una sorta di esperimento sul lungo periodo perché ciò porterebbe una pesante conseguenza in dote: le liabilities a carico dello Stato e degli operatori stessi che, tra qualche anno, potrebbero essere chiamati a risarcire in solido una folta platea di soggetti per le lesioni e i danni eziologicamente derivati (o concausati), secondo un giudizio probabilistico, dalle emissioni nocive e dai campi elettromagnetici ad alta frequenza del 5G, se ed in quanto venga effettivamente accertata la loro nocività per la salute e l’ambiente.

In uno scenario per certi versi assimilabile mutatis mutandis - quarant’anni fa si trattava di sangue e plasma, oggi di campi elettromagnetici – lo Stato e gli enti ospedalieri hanno dovuto, e continuano a, risarcire i soggetti danneggiati e i loro parenti per centinaia di milioni di euro, fondamentalmente per non aver vigilato in modo adeguato e per aver colposamente omesso di applicare le norme che comunque imponevano (nella loro posizione di garanzia ed in virtù del principio di precauzione) il controllo del sangue, degli emoderivati e lo screening dei donatori.

Questo dato economico, oltre al costo sociale della violazione di beni assoluti, indisponibili e di rango primario, dovrebbe essere preso in adeguata e tempestiva considerazione accanto a quello dei profitti miliardari delle aste e della velocità di interazione della nuova rete.

La Corte di Cassazione riconosce il Burberry Check come marchio che gode di rinomanza.

Laura Bussoli - Senior Counsel

Con la recente sentenza n. 576/2020, la Cassazione Penale ha accolto le ragioni della casa di moda inglese Burberry nella causa per contraffazione del suo – ormai possiamo dirlo – “celebre” marchio a motivo ornamentale:

Foto burberry.png

Nella decisione impugnata i giudici della Corte di Appello di Roma avevano seguito un “bizzarro” iter argomentativo al fine di escludere il ricorrere del reato di contraffazione del sopra riportato marchio: ed infatti, se da un lato il giudice dell’appello aveva stabilito – diversamente dal giudice di prime cure – che non fosse necessaria al fine della violazione delle norme penali in materia di contraffazione, che le parole Burberry ed il relativo marchio denominativo si trovassero apposte sul motivo scozzese, d’altra parte aveva negato il ricorrere del reato di contraffazione in virtù dell’inidoneità del marchio figurativo sopra riportato a creare un collegamento univoco con la casa di moda inglese.

Con quest’ultima sentenza, la Corte di Cassazione ha, da un lato, confermato la decisione della Corte d'Appello di Roma nella parte della sentenza che esclude la necessità del ricorrere delle parole “Burberry” sul tessuto a fini contraffattivi, ritenendo che "la contraffazione del marchio si verifica anche nei casi di riproduzione parziale del marchio in cui è probabile che crei confusione con il marchio registrato anteriore".

La Corte ha tuttavia poi osservato, al fine di ribaltare la decisione di appello, che ciò è particolarmente vero nei casi in cui il marchio anteriore è un marchio che gode di rinomanza – ossia quando è "conosciuto da una larga parte del pubblico e può essere immediatamente riconosciuto come relativo ai prodotti e servizi per i quali il marchio è utilizzato".

Non paiono residuare quindi dubbi in merito al riconoscimento della notorietà del marchio a motivo ornamentale di Burberry e alla sua capacità distintiva e di origine rispetto prodotti sui quali è apposto.

Nonostante il caso si riferisca quindi ad una fattispecie penale (reato di contraffazione previsto dall’art. 473 c.p.) che tutela la fede pubblica e non attiene al effettiva confusione del pubblico, questa decisione rappresenta un importante precedente per Burberry, in quanto riconosce apertamente il carattere noto del marchio allargandone così peraltro la sfera di tutela.

, ,

Come “trasformare” una società in una “start-up innovativa” ed usufruire dei relativi benefici.

, ,

E’ ormai noto che per start-up innovativa si intende una società che ha, quale oggetto sociale esclusivo o prevalente, lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico. Altrettanto noti sono i requisiti di costituzione ed i concreti benefici connessi a questa particolare tipologia societaria.

Non tutti sanno però che esiste la possibilità, per chi abbia già costituito una società di capitali, di trasformarla in una start-up innovativa e di beneficiare dei relativi vantaggi.

La “trasformazione” è possibile a condizione che siano rispettati determinati requisiti.

La modifica in questione non costituisce peraltro una vera e propria trasformazione societaria e non è quindi necessario seguire la complessa e costosa procedura prevista per questa specifica operazione straordinaria (spese notarili, adempimenti pubblicitari, ecc.).

È però indispensabile verificare il rispetto di determinati requisiti e procedere alla preliminare verifica di tutte le fasi del processo di “trasformazione”.

  • Verifica dell’oggetto sociale

Il primo aspetto da verificare è relativo all’oggetto sociale della società esistente, in quanto è necessario valutare l’eventuale modifica dello stesso prima di perfezionare la variazione. La normativa in vigore prevede, infatti, quale requisito per la start-up innovativa, di possedere “quale oggetto sociale esclusivo o prevalente, lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico”.

Questa analisi è particolarmente delicata ma, se viene condotta scrupolosamente, permette di risparmiare i costi connessi all’atto notarile di modifica dell’oggetto sociale.

  • Requisiti generali e termine per la “trasformazione”

Al tempo stesso è necessario che la società proceda alla trasformazione non oltre 5 anni (60 mesi) dalla data di costituzione e che sia in possesso dei requisiti delle comuni start-up innovative (ad esempio non distribuire e non aver distribuito utili), impegnandosi allo stesso tempo a non superare 5 milioni di fatturato annuo ed a continuare a non distribuire utili per tutto il periodo durante il quale mantiene tale forma societaria.

Esistono altri tre requisiti richiesti dalla normativa in vigore:

  1. rispetto di una predeterminata percentuale di spese in ricerca e sviluppo;

  2. 2/3 dipendenti con laurea magistrale;

  3. Società depositaria o licenziataria di un brevetto o diritto di privativa industriale.

E però sufficiente che sia configurabile uno solo di questi per poter procedere con la relativa variazione in start-up innovativa.


  • La procedura

Il processo di trasformazione non richiede particolari adempimenti burocratici ed è interamente telematico, anche se è ovviamente consigliabile l’assistenza da parte di un professionista con adeguata esperienza normativa.

Il primo passaggio consiste infatti nella compilazione telematica da parte del legale rappresentante della società del modello di autodichiarazione di startup innovativa. Una volta compilato il modello, per iscrivere la società nella sezione speciale del Registro Imprese, il modulo deve essere firmato digitalmente ed inviato telematicamente insieme alla Comunicazione Unica al Registro Imprese.

È bene ricordare che questa dichiarazione deve essere rinnovata periodicamente depositandola entro 30 giorni dall’approvazione di ogni bilancio e in ogni caso entro sei mesi dalla chiusura di ciascun esercizio sociale al fine di attestare la permanenza dei requisiti di legge.

Quanto alla Comunicazione Unica, nella sezione “VARIAZIONE” andranno inseriti numerosi dati relativi a titolo esemplificativo all’attività svolta, all’oggetto sociale ed all’attività di ricerca ed anche queste informazioni dovranno essere aggiornate tempestivamente in caso di modifica.

Si precisa infine che, ai fini dell’iscrizione nella sezione speciale del registro imprese, la start-up innovativa si considera automaticamente iscritta alla sezione speciale del registro delle imprese a seguito della compilazione e presentazione della domanda in formato elettronico.

Da Cor Coster a Mino Raiola a Jorge Mendes: chi sono i procuratori sportivi e la regolamentazione della professione

Cor Coster , Mino Raiola, Jorge Mendez sono immediatamente riconducibili al mondo del calcio e precisamente ai - comunemente noti – “procuratori sportivi”, più correttamente definibili Agenti sportivi in relazione alla disciplina vigente.

Ma chi sono gli agenti sportivi e, soprattutto, quali sono le norme che regolano il loro campo di azione e tutelano i loro interessi?

Con la Legge di Bilancio del 2018 (L. 205/2017, art. 1 comma 373) ed in attuazione del DPCM del 23 marzo 2018 e successive modifiche ed integrazioni è stato istituito presso il Coni il Registro Nazionale degli agenti sportivi.

Dalla lettura congiunta del citato DPCM, del Regolamento degli Agenti Sportivi, emanato dal CONI nel 2019 e modificato recentemente con deliberazione della Giunta Nazionale n. 127 del 14 maggio 2020, e del Regolamento emanato – in ambito calcistico – dalla FIGC il 10 giugno 2019, si analizzeranno in questa sede le modalità di accesso alla categoria, di esercizio dell’incarico di agente e di eventuale nullità dello stesso, nonché le cause di cancellazione dal registro, oltre alla disciplina degli agenti sportivi stabiliti e domiciliati.

Sono considerati agenti sportivi tutti coloro che “mettono in relazione due o più soggetti ai fini:

i. della costituzione, della modificazione o estinzione di un rapporto avente per oggetto una prestazione professionistica;

ii. della conclusione di un contratto di trasferimento di prestazione sportiva professionistica;

iii. del tesseramento presso una federazione sportiva nazionale professionistica.”

Requisiti minimi soggettivi per iscriversi al Registro Nazionale sono:

  • cittadinanza italiana o di altro stato membro dell’Unione Europea o non membro dell’Unione Europea con regolare permesso di soggiorno;

  • pieno godimento dei diritti civili in assenza di dichiarazioni di interdizione, inabilitazione, fallimento;

  • possesso di diploma di istruzione secondaria di secondo grado o titolo equipollente;

  • assenza di condanne per delitti non colposi nell’ultimo quinquennio, precedente all’iscrizione.

L’aspirante agente sportivo in possesso dei predetti requisiti, per poter iscriversi al Registro Nazionale, deve necessariamente sostenere un esame di abilitazione articolato in una prova generale, che si svolge presso il CONI, ed una prova speciale, che si svolge presso le federazioni sportive nazionali professionistiche.

Le modalità di svolgimento delle suddette prove sono disciplinate rispettivamente agli articoli 4 e 5 del DPCM ai quali si rimanda.

Il soggetto che validamente supera le due prove può inoltrare richiesta di iscrizione alla federazione sportiva nazionale professionistica presso la quale ha svolto la prova speciale che, entro i 20 giorni successivi, rilascia all’agente apposito certificato di avvenuta iscrizione (cfr. art. 6 DPCM).

L’agente - così abilitatosi - può operare nell’ambito di una o più federazioni sportive nazionali professionistiche presso il cui registro federale risulta iscritto.

L’eventuale incarico conferito ad un soggetto non iscritto al Registro Nazionale degli agenti sportivi nelle modalità previste dalla legge è da considerarsi nullo (cfr. art. 7 DPCM), fatto salvo quanto previsto dall’articolo 348 c.p. in materia di esercizio abusivo della professione.

Diversamente da quanto precedentemente previsto, dunque, la nullità intacca soltanto l’incarico conferito e non anche l’intero “contratto di prestazione sportiva, contratto di trasferimento o tesseramento presso una Federazione”.

L’agente iscritto ha poi, come la maggior parte dei professionisti, l’obbligo di aggiornamento costante mediante la partecipazione a corsi organizzati e accreditati dalla federazione sportiva nazionale professionistica presso la quale opera, e l’obbligo di rinnovo annuale dell’iscrizione pena la cancellazione dal Registro nazionale.

Altre cause di cancellazione dal Registro nazionale sono, come espressamente indicate dall’articolo 10 del DPCM:

i. la sopravvenienza di una causa di incompatibilità prevista dal regolamento del CONI;

ii. il venir meno di uno dei requisiti soggettivi di cui all’articolo 2 e precedentemente elencati;

iii. la cancellazione dal Registro Federale per effetto del venir meno dei requisiti eventualmente richiesti a ciascuna federazione sportiva nazionale professionistica, sempre che l’agente non risulti iscritto validamente presso il registro federale di altra federazione sportiva nazionale professionistica.

Le normative sopra menzionate (Regolamento degli Agenti sportivi – CONI, il DPCM del 23 marzo 2018 e il Regolamento della FIGC del 10 giugno 2019) disciplinano anche altre due figure di Agenti sportivi:

  • gli agenti stabiliti;

  • agenti extracomunitari.

Gli agenti stabiliti sono coloro che, da cittadini italiani o cittadini di altro Stato membro dell’Unione Europea, abbiano conseguito il titolo di agente in altro stato membro dell’Unione superando prove equipollenti a quelle previste dall’ordinamento italiano.

Abilitati, dunque, ad operare in altro stato membro dell’Unione e nell’ambito della corrispondente federazione sportiva nazionale, gli agenti sportivi stabiliti risultano iscritti in una sezione speciale del Registro nazionale e possono operare senza limitazioni di sorta utilizzando il titolo riconosciutogli all’estero (entro i confini UE). Trascorsi tre anni dall’iscrizione nella sezione speciale, gli agenti sportivi stabiliti, in regola con gli obblighi di aggiornamento e che abbiano svolto in Italia la professione di agente sportivo in modo effettivo e regolare (cinque incarichi all’anno per tre anni) possono domandare l’iscrizione al registro federale e a quello del CONI senza essere sottoposti ad esame di abilitazione.

Gli agenti extracomunitari, definiti anche agenti sportivi domiciliati, sono invece quei cittadini extraeuropei che hanno conseguito il titolo di agente sportivo in paese non membro dell’Unione e che possono operare in Italia solo previa domiciliazione presso un agente regolarmente iscritto nel registro nazionale o nel registro federale della relativa federazione.

Questi ultimi potranno operare sempre e solo indicando esplicitamente il titolo riconosciutogli nel paese di provenienza aggiungendo il nominativo dell’agente iscritto nel registro nazionale presso il quale sono domiciliati.

La disciplina prevista per gli agenti sportivi extraeuropei /domiciliati si applica anche a quei cittadini italiani o europei abilitati entro i confini UE ma con prove differenti (“non equipollenti”) a quelle previste dall’ordinamento italiano.

,

Può un’opera anonima essere tutelata come marchio d’impresa?

,
38422423_303.jpg

Secondo una recente decisione dell’EUIPO (Ufficio per la proprietà intellettuale dell’Unione Europea, 14 settembre 2020) sembrerebbe di no: a dimostrarlo è l’accoglimento da parte dell’Ufficio della richiesta di cancellazione presentata dalla società Full Colour Black Limited contro il marchio “Flower thrower” depositato nel 2014 dalla Pest Control Office Limited, società di diritto inglese sorta fra l’altro con il preciso intento di tutelare le opere dell’artista anonimo Banksi.

Il tutto ha origine quando, nel 2014, la Pest Control Office Limited decide di registrare come marchio figurativo la celebre opera “Il lanciatore di fiori” (“Flower thrower”).

La registrazione per il marchio in questione è stata richiesta per una vastissima serie di prodotti tra cui pitture, vernici, lacche; dischi, nastri; cartoleria; fotografie; manifesti; libri; pennelli; borse, valigette, portafogli, portachiavi, prodotti tessili, abbigliamento e altri ancora.

In conformità con la sua linea di azione, Banksi ha registrato l’opera presso l’EUIPO restando nell’anonimato e servendosi pertanto della società che ne cura i diritti, la Pest Control Office Limited.

Nel 2018, tuttavia la società inglese Full Colour Black Limited attiva nel settore della produzione di cartoline e altri articoli affini, propone avanti all’EUIPO una azione di nullità del citato marchio, affermando in particolare che lo stesso sarebbe stato depositato dall’artista, per mezzo della sua società, in malafede, al solo fine di poterne limitare l’utilizzo da parte di soggetti terzi e senza per contro un reale intento di usare quel marchio sui prodotti e servizi rivendicati

Con la decisione del 14 settembre 2020, l’EUIPO ha pienamente accolto tale domanda dichiarando nullo pertanto il marchio del celebre artista.

L’EUIPO secondo un iter argomentativo lineare ha solamente negato che tale immagine, quella del “Lanciatore di Fiori” che rappresenta l’opera di Banksy, possa validamente, nel caso di specie, costituire un marchio di impresa e ciò in quanto manca all’origine il fine commerciale che deve caratterizzare il marchio, la cui finalità primaria è quella di indicatore d’origine e capacità distintiva sul mercato.

In assenza di tali finalità, pertanto, deve ritenersi nulla la domanda di marchio per mala fede, il che secondo quanto stabilito dal Regolamento comunitario sui marchi di impresa, giustifica la cancellazione dal registro dei marchi depositati in tale forma.

Attenzione: ciò non significa affatto che con tale decisione vengano meno i diritti d’autore sull’opera (per quanto possa essere bizzarro parlare di diritto d’autore rispetto ad un’opera il cui autore è anonimo per sua scelta.

Marchio e diritto d’autore restano, come anche precisato dall’EUIPO in alcuni passaggi della Decisione, quanto meno in linea di principio, diritti di proprietà industriale / intellettuale distinti ed eventualmente cumulabili rispetto un determinato oggetto.





,

Smart Contract e Blockchain: cosa sono, come funzionano e la loro conformità al GDPR.

,

Secondo la definizione dell’art. 1321 del codice civile un contratto è “l’accordo tra due o più parti per costituire, modificare o estinguere un rapporto giuridico patrimoniale”. Uno smart contract è invece un “pezzo di codice” – un software - che esegue un accordo tra le sue parti se determinate condizioni sono soddisfatte.

Sulla base di queste semplici definizioni è facile rilevare che mentre i contratti intesi nel senso giuridico del termine richiedono alle parti un ruolo attivo – cioè il compimento di azioni specifiche per l’adempimento delle obbligazioni - i contratti smart sono “self- executing” poiché, una volta che le condizioni sono soddisfatte, l'esito della transazione desiderata è automaticamente ottenuta sulla base dei termini incorporati nel codice. E’ possibile pertanto constatare che in uno smart contract – a differenza di quanto potrebbe accadere in un contratto legale - un ritardo o un mancato adempimento delle obbligazioni è tecnicamente impossibile.

Sulla base di tali considerazioni si può sostenere che in uno smart contract non è necessario che sussista una pregressa fiducia tra le parti e che vi sia un soggetto terzo a cui venga affidato il potere di imporre coercitivamente l'adempimento in caso di violazione. Tutto questo è possibile perché alla componente fiduciaria – al centro del contratto legale - è sostituita la trasparenza implicita dell’infrastruttura Blockchain sulla quale sono posti e operano gli smart contract.

Blockchain: trasparenza e mancanza di autorità

La Blockchain può essere definita come un insieme di blocchi collegati tra loro in modo immutabile e che registrano informazioni utilizzando un sistema crittografico. Tale infrastruttura consente a soggetti tra cui non sussistono pregressi rapporti contrattuali (e quindi di fiducia) di effettuare transazioni in modo sicuro e senza la supervisione o il controllo di un'autorità centralizzata.

Lo sviluppo della tecnologia blockchain ha contribuito alla diffusione degli smart contract esaltandone alcune loro fondamentali caratteristiche.

Essendo memorizzate nel sistema pubblico e distribuito, le transazioni che avvengono in Blockchain possono essere verificate e convalidate da tutti i partecipanti al network. Da ciò consegue che la sicurezza del sistema è notevolmente aumentata, poiché qualsiasi modifica, alterazione, cancellazione di una transazione dovrebbe essere replicata in ogni registro distribuito. Pertanto, gli smart contact implementati sulla Blockchain sono praticamente immutabili e non sono soggetti ad alcuna interferenza esterna.

Questi meccanismi consentono anche a soggetti sconosciuti di effettuare transazioni senza la necessità di un terzo fidato su cui i partecipanti alla rete dovrebbero altrimenti fare affidamento per eseguire e far rispettare gli obblighi reciproci. La mancanza di una terza parte centralizzata comporta anche una riduzione dei costi di transazione, in quanto non vengono trattenute commissioni da nessun intermediario (si pensi ad esempio agli istituti finanziari).

Ricorrere a smart contract implementati su blockchain è ormai una realtà in molti settori, tra cui i mercati finanziari e assicurativi, il settore immobiliare, gli accordi commerciali e la gestione dei diritti d'autore.

Anche contratti di locazione potrebbero beneficiare della tecnologia blockchain: il locatore potrebbe fornire al locatario una chiave digitale da consegnare in cambio di un pagamento elettronico. L’operazione sarebbe da considerarsi estramamente sicura poiché solo nel caso in cui sia la chiave elettronica che il pagamento vengano effettivamente resi disponibili (come verificato da centinaia di partecipanti al sistema blockchain) la transazione sarà effettuata.

Oracle: ponte tra virtuale e reale

Nella maggior parte dei casi, l'esecuzione degli smart contract viene attivata attraverso la ricezione di informazioni raccolte da fonti istituzionali collocate nel mondo reale e che vengono immesse nel sistema Blockchain attraverso un “ponte” – chiamato oracle.

L’oracle è una struttura che collega ciò che è nella catena di blocchi da ciò che invece è fuori da essa, fungendo da ponte tra eventi off-chain e on-chain. I dati esterni utilizzati da un oracle possono derivare sia da eventi nel mondo "reale” (ad esempio, il tracciamento di una spedizione) che dall'ambiente digitale (dati di borsa e altri indici pubblici).

Per comprendere il funzionamento degli “oracle” è interessante analizzare l’impiego che viene fatto degli smart contract nel mercato assicurativo. Una polizza volta a garantire la copertura delle perdite derivanti da terremoti potrebbe beneficiare di una componente di contratto smart. In questa situazione l’oracle avrebbe la funzione di reperire le informazioni rilevanti nel mondo reale - ad esempio il valore relativo alla magnitudo sismica direttamente fonti governative ufficiali - e le farebbe confluire in Blockchain. In questo modo, l'importo dell'indennità da pagare all’assicurato potrebbe essere determinato automaticamente senza la necessità che alcuna documentazione venisse prodotta dal soggetto assicurato. Tale meccanismo è idoneo ad essere riprodotto anche in altri contesti come quello dell'assicurazione per i voli ritardati o cancellati.

Blockchain, Smart Contract e GDPR

Tutti i dati immessi in Blockchain sono pseudonimizzati (idonei a rivelare l'identità degli utenti attraverso un processo di reidentificazione) e pertanto rientrano nell'ambito di applicazione del considerando 26 del GDPR, che impone l'applicazione del regolamento europeo a tutte le informazioni relative a persone identificabili.

Nonostante le previsioni della normativa è facilmente rilevabile che l'effettiva applicazione delle disposizioni GDPR all’infrastruttura Blockhchain solleva una serie di problematiche.

Uno degli aspetti principali della Blockchain è la mancanza di un'autorità centralizzata: ogni partecipante infatti ha la possibilità di creare, verificare e avere accesso al registro pubblico delle transazioni e a tutti i dati pertinenti. In un contesto decentralizzato come quello della Blockchain è pertanto impossibile definire i ruoli di titolare e responsabile del trattamento (figure cardine della normativa europea).

Inoltre è da rilevare che i dati immessi in Blockchain sono per natura immutabili, mentre il GDPR presuppone che ogni dato possa essere modificato o cancellato su istanza dell’interessato, quando voglia esercitare il diritto alla rettifica delle informazioni o il diritto all'oblio, ai sensi degli articoli 16 e 17.

Neanche il principio della minimizzazione dei dati può essere facilmente applicato al sistema blockchain: i registri infatti includono i dati relativi a tutte le transazioni precedenti che sono in continua espansione e che sono memorizzate nei device di tutti partecipanti al network. Ciò è in aperto contrasto con le disposizioni del GDPR che prevedono che i dati personali siano trattati solo quando necessari per scopi specifici preventivamente individuati.

Disney e la tutela IP dei suoi personaggi: da Topolino ai remake dei “classici”

Disney.jpg

Con una conoscenza del marchio che supera il 90% della popolazione mondiale, Mickey Mouse è ancora oggi il personaggio animato più conosciuto a livello internazionale da adulti e bambini.

A quasi 100 anni dalla sua creazione, Topolino incarna l’essenza dell’azienda Disney e tra merchandising, remake, giochi, accessori, parchi a tema e altri servizi il suo sfruttamento vale ancora miliardi di dollari.

L’amore di Walt Disney per Mickey Mouse - che è anche stato il suo principale asset aziendale - l’ha portato a studiare efficaci strategie al fine di estendere i diritti di proprietà intellettuale del suo personaggio e da consentirgli di continuare a sfruttare la sua immagine in modo esclusivo.

Topolino e la tutela del Copyright negli USA

La prima legge che tutelava il diritto d’autore negli USA fu il Copyright Act del 1790 che garantiva una protezione delle opere creative per 28 anni.

Con due successivi provvedimenti legislativi il Congresso aveva ampliato la tutela e il periodo di protezione era stato esteso a 42 anni con l’emendamento del 1831 e a 56 con quello del 1909.

Nell’autunno del 1928 Disney presentò al pubblico il corto animato “Steamboat Willie” in cui compare per la prima volta il personaggio di Mickey Mouse. Il corto – in quanto opera intellettuale - ricadeva sotto la protezione prevista dal Copyright Act del 1909 e garantiva una protezione della durata di 56 anni. Il personaggio di Mickey Mouse sarebbe quindi stato tutelato fino al 1984 per poi cadere in pubblico dominio. Per evitare che ciò accadesse, Disney, già all’inizio degli anni ’70, cominciò ad esercitare pressioni sul Congresso degli USA affinché modificasse la legislazione vigente in materia di diritto d’autore. Nel 1976 la normativa venne ampiamente emendata ed avvicinata agli standard europei garantendo una protezione da un minimo di 56 anni ad un massimo di 75. Disney era così riuscito ad estendere la protezione per il suo personaggio di quasi un ventennio.

Nonostante questo indiscusso successo, la battaglia di Disney per continuare a sfruttare in esclusiva i suoi personaggi non si arrestò. Già all’inizio degli anni ’90 l’azienda cominciò ad esercitare nuove attività di lobbying per l’estensione del copyright: questa volta non era in gioco solo il copyright di Mickey Mouse ma anche quello di Minnie, Donald Duck, Daisy, Goofy e Pluto che sarebbero caduti in pubblico dominio entro la fine del primo decennio degli anni 2000.

Alla fine degli anni ’90, il Congresso ha presentato un’ulteriore proposta per l’estensione della durata della protezione garantita dal Copyright Act.

La proposta prevedeva l’estensione del copyright per le aziende da 75 a 95 anni.

Topolino e la sua banda: nuovo design per l’estensione della protezione e registrazione del marchio

Nel 1998 la riforma è stata approvata ed il Copyright di Topolino e i suoi colleghi è stato prorogato per altri 20 anni.

La data prevista al momento per la scadenza del copyright di Mickey Mouse è il 2024.

Ciò che però è necessario notare è che il Copyright in scadenza è solo quello di Mickey Mouse con il design della prima versione di Topolino, vale a dire del Topolino così come è stato rappresentato in “Steamboat Willie” e non quello delle versioni successive.

Nei decenni i disegnatori Disney si sono ben preoccupati infatti di modificare le proporzioni della sua fisionomia e di aggiungere accessori al personaggio (ad esempio i guanti gialli, diversi colori nell’abbigliamento), di modernizzare il tratto e di renderlo più in linea con il mutato gusto del tempo.

Oggi i bambini riconoscono Mickey Mouse nella sua attuale versione o in quelle appena precedenti ma faranno fatica ad identificare lo stesso personaggio nel Topolino di “Steamboat Willie”.

Oltre alle considerazioni fatte sul copyright di Mickey Mouse è bene ricordare che la mascotte è protetta anche come marchio registrato e garantisce a Disney la possibilità di utilizzarlo in maniera esclusiva e illimitata in tutto il mondo con il solo onere di provvedere al suo rinnovo.

Il remake dei “Classici” Disney

A partire dal 2010 Disney ha riproposto i suoi “Classici” (che sono adattamenti di opere di altri autori i cui diritti sono in molti casi scaduti) presentando delle versioni più moderne dei cartoni animati più amati di sempre.

E’ ragionevole ipotizzare che Disney, riproponendo delle nuove versioni dei classici, volesse raggiungere molteplici obiettivi. Tra questi vi è sicuramente quello di attrarre nelle sale cinematografiche un vasto pubblico con la certezza di incontrare il gusto di un folto gruppo di appassionati – composto da adulti e bambini – che già conoscevano la storia ed erano fan dei protagonisti. Inoltre, con l’avvicinarsi della scadenza del copyright – così come era successo con Mickey Mouse – il remake era la perfetta occasione per modernizzare il design di molti personaggi e rivisitarli in chiave moderna (in alcuni casi i disegni animati sono stati sostituiti da attori in carne ed essa). Così facendo Disney ha avuto la possibilità di sostituire le vecchie produzioni con quelle nuove e di poter godere di un nuovo ed intero periodo di protezione per le sue opere creative. In questo modo l’azienda ha anche avuto la possibilità di continuare ad utilizzare i suoi personaggi per il vastissimo assortimento di merchandising o dare in licenza i diritti di sfruttamento.

La strategia del “remake” ha inoltre permesso a Disney di rimuovere dai classici le parti di sceneggiatura non più in linea con i tempi (ad esempio battute sessiste sul ruolo della donna nel contesto familiare, modelli di famiglia in contrasto con l’evoluzione della società, scene in cui i protagonisti erano sotto l’effetto di sostanze dannose).

La storia di Disney dimostra come tutelare gli asset di proprietà intellettuale di un’azienda sia a fondamento di un successo planetario e che dura da quasi un secolo. Strutturare un’efficace tutela IP deve pertanto essere alla base della strategia aziendale di ogni realtà che vuole imporsi come leader nel suo settore per gli anni avvenire.

La tutela del marchio debole tra USA e Italia: i casi Booking.com e “Divani&Divani”.

image-asset.jpg

Alla fine di giugno la Suprema Corte degli Stati Uniti si è pronunciata sul caso “Booking.com” emettendo una sentenza destinata ad avere ripercussioni sulla registrazione di marchi relativi a termini generici negli Stati Uniti.

La Corte ha riconosciuto al marchio “Booking.com” - di proprietà della società Booking Holdings Inc - la possibilità di essere registrato come marchio a livello federale, nonostante la genericità del termine “booking”.

In passato, il Patent and Trademark Office non aveva concesso la registrazione del marchio Booking.com ritenendo che il marchio fosse “generico”, nonostante una qualifica specifica potesse essere dedotta dalla presenza del “.com”.

Il 30 giugno 2020 la Corte ha invece ribaltato la decisione dell’Ufficio e ha sottolineato l’importanza della percezione che i consumatori hanno del marchio e che Booking.com non è percepito dai consumatori come marchio generico.

Secondo quanto disposto dalla legge degli USA una società non può rivendicare la proprietà del nome di un’intera categoria merceologica poiché ciò costituirebbe un atto di concorrenza sleale nei confronti dei competitors e perché mancherebbe la fondamentale caratteristica della capacità distintiva.

Nel caso di Booking i giudici della Suprema Corte hanno però ravvisato la mancanza di confusione da parte dei consumatori, che nel riferirsi a Booking.com non si riferiscono ad un generico aggregatore di strutture alberghiere bensì ad uno specifico provider che identificano tramite il marchio Booking.com e che garantisce un certo livello di qualità e affidabilità.

Questa sentenza segna l’inizio di un nuovo orientamento giurisprudenziale negli USA e una vittoria per tutte le aziende che hanno investito nell’awareness di marchi deboli che utilizzano termini generici.

Per meglio comprendere la portata del dispositivo e il requisito della capacità distintiva è bene fare riferimento a due categorie di marchio che sono state elaborate in giurisprudenza: quelle marchio debole e il marchio forte.

I marchi deboli sono quelli che risultano concettualmente legati al prodotto in quanto la parola che identifica il marchio corrisponde al termine generico del prodotto o si sostanzia nelle parole generalmente utilizzate per riferirsi al prodotto in questione.

Il marchio forte, invece, non è concettualmente vincolato al prodotto e non è ad esso immediatamente riconducibile.

Il grado di tutela riconosciuto al marchio forte o al marchio debole cambia nei diversi ordinamenti ma in ogni caso al marchio debole viene garantito un livello di tutela inferiore rispetto al marchio forte.

Nel 2015 anche la Corte di Cassazione italiana si era pronunciata sulla capacità distintiva del marchio debole registrato “Divani&Divani” di proprietà della Natuzzi Spa ed era arrivata a ribaltare il precedente dispositivo emesso dalla Corte di Appello.

La Corte d’Appello nel suo giudizio non aveva considerato che, seppure il marchio “Divani&Divani” fosse un marchio debole, questo - con il passare degli anni e a seguito del suo uso commerciale – avesse acquisito una forte capacità distintiva e l’uso di un marchio omonimo da parte di una società concorrente e operante nella stessa area merceologica avrebbe inevitabilmente generato confusione tra i consumatori.

La Corte di Cassazione rilevava invece che, nonostante ”Divani&Divani” fosse un marchio che utilizza parole generiche e di uso comune, prive del carattere dell’originalità abbia acquisito un “secondary meaning” (v. Cass. n. 4294/1974, n. 2884/1985, n. 18920/2004, n. 10071/2008) e sia dotato del carattere distintivo necessario affinchè possa essere riconosciuto dai consumatori.

Queste due sentenze dimostrano come un marchio inizialmente debole e privo del carattere distintivo possa convertirsi in marchio forte a seguito sul suo intenso uso commerciale e di campagne pubblicitarie che ne fanno crescere l’awareness nel pubblico di riferimento e lo rendono distintivo e portatore di un secondary meaning.

La Corte di Giustizia dichiara invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE verso gli USA.

Premessa

Il Privacy Shield è un accordo tra la Commissione europea e il Segretario al Commercio USA che consentiva la comunicazione del dato del soggetto residente in Europa verso le aziende statunitensi aderenti a tale accordo. Il Privacy Shield è nato a seguito dell’annullamento del precedente accordo Safe Harbour, verificatosi a seguito di una sentenza della Corte di Giustizia europea nel 2015.

La decisione della Corte di Giustizia del 17 luglio 2020 è destinata ad avere pesanti ripercussioni sia politiche, nei rapporti UE/USA, che pratiche, per i provider USA e le aziende italiane.

La decisione

Ai sensi del regolamento generale sulla protezione dei dati (di seguito “RGDP”) il trasferimento dei dati verso un Paese posto al di fuori dell’UE può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce un adeguato livello di protezione. Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura un livello di protezione adeguato (la decisione 206/1250, oggetto di annullamento, riguarda proprio l’export di dati in USA).

In mancanza di una decisione di adeguatezza, un trasferimento può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, preveda garanzie adeguate, le quali possono risultare, in particolare, da clausole contrattuali tipo adottate dalla Commissione (decisione 2010/87), e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi.

In mancanza di una decisione di adeguatezza o di garanzie adeguate, il RGDP stabilisce, in via ultimativa, a quali condizioni possa avvenire un trasferimento siffatto.

Il livello di protezione richiesto nell’ambito di un trasferimento extra UE è sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce della Carta dei diritti fondamentali dell’UE. La valutazione del suddetto livello di protezione riguarda sia quanto stipulato contrattualmente tra le parti (esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo) sia l’eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, oltre agli elementi pertinenti del sistema giuridico del paese di approdo dei dati.

Nello specifico, la normativa che disciplina i programmi di sorveglianza USA non minimizza il trattamento dei dati dei residenti in UE, anzi dall’analisi della stessa non emerge in alcun modo l’esistenza di limiti all’autorizzazione dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto.

La Corte aggiunge che la normativa non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici ed anzi, in caso di controversie, è previsto il ricorso ad un meditatore che non offre garanzie di imparzialità.

Per tutte queste ragioni la Corte ha dichiarato invalida la decisione 2016/1250 sull’accordo Privacy Shield.

La Corte ha dichiarato inoltre che, in assenza di una decisione di adeguatezza validamente adottata dalla Commissione, il Garante Privacy è tenuto a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritenga, alla luce delle circostanze proprie di tale trasferimento, che non sussistano i presupposti di cui sopra.

La Corte ha giudicato invece valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a soggetti stabiliti in Paesi terzi. Certo è che le motivazioni dell’annullamento del Privacy Shield avranno effetti anche sulle clausole contrattuali standard, a parità di condizioni.

Quindi i provider USA che sino ad oggi hanno utilizzato la base giuridica del Privacy Shield per il trasferimento dati dall’UE agli USA dovranno adottare una diversa soluzione, come ad esempio le clausole contrattuali standard. L’azienda italiana, in qualità di esportatore del dato, ed il Garante Privacy,  dovranno effettuare una valutazione complessa in merito all’adeguatezza delle garanzie offerte dal soggetto che importa i dati e dalla normativa vigente in tale paese, con i conseguenti profili di responsabilità.

Implicazioni pratiche

Annullamento del Privacy Shield: impatto sulle attività aziendali

  • La decisione 2016/1250 non riguarda i trasferimenti di dati necessari verso gli USA (ad es. invio di e-mail ad un soggetto in USA, prenotazione viaggio in USA).

  • Quando si esternalizza in USA, per motivi di convenienza anche se tecnicamente i dati potrebbero essere memorizzati all'interno dell'UE/SEE, non esiste una deroga generale (ai sensi dell'articolo 49 del GDPR) per il trasferimento di dati verso gli Stati Uniti ma deve essere utilizzato uno strumento legale alternativo come le clausole contrattuali standard, il Privacy Shield o le norme vincolanti di impresa. A seguito della decisione in commento il Privacy Shield non è più utilizzabile.

  • Le aziende possono continuare ad utilizzare provider USA? Al momento la risposta appare negativa, poiché tutti i principali provider sono sottoposti alla potenziale sorveglianza del governo USA.

  • Le aziende possono continuare ad utilizzare provider USA con sedi in UE? In questi casi, le società europee hanno la responsabilità di garantire che i flussi di dati personali "interni al Gruppo" verso gli USA siano conformi al RGDP. Le aziende dovranno ora esaminare attentamente tutti questi flussi di dati e stabilire se conservare i dati in Europa o in qualsiasi altro paese che garantisca una migliore protezione della privacy, invece di essere trasferiti negli Stati Uniti e, quindi, essere oggetto di una potenziale sorveglianza governativa.


Annullamento del Privacy Shield: impatto sui diritti dei consumatori

  • Gli utenti sono liberi di inviare consapevolmente i propri dati personali direttamente a un paese terzo, ad esempio quando utilizzano un sito web cinese o USA. Tuttavia, non è possibile condividere direttamente i dati di altre persone (ad es. amici, colleghi) con un fornitore statunitense, a meno che non si sia ottenuto il loro consenso libero, specifico, informato ed inequivocabile.

Relazione 2019: a che punto siamo in Italia nell’applicazione del Regolamento europeo in materia di data protection e nuove sfide

L'Autorità Garante per la protezione dei dati personali ha presentato lo scorso 23 giugno 2020 la relazione sull’attività svolta nel 2019.

Il 2019 è stato un anno particolarmente intenso per il Garante che si è trovato a vigilare sull’applicazione del Regolamento 679/2016 e ad intervenire su questioni relative alla tutela dei diritti fondamentali nell’era digitale, alle implicazioni etiche derivanti dall’uso dell’intelligenza artificiale, a questioni relative all’impiego di nuovi strumenti di sorveglianza da remoto e di IoT.

La peculiarità della situazione contingente ha reso inevitabile toccare anche le nuove problematiche che sono emerse durante la pandemia e pertanto, in occasione della relazione sulle attività del 2019, l’Autorità si è espressa anche su quelle relative al primo semestre del 2020, dando così una visione completa di quello che è stato il suo operato fino a questo momento.

I numeri

Nel 2019 i provvedimenti collegiali adottati sono stati 232 e 8000 sono stati i riscontri a reclami e segnalazioni in relazione a marketing telefonico, credito al consumo, lavoro, settore finanziario e sicurezza informatica. 

Le ispezioni sono state 147 e gli accertamenti hano riguardato numerosi settori, sia nell´ambito pubblico che privato.

I pareri relativi ad atti regolamentari e amministrativi sono stati 46 e hanno toccato ambiti come la sicurezza nazionale, la digitalizzazione delle pubbliche amministrazioni, le misure per combattere l'assenteismo, il testamento biologico, il reddito di cittadinanza, la riforma del Registro pubblico delle opposizioni, l'istruzione e la procreazione assistita.

Il Garante ha inoltre dato riscontro a 15.800 quesiti da parte di cittadini che hanno chiesto chiarimenti circa gli adempimenti connessi all’entrata in vigore del GDPR e a questioni legate ad attività promozionali indesiderate come telefonate, sms, videosorveglianza nel settore pubblico e privato e dati bancari.

Interventi nei confronti di Piattaforme

Per quanto riguarda le violazioni di dati online, nel 2019 il Garante italiano ha sanzionato Facebook Ireland Ltd per 1 milione di euro a seguito dell’istruttoria relativa alla vicenda “Cambridge Analytica” che ha coinvolto anche i dati di cittadini italiani.

Nel 2019 si è anche rafforzata l'attività a tutela del “Right to be Forgotten” (diritto all’oblio) e si aperto un dibattito internazionale circa la portata di tale diritto (se debba essere garantito a livello internazionale o solo europeo) e quale sia il ruolo giocato dagli Internet Service Provider in questo specifico contesto.

Nel 2020 il Garante italiano ha sollevato dubbi anche sul modus operandi di TikTok, una piattaforma cinese divenuta estremamente popolare tra i giovanissimi di tutto il mondo e che permette di condividere audio, video ed immagini. Il Garante ha chiesto ed ottenuto la costituzione di una task force nell'ambito dell’European Data Protection Board, il Comitato europeo che riunisce tutte le Autorità privacy europee.

Interventi in materia di cybersecurity

Nel 2019 sono stati notificati 1443 data breach e il Garante si è pronunciato circa l’inadeguatezza delle misure di sicurezza di pubbliche amministrazioni ed imprese private che raccolgono dati online ed ha indicato delle linee guida su come proteggersi da software dannosi di tipo ramsonware.

Ramsonware

I ramsonware sono programmi informatici che criptano i dati di un dispositivo rendendolo non più utilizzabile e che intimano il proprietario a pagare un “riscatto” per poter ritornare in possesso dei contenuti salvati sul suo device. Nelle sue raccomandazioni il Garante sottolinea come questi malware siano non di rado installati sui dispositivi degli utenti tramite app di giochi o altre utilities che vengono offerte gratuitamente e che spesso sono scaricate con noncuranza da parte di utenti totalmente ignari delle minacce che si possono nascondere in una semplice applicazione web.

Assistenti Digitali

Il Garante ha anche esaminato i rischi connessi all’utilizzo degli assistenti digitali, cioè programmi che interpretano il linguaggio umano tramite algoritmi e intelligenza artificiale e che sono in grado di dialogare come un “utente umano”, rispondendo a vari tipi di richieste come trovare informazioni sul web, ricercare e indicare un determinato percorso stradale, fare un acquisto online, regolare la temperatura o l’illuminazione domestica, chiudere o aprire le serrature di un’abitazione.

Il Garante ricorda che questi assistenti digitali raccolgono e trattato una grandissima quantità di dati e che spesso l’utente è ignaro delle modalità in cui i suoi dati sono trattati e soprattutto da chi. Questi dispositivi inoltre raccolgono dati non solo del loro “utilizzatore” (cioè del soggetto che ha installato volontariamente il software), ma anche di tutti coloro che si trovano inconsapevolmente nel raggio di azione del dispositivo e possono memorizzare dati relativi a preferenze, abitudini e stili di vita, caratteristiche biometriche (se dotati di fotocamera), posizioni e geolocalizzazione (per esempio in relazione ad un percorso abituale), caratteristiche delle persone che si trovano nell’ambiente in cui operano (sesso, età) così come i loro stati emotivi.

Privacy e Marketing

Il Garante è intervenuto contro le attività di telemarketing “aggressivo” applicando pesanti sanzioni (in particolare una sanzione da 27,8 milioni di euro e una da 11,5 milioni di euro) ad aziende che hanno utilizzato i dati degli abbonati senza il loro preventivo consenso.

Privacy e Diritto di Cronaca

L’Autorità è intervenuta più volte contro la morbosità di alcune testate giornalistiche ed emittenti televisive in relazione ad alcuni fatti di cronaca al fine di garantire le opportune tutele alle vittime di reati, soprattutto se minorenni.

Privacy e Lavoro

Il Garante ha definito le garanzie per la raccolta delle impronte digitali dei dipendenti pubblici per combattere l’assenteismo e ha richiamato il principio di proporzionalità. L’Autorità ha ricordato che la raccolta di dati biometrici è una disciplina estremamente delicata per la natura dei dati trattati e, se prevista insieme all’utilizzo di tecnologie per la videosorveglianza, appare in contrasto con il principio di proporzionalità.

Il Garante inoltre ritiene non giustificata l’introduzione sistematica e generalizzata di sistemi di rilevazione biometrica delle presenze per tutte le pubbliche amministrazioni.

Privacy e Giustizia

In relazione al “caso Exodus” in cui centinaia di cittadini estranei alle indagini di polizia sono stati intercettati a causa di un errore nel funzionamento di un captatore informatico, il Garante ha proposto misure per assicurare maggiori garanzie nell'uso di strumenti che, se utilizzati in assenza delle necessarie garanzie, rischiano di causare gravissime violazioni alla libertà dei cittadini.

Privacy e Sanità

In materia di dati sanitari il Garante della privacy è più volte intervenuto sulla modalità di raccolta e di trattamento dei dati sanitari nel contesto della pandemia e ha ricordato che, anche in un contesto emergenziale, non possono venire meno i principi a tutela dei dati del cittadino europeo che sono alla base della nuova normativa comunitaria. Il Garante ha fornito anche pareri ed indicazioni riguardo all’app “Immuni” (il progetto scelto dal Mise tra decine di proposte inviate da soggetti attivi nel mondo digitale), alle modalità di condivisione dei dati sanitari e a quelli di localizzazione degli utenti necessari per poter contenere la pandemia. Il Garante si è anche pronunciato sulle modalità per l’effettuazione dei test sierologici, per la raccolta dei dati sanitari di dipendenti di imprese e pubbliche amministrazioni, così come per i clienti di esercizi commerciali.

Alla luce di questi numerosi interventi possiamo affermare che l’Autorità Garante per la protezione dei dati personali si sia adoperata nello svolgere un’attività di vigilanza sull’applicazione del nuovo regolamento europeo tentando di limitare gli abusi e di sanzionare le violazioni che compromettono le libertà individuali garantite dalla normativa europea. Il progresso tecnologico e la progressiva implementazione dell’intelligenza artificiale in dispositivi di uso quotidiano rende inevitabile effettuare bilanciamenti tra i diversi valori in gioco al fine di non commettere violazioni di dei diritti fondamentali.

Ad oggi la sfida che appare più contingente per l’Italia e l’Europa è quella di trovare sistemi che permettano il controllo di dati sanitari e la loro condivisione senza determinare un’eccessiva compressione dei diritti individuali permettendo alle Autorità di adottare le giuste misure al fine di scongiurare nuovi fenomeni epidemiologici.

,

Auto, Sneakers e Social Media: Ferrari vs. Philipp Plein.

,
plein-ferrari.jpg

L’origine della causa tra il cavallino di Maranello e Philipp Plein risale allo scorso agosto a seguito di alcuni post (foto e video) pubblicati dallo stilista tedesco sul suo profilo Instagram ufficiale.

Le immagini oggetto della controversia sono alcune foto pubblicate da Philipp Plein che mostrano una delle sue Ferrari con un paio di sneakers (modello Moneybeast della collezione 2019 in vendita a circa 5000€) appoggiate sul cofano dell’auto.

Solo pochi giorni dopo la pubblicazione dei post, gli avvocati di Ferrari diffidano Plein invitandolo a rimuovere entro 48 ore i suddetti contenuti per illecito utilizzo del marchio Ferrari.

Ferrari accusa dunque Philipp Plein di aver sfruttato la notorietà del proprio marchio per fare pubblicità ai suoi prodotti e di confondere il consumatore portandolo a presumere l’esistenza di una partnership tra Ferrari e il brand di Plein in relazione a quello specifico modello di scarpe.

La casa di Maranello riteneva inoltre che i post pubblicati da Plein tramite il suo profilo social fossero offesivi, “strumentalizzassero” il corpo femminile e pertanto non fossero in linea con i valori condivisi da Ferrari che non intendeva essere associata alla divulgazione di quel tipo di contenuto.

In risposta Plein si è rivolto direttamente al CEO di Ferrari dichiarandosi un cliente insoddisfatto e di non voler procedere alla rimozione dei post in questione.

Sulla vicenda è stato chiamato a pronunciarsi il Tribunale di Milano che a giugno 2020 ha condannato Philipp Plein alla rimozione di tutti i post in cui era stato illegittimamente raffigurato il marchio Ferrari e al pagamento di 300.000€ a titolo di risarcimento del danno.

Ogni utente per fare un uso consapevole dei social network non può prescindere dalla consapevolezza che un post pubblicato online potrebbe costituire una violazione dei diritti di proprietà intellettuale di terze parti.

Questa consapevolezza dovrebbe essere propria dell’utente “comune” ma dovrebbe essere maggiore per gli influencer e per coloro che godono di popolarità online e sarebbero tenuti a prestare estrema attenzione nel pubblicare contenuti che raffigurano segni distintivi senza l’espressa autorizzazione del titolare.

Il profilo Instagram di Philipp Plein conta più di 2 Milioni di followers e pertanto i post in violazione del marchio Ferrari hanno potenzialmente diffuso il contenuto illecito ad un numero elevatissimo di utenti, non raggiungibile attraverso i media tradizionali.

Ciò che funge da elemento di discrimine per determinare l’illiceità dei contenuti condivisi sui social media raffiguranti segni distintivi altrui senza consenso del titolare, è la finalità commerciale e pubblicitaria per cui viene effettuato il singolo post.

Il Tribunale di Milano ha ritenuto che i post pubblicati su Instagram da Plein avessero finalità commerciale (nonostante fossero sul profilo personale del designer e mostrassero un’auto di sua proprietà) e che vi fosse la volontà di approfittare della notorietà del marchio Ferrari per promuovere il prodotto “Moneybeast” che accostato al cavallino rampante sarebbe apparso più esclusivo e desiderabile.

Cloud Computing: caratteristiche dell’infrastruttura e profili giuridici.

cloudrossogrigio.jpeg.png

L’Agenzia Europea per la sicurezza delle reti e dell’informazione (ENISA) definisce il Cloud Computing come l’infrastruttura che un Provider mette a disposizione dell’utente per consentirgli di accedere a risorse, spazi, software o ambienti di sviluppo accessibili tramite server remoti di proprietà di terze parti.

In termini di volume, il mercato del Cloud Computing registra ogni anno un’importante crescita. Solo in Italia il livello di spesa stimato per il 2020, supera i 2.5 miliardi di euro.

Il successo della tecnologia Cloud è dovuto alla flessibilità dei sistemi che non necessitano di complesse configurazioni e semplificano in maniera sostanziale la gestione e la fruizione delle risorse aziendali senza richiedere importanti investimenti economici.

Tipologie di Cloud Computing

Esistono 3 diverse tipologie di strutture Cloud:

  • Infrastructure as a Service (Iaas): si tratta dell’infrastruttura hardware che è alla base di ogni sistema Cloud. Il provider mette a disposizione dell’utente un hardware senza che sia lui stesso a dover provvedere alla sua effettiva gestione. Un esempio di IaaS è lo spazio di archiviazione messo a disposizione dal Provider.

  • Platform as a Service (Paas): sono concepite come piattaforme “ponte” tra una struttura IaaS e una struttura SaaS in cui il Provider mette a disposizione la struttura ma spetta all’utente procedere all’installazione e all’implementazione del software. Questa tipologia di Cloud è normalmente rivolta ai developer che ricorrono al Paas per sfruttare specifiche funzionalità di automazione ed evitare di dover scrivere un codice ad hoc.

  • Software as a Service (SaaS): è la struttura Cloud maggiormente utilizzata e che offre un servizio facilmente accessibile anche a soggetti non professionisti. L’utente finale, infatti, non ha bisogno di alcuna competenza tecnica e può usufruire dei servizi erogati dal Provider per mezzo di qualsiasi dispositivo.

Il Provider che eroga un servizio SaaS via web mette a disposizione degli utenti una serie di servizi applicativi che possono essere direttamente utilizzati dai clienti finali.

Sono infrastrutture SaaS i sistemi che consentono di utilizzare via web fogli di calcolo o le applicazioni che permettono di inserire moduli e-commerce a siti web che originariamente non li prevedevano.

Modelli di Cloud Computing

  • Private Cloud Computing: si tratta di una struttura Cloud che viene creata dal Provider per rispondere alle specifiche esigenze del singolo cliente ed è destinata al suo uso esclusivo. Le aziende di grandi dimensioni talvolta optano per un modello Cloud privato al fine di mantenere un maggiore controllo sui dati esportati: nel Cloud interno, infatti, i dati archiviati rimangono presso le strutture organizzative su cui l’utente ha pieno ed esclusivo controllo. Adottando questo sistema, il patrimonio dei dati personali e sensibili viene trattato direttamente all’interno dell’organizzazione stessa. Nel sistema di Private Computing si ha la possibilità di negoziare il contratto che disciplina il rapporto tra l’azienda utilizzatrice del servizio ed il Provider.

  • Ibrid Cloud Computing: è il modello spesso usato dalle pubbliche amministrazioni e rappresenta una via di mezzo tra il Private Cloud Computing e il Public Cloud Computing. Ricorrere ad un modello ibrido di Cloud consente all’utilizzatore di demandare ad un sistema Cloud pubblico i servizi o le applicazioni che coinvolgono il trattamento di dati non sensibili, mentre determinati processi che interessano dati sensibili ed esigono misure di sicurezza rafforzate, restano gestiti unicamente all’interno dell’organizzazione.

  • Public Cloud Computing: è l’infrastruttura di proprietà del Cloud Provider il cui uso non è dedicato ad un singolo utente ma ad una molteplicità di fruitori indeterminati. Nel Public Cloud Computing non si ha la possibilità di negoziare termini e condizioni di uso perché ci si trova di fronte ad un servizio “as it is”. L’utente infatti può avere accesso al servizio mediante la sua adesione ad un contratto standardizzato predisposto unilateralmente dal Provider.

Il Contratto Cloud come contratto atipico

Il contratto Cloud si caratterizza per non avere una struttura propria, ma può essere definito ricorrendo a due diversi schemi negoziali tipici: l’appalto di servizi e il contratto di licenza.

  • Appalto di servizi: si sostanzia in un “facere”, cioè nell’obbligo - in capo all’appaltatore - di fornire un servizio a fronte di un corrispettivo determinato. Se si prende in considerazione un sistema SaaS, è facile rilevare che la sua principale caratteristica è proprio quella di rendere accessibile una struttura informatica esterna a quella privata o aziendale e di permettere all’utente di usufruire di servizi software gestiti da terzi. Pare quindi semplice ricondurre un contratto con un Provider di SaaS alla fattispecie prevista dall’art. 1665 cc.

  • Contratto di licenza: è uno strumento legale che consente l’utilizzo di un prodotto (software) e stabilisce le modalità di utilizzazione del prodotto stesso mediante l’imposizione di vincoli e limiti per l’utilizzatore.

    Poiché i contratti Cloud presentano caratteristiche comuni sia del contratto di licenza che dell’appalto di servizi non è parso conveniente optare drasticamente per l’una o per l’altra soluzione, ma sembra più adeguato configurare il contratto Cloud come contratto atipico.  Oltre alle condizioni generali di servizio, i contratti Cloud necessitano di alcune peculiari documentazioni come il Service Legal Agreement ed il Service Legal Objective.

  • Il Service Legal Agreement è uno specifico documento che contiene i parametri di riferimento per l’erogazione del servizio del Cloud Provider e per il monitoraggio del livello di qualità di servizio effettivamente erogato.

  • Il Service Level Objective è invece il documento in cui vengono concordati i parametri per misurare le prestazioni del fornitore in modo da limitare l’insorgere di controversie tra le due parti sulla qualità e quantità del servizio erogato.

Cloud Provider e GDPR: come scegliere il Cloud Provider

Il regolamento europeo in materia di data protection (2016/679) stabilisce che qualora un trattamento debba essere effettuato per conto del titolare, quest'ultimo deve rivolgersi unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto tutte le misure tecniche ed organizzative adeguate che soddisfino i requisiti del regolamento e garantiscano la tutela dei diritti dell'interessato.

Sarebbe buona norma quindi che il titolare del trattamento, prima di sottoscrivere il contratto con il Cloud Provider, verifichi l’adesione di quest’ultimo ad un codice di condotta di cui all'articolo 40 GDPR o a altro un meccanismo di certificazione.

L’adesione ad un codice di condotto può infatti essere valutata come garanzia della sufficiente affidabilità del provider. Ad esempio, Il codice di condotta CISPE (Cloud Infrastructure Services Provider in Europe) è una coalizione di oltre 20 fornitori di infrastrutture Cloud che operano nel territorio degli Stati Membri e garantisce la conformità al GDPR e alle migliori pratiche di sicurezza nel trattamento dei dati.

Oltre all’adesione ad un codice di condotta, prima di sottoscrivere un contratto con il Cloud Provider, è importante assicurarsi che quest’ultimo garantisca:

  • La portabilità dei dati cioè la transizione dei dati da un Provider ad un altro in caso di necessità (ad esempio nell’eventualità in cui il fornitore inserisca nei T&C una modifica peggiorativa e unilaterale delle condizioni di servizio e il cliente voglia recedere dal contratto)

  • L’adozione di strumenti per la crittografia dei dati o la loro pseudonimizzazione

  • La conservazione e dei dati all’interno dell’EU poiché è sempre preferibile affidarsi a Provider che effettuino il trattamento dei dati all’interno dell’Unione Europea o in Paesi nei confronti dei quali è intervenuta una decisione di adeguatezza.

,

Dior deposita la domanda di registrazione della borsa Saddle quale marchio tridimensionale.

,
saddle.jpg

A 20 anni dal lancio di un modello oramai divenuto iconico, Dior ha deposiato all’Us Patent and Trademark Office domanda per la registrazione della famosa borsa ‘Saddle’ quale marchio tridimensionale.

La Saddle bag è stata riproposta a partire dalla collezione A/I 2018-19 con l’aggiunta di nuovi dettagli, stampe e materiali all’accessorio che riprende il profilo di una sella.

Si ricorda che il marchio tridimensionale è un segno costituito dalla forma tridimensionale di un prodotto o del suo aspetto ed è disciplinato da una specifica regolamentazione, sia a livello europeo che italiano, che prevede l’esclusione della registrabilità per i segni che:

a)            sono costituiti dalla forma, o altra caratteristica, imposta dalla natura stessa del prodotto;

b)           dalla forma, o altra caratteristica, del prodotto necessaria per ottenere un risultato tecnico;

c)            dalla forma, o altra caratteristica, che dà un valore sostanziale al prodotto.

Quanto alla prima limitazione, la ratio di tale norma è quella di voler impedire che un diritto rinnovabile, potenzialmente illimitato nel tempo, come quello del marchio, possa finire con il monopolizzare delle forme che derivano dalla forma naturale del prodotto, o che in ogni caso siano prive di capacità distintiva in quanto coincidenti con una forma standard nell’opinione dei consumatori.

In riferimento al divieto di registrare una forma funzionale, la ratio della norma è quella di tutelare il mercato evitando che un soggetto possa divenire titolare di una privativa perpetua su delle soluzioni tecniche o delle caratteristiche funzionali di un prodotto le quali, al contrario, possono essere tutelate tramite dei brevetti per invenzioni.

Infine, per quanto attiene al divieto di registrare una forma sostanziale, la norma è volta ad impedire la registrazione di una forma che, da sola, sia in grado di determinare la scelta dei consumatori. Tale caratteristica, infatti, rientra nella tutela dei brevetti per modelli privativa che, contrariamente al marchio, è temporalmente limitata.

Sul punto la giurisprudenza ha statuito che il marchio tridimensionale possa essere registrato qualora le forme per le quali si richiede la tutela abbiano una valenza funzionale, o estetica, tale da non configurare un particolare carattere di ornamento o utilità. In un caso, è stata negata la registrazione come marchio tridimensionale in quanto nel medesimo era possibile cogliere l’elemento estetico come preponderante se non addirittura esclusivo e comunque con un rilievo tale da determinare la scelta del consumatore.

Qualora Dior volesse estendere la tutela del marchio tridimensionale, anche a livello comunitario, molto probabilmente sarà questo terzo requisito lo scoglio più arduo da superare per la maison francese. Del resto vale la pena ricordare che con due sentenze del 2013, il Tribunale dell’Unione Europea negò a Bottega Veneta la registrazione come marchi comunitari tridimensionali di due diverse forme di borsetta, caratterizzate l’una dalla particolare conformazione dei manici e l’altra dall’assenza di dispositivi di chiusura. Nel caso di specie, i giudici ritennero che le forme di cui Bottega Veneta chiedeva la registrazione non assolvevano alla funzione essenziale di un marchio, ovvero quella di indicatore d’origine di un prodotto.

Il progetto Pepp-pt e il ruolo di Google ed Apple nel contact tracing.

Con l’apertura della Fase 2 si avvia un periodo di transizione verso una nuova normalità che prevede l’allentamento di alcune misure restrittive imposte dal Governo. Tutti i paesi membri dell’Unione Europea hanno avviato studi per lo sviluppo di soluzioni tecnologiche che possano coadiuvare i governi nazionali a monitorare la curva di contagio e permettere il tempestivo isolamento dei soggetti a rischio.

Ai vari progetti nazionali si è aggiunta una proposta pan-europea. Tale iniziativa definisce le linee guida che i singoli governi nazionali devono seguire e fornisce uno strumento condiviso per velocizzare lo sviluppo di applicazioni per il monitoraggio e il contenimento del contagio, nel rispetto dei principi fondamentali dell’Unione Europea.

Il progetto Pan-europeo

Il progetto Pepp-pt (Pan European Privacy- Preserving Proximity Tracing) è stato elaborato da un gruppo internazionale di ricercatori coinvolgendo oltre 130 realtà (aziende ed organizzazioni) di 8 nazioni (per ora: Italia, Francia, Germania, Spagna, Austria, Belgio, Danimarca e Svizzera) e si pone come obiettivo lo sviluppo di un software che potrà essere implementato nelle applicazioni rilasciate dai singoli governi nazionali.

La tecnologia prescelta dai ricercatori del Pepp-pt per il concact tracing è quella Bluetooth, che permette di trasmettere e rilevare il codice identificativo anonimo dell’applicazione scaricata ed associata ad ogni smartphone.

Ciò renderà possibile ricostruire la rete dei soggetti con cui un individuo è venuto a contatto e tentare di interrompere la catena dei possibili contagi.

Il gruppo di ricercatori ha anche rivolto un appello direttamente alle tech giant della Silicon Valley, incluse Google ed Apple, affinché queste contribuissero con il loro know-how a individuare strategie volte a rendere più efficaci gli strumenti di contact tracing sviluppati nei diversi paesi.

Google Maps: uno strumento per le autorità

Google aveva già manifestato la volontà di dare il proprio contributo nella gestione dell’emergenza Covid, mettendo a disposizione delle autorità le mappe di 131 paesi che riportano i trend degli spostamenti degli individui sul territorio, così da segnalare i luoghi che necessitano di maggiore presidio da parte delle forze dell’ordine.

Le statistiche elaborate da Google Maps permettono di suddividere i luoghi per categorie (supermercati, farmacie, stazioni, mezzi pubblici) e vengono aggiornate ogni 48-72 ore.

I dati messi a disposizione delle autorità sono in forma aggregata e anonimizzata, rendendo pertanto impossibile risalire all’identità dei singoli soggetti. Tali informazioni, quindi, non ricadono nell’ambito di applicazione del regolamento europeo in materia di data protection.

Apple e Google insieme contro il Covid 19

Google ed Apple hanno annunciato una storica collaborazione per lavorare ad un piano condiviso di monitoraggio del contagio attraverso i rispettivi sistemi operativi, Android e iOS. Le due piattaforme vengono utilizzate da quasi il 99% degli utenti mobile e possono potenzialmente tracciare gli spostamenti di circa 3 miliardi di persone in tutto il mondo (obiettivo che sarebbe impossibile da raggiungere con la cooperazione di tutti i governi delle nazioni colpite dalla pandemia).

Ad oggi, l’ambizioso progetto di Google ed Apple sembra che si articolerà in due fasi:

  • Condivisione di API: a maggio Google ed Apple metteranno a disposizione delle application programming interface (API) che consentiranno l’interoperabilità tra i dispositivi Android e iOS delle applicazioni sviluppate in ciascun paese, permettendo così alle autorità competenti di elaborare con maggiore facilità tutti i dati raccolti, indipendentemente dal tipo di device utilizzato dai cittadini;

  • Implementazione della tecnologia Bluetooth: successivamente, è prevista l’implementazione di una più ampia piattaforma di contact tracing basata sulla tecnologia Bluetooth, che dovrebbe permettere ai sistemi operativi iOS e Android di interagire direttamente con le app sviluppate dai governi dei diversi paesi, con il potenziale coinvolgimento anche dell’Organizzazione Mondiale della Sanità.

  • Preoccupazioni in materia di data protection

Le modalità di tracciamento del sistema Pepp-pt, così come quelle di Google ed Apple, appaiono (ad oggi ed in linea teorica) conformi alle direttive emanate dal comitato delle autorità privacy europee. Le autorità garanti hanno definito le 3 principali linee guida che devono essere seguite per assicurare ai cittadini europei che il monitoraggio avvenga nel rispetto dei principi della normativa europea in materia di data protection:

  • volontarietà: l’utilizzo di qualsiasi applicazione non può essere coercitivo ma potrà avvenire unicamente su base volontaria;

  • uso di dati anonimi: i dati raccolti ed elaborati dalle autorità potranno essere unicamente dati anonimizzati, cioè dati che non consentiranno in alcun modo di risalire all’identità dei singoli utenti.

  • decentralizzazione: i dati raccolti saranno conservati unicamente sul dispositivo del singolo utente che potrà, qualora fosse incorso nel rischio di contagio, dare il proprio consenso affinché le autorità accedano ed elaborino i dati salvati sul suo dispositivo.

Nello scenario così delineato, tutela della privacy e trasparenza sul trattamento delle informazioni devono essere le colonne portanti di qualsiasi progetto di contact tracing.

In proposito, perplessità permangono circa la reale possibilità di “anonimizzare” i dati, in maniera da garantire una completa de-identificazione dell’utente che impedisca di risalire all’individuazione di soggetti specifici.

Analogamente, dovrà essere verificata l’eventuale esistenza di server centralizzati, anche solo per il backup delle informazioni archiviate nei singoli dispositivi.

Una particolare attenzione dovrà poi essere dedicata, da parte delle autorità garanti, a sorvegliare il rispetto dei principi in materia di data protection da parte dei giganti del tech che mettano a disposizione la propria tecnologia per l’attività di contact tracing, ottenendo in questo modo un’ulteriore significativa estensione del volume e della tipologia di dati trattati.    

Fase due: misure di contenimento del contagio da Sars Cov-2 nei luoghi di lavoro e strategie di prevenzione.

Siamo alla soglia del secondo tempo e l’Italia non può trovarsi impreparata ma deve puntare alla rimonta per vincere questa difficile partita contro un nemico invisibile particolarmente arduo da sconfiggere.

Le manovre del Governo per fornire alla squadra italiana i mezzi migliori per scendere in campo sono molteplici e puntano ad un graduale sviluppo di schemi volti a prevenire e mitigare il rischio di contagio per i lavoratori che ricominceranno a fornire la propria prestazione lavorativa.

Meritano attenzione il DPCM del 26 aprile 2020 che, dal 4 maggio 2020, modifica e sostituisce il DPCM 10 aprile 2020, con le dovute eccezioni; il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, già sottoscritto il 14 marzo 2020 su invito del Presidente del Consiglio dei ministri e sottoscritto con la partecipazione e l’accordo tra le parti sociali, e aggiornato al 26 aprile 2020; il documento tecnico INAIL sulla rimodulazione delle misure di contenimento del contagio da SARS-CoV-2 nei luoghi di lavoro e le strategie di prevenzione; il tutto in accordo con il T.U. sulla sicurezza per il lavoro (D.Lgs. n. 81/2008) ed il c.d. Decalogo delle misure igieniche contenute nelle indicazioni del Ministero della Salute.

Ebbene, unico obiettivo comune è la ripartenza delle attività produttive ma in presenza di condizioni che assicurino ai lavoratori adeguati (ed elevati) livelli di protezione.

In primo luogo, il Protocollo sottoscritto tra governo e parti sociali emana linee guida condivise per agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio e si compone di 13 articoli relativi rispettivamente a: obbligo d’informazione; modalità di ingresso in azienda; modalità di accesso dei fornitori esterni; pulizia e sanificazione in azienda; precauzioni igieniche personali; dispositivi di protezione individuale; utilizzo e la gestione degli spazi comuni; organizzazione aziendale (turnazione, trasferte e smart work, rimodulazione dei livelli produttivi);gestione entrata e uscita dei dipendenti; spostamenti interni, riunioni, eventi interni e formazione; gestione di una persona sintomatica in azienda; sorveglianza sanitaria/ medico competente/ RLS.

Il già menzionato Protocollo costituisce un allegato del DPCM del 26 aprile 2020 e deve essere adottato presso la totalità delle attività produttive, pena la sospensione dell’attività fino al ripristino delle condizioni di sicurezza.

Con ciò si è inteso rendere univoco l’obbligo di focus sugli standard di sicurezza al fine di evitare che, al contrario, la tristemente famosa curva dei contagi possa nuovamente subire un’impennata.

Per tale ragione resta di fondo l’obbligo di favorire il massimo utilizzo possibile di modalità di lavoro a distanza o lavoro agile (smart working).  Per le attività che non possano essere svolte in smart working, previa valutazione del rischio sarà necessario: (i) adozione delle misure di sicurezza da riflettere in (ii) protocolli aziendali di sicurezza anti-contagio; (iii) adozione di adeguati strumenti di protezione individuale ed ambientale; (iv) adozione di ogni misura ritenuta utile al fine del contenimento della diffusione del virus e della salute dei lavoratori, anche suggerita dal medico competente, in considerazione del suo ruolo nella valutazione dei rischi e nella sorveglianza sanitaria; (v) limitazione al massimo degli spostamenti all’interno dei siti e contingentamento dell’accesso agli spazi comuni;  (vi) sanificazione periodica dei luoghi di lavoro, anche utilizzando, a copertura della sospensione delle attività, gli ammortizzatori sociali(vii) stipulazione di intese con le organizzazioni sindacali; (viii) nomina di un responsabile aziendale per la gestione del rischio, con cui i dipendenti possano interfacciarsi per richiedere chiarimenti[1]; (ix) nomina di un responsabile per le comunicazioni con le autorità e i servizi sanitari per la segnalazione tempestiva di casi di contagio e di sospetto contagio.

Appare peraltro opportuno specificare che l’eventuale mancato adeguamento interno delle attività produttive al Protocollo comporterà non solo la sospensione dell’attività ma anche eventuale addebito di responsabilità, civile e penale, al datore di lavoro per i danni subiti dal lavoratore.[2]

A tutto quanto sopra si aggiunga che ad oggi, (e già sulla scorta dell’articolo 42 del Decreto Cura Italia, come modificato dalla relativa legge di conversione), i casi accertati di infezione da COVID-19 “in occasione di lavoro” sono equiparati ad infortunio sul lavoro con conseguente copertura INAIL.[3]

Ecco che, come si evince dalla tavola sinottica che si allega, l’INAIL ha provveduto ad emettere un documento tecnico sulla rimodulazione delle misure di contenimento del contagio di Covid19 nei luoghi di lavoro e le strategie di prevenzione.

Le misure di prevenzione prese in esame dall’Istituto posso essere cosi classificate:

- misure organizzative: estremamente importanti per molti aspetti nell’ottica dell’eliminazione del rischio che riguardano la gestione degli spazi di lavoro (rimodulati nell’ottica del distanziamento sociale perseguito dallo scoppio della pandemia); la rimodulazione degli orari di lavoro con articolazione in turni al fine di evitare aggregazioni sociali.

- misure di prevenzione e protezione: in accordo con quanto previsto dal T.U. sulla sicurezza sul lavoro dovranno essere adottate isure di carattere generale e specifico commisurate al rischio di esposizione al contagio da Covid19 negli ambienti di lavoro privilegiando misure di prevenzione primaria.

Con ciò si intende non solo una adeguata ed incisiva attività di informazione e formazione, con particolare riferimento al complesso delle misure adottate cui il personale deve attenersi, ma anche l’obbligo per i datori di lavoro di fornire le mascherine (ormai ritenuti DPI) ai propri dipendenti, nonché l’obbligo di sanificazione degli ambienti.

- Misure specifiche per la prevenzione dell’attivazione di focolai epidemici: considerato che l’inizio di questo “secondo tempo” è particolarmente incerto, bisogna purtroppo considerare il rischio di una riattivazione di focolai nei luoghi di lavoro. Appare, quindi, opportuno mettere in atto una serie di misure volte a contrastarli.

Vanno rafforzate tutte le misure di igiene già richiamate e va altresì attuata la procedura del controllo della temperatura corporea sui lavoratori, prima dell’accesso al luogo di lavoro: se tale temperatura risulterà superiore ai 37,5° C, non sarà consentito l’accesso ai luoghi di lavoro.

Si attendono nuove linee guida per la fase successiva al 17 maggio 2020.


[1] il citato Protocollo 24 aprile 2020 prevede altresì la creazione di un Comitato per l’applicazione e la verifica delle regole del protocollo, con la partecipazione delle rappresentanze sindacali aziendali e del rappresentante dei lavoratori per la sicurezza (RLS), in alternativa è previsto un Comitato Territoriale costituito dagli Organismi Paritetici per la salute e la sicurezza.

[2] Il che evidentemente comporterà una modifica con maggiore attenzione del Modello organizzativo di cui al D. Lgs. n. 231/2001, al fine di evitare una ri-organizzazione aziendale confusa ed improvvisata, che improvvidamente tralasci alcuni profili di prevenzione del rischio che invece, negli ultimi anni, le imprese italiane avevano imparato a considerare.

I legali sono già pronti ad assistere i propri clienti nella fase riorganizzativa al fine di evitare scomodi e problematici contenziosi in sede giudiziale.

[3] Si precisa, altresì, che con la circolare INAIL 13/2020 è stato previsto che la tutela assicurativa opera anche nei casi di infezione da Covid-19 contratta nel tragitto casa-lavoro (c.d. infortunio in itinere). Per alcune categorie di lavoratori, particolarmente esposte al rischio di contagio, sussiste una presunzione semplice dell’origine professionale dell’infezione contratta (es. personale sanitario, lavoratori che operano in front-office).




Fotografia e Moda. Clovers ottiene una pronuncia favorevole dal Tribunale di Milano in materia di indebito utilizzo di una fotografia.

Uno degli abiti della collezione.

Uno degli abiti della collezione.

È di pochi giorni fa la sentenza con cui il Tribunale di Milano ha condannato una nota società di moda italiana (la Antonio Marras Srl) al risarcimento del danno in favore del fotografo statunitense, Daniel J. Cox, per la riproduzione non autorizzata di una fotografia di quest’ultimo su dei capi di abbigliamento.

Daniel J Cox è tra i più affermati fotografi naturalistici nonché autore di diverse copertine della rivista National Geographic. Negli anni passati, il fotografo ha realizzato una nota fotografia raffigurante un lupo ululante sotto una bufera di neve.

La controversia sorge quando la società di moda, convenuta poi nel giudizio avanti al tribunale di Milano, utilizza senza consenso dell’autore tale immagine per sviluppare la sua collezione di moda.

L’opera fotografica di Daniel J, Cox. Copyright Daniel J. Cox.

L’opera fotografica di Daniel J, Cox. Copyright Daniel J. Cox.

L’immagine oggetto della controversia, che il Tribunale ha riconosciuto quale opera artistica tutelabile ai sensi della Legge sul Diritto d’Autore risultava in particolare chiaramente riprodotta su una serie di capi donna, distribuiti e commercializzati nel mondo e su alcune piattaforme d’abbigliamento on line, tra le quali quella gestita dall’altra convenuta.

Esaurita senza successo la fase stragiudiziale volta alla composizione della lite, il fotografo ha invocato la tutela inibitoria contro l’utilizzo non autorizzato dell’immagine nonché per il risarcimento del danno quantificato su istanza dello stesso nel cd. prezzo del consenso.

Il Collegio ha ritenuto che l’immagine stampata sul capo d’abbigliamento realizzato dalla convenuta, oltre a coincidere con lo scatto fotografico dell’attore, possedesse quel carattere artistico e creativo necessario per accedere alla tutela “rafforzata” prevista dalla Legge sul diritto d’autore.

Come noto, la legge italiana sul diritto d’autore attribuisce alle fotografie un duplice livello di protezione, distinguendo tra opere fotografiche (o fotografie artistiche) e fotografie semplici.

Il discrimine – non sempre agevole nella pratica - viene tracciato in prima istanza dalla lettera della legge: gli articoli da 87 ss lda definiscono come fotografie semplici “le immagini di persone o di aspetti, elementi o fatti della vita naturale e sociale, ottenute col processo fotografico o con processo analogo, comprese le riproduzioni di opere dell’arte figurativa e i fotogrammi delle pellicole cinematografiche” e riconoscono alle stesse tutela in quanto oggetto di un cd. “diritto connesso”.

Manca per converso, un’espressa definizione legislativa di opera fotografica (se non per quel che si può ricavare “a contrario” dalla definizione precedente) la quale è invece demandata al valutazione “pratica” del giudice sulla base di una serie di indici.

Le fotografie artistiche dunque accedono alla tutela autorale e sono protette fino a 70 dopo la morte del loro autore, laddove invece, le fotografie semplici, godono di una tutela limitata (20 anni dalla data di produzione) ed al fotografo spetta unicamente un equo compenso in caso di utilizzo illegittimo.

Un primo e fondamentale snodo della decisione riguarda il riconoscimento del valore artistico della fotografia: a parere del Collegio giudicante nel caso di specie, tale riconoscimento risiede “nella capacità creativa dell’autore, vale a dire nella sua impronta personale, nella scelta e studio del soggetto da rappresentare (Cass. Civ. 21 gennaio 2000, n. 8425), così come nel momento esecutivo di realizzazione e rielaborazione dello scatto, tali da suscitare suggestioni che trascendono il comune aspetto della realtà rappresentata (Trib. Roma, Sez. Spec. Impresa, 2 maggio 2011; App. Milano, 7 novembre 2000)”.

La scelta di ritrarre l’animale nel suo ambiente naturale ed in condizioni climatiche avverse rende lo scatto “frutto di studio e di attenta analisi fotografica da parte dell’autore” e contribuisce al riconoscimento del valore artistico della stessa secondo il Tribunale.

È anche la tecnica che viene in questo caso in rilievo al fine del corretto inquadramento dell’immagine nell’ambito delle opere fotografiche tutelate e tutelabili: “una sapiente sfocatura dell’ambiente circostante, esaltando così l’espressione del soggetto rappresentatoed evocando, in questo modo, peculiari suggestioni nell’osservatore tali da travalicare la mera rappresentazione grafica dell’animale (…) “un sapiente uso del chiaroscuro e l’utilizzo, con finalità creative, dei giochi di luce”.

A fare propendere il Collegio per la valutazione in senso artistico dell’opera vi sono in via “ausiliaria” anche lo specifico riconoscimento autorale in territorio statunitense dell’artista e la collocazione dell’immagine all’interno di un’opera monografica alla quale è stata data dignità di pubblicazione e stampa.

Una volta quindi accertata la natura artistica dell’opera, l’utilizzo da parte della società convenuta a fini commerciali della fotografia, mediante la sua collocazione su un capo di abbigliamento inserito nella collezione donna, in assenza di autorizzazione alcuna da parte dell’autore, “costituisce aperta violazione delle privative autorali, cui consegue il diritto del fotografo ad ottenere il risarcimento del danno”.

È interessante notare come il Tribunale rigetti le eccezioni sollevate dal convenuto circa la presunta legittimità dell’utilizzo dello scatto, essendo lo stesso reperibile sul motore di ricerca Google.

“Ed invero” – precisa il Collegio – “la mera disponibilità sul web di una fotografia non costituisce certamente presunzione di assenza di privative autorali, gravando semmai sull’internauta l’onere di accertare l’esistenza, o meno, di diritti in capo a soggetti terzi”.

Il passaggio appare fondamentale nell’era di massima espansione della comunicazione e della promozione da parte delle aziende tramite social network che fanno massivo uso delle immagini.

Altro aspetto che ha rivestito una certa importanza, è stato quello afferente la “responsabilità del distributore” della merce contraffatta. A tal proposito, infatti, il Collegio ha rilevato la sussistenza della culpa in vigilando dello stesso in quanto quest’ultimo non ha fornito alcuna dimostrazione di aver ottenuto, da parte della Antonio Marras specifica attestazione circa la piena titolarità dei diritti di sfruttamento commerciale dei capi d’abbigliamento e delle immagini sugli stessi riprodotte.

Il Collegio, in conclusione, ha deciso che l’opera del fotografo Daniel J. Cox debba ritenersi tutelata dalla normativa sul diritto d’autore, in quanto opera dell’ingegno con carattere creativo nel particolare settore della fotografia, condannando le convenute, in solido tra loro, al risarcimento del danno in favore dell’attore e disponendo la pubblicazione del dispositivo della sentenza a cura e a spese delle parti convenute sul periodico Vanity Fair.

Attraverso questa pronuncia il Tribunale di Milano ha affrontato una pluralità di questioni oggetto di continui dibattiti tra gli esperti del mondo della proprietà intellettuale. Rimane vivido, dunque, l’auspicio di continuare ad ottenere sempre più risposte.

“Immuni”: funzioni e criticità dell’ app di contact tracing prescelta dalle autorità.

Andrea Antognini - Of Counsel

image-asset.jpeg

A seguito dell’invito che il Ministero dell’Innovazione Tecnologica ha rivolto a tutte le aziende operanti nel settore digitale italiano, sono stati più di 300 i progetti presentati per monitorare la diffusione del Covid-19 durante la fase di allentamento del lockdown.

L’applicazione di contact tracing prescelta dal Ministero e dalla task force guidata da Vittorio Colao si chiama “Immuni” ed è il risultato della partnership tra la società Bending Spoons, il Centro Medico Santagostino e la società di e-marketing Jakala.

Come funziona “Immuni”

Immuni, app con codice open source che sarà scaricabile sulle principali piattaforme Android e Apple, presenta due principali funzionalità: il diario clinico e il sistema di contact tracing.

Diario clinico

Ogni utente potrà compilare quotidianamente un questionario in cui inserire tutti i dati rilevanti circa il proprio stato di salute (età, malattie pregresse, assunzione di farmaci) e segnalare l’insorgenza dei sintomi correlati all’infezione da Covid-19.

Questa funzionalità consentirà agli esperti di lavorare sui dati aggregati di un campione significativo della popolazione italiana, così da poter individuare e gestire con tempestività eventuali nuovi focolai epidemici.

Contact Tracing

Il sistema di contact tracing di “Immuni” si basa sull’utilizzo della tecnologia Bluetooth, che consente di rilevare la vicinanza tra due smartphone (sui i quali sia stata installata l’app) e di identificare tutte le persone con cui un soggetto positivo al Covid-19 sia venuto a contatto nei precedenti 14 giorni.

Una volta scaricata, l’applicazione genera automaticamente un codice identificativo che può essere rilevato da altri device situati entro la distanza di un metro. I codici identificativi di tutti i dispositivi con cui un soggetto è entrato in contatto vengono memorizzati sullo smartphone di ogni utente.

Nel caso in cui un soggetto risultasse positivo al virus - e solo, sembrerebbe, previo suo consenso - si potrà procedere al trattamento dei dati conservati nel suo cellulare, in modo da individuare coloro che sono potenzialmente incorsi nel rischio di contagio nei giorni precedenti.

A differenza delle app di tracciamento rilasciate in Cina, Singapore e Corea del Sud, “Immuni” non traccerà quindi gli spostamenti dei suoi utenti con l’utilizzo del sistema di localizzazione GPS, ma utilizzerà unicamente la tecnologia Bluetooth, che consente il rispetto del principio di minimizzazione dei dati trattati (raccogliendo solo le informazioni strettamente necessarie a tracciare i potenziali contatti tra soggetti e non tutti i loro spostamenti) e che risulta essere più efficace nell’individuazione delle catene di contagio.

Salute vs Privacy: le linee guida

Nelle scorse settimane si sono accesi numerosi dibattiti sulla necessità di trovare un equilibrio tra l’irrinunciabile diritto alla salute e il diritto alla privacy individuale.

A questo proposito, sia il Garante Privacy italiano che l’European Data Protection Board (il comitato formato dalle autorità privacy europee) sono intervenuti per fornire delle linee guida al fine di conciliare questi diritti particolarmente meritevoli di tutela nel contesto dell’emergenza sanitaria globale.

Secondo quanto affermato dalle autorità, qualsiasi applicazione per il monitoraggio e il contenimento della pandemia dovrebbe (i) basarsi sul consenso del singolo utilizzatore, (ii) trattare unicamente dati anonimizzati e (iii) prevedere che tali dati siano conservati sul dispositivo e non su server centralizzati.

Volontarietà, anonimizzazione e conservazione dei dati

Nel caso di “Immuni”, ogni cittadino sarà libero di scegliere se scaricare e attivare l’applicazione, il cui utilizzo avverrà quindi solo su base volontaria.

Tuttavia, sulla base delle poche informazioni ad oggi disponibili, non vi è altrettanta certezza circa la sussistenza degli altri due requisiti, in particolare circa l’effettiva e irreversibile anonimizzazione dei dati.

Il codice ID generato ogni volta che un utente scarica l’applicazione non può essere infatti considerato come “dato anonimo” nel senso giuridico del termine, ma è piuttosto un dato “pseudonimizzato”, cioè un dato che può essere aggregato ad altri per risalire all’identità di una persona specifica.

D’altra parte, l’applicazione non potrebbe ricostruire la rete di contagi qualora dovesse utilizzare dati effettivamente anonimizzati, che non consentirebbero quindi di risalire in alcun modo all’identità dei singoli soggetti.

La distinzione assume rilevanza dal punto di vista giuridico perché i dati trattati nella lotta alla pandemia e (irreversibilmente) anonimi non sarebbero più dati personali e, quindi, non oggetto di tutela ai sensi del GDPR. Al contrario, se i dati sono “pseudonomizzati”  trovano applicazione anche le più rigorose norme sul trattamento di dati sensibili.

Ulteriori profili che sarà opportuno approfondire al momento del rilascio dell’app riguardano le modalità di conservazione dei dati raccolti, l’ubicazione e la gestione di eventuali server centralizzati sui quali le informazioni saranno raccolte o transiteranno, i soggetti a cui i dati saranno comunicati i dati e se e quando avverrà la cancellazione di tali dati.

Da ultimo, per quanto attiene alla concreta efficacia dell’app, vale sottolineare che la raccolta e il trattamento dei dati potranno divenire significativi da un punto di vista operativo solo nel caso in cui la quantità di utenti che scaricano e utilizzano la app raggiunga una percentuale estremamente consistente della popolazione (attualmente stimata in circa il 60% dei cittadini italiani). Inoltre, l’ausilio prestato dall’app si basa sull’ineludibile esigenza di individuare – nel mondo reale e non digitale – i casi di positività al virus tramite test diagnostici così da poter da tracciare e tempestivamente interrompere le catene di possibili contagi.

SPAC: analisi, vantaggi e benefici per le PMI italiane anche alla luce dell’attuale scenario di emergenza socio-sanitaria

Le SPAC (Special Purpose Aquisition Companies) sono una particolare tipologia di società veicolo destinate alla raccolta di capitali di rischio attraverso la quotazione (IPO o Initial Public Offer) e con l’obiettivo di investimento in una o più società operative esistenti (società “target”).

Il tratto caratteristico di tali società è rappresentato dalla circostanza che la raccolta (IPO) si basa su un progetto di investimento in quanto la  target sarà individuata successivamente e, pertanto, la sottoscrizione da parte degli investitori avviene “quasi al buio”. Al termine della fase IPO, infatti, l’unico asset in portafoglio è la liquidità raccolta che esprime anche il valore di mercato di tale società.

Le SPAC, dunque, sono strumenti di investimento che, dopo aver identificato una azienda da acquisire, servono a raccogliere capitale con lo scopo di arrivare alla quotazione nel mercato Aim-Italia di Borsa Italiana. Le SPAC sono acceleratori di IPO e, dunque, rappresentano un nuovo modo di fare private equity.

Lo schema di sintesi proposto da Borsa Italiana mostra come il ciclo di vita delle SPAC possa essere suddiviso nelle seguenti quattro fasi principali:

a) costituzione della SPAC da parte dei promoters e sponsor che effettuano un aumento di capitale;

b) IPO con assegnazione di azioni e warrant;

c) individuazione di una società target da acquisire, con i requisiti adeguati in rapporto al progetto di investimento, da presentare al mercato come obiettivo della successiva business combination;

d) votazione da parte dell’assemblea dei soci sulla business combination e, in caso di esito positivo della votazione, eventuale perfezionamento della fusione e/o integrazione e la liquidazione dei soci dissenzienti oppure, in caso di esito negativo, scioglimento della SPAC e restituzione dei capitali agli investitori.

Il regolamento delle SPAC contiene i profili rilevanti dell’operazione tra cui i dettagli della politica di investimento e i criteri selettivi per la successiva fase che è quella della ricerca della società target. Tale fase è sottoposta ad un termine, a tutela degli investitori, che può essere di 18 o 24 mesi dall’avvio delle negoziazioni (IPO) ma è estendibile se nel frattempo è stata firmata, e comunicata al mercato, una lettera di intenti con la società target. In caso di decorso del termine senza che la società target sia individuata, la SPAC è posta in liquidazione e i fondi vincolati sono restituiti agli investitori.

Elemento caratteristico delle SPAC, inoltre, è che i capitali raccolti con l’IPO vengono depositati in un conto vincolato (escrow account) che è indisponibile senza previa delibera dell’assemblea dei soci.

Da tutto quanto sopra esposto si evince che le SPAC sono uno strumento di investimento a basso profilo di rischio fino al momento dell’acquisizione, ma con un importante upside potenziale in caso di successo dell’operazione.

Quanto agli investitori, infatti, è da evidenziare il basso profilo di rischio in relazione al fatto che, in caso di insuccesso e liquidazione della SPAC, gli stessi hanno diritto al rimborso integrale dell’investimento a valere sull’escrow account. Le SPAC, infatti, posizionano l’investitore al centro del sistema decisionale: la decisione della business combination è sempre demandata agli azionisti, con possibilità di uscita per i singoli azionisti dissenzienti. Inoltre, qualora la business combination non dovesse essere approvata entro il termine massimo di durata della SPAC, quest’ultima si scioglierà per il decorso del termine e verrà posta in liquidazione.

Quanto poi alla società target, il primo vantaggio consiste nella evidente semplificazione del processo di quotazione. Altro vantaggio si rinviene nella riduzione del rischio del prezzo di quotazione delle azioni in quanto, rispetto all’IPO diretta dove il prezzo è fissato sul mercato, nella business combination il prezzo è un elemento della negoziazione tra le parti (SPAC e target) e consiste in un meccanismo che consente alla società target di aderire solo in presenza delle condizioni economiche ritenute soddisfacenti.

In Italia, le SPAC sono disciplinate dal regolamento dei mercati organizzati e gestiti da Borsa Italiana S.p.A., e ricondotte al tipo delle "società costituite con lo scopo di acquisizione di un business il cui oggetto sociale esclusivo prevede l'investimento in via prevalente in una società o attività, nonché le relative attività strumentali" ovvero a quelle "la cui strategia di investimento non è ancora stata avviata o completata e/o si caratterizza in termini di particolare complessità".

Le SPAC sono state scelte da marchi come Ivs, Iwb, Fila, Lu-Ve, Sesa: i marchi d'eccellenza del Made in Italy hanno preferito questa strada per arrivare alla quotazione in Borsa Italiana. Questa sembra la strada ed il meccanismo migliore per far arrivare i capitali del risparmio nell'economia reale a favore delle PMI italiane.

Nonostante però fino ad oggi nel nostro Paese siano nate più di 30 SPAC, l’attuale situazione finanziaria legata all’emergenza Covid-19 sta confermando un bilancio complessivo di difficoltà.

Anche se alcune società veicolo, nella convinzione che il mercato in difficoltà possa essere paradossalmente un acceleratore per le stesse, stanno provando a rilanciare tali meccanismi di investimento, tuttavia molte altre SPAC stanno, purtroppo, gettando la spugna annunciando lo scioglimento o mettendo in liquidazione le stesse con conseguente restituzione dei fondi vincolati agli investitori.

Una particolare criticità che si sta riproponendo in questi giorni riguarda, infatti, proprio la scadenza di investimento. L’urgenza di rispettare tale termine, infatti, da un lato, potrebbe spingere i promoters a compromettere la qualità della selezione della società target e dei termini di acquisizione e, dall’altro, potrebbe addirittura impedire agli stessi di individuare una società che rispecchi i requisiti di business prefissati. Infatti, a causa dell’emergenza Covid-19 e di tutte le misure adottate e adottande per il suo contenimento, si corre il rischio di vanificare gli sforzi per via del restringimento di fatto dei termini per l’individuazione della società target.

Ad ogni modo, ed in ogni caso, è importante ribadire che i promoters hanno un grosso incentivo al fatto che l’operazione di acquisto abbia successo, sia perché se il fondo venisse liquidato, per la mancata approvazione delle acquisizioni, essi non parteciperebbero al processo e perderebbero parte dei loro investimenti impegnati nella costituzione e gestione del fondo stesso, sia perché, nell’ipotesi in cui si realizzi l’acquisto della società target, una buona parte delle azioni di loro spettanza verrebbe allocata solo se il prezzo delle azioni stesse raggiungesse e mantenesse determinati livelli di prezzo.

Dunque, è importante che gli investors si avvalgano di un management team esperto nella selezione ed acquisizione di società non quotate e capace di fiutare l’affare migliore nel minor tempo possibile.

In conclusione, considerati tutti i vantaggi ed i benefici che derivano da tali veicoli di investimento, capaci di contemperare al meglio gli interessi degli investitori e delle società con alto potenziale di crescita, si auspica che tali veicoli possano essere rilanciati e rivitalizzati quanto prima - attraverso misure ad hoc atte a superare l’impasse emergenziale in atto - soprattutto a sostegno delle PMI italiane.

Smart Working per le PMI: privacy e sicurezza informatica dei dispositivi da remoto.

Smart working

Il rapido diffondersi della pandemia di Sars-CoV-2 ha determinato un profondo e traumatico cambiamento nelle modalità di esecuzione del rapporto di lavoro subordinato.

Con l’emanazione del Decreto attuativo del 23 febbraio 2020 n.6, relativo a disposizioni urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, si è resa obbligatoria la sospensione di ogni attività lavorativa per le imprese, ad esclusione di quelle che possono essere svolte in modalità domiciliare ovvero in modalità a distanza”. Il successivo DPCM dell’11 marzo 2020 raccomanda che “in ordine alle attività produttive e alle attività professionali sia attuato il massimo utilizzo di lavoro in modalità agile.”

A seguito dell’emanazione di questi provvedimenti di emergenza, tutte le realtà aziendali italiane si sono trovate nella condizione di dover procedere ad una revisione del loro assetto organizzativo.

Il Ministero del Lavoro e delle Politiche Sociali, nella Legge 81/2017, definisce il lavoro agile (o smart working) come “una modalità di esecuzione del rapporto di lavoro subordinato caratterizzata dall’assenza di vincoli orari e spaziali e un’organizzazione per fasi, cicli e obiettivi, stabiliti mediante un accordo tra dipendente e datore di lavoro “. Questa definizione pone l’accento sulla flessibilità organizzativa e rimuove i vincoli legati al concetto di postazione fissa, consentendo al lavoratore di erogare la prestazione anche da remoto, grazie all’utilizzato di un’apposita strumentazione (come pc portatili, tablet e smartphone). 

Sono proprio gli strumenti tecnologici e digitali i principiali alleati che consentono la continuità aziendale e ai dipendenti di continuare a lavorare senza andare in ufficio.

Per alcune realtà aziendali strutturate lo smart working è un progetto interdisciplinare il cui regime è ampiamente collaudato, mentre, per la maggior parte delle PMI, è una materia complessa, da affrontare in emergenza.

Cerchiamo di fornire alcuni spunti pratici di riflessione.

Strumenti elettronici forniti (pc, tablet, cellulare, etc.) dal datore di lavoro

Il datore di lavoro deve dotare i lavoratori di strumenti idonei e correttamente configurati in modo da garantire un’adeguata sicurezza tecnico-informatica, altrimenti vi possono essere ricadute di responsabilità in capo al datore di lavoro.

L’azienda dovrebbe innanzitutto predisporre un documento (una cosiddetta “carta dello smart worker”) in cui siano indicate le linee guida aziendali, le regole di condotta da rispettare (ad esempio la flessibilità dell’orario di lavoro) e quali strumenti tecnologici sia possibile utilizzare da remoto.

Il datore di lavoro deve quindi essere a conoscenza di quali strumenti e tecnologie impiegare al fine di proteggere il sistema informatico aziendale, i dati raccolti e trattati (precisando che gli stessi costituiscono un asset dell’azienda) e quali misure adottare al fine di minimizzare il rischio di intrusioni illegittime alla rete.

La CNIL, l’autorità privacy francese, indica alcuni suggerimenti pratici per ogni dispositivo fornito in dotazione al lavoratore di:

  • Installare un software antivirus, un firewall (dispositivo che permette di monitorare il traffico in entrata e in uscita) e un altro strumento che limiti l’accesso a siti potenzialmente dannosi

  • Impostare una rete VPN che consenta di crittografare i dati in fase di trasmissione

  • Implementare meccanismi di autenticazione a due fattori sui servizi accessibili da remoto per limitare i rischi di intrusione

  • Utilizzare protocolli che garantiscano la riservatezza e l'autenticazione del server ricevente, ad esempio HTTPS per i siti web e SFTP per il trasferimento dei file, utilizzando le versioni più recenti di questi protocolli

  • Controllare regolarmente i registri di accesso a distanza per individuare comportamenti sospetti ed eventuali accessi non autorizzati

  • Limitare il numero di servizi disponibili da remoto in modo da ridurre il rischio di attacchi ed intrusioni

  • Prevedere una procedura standardizzata in caso di guasto o di perdita del terminale che consenta di cancellare da remoto tutti i dati aziendali archiviati

Strumenti elettronici di proprietà del lavoratore

Gli strumenti non devono essere necessariamente di proprietà del datore di lavoro.

La possibilità di impiegare strumenti tecnologici di proprietà del lavoratore per eseguire la prestazione lavorativa in smartworking (in inglese indicato con l’acronimo BYOD che significa “bring your own device”) è una scelta riservata al datore di lavoro, che può permetterlo a determinate condizioni e vietarlo in altre.

Questa scelta deve però essere il risultato di una ponderata valutazione poiché il datore di lavoro è responsabile della sicurezza dei dati personali e aziendali anche nel caso in cui questi siano trattati e conservati in dispositivi sui quali egli non esercita alcun effettivo controllo ma di cui ha autorizzato l'utilizzo per accedere a risorse informatiche dell'azienda.

Al fine precauzionale è indispensabile procedere alla valutazione dei rischi tenendo in considerazione il contesto specifico (quale apparecchio e quali applicazioni vengono impiegate per avere accesso o trattare quale tipo di dati) e fare una stima in termini di gravità e probabilità, così da implementare le misure di sicurezza necessarie e adeguate al caso concreto.

Se il datore di lavoro decidesse di consentire l’uso di strumenti personali del lavoratore, una buona prassi è quella di richiedere di “compartimentare” il device, in modo da separare le sezioni destinate all’utilizzo in un contesto professionale da quelle invece riservate alla sfera personale e individuale. 

Non è però possibile adottare misure di sicurezza che abbiano lo scopo o l'effetto di limitare le funzionalità del dispositivo di proprietà del lavoratore, ad esempio impedendo il download di applicazioni mobili, l’utilizzo di social networks o di altri sistemi di messaggistica istantanea.

Software di videoconferenza

Uno strumento di fondamentale importanza nell’ambito dello svolgimento di attività lavorativa da remoto è rappresentato dalle applicazioni di videoconferenza, che nelle ultime settimane sono state scaricate da milioni di utenti in tutto il mondo.

Gli strumenti di videoconferenza si basano sulla tecnologia VoIP (Voice over IP) che consente di comunicare tramite il microfono e/o la webcam e richiedono una connessione ad Internet.

Noyb, Centro Europeo per i Diritti Digitali con sede a Vienna, ha svolto una dettagliata analisi relativa alla privacy policy dei servizi di video conferenza forniti dalle principali società che operano nel settore (Zoom, Riunioni Webex (Cisco), Riunioni (LogMeIn), Skype e Team (entrambi Microsoft) e Wire).

Dal report Noyb emerge che le privacy policy relative a tali servizi sono eccessivamente generiche e non trasparenti, e nessuna applicazione di video meeting sembra essere considerata completamente conforme al regolamento europeo in materia di data protection (Regolamento UE 679/2016 o GDPR).

I ruoli privacy non sono correttamente individuati (quello di Titolare del Trattamento e di Responsabile del trattamento) e vi sia assenza di collegamento tra categorie di dati, finalità del trattamento e la base giuridica per ogni finalità. Inoltre, nessuna tra le maggiori aziende fornitrici di servizi di video conferenza è sufficientemente trasparente sul tema della condivisione dei dati con terze parti.

Basti per questo citare l’illecita condivisione di dati personali anche sensibili tra Zoom e Facebook, che Facebook ultizza(va) per svolgere un’attività di profilazione degli utenti (senza il loro consenso) e per creare inserzioni pubblicitarie personalizzate.

Fondamentalmente queste applicazioni di video conferenza sfruttano diversi modelli di business:

1.   Un abbonamento opzionale a un servizio che può fornire funzionalità aggiuntive o il debug di alcune funzionalità di base (come il numero massimo di utenti simultanei su un server)

2.   Pubblicità (che può essere, sul telefono, in-app o off-app)

3.   Apparentemente gratuito. Ma in realtà non è vero perché quando il servizio è gratuito significa che il provider monetizza cedendo a terzi o trattando in altro modo i dati degli utenti.

Le informazioni raccolte non si limitano necessariamente a quanto direttamente fornito dall’utente ma possono estendersi ad altri tipi di dati tecnici che ne consentono l’identificazione (indirizzo IP, identificativo del dispositivo, cookie o tecnologie simili).

Secondo la CNIL è importante:

  • utilizzare soluzioni certificate da enti affidabili e terzi

  • evitare di scaricare l'applicazione da un sito web o da una fonte sconosciuta

  • utilizzare solo applicazioni per le quali il produttore indica chiaramente come i vostri dati vengono riutilizzati (nell'applicazione stessa o sul suo sito web, ad esempio);

  • leggere i commenti degli utenti nei forum di discussione o, dal telefono, nei negozi di applicazioni;

  • verificare che l'editore disponga di misure di sicurezza essenziali, come la crittografia delle comunicazioni end-to-end;

  • proteggere la tua rete Wi-Fi con una password forte abilitando la crittografia WPA2 o WPA3;

  • assicurarsi che l’antivirus ed il firewall siano aggiornati.

Di questi tempi il datore di lavoro si trova necessariamente a dovere effettuare una valutazione dei rischi derivanti dall’utilizzo di tecnologie che consentono la prosecuzione delle attività lavorative e una maggiore probabilità di incorrere in criticità che impattano sulla sicurezza della rete informatica e sui dati trattati.

Tali valutazioni dovranno essere annotate nel registro delle attività di trattamento (art. 30 GDPR), che dovrà essere necessariamente aggiornato, come del resto le informative privacy dei dipendenti in smart working.

Si tratta del documento contenente le principali informazioni relative alle operazioni di trattamento svolte dall’azienda e volto a dimostrarne l’accountability.