A inizio febbraio 2022 Nike Inc. ha citato in giudizio StockX LLC per aver commercializzato NFT associati a immagini di scarpe del noto brand senza averne autorizzazione

A gennaio 2022 il marketplace online StockX ha lanciato negli USA un nuovo progetto basato sulla commercializzazione di NFT: StockX Vault.

Il servizio implementato dall’azienda con sede a Detroit è caratterizzato da una importante novità: per la prima volta, infatti, l’acquisto di un NFT può essere direttamente collegato con l’acquisto di un prodotto fisico, una sneaker nel caso in esame, custodita nel caveau di StockX fintanto che il proprietario dell’NFT non deciderà di richiederla per prenderne possesso (c.d. “NFT Vault”).

Brevemente, ricordiamo che i “Non-Fungible Token” sono certificati di autenticità digitale che, sfruttando la tecnologia blockchain, garantiscono l’autenticità e l’unicità del contenuto digitale.

Si tratta di una serie di informazioni sotto forma di codice digitale che rendono il contenuto a cui sono associate unico, peculiare e originale. Pertanto, chi acquista un NFT acquista la proprietà, l’unicità e l’autenticità del contenuto digitale.

A qualche giorno dal lancio di StockX Vault, però, è arrivata anche la prima contestazione.

Infatti, la multinazionale produttrice di streetwear, Nike Inc., ha citato in giudizio la piattaforma di reselling per aver commercializzato immagini di scarpe del noto brand senza essere stata autorizzata in tal senso.

In particolare, per Nike, StockX sarebbe responsabile di violazione e diluizione del marchio, nonché di concorrenza sleale.

Secondo la difesa del titolare del celebre Swoosh, StockX starebbe utilizzando in modo “preminente” i marchi Nike con l’intento di sfruttare la notorietà del brand e, dunque, l’avviamento di Nike, con la conseguenza di ingenerare confusione nei consumatori circa la provenienza dei prodotti e privando, di fatto, Nike del suo diritto esclusivo di utilizzare i suoi marchi in relazione a questo nuovo strumento commerciale.

Inoltre, la condotta del reseller sarebbe aggravata dal fatto che gli NFT in questione sono venduti a prezzi esorbitanti, circostanza che danneggerebbe la reputazione del colosso di abbigliamento sportivo.

Pertanto, Nike, oltre a chiedere il risarcimento del danno causato dalla commercializzazione delle immagini che sfrutterebbero lo Swoosh, domanda al Tribunale Federale di New York di emettere un’ingiunzione per obbligare StockX a interrompere le vendite di NFT Vault che esibiscono il marchio Nike.

La controversia tra Nike e StockX è una delle prime aventi ad oggetto la vendita degli NFT e i diritti coinvolti dalla commercializzazione degli stessi e, dunque, l’esito del procedimento consentirà di tracciare una prima linea nella regolamentazione della materia.

Maria Vittoria Aprigliano

L'articolo NFT e proprietà intellettuale: NIKE intenta causa contro StockX proviene da E-Lex.

Meta: watchdog irlandese e la possibile sospensione del trasferimento dei dati UE-USA

L’Irish Times riporta che la Commissione irlandese per la protezione dei dati ha raggiunto una decisione preliminare per sospendere i trasferimenti di dati di Facebook tra l’UE e gli Stati Uniti

irishtimes.com/business/facebo…

Introdotte le norme sulla privacy diversi stati degli Stati Uniti

Il senatore statale Joseph Rafferty, D-Maine, ha introdotto “Un atto per proteggere la privacy dei consumatori dando loro un maggiore controllo dei loro dati e per stabilire tutele dei consumatori”. La commissione per la tecnologia dell’informazione della Iowa House ha votato un disegno di legge, idoneo per essere votato in aula. L’Oklahoma House Technology Committee ha approvato l’HB 2969 Oklahoma Computer Data Privacy Act. Le segnalazioni di wwww.iapp.org

iapp.org/news/a/privacy-bills-…

Bando per il reclutamento di esperti a supporto dei Garanti europei

Il Comitato europeo per la protezione dei dati (EDPB), che riunisce i Garanti europei, intende costituire un pool di esperti qualificati che possano collaborare con le Autorità privacy dello Spazio economico europeo (SEE) nelle diverse fasi delle attività di indagine ed esercizio dei loro poteri previsti dalla normativa sulla protezione dei dati. Gli esperti verranno impiegati in numerosi ambiti, tra i quali: l’audit informatico, la sicurezza dei siti web, i sistemi operativi e le app mobili, l’IoT, il cloud, la pubblicità comportamentale, le tecniche di anonimizzazione, le tecniche di cifratura, l’intelligenza artificiale.

edpb.europa.eu/news/news/2022/…

guidoscorza.it/privacy-daily-2…

Il Garante per la Protezione dei Dati personali, con provvedimento n. 406 del 2021, originato da un’istanza di consultazione preventiva ai sensi dell’art. 36 del GDPR, ha fornito alcune importanti indicazioni in merito al trattamento di dati per finalità di ricerca scientifica, anche con riguardo al trattamento di dati genetici.

Il Garante per la Protezione dei Dati Personali, a seguito di un’istanza di consultazione preventiva presentata ai sensi dell’art. 110 del Decreto legislativo 30 giugno 2003 n. 196 (Codice Privacy) e dell’art. 36 del Regolamento (UE) 2016/679 (cosiddetto “GDPR”), si è pronunciato sul trattamento di personali per finalità di ricerca scientifica. Nel provvedimento l’Autorità ha fornito importanti indicazioni in merito a:

• agli standard di sicurezza e alle modalità di perfezionamento degli adempimenti in materia di protezione dei dati personali in relazione al trattamento di dati genetici;
• all’informativa da rendere ai pazienti per il trattamento di dati personali finalizzato alla realizzazione di un progetto di ricerca;
• alla conservazione dei dati e all’eventualità di ulteriori trattamenti nell’ambito del trattamento dei dati per finalità di ricerca scientifica.

Anzitutto, è opportuno ricordare che il titolare del trattamento è tenuto a consultare preventivamente il Garante – nel rispetto di quanto previsto dagli artt. 36 del GDPR e 110 del Codice Privacy – laddove la valutazione d’impatto sulla protezione dei dati (art. 35 del GDPR) indichi che un trattamento di dati potrebbe configurare un rischio elevato, in assenza di misure adottate per mitigarne il rischio. Il fine della consultazione preventiva è quello di ottenere, dall’Autorità di controllo, le indicazioni necessarie per poter attuare un trattamento di dati personali non pericoloso per i diritti e le libertà degli interessati.

Qualora il titolare del trattamento non consulti il Garante nei casi in cui è obbligatorio – è bene sottolineare – il GDPR prevede l’applicazione di una sanzione amministrativa pecuniaria fino ad un massimo di 10.000.000 di euro o, se il titolare del trattamento è un’impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore (art. 83, par. 4, lett. a)).

• Il fatto e l’istruttoria del Garante

Il provvedimento prende origine da un’istanza di autorizzazione preventiva presentata da una ONLUS per la realizzazione di un progetto di ricerca, che richiedeva il trattamento di dati comuni e di categorie particolari di dati (art. 9 del GDPR), tra cui dati relativi alla salute e dati genetici, raccolti da 80 pazienti.

Nel corso dell’attività istruttoria svolta dal Garante, emergeva che il titolare:

• non aveva illustrato in maniera chiara le tipologie di dati oggetto di trattamento e, in particolare, se tra questi fossero ricompresi anche dati genetici;
• aveva predisposto un’informativa risultata incoerente con i principi di sinteticità, chiarezza e trasparenza, in special modo con riguardo ai tempi di conservazione;
• non aveva indicato le modalità adottate per fornire le informazioni ai pazienti arruolati non direttamente contattabili, ai sensi dell’art. 14, par. 5, lett. b, del GDPR e dell’art. 6 delle Regole deontologiche;
• aveva trasmesso all’Autorità una documentazione incoerente in merito all’eventualità di ulteriori trattamenti.

• Le valutazioni del Garante

Nel provvedimento in esame, sulla base delle questioni emerse all’esito dell’istruttoria effettuata dall’Autorità, quest’ultima espone alcune importanti valutazioni, che, di seguito, verranno sinteticamente esaminate.

• Nella documentazione trasmessa in sede di istruttoria dal titolare del trattamento, non venivano indicate le misure specifiche per la custodia e la sicurezza dei dati genetici e dei campioni biologici oggetto di trattamento per il perseguimento degli obiettivi primari e secondari della ricerca.

A tal proposito, il Garante ha ricordato che il trattamento dei dati genetici deve avvenire anche nel rispetto delle Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del Decreto Legislativo 10 agosto 2018, n. 101, che prevedono, al punto 4, specifiche misure di carattere tecnico e organizzativo che devono essere adottate dal titolare del trattamento.

• In relazione agli oneri informativi, l’Autorità ha precisato che, in aggiunta a quanto disposto dagli artt. 13 e 14 del GDPR, le informative da fornire agli interessati devono chiarire “le modalità con cui gli interessati, che ne facciano richiesta, possono accedere alle informazioni contenute nel progetto di ricerca” (punto 4.11.1 delle sopraindicate Prescrizioni).

Per quanto concerne l’informativa sul trattamento dei dati personali e le modalità di raccolta del consenso degli interessati, il provvedimento sottolinea la necessità che quest’ultima risulti coerente con i principi di sinteticità, trasparenza e intellegibilità cui all’art. 12, par. 1 del GDPR.

Il Garante, inoltre, ha posto particolare attenzione ai soggetti non contattabili, ritenendo necessaria la pubblicazione, sul sito web di tutti i partner coinvolti nelle attività di ricerca, di un’informativa, al fine di raggiungere eventuali pazienti dispersi e non raggiungibili.

• In merito alla conservazione dei dati e all’eventualità di ulteriori trattamenti, il Garante ha ricordato che la tematica della validità del consenso come condizione di liceità rispetto a trattamenti di dati per scopi di ricerca scientifica, non puntualmente delineati al momento della raccolta dei dati, è affrontata dal considerando 33 del Regolamento, secondo il quale, quando non è possibile individuare pienamente le finalità del trattamento ai fini di ricerca scientifica al momento della raccolta, dovrebbe essere consentito agli interessati di: (i) prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica; (ii) di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista.

La ratio del considerando 33 del GDPR, secondo il Garante, deve essere interpretata nel rispetto delle Linee guida 5/2020 sul consenso ai sensi del regolamento, adottate, dal Comitato europeo per la protezione dei dati (EDPB), il 4 maggio 2020, le quali chiariscono che esso non inficia gli obblighi relativi ai requisiti del consenso, con particolare riferimento a quello della granularità e della specificità.

Sulla base delle Linee guida del Comitato, l’Autorità ha evidenziato che:

• non è consentita un’ulteriore conservazione dei dati personali sulla base del cosiddetto meccanismo opt-out, vale a dire che il silenzio assenso dell’interessato non può costituire una manifestazione del consenso al trattamento ulteriore dei dati personali;
• per quanto concerne l’ulteriore conservazione dei dati e dei campioni biologici di pazienti non contattabili, il titolare del trattamento deve rispettare le disposizioni contenute nelle richiamate Prescrizioni (punto 4.11.3 e punto 5.6 del provvedimento 5 giugno 2019) e nelle osservazioni sulla cosiddetta presunzione di non incompatibilità del fine di ricerca scientifica rispetto agli scopi della raccolta formulate dal Comitato europeo (Parere 3/2019) e dal Garante europeo (Opinion del 6 gennaio 2020);
• il trattamento ulteriore deve essere accompagnato da idonee garanzie ai sensi dell’art. 89 del GDPR, prestando particolare attenzione all’implemento delle misure volte ad assicurare l’applicazione effettiva dei principi di trasparenza e di minimizzazione (artt. 5, par. 1, lett. a) e c), par. 2, 24 e 25 del GDPR).

In linea generale, laddove l’ulteriore conservazione dei dati riguardi anche pazienti per i quali non è possibile acquisire il consenso, il Garante sottolinea che il titolare del trattamento ha due alternative:

• individuare uno specifico presupposto giuridico per tale trattamento;
• rendere l’ulteriore conservazione compatibile con lo scopo principale della raccolta, evidenziando, in particolare, le ragioni per cui le ulteriori ricerche scientifiche non possono essere realizzate mediante il trattamento di dati riferiti a persone che possono rilasciare il consenso informato.

Il provvedimento, in conclusione, fornisce importanti indicazioni in merito al trattamento di dati personali per finalità di ricerca scientifica: da un lato, poiché mette in evidenza la necessità di adottare misure specifiche per la custodia e la sicurezza dei dati genetici e dei campioni biologici; dall’altro, perché chiarisce alcuni aspetti rilevanti sia in relazione agli oneri informativi, soprattutto con riguardo ai pazienti non contattabili, sia alla conservazione dei dati e all’eventualità di ulteriori trattamenti.

Alessandro Perotti

L'articolo Il trattamento di dati personali per finalità di ricerca: alcune indicazioni del Garante Privacy proviene da E-Lex.