Con l’ordinanza n. 9920 del 28 marzo 2022, la Corte di Cassazione ha fornito preziosi chiarimenti in relazione alle campagne volte all’acquisizione del consenso al trattamento dei dati personali per finalità di marketing.

Nella pronuncia in esame, la Corte di Cassazione ha riconosciuto – accogliendo il ricorso dell’Autorità Garante per la protezione dei dati personali – l’illiceità dei trattamenti di dati personali consistenti nell’invio di comunicazioni volte a richiedere il consenso al trattamento per finalità di marketing nei confronti di interessati che in precedenza non avevano fornito o avevano ritirato tale consenso.

L’ordinanza prende le mosse da un ricorso proposto dal Garante per la protezione dei dati personali avverso la sentenza n. 10789/2019 del Tribunale di Roma, con cui il giudice di merito aveva accolto l’impugnazione, presentata da una società, avverso il provvedimento dell’Autorità n. 437 del 27 ottobre 2016. La società, nel caso di specie, aveva proceduto all’invio di comunicazioni finalizzate al recupero del consenso per finalità di marketing sia a clienti di nuova acquisizione sia a quelli già presenti nella customer base.

Il giudice di merito, in particolare, aveva ritenuto che l’art. 130, comma 1, del D. Lgs. 196/2003 (Codice Privacy), nonostante vietasse le attività promozionali o pubblicitarie in assenza di consenso, non risultasse di ostacolo all’invio di messaggi diretti proprio ad acquisire suddetto consenso, da manifestarsi poi in modo consapevole da parte del cliente e finalizzato al successivo inoltro da parte dell’azienda di offerte commerciali.

Preliminarmente, si evidenzia che nel ricorso presentato dal Garante veniva rappresentata la violazione dell’art. 2 Cost., art. 8 Cedu, art. 8 della Carta dei diritti fondamentali dell’UE, e degli artt. 6, comma 1, del Regolamento (UE) 2016/679, e 130 del Codice Privacy.

Ad avviso dell’Autorità, infatti, la società, con l’invio di sms finalizzati all’acquisizione del consenso per l’effettuazione di attività di marketing a un bacino di utenti i cui dati personali erano stati trattati in difetto del consenso originario, aveva posto in essere un’attività contra legem, costituente essa stessa un trattamento illecito di dati personali per finalità di marketing nei riguardi di chi quel consenso non lo aveva manifestato.

La Corte di Cassazione ha condiviso l’orientamento del Garante Privacy fornendo le seguenti osservazioni:

• l’art. 130, comma 1, del Codice Privacy, che disciplina le cd. “comunicazioni indesiderate”, non richiede il consenso esclusivamente per l’invio di materiale o per la vendita diretta, ma anche e più semplicemente per l’invio di generiche “comunicazioni commerciali”;
• la richiesta di consenso per l’effettuazione di successive attività promozionali costituisce essa stessa una “comunicazione commerciale”, dal momento che è teleologicamente preordinata, connessa e finalizzata all’invio di comunicazioni commerciali;
• tale considerazione era già stata sostenuta dalla Corte di Cassazione in relazione alla comunicazione telefonica finalizzata a ottenere il consenso per fini di marketing da chi l’abbia precedentemente negato, poiché la finalità alla quale è imprescindibilmente collegato il consenso richiesto per il trattamento concorre a qualificare il trattamento stesso (si veda ordinanza Cass. Civ. sez. I – 26/04/2021, n. 11019);
• il trattamento dei dati personali delle persone contattate, in assenza di consenso legittimamente manifestato, è illecito a prescindere dal fatto che l’interessato sia iscritto nel registro pubblico delle opposizioni (si veda ordinanza Cass. Civ. sez. I – 26/04/2021 n. 11019).
• l’art. 130, comma 2, del Codice Privacy, estende l’applicazione del comma 1 anche alle comunicazioni elettroniche, effettuate per finalità di marketing, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo;
• con riguardo all’invio di comunicazioni mediante sistemi automatizzati, si deve ricordare la ratio protettiva individuabile nella Direttiva cd. e-privacy 2002/58-CE, all’epoca vigente, espressamente tesa ad evitare l’utilizzo surrettizio di mezzi rivolti all’attività di marketing nonostante la mancanza di consensi esplicitamente, e anteriormente, non rilasciati dai soggetti interessati.

Indubbiamente il provvedimento della Suprema Corte interviene su una tematica centrale e dibattuta nello specifico ambito del trattamento dei dati personali per finalità di marketing.

Con l’ordinanza, in definitiva, la Cassazione afferma che tali comunicazioni configurano di per sé un trattamento illecito di dati personali, poiché la ratio sottesa alla normativa in materia di protezione dei dati personali induce ad equiparare la mancanza del consenso al dissenso, con esplicita esclusione dell’applicabilità del regime dell’opt-out della volontà dell’interessato. Di conseguenza, nel caso in cui il consenso per finalità di marketing non sia stato prestato precedentemente all’inizio del trattamento, ad esempio all’atto di stipula di un contratto o della richiesta di un servizio, non sarebbe possibile esperire successivi ed estemporanei tentativi di acquisizione in carenza di un valido presupposto di liceità del trattamento. Ciò, in particolare, ha degli effetti diretti sulle attività intraprese dai titolari del trattamento al fine di “sanare” l’assenza del consenso, poiché dovranno essere progettate tenendo conto dei principi sanciti dal Garante Privacy e ormai confermati dalla Cassazione.

Alessandro Perotti

L'articolo Corte di Cassazione: l’invio di una comunicazione per acquisire il consenso dell’utente equivale essa stessa a una comunicazione commerciale. proviene da E-Lex.

Lo scorso febbraio, la dodicesima commissione del Senato ha approvato il disegno di legge n. 1201 (cosiddetto “Sunshine Act”) relativo alla trasparenza e al diritto alla conoscenza dei rapporti – aventi rilevanza economica o di vantaggio – intercorrenti tra le imprese produttrici di farmaci, strumenti, apparecchiature, beni e servizi (anche non sanitari) ed i soggetti che operano nel settore della salute.

Il regime di pubblicità per convenzioni, erogazioni, partecipazioni e licenze

Il disegno introduce un regime obbligatorio di pubblicità per sia le convenzioni e le erogazioni in denaro, beni, servizi o altre utilità effettuate da un’impresa produttrice in favore di un soggetto operante nel settore della salute, sia per gli accordi che producano vantaggi diretti o indiretti (si pensi, ad esempio, alla costituzione di rapporti di consulenza o all’organizzazione di convegni) (art. 3).

In particolare, i soggetti obbligati saranno tenuti a comunicare le informazioni richieste dal comma 4 dell’art. 3 (tra cui gli elementi per identificare gli operatori coinvolti, il periodo e la causa dell’accordo/convenzione), entro la conclusione del semestre successivo a quello in cui le erogazioni sono state effettuate e gli accordi e le convenzioni sono stati instaurati.

Inoltre, l’art. 4 prevede un obbligo di comunicazione annua qualora uno o più soggetti operanti nel settore della salute o una o più organizzazioni sanitarie siano titolari di azioni o di quote del capitale della società (ovvero di obbligazioni dalla stessa emesse) o abbiano percepito dalla società corrispettivi per la concessione di licenze per l’utilizzazione economica di diritti di proprietà industriale o intellettuale.

Il registro istituito presso il Ministero della salute

Al fine di effettuare le summenzionate comunicazioni, l’art. 5 istituisce un registro pubblico telematico presso il sito istituzionale del Ministero della salute, denominato “ Sanità trasparente ”.

Il registro sarà liberamente accessibile per la consultazione secondo gli standard degli open data e, in particolare, le comunicazioni saranno consultabili per cinque anni dalla data della pubblicazione sul registro.

Le sanzioni previste

Il Sunshine Act introduce, infine, un regime sanzionatorio a fronte dell’inadempimento dei neo introdotti obblighi di comunicazione.

In particolare, l’art. 6, dopo aver specificato che le imprese produttrici sono responsabili della veridicità dei dati contenuti nelle comunicazioni, prevede diverse sanzioni amministrative di tipo pecuniario per l’impresa che ometta di eseguire la comunicazione o che fornisca informazioni incomplete.

I provvedimenti che irrogano dette sanzioni saranno pubblicati in un’apposita sezione del registro e rese altresì accessibili sul sito del Ministero della salute pubblica per un periodo non inferiore a novanta giorni.

Ariella Fonsi

L'articolo Trasparenza nel settore salute: il Senato approva il Sunshine Act proviene da E-Lex.

Giovanni Maria Riccio prenderà parte, come relatore, alla Conferenza Internazionale “Privacy Symposium”, che si terrà a Venezia dal 5 al 7 aprile 2022.

La relazione del prof. Riccio verterà su contitolarità dei dati e strategie di marketing.

Ulteriori informazioni qui: (privacysymposium.org/)

L'articolo Giovanni Maria Riccio relatore alla Conferenza Internazionale “Privacy Symposium” proviene da E-Lex.

Lo scorso 25 marzo, Biden e la Van der Leyen hanno annunciato di aver trovato un accordo sul trasferimento dei dati personali tra Europa e Stati Uniti, che dovrebbe sostituire il Privacy Shield, il precedente accordo invalidato dalla Corte di Giustizia con la sentenza Schrems II.
Ne parliamo giovedì prossimo, in un incontro nell’ambito del Master universitario Responsabile della Protezione dati personali DPO e Privacy Expert con il prof. Carlo Colapietro, direttore del Master, Bruno Gencarelli, Head of Unit – International Data Flows and Protection della Commissione europea, Luigi Montuori, Direttore del servizio relazioni comunitarie e internazionali del The Italian Data Protection Authority e Stefano FRATTA, Direttore Privacy Emea di Meta.
Davvero un’occasione da non perdere, considerata l’attualità del tema.
Nella segreteria organizzativa figurano Francesco Laviola, Fabiola Iraci Gambazza e Andrea Giubilei di E-Lex.

L'articolo Accordo sul trasferimento dei dati personali tra Europa e Stati Uniti proviene da E-Lex.

Intervista Arturo Di Corinto al TG2 delle 20:30 il 23 marzo 2022

dicorinto.it/tipologia/intervi…

Una nuova guida del CNIL sul DPO mira a fornire indicazioni utili all’istituzione e al funzionamento del Responsabile della protezione dei dati personali.

Lo scorso 15 marzo, la Commission nationale de l’informatique et des libertés (“CNIL”) ha pubblicato una guida per i responsabili della protezione dei dati (RPD o DPO), la quale si pone il duplice obiettivo di fornire conoscenze utili e di rivelare le best practies al fine di assistere sia le organizzazioni nell’istituzione della funzione del responsabile della protezione dei dati, sia i responsabili della protezione dei dati nell’esercizio dei loro compiti1.

Ogni tema è illustrato da casi concreti e risposte a domande sull’argomento. Inoltre vengono messi a disposizione del lettore dei modelli pratici.

In particolare, la guida è suddivisa in 4 capitoli:

• Il ruolo del DPO;
• Designare il DPO;
• L’esercizio dei compiti del DPO;
• Supporto della CNIL per il DPO.

IL RUOLO DEL DPO

Innanzitutto, è opportuno ricordare come l’art. 37 del Regolamento UE 679/2016 ha previsto una figura importante nel modello privacy, quella del responsabile della protezione dei dati, anche denominato «DPO» (dall’inglese Data Protection Officer), con i seguenti compiti:

• Informare e fornire consulenza al titolare e ai suoi dipendenti in merito agli obblighi derivanti dalle norme sulla protezione dei dati;
• Sorvegliare l’osservanza delle norme sulla protezione dei dati, nonché delle politiche del titolare in tale materia;
• Cooperare con l’Autorità Garante e fungere da punto di contatto per il Garante per questioni connesse al trattamento.

L’autorità francese ha fornito diversi consigli pratici, anche attraverso l’utilizzo di Focus illustrativi, per tutte le funzioni sopra elencate.

Per quanto riguarda la missione di informare e fornire consulenza, ai fini di garantire la conformità al GDPR, è possibile organizzare in anticipo gli interventi del DPO all’interno dell’organizzazione, i passi potrebbero essere i seguenti:

-formalizzare i casi di consultazione del DPO;

-prevedere una procedura interna in caso di audit della CNIL a causa di violazione dei dati personali;

-pianificare modelli di risposta alle richieste esterne;

-mantenere contatti regolari con il personale operativo che tratta i dati personali.

-identificare i dipartimenti pertinenti per le attività regolari e le procedure di formazione.

-Per quanto riguarda la funzione di monitoraggio, i controlli, ad esempio, potrebbero articolarsi in:

-verifiche dell’esattezza delle informazioni contenute nel registro delle operazioni di trattamento attuate dall’organizzazione;

-verifiche delle conformità dei trattamenti più sensibili, in base alle valutazioni d’impatto effettuate;

-verifiche circa l’efficacia delle misure tecniche e organizzative di protezione dei dati che l’organizzazione si è impegnata ad attuare.

Per quanto riguarda la funzione di cooperazione con l’autorità di controllo, il DPO, da una parte, svolge un ruolo di “facilitatore” durante i confronti con la CNIL, dall’altra è anche il punto di contatto per gli interessati. In questo nuovo assetto designato dal GDPR, l’Autorità francese nell’evidenziare come la documentazione giochi un ruolo essenziale – anche in vista del nuovo principio di accountability – al fine permettere al titolare o al responsabile di dimostrare il rispetto degli obblighi e delle misure adottate, ha suggerito:

-di inserire nella dichiarazione di missione del DPO che la tenuta del registro costituisce uno dei suoi compiti;

-di utilizzare un modello di record semplificato indicato sul suo sito, in forma di foglio elettronico, in formato aperto, che può essere adattato a molti casi di trattamento di dati.

DESIGNARE IL DPO

La designazione del DPO è imposta dalla normativa europea nel caso in cui il trattamento sia effettuato da:

• autorità o organizzazioni pubbliche;
• organizzazioni i cui trattamenti richiedano di realizzare un monitoraggio regolare e sistematico degli individui su larga scala;
• organizzazioni che attraverso le loro attività principali procedano al trattamento di dati sensibili su larga scala o dati relativi a condanne penali e reati.

Tuttavia, anche al di fuori di questi tre casi tassativi, l’Autorità raccomanda la designazione di un DPO:

-non appena un’organizzazione incontra problemi relativi alla protezione dei dati personali;

-quando un’organizzazione privata venga incaricata di svolgere un servizio pubblico, nonostante mantenga lo status di diritto privato.

In aggiunta, le linee guida hanno fornito alcuni esempi riguardo all’interpretazione del concetto di “larga scala”, non esistendo una soglia applicabile a tutte le situazioni e rendendosi necessaria un’analisi caso per caso. L’Autorità ha affermato che costituiscono trattamento su larga scala:

• il trattamento dei dati dei pazienti da parte di un ospedale come parte del normale corso della sua attività;
• elaborazione dei dati di viaggio dei passeggeri che utilizzano il trasporto pubblico urbano (tracciati dai biglietti, per esempio);
• il trattamento dei dati di geolocalizzazione in tempo reale dei clienti di una catena internazionale di fast food a fini statistici da parte di un elaboratore di dati specializzato nella fornitura di tali servizi;
• il trattamento dei dati dei clienti da parte di una compagnia di assicurazioni o di una banca come parte del normale corso della sua attività;
• il trattamento di dati personali da parte di un motore di ricerca per scopi pubblicitari mirati;
• il trattamento dei dati (contenuto, traffico, ubicazione) da parte dei fornitori di servizi telefonici o Internet.

Non costituisce trattamento su larga scala:

• il trattamento dei dati dei pazienti da parte di un medico locale che lavora su base individuale se la popolazione dei pazienti è inferiore a 10.000 persone all’anno;
• il trattamento dei dati personali relativi a condanne penali e reati da parte di un singolo avvocato.

Nello schema informativo dedicato al tema di chi può essere nominato DPO, si affrontano le questioni riguardo alle competenze ed all’assenza di conflitto di interessi del DPO.

Ammesso che non esiste un profilo tipico della figura del responsabile della protezione dei dati, le competenze vengono così riassunte dall’Autorità:

• Competenza giuridica e tecnica sulla protezione dei dati;
• Conoscenza della linea di business, delle normative di settore e dell’organizzazione della struttura per la quale sono designati;
• Una comprensione delle operazioni di trattamento, dei sistemi IT e delle esigenze di protezione e sicurezza dei dati dell’organizzazione;
• Per un’autorità pubblica o un ente pubblico, una buona conoscenza delle norme e delle procedure applicabili.

Per quanto riguarda l’assenza di conflitti di interesse, si sostiene come il DPO pur potendo svolgere altri compiti all’interno dell’organizzazione, tuttavia non dovrebbe avere potere decisionale sulla determinazione delle finalità e dei mezzi del trattamento. Anche in questo caso la presenza di un conflitto di interessi viene valutata tenendo conto del caso specifico.

In ogni caso si suggerisce di documentare la scelta del DPO, in quanto l’organizzazione deve essere in grado di dimostrare che il responsabile della protezione dei dati soddisfa i requisiti richiesti dalla normativa (conoscenze, competenze, assenza conflitto di interessi, ecc.).

Nella scheda tecnica relativa alla scelta tra DPO interno ed esterno, oltre ad affermare la discrezionalità della scelta in base all’ente e al contesto di riferimento, ha elencato una serie di vantaggi e punti critici.

Segnatamente, per il DPO interno, i vantaggi potrebbero essere:

• conoscenza dell’organizzazione della struttura, dei servizi e della linea di business;
• vicinanza ai contatti interni;
• migliore reattività in caso di sollecitazioni interne su temi legati alla protezione dei dati;

• Maggiore facilità nel pianificare la loro presenza in caso di un audit della CNIL

I punti critici:

• rischio di conflitto di interessi se il DPO svolge altri compiti;
• assegnazione di tempo sufficiente al RPD;
• posizionamento gerarchico adeguato;
• un piano di formazione adattato al profilo dell’RPD deve essere preparato.

Per il DPO esterno, i vantaggi:

• soluzione alla mancanza di risorse umane interne;
• utilizzare l’esperienza e gli strumenti sviluppati dal DPO esterno;

• specializzazione del DPO in un settore;
• conoscenza delle migliori pratiche per organizzazioni simili;

I punti critici:

• organizzazione di punti di scambio e contatti regolari contatti con il più alto livello di management, così come con i team aziendali per mantenere la vicinanza;
• rendere il contatto con il DPO esterno altrettanto sistematico semplice e facile come contattare un individuo interno;
• la difficoltà di scegliere un fornitore e garantire la loro competenza.

Che si tratti di un DPO interno o esterno, un DPO può essere condiviso, cioè designato per più entità. Nominare un DPO condiviso è possibile a certe condizioni che variano a seconda del tipo di struttura: per il settore privato, un gruppo di aziende situate in diversi Stati membri dell’UE può designare un unico RPD, a condizione che siano facilmente raggiungibili da ogni luogo di stabilimento e che venga messa in atto un’organizzazione adeguata; per il settore pubblico, la funzione condivisa tra diverse entità, dovrà essere valutata alla stregua della loro struttura organizzativa e delle loro dimensioni.

SVOLGERE LA FUNZIONE DI DPO

Nel schema informativo riguardante le risorse che dovrebbero essere assegnate al DPO, si sostiene come un RPD debba essere in possesso delle risorse necessarie allo scopo di poter svolgere i suoi compiti, come: tempo sufficiente affinché il DPO possa svolgere i suoi compiti; un sostegno adeguato in termini di risorse finanziarie e di infrastrutture; a seconda delle dimensioni e della struttura dell’organizzazione, potrebbe essere opportuno formare un team intorno al DPO, ecc. Ovviamente le risorse devono essere adattate in base alla struttura ed all’attività dell’ente, di conseguenza maggiore sarà la complessità delle operazioni, tanto più dovrebbero essere le risorse assegnate al DPO.

Nell’ultimo foglio informativo, si sottolinea l’importanza per un DPO di svolgere le sue funzioni con un sufficiente grado di autonomia e indipendenza rispetto all’organizzazione che lo designa.

Indipendenza che può essere così sintetizzata:

• Non deve ricevere istruzioni sull’esecuzione delle sue funzioni, ad esempio su come trattare con un interessato, su come indagare su un reclamo, sui risultati da portare ad un audit interno o anche sull’opportunità di consultare l’autorità di controllo. Allo stesso modo, il DPO non può essere obbligato di adottare un certo punto di vista su una questione relativa alla legge sulla protezione dei dati, come una particolare interpretazione della legge.
• Non può essere soggetto a una sanzione o ad un licenziamento per l’esercizio delle sue funzioni, per esempio se il DPO consiglia al responsabile del trattamento di effettuare una valutazione d’impatto e quest’ultimo non è d’accordo, o registra un’analisi giuridica o tecnica che contrasta con quella adottata dal responsabile del trattamento. Si noti, tuttavia, che le funzioni del DPO possono essere interrotte per motivi che rientrano nel diritto del lavoro (come: furto, molestie, altri gravi comportamenti scorretti).
• Riferisce direttamente ai più alti livelli della direzione dell’organizzazione, in modo tale che quest’ultimi siano consapevoli delle opinioni e delle raccomandazioni del DPO. Pertanto, la CNIL raccomanda che l’RPD rediga e presenti ai più alti livelli dell’organizzazione un rapporto regolare (ad esempio, annuale) sulle sue attività. L’RPD deve anche essere in grado di parlare direttamente al più alto livello su una questione specifica se lo ritiene necessario.

SUPPORTO DELLA CNIL PER IL DPO

La CNIL supporta i DPO fornendo loro vari strumenti, i quali si articolano in strumenti per la formazione, strumenti per fornire risposte e strumenti per la conformità.

Per quanto riguarda gli strumenti per la formazione: l’autorità francese ha predisposto un sito web www.cnil.fr, costantemente aggiornato, nel quale si possono reperire molte informazioni riguardo a procedure, temi, tecnologie, testi ufficiali. Inoltre, attraverso la pubblicazione di comunicati stampa e di notizie si persegue l’obiettivo di mantenere continuamente aggiornati i DPO sulle ultime novità; in aggiunta, sono state avviate altre iniziative sia nei confronti DPO, come ad esempio dei Workshop, i quali consentono a tutti i professionisti di approfondire la loro formazione su di una specifica area tematica; sia nei confronti dei cittadini, attraverso eventi di formazione online, aperta a tutti, con lo scopo di diffondere una vera e propria cultura della consapevolezza dei diritti degli interessati, oltre che degli obblighi dei titolari.

Relativamente agli strumenti per fornire delle risposte utili: è stata creata una linea dedicata e diretta riservata a tutti i responsabili del trattamento. Viene, inoltre, incentivata la partecipazione a gruppi e reti professionali di formazione e informazione dei DPO, in quanto sono ritenute delle fonti utilissime al fine di poter reperire delle risposte alle domande e alle questioni concrete sorte sul campo.

In ultima analisi, per quanto concerne gli strumenti per la conformità, la CNIL ha allestito un modello di registrazione semplificato, il quale risulta essenziale per il controllo di conformità; per realizzare la valutazione d’impatto sulla protezione dei dati è stato creato uno strumento PIA pronto all’uso che permette di eseguire una DPIA dall’inizio alla fine. In aggiunta, alla pagina “DPO: da dove cominciare?”2 viene offerto un piano di lavoro che permette di procedere metodicamente per aiutare le organizzazioni ad adempiere ai loro obblighi.

Infine, allo scopo di sostenere le organizzazioni nell’identificazione del profilo appropriato, la CNIL ha istituito una procedura per la certificazione delle competenze del DPO basata su un di sistema di riferimento sviluppato dalla CNIL. Le certificazioni sono rilasciate da organizzazioni certificate approvate dalla CNIL ed è possibile reperire un elenco di tali organizzazioni sul sito dell’Autorità francese.

Domenico Talarico

1 cnil.fr/en/cnil-publishes-guid…

2 cnil.fr/en/node/24124

L'articolo Le linee Guida del CNIL per il Data Protection Officer proviene da E-Lex.

La Russia ha deciso di assediare non solo l’Ucraina, ma anche le garanzie dei diritti mondiali di proprietà intellettuale. Tale decisione non è altro che una delle tante soluzioni che la Russia sta adottando per offrire alle proprie imprese nuovi strumenti per evitare il collasso economico e contrastare le carenze di fornitura alle aziende presenti sul territorio.

Il Governo russo, alla luce delle sanzioni straniere ricevute e all’abbandono delle proprie attività sul territorio da parte di diverse società a causa dell’invasione dell’Ucraina, si è determinata, insieme al Ministero dello Sviluppo economico russo, ad emanare una nuova legge che permette l’utilizzo di qualsiasi diritto di proprietà intellettuale senza il consenso del titolare, legalizzando a tutti gli effetti la pirateria informatica.

In questo modo, il primo ministro russo Mikhail Mishustin, con decreto n. 299 del 6 marzo 2022, ha eliminato le sanzioni per chi viola i diritti di proprietà intellettuale e conferito al proprio Governo il potere di emanare licenze obbligatorie, senza riconoscere alcun indennizzo ai titolari dei diritti di proprietà intellettuale appartenenti a “Stati e territori stranieri che hanno commesso atti ostili contro la Federazione russa”.

Dunque, da un lato, la nuova legge non permette più ai titolari dei diritti di proprietà intellettuale, associati agli Stati stranieri che hanno contrastato la Russia apertamente attuando sanzioni, restrizioni o qualsiasi tipo di atto “ostile”, la possibilità di richiedere un risarcimento del danno per violazione dei propri diritti di privativa; dall’altro, i “pirati” del web sono esenti da qualsiasi tipo di responsabilità, sia civile sia penale, per le violazioni dei diritti di proprietà intellettuale poste in essere nei confronti dei suddetti soggetti associabili ad alcuni Paesi che fanno parte di una c.d. black list.

In tale black list rientrano, momentaneamente, il Regno Unito, gli USA, l’UE, l’Australia e il Giappone. La normativa prevede, inoltre, che l’associazione dei titolari dei diritti di proprietà intellettuale ai suddetti Paesi avverrà sulla base di alcuni requisiti:

• la cittadinanza;
• una connessione di tipo economico (es. essere titolare di una società o avere ingenti profitti);
• una connessione di tipo autoriale (es. essere titolare di contenuti protetti).

La portata esatta e l’applicazione di questa nuova legge non sono del tutto chiare, ma ci si aspetta che copra tutti i tipi di diritti di proprietà intellettuale. Non si sa, inoltre, se tali diritti di proprietà straniera saranno completamente annullati o vi sarà qualche forma limitata di protezione che continuerà in diversi scenari.

In Russia, la pirateria era già abbastanza diffusa: TorrentFreak, attraverso un’indagine da parte di ESET, ha rilevato che oltre il 90% degli utenti intervistati ammetteva di usare diversi software o contenuti illegali, a causa dei prezzi eccessivamente elevati delle versioni legali.

Il Governo russo ha spesso manifestato una scarsa attenzione nei confronti della proprietà intellettuale, ma questa mossa di ritorsione da parte della Russia potrebbe causare effetti irreversibili che superano le attuali sanzioni. Infatti, qualora le sanzioni dovessero essere rimosse, la mancanza di rispetto per i diritti di proprietà intellettuale potrebbe portare alla riduzione o alla cessazione degli investimenti stranieri in Russia. Tali conseguenze avrebbero effetti a catena sull’economia, sulla ricerca e sullo sviluppo del Paese in numerosi settori. Anche se queste nuove disposizioni legislative venissero abrogate, potrebbe volerci molto tempo per attivare un processo di riabilitazione reputazionale della Russia e convincere gli investitori stranieri che i propri diritti di proprietà intellettuale saranno rispettati in futuro.

Inoltre, come è noto la Russia ha aderito a molteplici convenzioni internazionali per il rispetto della proprietà intellettuale quali, ad esempio: l’Accordo di Madrid e il Protocollo di Madrid sulla Registrazione Internazionale dei Marchi, l’Accordo istitutivo dell’Organizzazione Mondiale per la Proprietà Intellettuale, la Convenzione di Parigi per la Protezione della Proprietà Industriale, il Trattato sul diritto dei marchi (“TLT”), il Trattato di Singapore sul diritto dei marchi, la Classificazione internazionale dei prodotti e dei servizi ai fini della registrazione dei marchi (“Classificazione di Nizza”), l’Accordo TRIPS.

Pertanto, oltre alle conseguenze che deriveranno dalle violazioni dei diritti di proprietà intellettuale, ci si interroga su quelle relative al mancato rispetto dei suddetti accordi internazionali.

Daniele Lo Iudice

L'articolo La Russia mette al bando la proprietà intellettuale proviene da E-Lex.

Nei giorni scorsi, abbiamo assistito alla diffusione in rete di un video falso in cui compare il Presidente ucraino Volodymyr Zelens’kyj che, rivolgendosi ai propri connazionali, li invita a deporre le armi incoraggiandoli alla resa. Ciò, è stato reso possibile grazie ad un uso malevolo dell’intelligenza artificiale e, più in particolare, della tecnica del deepfake.

La vicenda descritta non rappresenta certamente il principale problema di quanto sta accadendo, a livello mondiale, a causa del triste conflitto in corso, tuttavia suscita alcune riflessioni rispetto al fenomeno dei deepfakes e sui rischi ad esso connessi, nonché sulle risposte normative che il legislatore europeo ha, in tempi recenti, cercato di dare al problema.

Cos’è il deepfake

Anzitutto, il deepfake è una tecnica che sfrutta l’intelligenza artificiale per creare ex novo dei contenuti digitali falsi oppure per manipolare contenuti già esistenti al fine di mistificare la realtà in essi rappresentata.La parola è un neologismo nato dalla fusione dei termini fake, ovvero “falso”, e deep learning, una particolare tecnologia basata sull’apprendimento profondo delle macchine.

La recente proposta di Regolamento europeo sull’Intelligenza Artificiale, pubblicata lo scorso 21 aprile dalla Commissione Europea, all’art. 52, comma 3, definisce il deepfake come “sistema di intelligenza artificiale che genera o manipola immagini o contenuti audio o video che assomigliano notevolmente a persone, oggetti, luoghi o altre entità o eventi esistenti e che potrebbero apparire falsamente autentici o veritieri per una persona”.

Nella vicenda che ha visto coinvolto il Presidente ucraino, la tecnica descritta non è stata utilizzata in maniera del tutto efficace, per cui il tentativo di disorientare i destinatari non si è affatto compiuto. Tuttavia, talvolta, i contenuti sono creati e/o manipolati con un’accuratezza tale da rendere difficile anche ad altri sistemi IA di rilevarne la falsità.

Per tale motivo, un controllo ed una regolamentazione del fenomeno si ritengono essere più che mai necessari, visti i possibili rischi sottesi ad un improprio uso di tale tecnologia.

In uno studio sui falsi digitali pubblicato nel luglio 2021 dall’European Parliament Research Service, “EPRS”, consultabile qui, è stato rilevato come, nel giro dei prossimi cinque anni, gli strumenti per creare deepfakes diverranno ancora più alla portata e semplici da utilizzare.

L’attuale ascesa delle deepfake-as-a-service companies renderà la tecnicacomunemente usata ed integrata nelle varie tipologie di software prodotte, facendo acquisire agli utenti una sempre maggiore familiarità con tale applicazione IA; familiarità che, naturalmente, comporterà anche una più elevata possibilità di abuso nel prossimo futuro.

Il quadro normativo di riferimento

Dal momento che, come detto, il deepfake costituisce una tecnologia basata sull’intelligenza artificiale, rilevano innanzitutto le regole per l’uso delle applicazioni IA che nella recente proposta di Regolamento il legislatore europeo ha cercato di delineare.

In secondo luogo, posto che la creazione di un falso contenuto digitale comporta, tipicamente, anche il trattamento di dati personali, trovano applicazione le disposizioni del Regolamento UE 679/2016, “GDPR”.

La proposta di Regolamento europeo sull’Intelligenza Artificiale sopra richiamata, come noto, ha l’obiettivo di consentire un uso affidabile e sicuro dell’IA, nel rispetto dei valori e dei diritti fondamentali degli individui.

A tal fine, stabilisce regole armonizzate per lo sviluppo, l’immissione sul mercato e l’utilizzo dei sistemi IA.

In estrema sintesi, il quadro normativo proposto adotta un approccio basato sul rischio, distinguendo tra “rischio minimo”, “rischio limitato”, “rischio elevato” e “rischio inaccettabile” per i diritti e le libertà fondamentali. Esso è volto a vietare l’uso di sistemi che presentino un rischio inaccettabile, mentre per i sistemi che rientrano nella categoria ad alto rischio prevede l’obbligo di effettuare dettagliate analisi e valutazioni d’impatto, nonché di garantire una fase di controllo e di supervisione “umani”.

Con particolare riguardo alla tecnica del deepfake, la proposta di Regolamento consente tale tecnologia, ma articola alcuni requisiti minimi e prevede un obbligo di trasparenza in capo a chi ne fa uso.

Nello specifico, l’art. 52, comma 3, della proposta impone ai creatori di deepfakes di etichettare il contenuto generato in modo che sia chiaro a chiunque che si tratti di un contenuto digitale artificialmente creato e/o manipolato.

Tuttavia, successivamente, lo stesso art. 52 prevede che tale obbligo non si applica “quando l’uso è autorizzato dalla legge per accertare, prevenire, indagare e perseguire reati o se è necessario per l’esercizio del diritto alla libertà di espressione e del diritto alla libertà delle arti e delle scienze garantito dalla Carta dei diritti fondamentali dell’UE, e fatte salve le tutele adeguate per i diritti e le libertà dei terzi.”

Un obbligo di etichettatura dei deepfakes potrebbe essere un primo passo verso la mitigazione dei potenziali impatti negativi del fenomeno. Nondimeno, come rilevato dall’EPRS nello studio citato, la natura e la portata della disposizione sono ad ora poco chiare e si rinviene, complessivamente, una certa timidezza regolatoria da parte del legislatore, il quale non prevede neppure una sanzione per l’ipotesi di mancato rispetto dell’obbligo previsto dall’art. 52.

Inoltre, la possibilità di deroga, prevista dalla norma, laddove l’uso del deepfake sia “necessario per l’esercizio del diritto alla libertà di espressione e del diritto alla libertà delle arti e delle scienze”, include un raggio di ipotesi così ampio da svuotare di significato l’obbligo di trasparenza sancito.

Pertanto, la risposta normativa tratteggiata, in tale sede, dal legislatore europeo non è attualmente ritenuta sufficiente a contrastare il problema.

Con riguardo, poi, all’aspetto relativo al trattamento dei dati personali, è da rilevare che, nel contesto dei deepfakes, i dati personali vengono trattati non soltanto nella fase di creazione dei contenuti, ma anche per addestrare il software che, a tal fine, viene utilizzato. Per tale motivo, è bene innanzitutto precisare che il GDPR, in relazione al suo ambito di applicazione, rileva in entrambe le fattispecie.

Con particolare riferimento al requisito di liceità del trattamento, di un certo interesse è la ricerca della base giuridica.

Secondo l’EPRS, nel caso specifico della generazione dei deepfakes, due sono le basi giuridiche cui i creatori potrebbero appellarsi: l’interesse legittimo ed il consenso esplicito dell’interessato. Nel caso in cui il creatore sostenga di vantare un interesse legittimo, quest’ultimo, come noto, per costituire fondamento di liceità, deve prevalere sugli interessi o sui diritti e libertà dell’interessato.

Quando la base giuridica dell’interesse legittimo non è applicabile, l’uso di dati personali per la creazione e diffusione di deepfakes deve essere sottoposto al consenso informato delle persone raffigurate nei contenuti. È importante notare, qui, che il consenso deve essere ottenuto sia dai soggetti del contenuto originale, che dai soggetti che appaiono nel contenuto “fabbricato”.

Il GDPR offre dei rimedi alle vittime dei falsi digitali, attraverso la previsione di alcuni diritti in capo agli interessati, quali il diritto alla correzione dei dati inesatti o il diritto alla cancellazione dei propri dati.

Nel contesto dei deepfakes, il percorso legale può essere piuttosto impegnativo, da intraprendere, per le vittime. In molti casi, è impossibile per la vittima identificare l’autore, che opera quasi sempre in modo anonimo ed illecito.

L’Autorità italiana Garante per la protezione dei dati personali ha pubblicato, sul proprio sito istituzionale, un vademecum sul tema consultabile qui.

Conclusioni

La tecnica del deepfake, se utilizzata illecitamente, pone seri rischi in termini di diritti e libertà dei soggetti coinvolti. Notevoli ripercussioni, poi, possono essere prodotte laddove i deepfakes abbiano ad oggetto contenuti di un certo impatto sociale e politico, come da ultimo accaduto nel contesto del conflitto russo-ucraino.

Non vi sono soluzioni rapide di contrasto al fenomeno, né la risposta normativa di recente approntata dal legislatore europeo, che sopra si è brevemente descritta, sembra adeguata a mitigare i possibili danni derivanti dalla divulgazione illecita di falsi digitali.

Attualmente, dunque, il primo e più efficace strumento di difesa è rappresentato da una maggiore consapevolezza nella navigazione in rete, dalla responsabilità e dall’attenzione degli utenti. Nella speranza che, frattanto, venga apprestato un quadro regolatorio più appropriato da parte delle istituzioni europee, che giocano un ruolo primario in tale contesto.

Gabriella Amato

L'articolo Il deepfake e le risposte normative delineate dal legislatore europeo proviene da E-Lex.

L’AGCM sanziona Sky Italia per informazioni ingannevoli

Lo scorso 11 marzo, l’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha comunicato di aver concluso un’istruttoria nei confronti della società Sky Italia S.r.l. con l’irrogazione di una sanzione di un milione di euro, per la diffusione di informazioni ingannevoli in ordine all’aggiudicazione di diritti calcistici sulle partite di campionato di calcio di Serie A.

In particolare, a dire dell’Autorità, nella primavera del 2021 la Società ha fornito insormazioni imprecise, in violazione dell’art 21 del Codice del Consumo, in merito alla fruizione del pacchetto “Sky Calcio”.

Fonte: sito ufficiale dell’AGCM

Il MISE pubblica le misure temporanee eccezionali per l’etichettatura dei prodotti alimentari

In considerazione della sospensione degli approvvigionamenti di alcune materie prime provenienti dall’Ucraina, lo scorso 11 marzo il Ministero dello Sviluppo Economico (“MISE”) ha pubblicato una circolare che consente all’industria alimentare italiana di poter utilizzare eccezionalmente le etichette e gli imballaggi già in possesso.

L’intervento si è reso necessario per garantire la continuità nella produzione e per evitare un aumento dei costi a svantaggio dei consumatori, come segnalato dalle maggiori associazioni imprenditoriali del settore agroalimentare e della grande distribuzione organizzata.

Fonte: sito ufficiale del MISE

AGCM: sanzionata Crédit Agricole per pratiche commerciali scorrette

L’AGCM ha reso noto, con comunicazione dello scorso 28 febbraio, di aver comminato una sanzione amministrativa di un milione di euro a Crédit Agricole Italia S.p.A. per aver posto in essere pratiche commerciali scorrette, in quanto volte a condizionare indebitamente il consumatore nella scelta della tipologia di bonifico da utilizzare (nello specifico, quello istantaneo, più costoso di quello ordinario).

In particolare, il cliente che intendeva eseguire un bonifico online attraverso l’app della banca leggeva, accanto all’opzione del bonifico istantaneo, la parola “Suggerito”. Inoltre, la soluzione di pagamento più onerosa continuava ad essere riproposta anche in caso di scelta della modalità ordinaria.

Fonte: sito ufficiale dell’AGCM

UIBM: pubblicato il Rapporto sulle politiche anticontraffazione 2020-2021

Nel mese di febbraio, l’Ufficio Italiano Brevetti e Marchi (“UIBM”) ha pubblicato, sul proprio sito istituzionale, il “Rapporto sulle politiche anticontraffazione 2020-2021”.

Il documento presenta le iniziative realizzate nel periodo di riferimento per prevenire e contrastare le violazione dei diritti di proprietà industriale sul territorio nazionale ed online, nonché i principali risultati raggiunti in tale biennio di attività.

Fonte: sito ufficiale dell’UIBM

Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale

Di recente è entrato in vigore il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale e i prestatori di servizi di portafoglio digitale saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

Il Decreto, subordina l’esercizio dei servizi relativi all’utilizzo di valuta virtuale e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, prevedendo altresì le modalità di istituzione di detto registro.

Fonte: Gazzetta Ufficiale

L'articolo What’s new in Italy on <br>IP, Competition and Innovation</BR> n.2 – Marzo 2022 proviene da E-Lex.

La Data Protection Authority belga, con decisione n. 21 del 2 febbraio 2022, ha stabilito che la versione 2.0 del Transparency & Consent Framework (TCF) di IAB Europe non è conforme al Regolamento (UE) 2016/679. Si tratta di una pronuncia dalla portata dirompente, in special modo se si considera che migliaia di operatori nel campo della pubblicità digitale fondano la propria attività sugli standard fissati dal TCF.

Secondo la Data Protection Authority belga (DPA), il TCF predisposto da IAB (Interactive Advertising Bureau) Europe, con il supporto di IAB Tech Lab, per la raccolta e la condivisione del consenso degli utenti all’erogazione di contenuti e annunci pubblicitari online, viola le disposizioni di cui agli artt. 5, comma 1 (lett. a ed f), 6, 12, 13, 14, 25, 32, 37-39, del Regolamento (UE) 2016/679 (di seguito GDPR) e, per tale ragione, ha comminato nei confronti di IAB Europe una sanzione di 250.000 euro.

La decisione, peraltro, è solo formalmente emessa dal Garante belga, il quale ha operato in qualità di Lead Authority che guida e decide nei casi che coinvolgono contemporaneamente più territori dell’Unione (c.d. “one-stop-shop” previsto dall’art. 60 del GDPR), cooperando con le Autorità di tutti gli Stati membri dell’UE.

1. Il TCF e la pubblicità digitaleIl TCF di IAB Europe, diffuso nel 2018 e aggiornato nel 2020, è un framework che si pone l’obiettivo di rendere conformi alla disciplina in materia di protezione dei dati personali, in particolare al GDPR, le modalità con cui gli editori, i fornitori di adtech e le agenzie possono gestire e fornire annunci pubblicitari.

Il TCF, tra l’altro, consente di accedere ad una Consent Management Platform (CMP), vale a dire una piattaforma in cui gli editori di siti web possono comunicare ai visitatori/utenti quali dati vengono raccolti e con quali aziende collaborano per la loro elaborazione. Le CMP, in particolare, assicurano, da un lato, l’implementazione tecnica di un banner attraverso il quale gli interessati possono indicare le loro scelte in merito al trattamento dei loro dati personali. Dall’altro, consentono la condivisione tra gli aderenti al framework delle preferenze stesse dell’utente registrate in un file, la “TC string”, che le memorizza sotto forma di cookie euconsent-v2, al fine di contribuire al Real Time Bidding (o asta in tempo reale), denominato anche “OpenRTB”1.

2. Violazioni del GDPRNonostante lo scopo prefissato da IAB Europe con la predisposizione del TCF, ovvero garantire la conformità al GDPR delle modalità di gestione e fornitura degli annunci pubblicitari, la DPA ha riscontrato alcune violazioni della normativa, che possono essere sintetizzate come segue.

• Mancata qualificazione di IAB Europe come titolare del trattamento

La DPA ha constatato che IAB, non qualificandosi come titolare del trattamento, non ha adempiuto ai principali obblighi e alle responsabilità che il GDPR attribuisce ai titolari del trattamento.

Tuttavia, dalla ricostruzione effettuata dal Garante è emerso che IAB Europe, nella propria attività, stabilisce i mezzi di elaborazione della TC string e del cookie euconsent-v2, sia per il servizio specifico che per i consensi di portata globale, e, pur limitandosi a raccomandare alle CMP di utilizzare un cookie di prima parte, senza imporre un meccanismo specifico per memorizzare il consenso degli utenti nel browser, può fornire un elenco di possibili meccanismi per collegare la TC String a un singolo utente.

Per tali ragioni e tenuto conto della definizione di cui all’art. 4 (n. 7), quindi, il Garante ha qualificato IAB Europe come titolare del trattamento dei dati personali, mentre i soggetti partecipanti al mercato della pubblicità digitale – secondo la DPA – devono essere inquadrati come contitolari del trattamento ai sensi dell’art. 26 del GDPR.

• 2.2 Liceità e correttezza del trattamentoLa prima conseguenza della mancata qualificazione come titolare è che IAB Europe non ha identificato una base legale per l’elaborazione della stringa TC. Inoltre, le basi legali fornite dal TCF per l’ulteriore elaborazione da parte dei fornitori di adtech sono inadeguate.

Il Garante, infatti, ha evidenziato la mancanza di un consenso inequivocabile espresso da parte dagli utenti al trattamento e l’impossibilità di ipotizzare, in extremis, l’interesse legittimo (art. 6, par. 1, lett. f, GDPR) come base del trattamento, poiché l’interesse legittimo di IAB Europe non può essere ritenuto prevalente rispetto ai diritti e alle libertà degli interessati.

• 2.3. Mancanza di trasparenzaL’Autorità ha rilevato, inoltre, la violazione degli obblighi derivanti dal principio di trasparenza disciplinato dal GDPR (artt. 12, 13, 14), poiché le modalità con cui le informazioni sono fornite agli interessati, stabilite da IAB Europe, non sono conformi ai requisiti di trasparenza, comprensibilità e accessibilità. In linea generale, infatti, gli interessati devono sempre essere in grado di determinare in anticipo la portata e le conseguenze del trattamento e non dovrebbero essere messi a conoscenza a posteriori di trattamenti non previsti concernenti i propri dati personali.

• 2.4. Violazioni concernenti il principio di accountability, le misure di sicurezza e i principi di privacy by default/by designInoltre, IAB Europe non ha provveduto a:

• adottare misure organizzative e tecniche conformi al principio della protezione dei dati sin dalla progettazione e per impostazione predefinita, per garantire, tra l’altro, l’esercizio effettivo dei diritti degli interessati e la validità e integrità della verifica delle scelte dell’utente;
• aggiornare gli attuali registri delle attività di trattamento includendo il trattamento dei dati personali nel TCF da parte di IAB Europe, in conformità con l’articolo 30 del GDPR;
• effettuare una valutazione d’impatto ai sensi dell’art. 35 del GDPR;
• nominare un Data Protection Officer (DPO), nel rispetto gli artt. 37-39 GDPR.

3. DecisioneIl Garante belga, oltre a sanzionare IAB Europe, ha ordinato alla società di allineare il trattamento dei dati personali nel contesto del TCF alle disposizioni del GDPR, adottando le seguenti misure:

● individuare una valida base giuridica per il trattamento e la diffusione delle preferenze dell’utente ai sensi del TCF, nonché vietare l’uso del legittimo interesse come base per il trattamento dei dati personali da parte delle organizzazioni partecipanti al TCF;

● assicurare efficaci misure di monitoraggio tecnico e organizzativo al fine di garantire l’integrità e la riservatezza della TC String;

● verificare a fondo i soggetti partecipanti al TCF per assicurarsi che soddisfino i requisiti del GDPR;

● adottare misure tecniche e organizzative per impedire che il consenso al trattamento sia espresso per impostazione predefinita nelle interfacce CMP e per impedire l’autorizzazione automatica alla comunicazione dei dati degli utenti ai venditori partecipanti, sulla scorta del presunto interesse legittimo per le loro attività di trattamento;

● far sì che le CMP adottino un approccio uniforme e conforme al GDPR per le informazioni da trasmettere agli utenti;

● aggiornare gli attuali registri delle attività di trattamento, includendo il trattamento dei dati personali nel TCF da parte di IAB Europe;

● effettuare una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR (DPIA) in relazione alle attività di trattamento svolte nell’ambito del TCF;

● nominare un responsabile della protezione dei dati (DPO).

Tali misure di conformità dovranno essere implementate entro sei mesi dalla convalida di un piano d’azione da parte del Garante belga e, in caso di mancato rispetto del suddetto termine, è prevista un’ulteriore sanzione di 5.000 euro per ogni giorno di ritardo.

A seguito di tale decisione, da un lato, IAB Europe sarà chiamata ad intervenire sensibilmente su molte delle sue prassi; dall’altro, gli aderenti al framework di IAB saranno tenuti ad intraprendere alcune azioni per conformarsi al GDPR, come, ad esempio:

• procedere alla sottoscrizione di un apposito accordo di contitolarità volto a regolamentare l’assetto dei rapporti privacy tra le parti, anche al fine di determinare le rispettive responsabilità (art. 26 GDPR);
• analizzare i rischi e valutare l’impatto sulla protezione dei dati personali in relazione al trattamento dei dati personali nell’ambito del TCF;
• aggiornare le informative alla luce delle valutazioni del Garante belga.

Nei prossimi mesi dovranno essere attentamente valutati gli effetti della decisione, in particolar modo sotto il profilo commerciale. Infatti, le società che fino ad ora hanno fatto affidamento su un sistema di marketing fondato sugli standard fissati dal TCF saranno costrette a rivedere le proprie strategie promozionali.

Alessandro Perotti

1 L’OpenRTB (o RTB), in linea generale, è una modalità di compravendita all’asta di spazi pubblicitari online, che prende avvio nel momento in cui un utente carica nel browser una pagina che contiene uno spazio pubblicitario. A quel punto, le informazioni riguardanti la pagina e l’utente vengono trasmesse ad un software per lo scambio di annunci, che le mette all’asta e le vende all’inserzionista disposto a pagare il prezzo più alto. Gli inserzionisti (advertisers), che in genere utilizzano le Demand Slide Platform (DSP) per decidere quali impressions acquistare e quando, da un lato, e gli editori (publishers), che utilizzano le Sell Side Platform (SSP) per cercare di ottimizzare la vendita degli spazi pubblicitari a loro disposizione, dall’altro, si incontrano negli Ad Exchange, veri e propri “mercati di impressions” nel quale l’asta si conclude nel giro di pochi istanti con il caricamento dell’annuncio vincente nella pagina web.

L'articolo Il Transparency & Consent Framework di IAB Europe viola il GDPR proviene da E-Lex.