NFTs are the trend of the moment and the early indicator of the IP legal implications that virtual reality could entail in the near future. It is not yet clear to what extent businesses will take advantage of the e-commerce opportunities offered by NFTs, but expectations are high, while grey areas are thick. The recent case involving Hermés and the artist Mason Rothschild sheds a light on the trademark law implications in the virtual world.

In the words of Marty Resnick, research vice president at Gartner, “vendors are already building ways for users to replicate their lives in digital worlds”, i.e. what it is now referred to as the Metaverse). Metaverse is a collective virtual shared space, created by the convergence of virtually enhanced physical and digital reality. It is persistent, providing enhanced immersive experiences, as well as device independent and accessible through any type of device[1]. In this context, trading virtual commodities seems very concrete rather than virtual; some of these commodities are even authenticated by means of NFTs (“Non Fungible Tokens”). These are unique digital certificates, registered in blockchains, that are used to record ownership of a digital commodity such as an artwork or a collectible[2]. NFTs are increasingly used by famous brands online to certify the authenticity and uniqueness of their products carrying well-known trademarks. Despite their authenticity, these secure and certified virtual items still lack regulation and have raised concerns in numerous areas of intellectual property, including trademark law[3].

One of the main issues arising from the relationship between legitimate trademark owners and NFT traders is the damage suffered for “dilution”. This action consists of blurring the well-known trademark’s distinctive character through another sign used by a third party for his products. The latter adopts the copycat sign on goods and services which are similar or dissimilar to the ones bearing the original trademark. As a consequence, the presence of two confusingly similar or identical signs on the market blurs the identity of the well-known trademark upon the public’s mind[4], reducing goodwill. As far as the metaverse is concerned, dilution is a direct consequence of the lack of registration of the relevant trademark classes before relevant authorities (for example, class 9 of the Nice Classification: digital media).

In this regard, at the beginning of 2022, Hermès filed an anti-dilution lawsuit against Mason Rothschild, the artist behind the collection “100 MetaBirkins”[5]. MetaBirkins are NFTs that depict furry renderings of the renowned Birkin bag. They are traded on the NFT platform “OpenSea”[6]. In the complaint that it filed before the New York Federal Court, Hermès claims that Mason Rothschild is “a digital speculator who is seeking to get rich quick by appropriating the brand MetaBirkins for use in creating, marketing, selling, and facilitating the exchange of digital assets known as non- fungible tokens” which simply “rip off Hermès’ famous BIRKIN trademark by adding the generic prefix ‘meta”[7].

Indeed, MetaBirkins are commercialized using a recurring series of identifiers bearing the reputable trademark belonging to Hermés. For this reason, the claimant places dilution side by side to unfair competition. Elements supporting this interpretation are, for instance, the URL containing the term “Birkin”, the bag design of the NFT being unequivocally the registered Birkin bag depiction and, clearly, the name itself of the digital commodity and its exorbitant price. As a consequence, it seems that the exploitation of the Birkin sign allows Mr. Rothschild to cash in on the reputation he has done nothing to establish[8]. Hermès is on this same page, claiming that the buyer might be misled by the use of the term Birkin by believing that the expensive NFT is associated with its products. According to Hermès, Mason Rothschild’s conduct distorts the origin of the virtual good; therefore, “[b]y falsely suggesting a connection with or sponsorship by Hermès, Mason Rothschild is likely to cause public confusion constituting unfair competition”.[9]

As a further step, it is worth mentioning the IP institution called “secondary meaning”, claimed by Hermès in favor of his sign. According to U.S. Law[10], to establish secondary meaning, it must be shown that the primary significance of the term in the minds of the consuming public is not the product but the producer[11]. Secondary enhances the distinctive character of the trademark acquired through its commercial use. In this regard, according to plaintiff, “the Birkin trademark has come to have a secondary meaning indicative of origin, relationship, sponsorship and/or association with Hermès and its distinctive reputation for high quality”. The public is likely to consider Mason Rithschild’s use of the MetaBirkins sign as authorized, licensed or associated to Hermés, and purchase the NFTs in this erroneous belief[12].

According to Hermès, its trademark has acquired a certain degree of secondary meaning and distinctiveness. Speaking of which, the prefix “meta” might not have the degree of distinctiveness which is necessary to distance the association of the expensive Rothschild’s NFT from the status symbol Birkin-ish design, since it is considered as being too generic[13].

The fact remains that Hermès has not registered “Birkin” for digital goods class. This lack of action originates a grey area leading to numerous questions, such as: to what extent is the metaverse approachable to real world case scenarios? Many other brands, such as Nike, have used NFTs as a digital certificate of authenticity[14] and this solid IP trouble for virtual items might be only at its early stage.

Edoardo Di Maggio

[1] gartner.com/en/newsroom/press-…

[2] collinsdictionary.com/us/dicti…

[3] blogs.orrick.com/blockchain/th…

[4] Intel [2008] E.C.R. I-08823

[5] jdsupra.com/legalnews/outcome-…

[6] Following a cease and desist letter lodged by Hermès to OpenSea, the NFT trading platform eliminated MetaBirkins fromtheir websites. Nevertheless, Mason Rthschild moved articles on other NFT trading platforms, such as “Rarible”, rarible.com.

[7] United States District Court Southern District Of New York, HERMÈS INTERNATIONAL and HERMÈS OF PARIS, INC., against Mason Rothschild, filed 01/14/22.

[8] Hazel Carty, “Dilution and passing-off: Cause of concern”,(1996) 112 (October) LQR 632-66.

[9] Id. fn. 7.

[10] law.cornell.edu/wex/lanham_act

[11] Ralston Purina Co. v. Thomas J. Lipton, Inc., 341 F. Supp. 129, 133, 173 USPQ 820, 823 (S.D.N.Y. 1972) .

[12] Id. fn. 7.

[13] tmep.uspto.gov/RDMS/TMEP/curre…

[14]

L'articolo Metaverse and trademark dilution: Hermès International and Hermès of Paris, Inc., against Mason Rothschild proviene da E-Lex.

#CYBERSECURITY E PROTEZIONE DELLE ATTIVITÀ DIGITALI
una questione che ci riguarda

GIOVEDÌ 3 MARZO 2022 dalle ore 14.00
in diretta su #collettiva.it e i suoi canali social

con

Giuseppe Massafra | Segretario nazionale della CGIL

Alessio de Luca | Coordinatore Idea Diffusa CGIL nazionale
MassiMo Brancato | Coordinatore Area Coesione CGIL nazionale

Giulio de petra | Direttore del CRS

Arturo Di Corinto | La cybersicurezza. A che punto siamo
Giornalista – Docente Università La Sapienza, Roma

Giovanni Battista Gallus | La responsabilità è delle aziende o dei lavoratori?
Avvocato – Fellow Nexa – Politecnico Torino

Sandro del fattore | Digitalizzazione come cambiamento possibile
Coordinatore deleghe Segretario generale CGIL

Cinzia Maiolini | La Cybersicurezza riguarda le nostra vite
Coordinatrice Ufficio Lavoro 4.0 – CGIL

GiacoMo tesio | La sicurezza informatica sul lavoro
Programmatore

Confronto con il Coordinamento nazionale Legalità e Sicurezza
della CGIL, moderato da LUCIANO SILVESTRI
Responsabile nazionale Legalità e Sicurezza della CGIL

È ufficialmente aperta la #Call4Solutions di #OpenItalyELIS, dedicata a #Startup, #PMI, #Scaleup, #CentridiRicerca e #SpinOffuniversitari.

Giovanni Maria Riccio e Ariella Fonsi, come giudici, approfondiranno le soluzioni che verranno presentate nel perimetro Privacy & Cybersecurity.

𝗟𝗮 𝗖𝗮𝗹𝗹𝟰𝗦𝗼𝗹𝘂𝘁𝗶𝗼𝗻𝘀 𝘁𝗲𝗿𝗺𝗶𝗻𝗲𝗿𝗮̀ 𝘃𝗲𝗻𝗲𝗿𝗱𝗶̀ 𝟭𝟭 𝗺𝗮𝗿𝘇𝗼 𝟮𝟬𝟮𝟮.

Per conoscere meglio i requisiti e/o candidarsi open-italy.elis.org/it/page/st…

#OpenItalyELIS #InnovationTogether #InnovationToImpact #privacy #cybersecurity

L'articolo Giovanni Maria Riccio e Ariella Fonsi giudici alla Call4Solutions di OpenItaly ELIS proviene da E-Lex.

ernesto belisario

Il 5 Marzo 2022, presso l’Aula Magna I Clinica Medica AOU Policlinico Umberto I (Roma), Ernesto Belisario interverrà agli Stati Generali della comunicazione per la salute con un contributo dal titolo “L’uso consapevole degli strumenti digitali nella PA: norme, sentenze e prassi”.

Il convegno si propone di sottolineare l’importanza della corretta comunicazione per la salute con il fine di contribuire alla salvaguardia del nostro SSN.

Per iscriversi all’evento: federsanita.it/

Per scaricare il programma completo clicca qui .

L'articolo Ernesto Belisario agli Stati Generali della comunicazione per la salute proviene da E-Lex.

Il 3 Marzo 2022, presso la Sala Capitolare del Palazzo della Minerva del Senato della Repubblica, Ernesto Belisario interverrà agli Stati Generali dell’Informazione sul tema “PNRR e Transizione Digitale”.

L’evento sarà trasmesso in diretta sulla WebTV del Senato e sulla piattaforma del Consiglio Nazionale Ingegneri.

L'articolo Ernesto Belisario interviene agli Stati Generali dell’Informazione proviene da E-Lex.

IPR Gorilla

Il prof. Giovanni Maria Riccio, socio dello studio, è stato nominato tra i Top IP Managing Partners nell’ambito dell’IPR Gorilla, un simposio internazionale che raccoglie gli esperti di proprietà intellettuale e di nuove tecnologie.

L'articolo Il prof. Giovanni Maria Riccio è stato nominato tra i Top IP Managing Partners nell’ambito dell’IPR Gorilla proviene da E-Lex.

Ernesto Belisario

Ernesto Belisario sarà nuovamente tra i docenti della VIII edizione di Procedamus (procedamus.it/), progetto di formazione-intervento per le Università e gli Enti di Ricerca.

La lezione, dal titolo Il Codice dell’amministrazione digitale oggi (2005-2022), è prevista per il giorno 7 ottobre 2022.

Il programma di questa edizione si articola in tre corsi di formazione frontale e nei gruppi di lavoro di Sh@rePro. Il programma dei singoli corsi, invece, sarà disponibile in prossimità dell’evento formativo e attraverso un avviso tramite mailing list di Procedamus Members e di Procedamus Informa.

Per scaricare il programma clicca qui.

L'articolo Ernesto Belisario tra i docenti della VIII edizione di Procedamus proviene da E-Lex.

A inizio febbraio 2022 Nike Inc. ha citato in giudizio StockX LLC per aver commercializzato NFT associati a immagini di scarpe del noto brand senza averne autorizzazione

A gennaio 2022 il marketplace online StockX ha lanciato negli USA un nuovo progetto basato sulla commercializzazione di NFT: StockX Vault.

Il servizio implementato dall’azienda con sede a Detroit è caratterizzato da una importante novità: per la prima volta, infatti, l’acquisto di un NFT può essere direttamente collegato con l’acquisto di un prodotto fisico, una sneaker nel caso in esame, custodita nel caveau di StockX fintanto che il proprietario dell’NFT non deciderà di richiederla per prenderne possesso (c.d. “NFT Vault”).

Brevemente, ricordiamo che i “Non-Fungible Token” sono certificati di autenticità digitale che, sfruttando la tecnologia blockchain, garantiscono l’autenticità e l’unicità del contenuto digitale.

Si tratta di una serie di informazioni sotto forma di codice digitale che rendono il contenuto a cui sono associate unico, peculiare e originale. Pertanto, chi acquista un NFT acquista la proprietà, l’unicità e l’autenticità del contenuto digitale.

A qualche giorno dal lancio di StockX Vault, però, è arrivata anche la prima contestazione.

Infatti, la multinazionale produttrice di streetwear, Nike Inc., ha citato in giudizio la piattaforma di reselling per aver commercializzato immagini di scarpe del noto brand senza essere stata autorizzata in tal senso.

In particolare, per Nike, StockX sarebbe responsabile di violazione e diluizione del marchio, nonché di concorrenza sleale.

Secondo la difesa del titolare del celebre Swoosh, StockX starebbe utilizzando in modo “preminente” i marchi Nike con l’intento di sfruttare la notorietà del brand e, dunque, l’avviamento di Nike, con la conseguenza di ingenerare confusione nei consumatori circa la provenienza dei prodotti e privando, di fatto, Nike del suo diritto esclusivo di utilizzare i suoi marchi in relazione a questo nuovo strumento commerciale.

Inoltre, la condotta del reseller sarebbe aggravata dal fatto che gli NFT in questione sono venduti a prezzi esorbitanti, circostanza che danneggerebbe la reputazione del colosso di abbigliamento sportivo.

Pertanto, Nike, oltre a chiedere il risarcimento del danno causato dalla commercializzazione delle immagini che sfrutterebbero lo Swoosh, domanda al Tribunale Federale di New York di emettere un’ingiunzione per obbligare StockX a interrompere le vendite di NFT Vault che esibiscono il marchio Nike.

La controversia tra Nike e StockX è una delle prime aventi ad oggetto la vendita degli NFT e i diritti coinvolti dalla commercializzazione degli stessi e, dunque, l’esito del procedimento consentirà di tracciare una prima linea nella regolamentazione della materia.

Maria Vittoria Aprigliano

L'articolo NFT e proprietà intellettuale: NIKE intenta causa contro StockX proviene da E-Lex.

Il Garante per la Protezione dei Dati personali, con provvedimento n. 406 del 2021, originato da un’istanza di consultazione preventiva ai sensi dell’art. 36 del GDPR, ha fornito alcune importanti indicazioni in merito al trattamento di dati per finalità di ricerca scientifica, anche con riguardo al trattamento di dati genetici.

Il Garante per la Protezione dei Dati Personali, a seguito di un’istanza di consultazione preventiva presentata ai sensi dell’art. 110 del Decreto legislativo 30 giugno 2003 n. 196 (Codice Privacy) e dell’art. 36 del Regolamento (UE) 2016/679 (cosiddetto “GDPR”), si è pronunciato sul trattamento di personali per finalità di ricerca scientifica. Nel provvedimento l’Autorità ha fornito importanti indicazioni in merito a:

• agli standard di sicurezza e alle modalità di perfezionamento degli adempimenti in materia di protezione dei dati personali in relazione al trattamento di dati genetici;
• all’informativa da rendere ai pazienti per il trattamento di dati personali finalizzato alla realizzazione di un progetto di ricerca;
• alla conservazione dei dati e all’eventualità di ulteriori trattamenti nell’ambito del trattamento dei dati per finalità di ricerca scientifica.

Anzitutto, è opportuno ricordare che il titolare del trattamento è tenuto a consultare preventivamente il Garante – nel rispetto di quanto previsto dagli artt. 36 del GDPR e 110 del Codice Privacy – laddove la valutazione d’impatto sulla protezione dei dati (art. 35 del GDPR) indichi che un trattamento di dati potrebbe configurare un rischio elevato, in assenza di misure adottate per mitigarne il rischio. Il fine della consultazione preventiva è quello di ottenere, dall’Autorità di controllo, le indicazioni necessarie per poter attuare un trattamento di dati personali non pericoloso per i diritti e le libertà degli interessati.

Qualora il titolare del trattamento non consulti il Garante nei casi in cui è obbligatorio – è bene sottolineare – il GDPR prevede l’applicazione di una sanzione amministrativa pecuniaria fino ad un massimo di 10.000.000 di euro o, se il titolare del trattamento è un’impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore (art. 83, par. 4, lett. a)).

• Il fatto e l’istruttoria del Garante

Il provvedimento prende origine da un’istanza di autorizzazione preventiva presentata da una ONLUS per la realizzazione di un progetto di ricerca, che richiedeva il trattamento di dati comuni e di categorie particolari di dati (art. 9 del GDPR), tra cui dati relativi alla salute e dati genetici, raccolti da 80 pazienti.

Nel corso dell’attività istruttoria svolta dal Garante, emergeva che il titolare:

• non aveva illustrato in maniera chiara le tipologie di dati oggetto di trattamento e, in particolare, se tra questi fossero ricompresi anche dati genetici;
• aveva predisposto un’informativa risultata incoerente con i principi di sinteticità, chiarezza e trasparenza, in special modo con riguardo ai tempi di conservazione;
• non aveva indicato le modalità adottate per fornire le informazioni ai pazienti arruolati non direttamente contattabili, ai sensi dell’art. 14, par. 5, lett. b, del GDPR e dell’art. 6 delle Regole deontologiche;
• aveva trasmesso all’Autorità una documentazione incoerente in merito all’eventualità di ulteriori trattamenti.

• Le valutazioni del Garante

Nel provvedimento in esame, sulla base delle questioni emerse all’esito dell’istruttoria effettuata dall’Autorità, quest’ultima espone alcune importanti valutazioni, che, di seguito, verranno sinteticamente esaminate.

• Nella documentazione trasmessa in sede di istruttoria dal titolare del trattamento, non venivano indicate le misure specifiche per la custodia e la sicurezza dei dati genetici e dei campioni biologici oggetto di trattamento per il perseguimento degli obiettivi primari e secondari della ricerca.

A tal proposito, il Garante ha ricordato che il trattamento dei dati genetici deve avvenire anche nel rispetto delle Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del Decreto Legislativo 10 agosto 2018, n. 101, che prevedono, al punto 4, specifiche misure di carattere tecnico e organizzativo che devono essere adottate dal titolare del trattamento.

• In relazione agli oneri informativi, l’Autorità ha precisato che, in aggiunta a quanto disposto dagli artt. 13 e 14 del GDPR, le informative da fornire agli interessati devono chiarire “le modalità con cui gli interessati, che ne facciano richiesta, possono accedere alle informazioni contenute nel progetto di ricerca” (punto 4.11.1 delle sopraindicate Prescrizioni).

Per quanto concerne l’informativa sul trattamento dei dati personali e le modalità di raccolta del consenso degli interessati, il provvedimento sottolinea la necessità che quest’ultima risulti coerente con i principi di sinteticità, trasparenza e intellegibilità cui all’art. 12, par. 1 del GDPR.

Il Garante, inoltre, ha posto particolare attenzione ai soggetti non contattabili, ritenendo necessaria la pubblicazione, sul sito web di tutti i partner coinvolti nelle attività di ricerca, di un’informativa, al fine di raggiungere eventuali pazienti dispersi e non raggiungibili.

• In merito alla conservazione dei dati e all’eventualità di ulteriori trattamenti, il Garante ha ricordato che la tematica della validità del consenso come condizione di liceità rispetto a trattamenti di dati per scopi di ricerca scientifica, non puntualmente delineati al momento della raccolta dei dati, è affrontata dal considerando 33 del Regolamento, secondo il quale, quando non è possibile individuare pienamente le finalità del trattamento ai fini di ricerca scientifica al momento della raccolta, dovrebbe essere consentito agli interessati di: (i) prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica; (ii) di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista.

La ratio del considerando 33 del GDPR, secondo il Garante, deve essere interpretata nel rispetto delle Linee guida 5/2020 sul consenso ai sensi del regolamento, adottate, dal Comitato europeo per la protezione dei dati (EDPB), il 4 maggio 2020, le quali chiariscono che esso non inficia gli obblighi relativi ai requisiti del consenso, con particolare riferimento a quello della granularità e della specificità.

Sulla base delle Linee guida del Comitato, l’Autorità ha evidenziato che:

• non è consentita un’ulteriore conservazione dei dati personali sulla base del cosiddetto meccanismo opt-out, vale a dire che il silenzio assenso dell’interessato non può costituire una manifestazione del consenso al trattamento ulteriore dei dati personali;
• per quanto concerne l’ulteriore conservazione dei dati e dei campioni biologici di pazienti non contattabili, il titolare del trattamento deve rispettare le disposizioni contenute nelle richiamate Prescrizioni (punto 4.11.3 e punto 5.6 del provvedimento 5 giugno 2019) e nelle osservazioni sulla cosiddetta presunzione di non incompatibilità del fine di ricerca scientifica rispetto agli scopi della raccolta formulate dal Comitato europeo (Parere 3/2019) e dal Garante europeo (Opinion del 6 gennaio 2020);
• il trattamento ulteriore deve essere accompagnato da idonee garanzie ai sensi dell’art. 89 del GDPR, prestando particolare attenzione all’implemento delle misure volte ad assicurare l’applicazione effettiva dei principi di trasparenza e di minimizzazione (artt. 5, par. 1, lett. a) e c), par. 2, 24 e 25 del GDPR).

In linea generale, laddove l’ulteriore conservazione dei dati riguardi anche pazienti per i quali non è possibile acquisire il consenso, il Garante sottolinea che il titolare del trattamento ha due alternative:

• individuare uno specifico presupposto giuridico per tale trattamento;
• rendere l’ulteriore conservazione compatibile con lo scopo principale della raccolta, evidenziando, in particolare, le ragioni per cui le ulteriori ricerche scientifiche non possono essere realizzate mediante il trattamento di dati riferiti a persone che possono rilasciare il consenso informato.

Il provvedimento, in conclusione, fornisce importanti indicazioni in merito al trattamento di dati personali per finalità di ricerca scientifica: da un lato, poiché mette in evidenza la necessità di adottare misure specifiche per la custodia e la sicurezza dei dati genetici e dei campioni biologici; dall’altro, perché chiarisce alcuni aspetti rilevanti sia in relazione agli oneri informativi, soprattutto con riguardo ai pazienti non contattabili, sia alla conservazione dei dati e all’eventualità di ulteriori trattamenti.

Alessandro Perotti

L'articolo Il trattamento di dati personali per finalità di ricerca: alcune indicazioni del Garante Privacy proviene da E-Lex.

L’AGCM sanziona Prenotazioni24 S.r.l. per pratiche commerciali scorrette ed altre condotte illecite

Con comunicazione dello scorso 10 febbraio, l’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha reso noto di aver sanzionato, per complessivi 900 mila euro, Prenotazioni24 S.r.l., agenzia di promozione, comparazione e rivendita online di biglietti di trasporto marittimo.

In particolare, secondo l’Autorità, l’agenzia avrebbe attuato diverse pratiche commerciali scorrette, nonché posto in essere delle condotte illecite relative alle modalità di presentazione della società e delle caratteristiche dei servizi offerti.

L’Autorità ha anche reso noto, tuttavia, che nel corso dell’istruttoria Prenotazioni24 ha già attuato interventi idonei ad impedire la prosecuzione delle condotte accertate.

Fonte: sito ufficiale dell’AGCM

AGCOM: emessi tre provvedimenti nei confronti di DAZN Italia

Con il comunicato stampa dello scorso 20 gennaio, l’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”) ha reso noto di essere intervenuta nei confronti di DAZN Italia con tre provvedimenti per qualità del servizio offerto, tutela dei clienti ed indici di ascolto.

Più nello specifico, il primo provvedimento ha riguardato la definizione dei parametri di qualità per la fruizione del servizio di diffusione in live streaming delle partite: sono stati definiti parametri e criteri per gli indennizzi da corrispondere in caso di disservizi.

Con il secondo provvedimento, l’Autorità ha avviato un procedimento sanzionatorio nei confronti della Società per non aver quest’ultima dato seguito alla delibera del 7 ottobre 2021, con la quale l’AGCOM le aveva intimato di adottare un più efficace servizio di assistenza clienti.

Infine, il terzo provvedimento ha concluso un procedimento avviato dall’Autorità lo scorso 9 settembre ed avente ad oggetto la verifica della metodologia di misurazione degli indici di ascolto dei programmi trasmessi dalla Società.

Fonte: sito ufficiale dell’AGCOM

L’AGCM ritiene vessatorie le clausole delle condizioni di servizio per gli utenti di TikTok

L’AGCM ha concluso un procedimento istruttorio nei confronti della società TikTok Technology Limited, avente ad oggetto la valutazione delle clausole contenute nelle “Condizioni di Servizio per gli utenti residenti all’interno di SEE, Svizzera e Regno Unito” pubblicate dalla Società sulla sua piattaforma.

In particolare, con il provvedimento di chiusura del procedimento emesso lo scorso 18 gennaio, l’Autorità ha ritenuto vessatorie le suddette clausole in quanto determinanti un significativo squilibrio dei diritti e degli obblighi contrattuali a sfavore del consumatore, oltre ad essere formulate secondo modalità ambigue e non chiare per i giovani utilizzatori di TikTok.

Le clausole riguardano la modifica unilaterale delle condizioni e dei servizi da parte della Società, la risoluzione del contratto, la rinuncia degli utenti ai diritti sui contenuti pubblicati sulla piattaforma, le limitazioni di responsabilità a favore della Società, nonché la determinazione della legge applicabile e del foro competente.

Fonte: sito ufficiale dell’AGCM

La Suprema Corte di Cassazione si pronuncia nuovamente sul tema del secondary meaning

Con l’ordinanza n. 53/2022, depositata lo scorso 4 gennaio, la Sezione I Civile della Corte di Cassazione si è pronunciata in tema di cosiddetto secondary meaning.

In particolare, la Suprema Corte, respingendo il ricorso di un noto pastificio molisano, ha chiarito che tale fenomeno si verifica ogniqualvolta un segno, originariamente sprovvisto di capacità distintiva per genericità, mera descrittività o mancanza di originalità, si trovi successivamente ad acquisire tali qualità in conseguenza del consolidarsi del suo uso sul mercato, legittimando così il titolare del marchio ad agire in contraffazione.

La Corte ha altresì chiarito che oggetto dell’onere probatorio, in tal caso, non deve essere l’esistenza di investimenti pubblicitari in sé, bensì la rinomanza acquisita dal segno.

Fonte: DeJure banca dati

AGCOM emana parere favorevole per l’offerta di coinvestimento di TIM sulle reti ad altissima capacità

Durante la seduta dello scorso 3 gennaio, il Consiglio dell’AGCOM ha valutato, a maggioranza dei suoi membri, conforme all’art. 76 del Codice europeo delle comunicazioni elettroniche l’offerta di coinvestimento di TIM S.p.A. per la realizzazione di nuove reti ad altissima capacità (VHC) ed ha avviato una consultazione pubblica sul conseguente trattamento regolamentare della nuova rete oggetto dell’offerta.

Il provvedimento assume una certa rilevanza, dal momento che si tratta della prima applicazione delle disposizioni del suddetto Codice in materia di coinvestimento.

La consultazione pubblica sarà utile al fine di acquisire il punto di vista del mercato sulla proposta di trattamento regolamentare, prima di procedere alla notifica dello schema di provvedimento alla Commissione europea.

Fonte: sito ufficiale dell’AGCOM

L'articolo What’s new in Italy on <br>IP, Competition and Innovation</BR> n.1 – Febbraio 2022 proviene da E-Lex.

Il Garante per la protezione dei dati personali, con Deliberazione del 22 dicembre 2021, ha fissato gli indirizzi per l’attività ispettiva di iniziativa curata dall’Autorità, anche per mezzo della Guardia di Finanza, in relazione al periodo gennaio-giugno 2022.

Nel provvedimento vengono individuati i focus su cui l’Autorità intende esercitare i propri poteri di indagine, così come disciplinati dall’art. 58 del Regolamento (UE) 2016/679 (“GDPR”) e dagli artt. 157 e 158 del D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy), nel primo semestre dell’anno.

*****

Analizzando il contenuto del provvedimento, emerge in maniera chiara come il Garante abbia deciso di prestare una particolare attenzione a tematiche di grande attualità, dedicandosi ad aspetti relativi a trattamenti di dati connessi all’attuale situazione pandemica (come nel caso delle corrette modalità di verifica dei Green Pass), in parte muovendosi sulla scorta di alcune recenti iniziative in merito a peculiari modalità di trattamento (ad es. videosorveglianza o le corrette modalità di gestione dei cookies).

In particolare, l’attività di ispezione sarà incentrata su:

• trattamenti di dati personali effettuati da “fornitori di database”;
• trattamenti di dati personali svolti da piattaforme e siti web, con particolare riferimento alla corretta gestione dei cookies;
• trattamento di dati personali nel settore della c.d. “videosorveglianza”;
• trattamento di dati da parte di siti di incontri; operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys;
• utilizzo di algoritmi e intelligenza artificiale in ambito pubblico e privato.

L’attività ispettiva, inoltre, sarà indirizzata ad accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app e altri applicativi informatici tra cui, in particolare, i trattamenti di dati personali da parte di app installate sugli smartphone e altri device finalizzate alla verifica dei green pass.

Come accennato, ciascuno degli ambiti di analisi individuati dall’Autorità è già stata oggetto, negli scorsi mesi, di specifici provvedimenti e iniziative che, di seguito, vengono richiamate e schematizzate.

• Trattamenti di dati personali nei confronti di “fornitori di database”

Come noto, il Garante è intervenuto numerose volte (anche di recente) per sanzionare violazioni della normativa perpetrate a mezzo di pratiche di telemarketing aggressivo. Come noto, nella maggior parte dei casi, le attività istruttorie condotte hanno fatto emergere la responsabilità – a diverso titolo – di più soggetti coinvolti nel trattamento: dalla mancanza di controlli da parte dei titolari sulla liceità della provenienza delle liste e degli elenchi di indirizzi e contatti, fino alla carenza o invalidità di base giuridica con cui tali dati erano stati acquisiti dai responsabili (in alcuni casi anche dai subresponsabili).

Per questo motivo, in virtù del principio di accountability, è molto importante che ciascun titolare del trattamento, che decida di ricorrere a fornitori di database per le proprie iniziative di comunicazione e pubblicitarie, compia accurate verifiche in ordine alla provenienza dei dati e alla presenza di una valida base giuridica per poter procedere al trattamento.

• Trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies

Lo scorso 6 gennaio è scaduto il termine per tutti i titolari del trattamento per conformarsi alle prescrizioni indicate dall’Autorità nelle Linee guida sui cookie e altri strumenti di tracciamento. Per un dettaglio relativo alle corrette modalità di acquisizione del consenso, così come alle informazioni che il titolare del trattamento deve fornire agli interessati, si rimanda all’articolo di Marilara Coppola dello scorso 12 luglio. Le Linee guida, inoltre, forniscono indicazioni per una corretta programmazione del banner cookie, tanto con riferimento alla struttura (così da evitare fenomeni come i “dark patterns”) quanto in relazione al contenuto.

• Trattamento di dati personali nel settore della c.d. “videosorveglianza”

Per quanto concerne il trattamento di dati personali effettuati a mezzo di impianti di videosorveglianza, l’Autorità ha recentemente condotto alcune campagne informative, incentrate sul rispetto dei principi di sicurezza, trasparenza e minimizzazione del trattamento. Sul punto, i riferimenti normativi e di indirizzo più recenti sono le Linee guida 3/2019 sul trattamento di dati personali attraverso dispositivi video adottate il 29 gennaio 2020 dall’European Data Protection Board (EDPB).

Inoltre, il Garante ha pubblicato le FAQ in tema di videosorveglianza e protezione dei dati personali, che forniscono risposte in relazione a:

• Alle corrette modalità di installazione e configurazione dei sistemi di videosorveglianza;
• Alle modalità con cui informare gli interessati e alle informazioni da fornire loro;
• al rispetto del principio di minimizzazione, con specifico riferimento alla limitazione del campo di ripresa;
• ai tempi di conservazione delle immagini registrate.

• Titolari e responsabili del trattamento in relazione all’utilizzo di app e acquisizione delle informazioni da parte di app installate sugli smartphone

In riferimento a questo specifico segmento oggetto di attività ispettive, si deve in primo luogo evidenziare come sia sempre necessario prestare particolare attenzione alla corretta configurazione dei rapporti tra i soggetti del trattamento, in special modo laddove tale trattamento sia effettuato a mezzo di app e altri applicativi. Ciò naturalmente deve trovare la sua forma all’interno degli atti nomina a responsabile e negli accordi sul trattamento dei dati personali, ove devono essere specificati con chiarezza ruoli e responsabilità.

Al fine di individuare correttamente i titolari e i responsabili del trattamento, anche in relazione all’utilizzo di app, si deve fare riferimento ai principi enucleati dall’EDPB nella versione 2.0 delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021.

Per quanto concerne l’acquisizione di informazioni e dati personali da parte di app installate sugli smartphone, si segnala che l’Autorità, il 29 settembre 2021, ha avviato un’istruttoria, in collaborazione con la Guardia di Finanza, che prevede l’esame di una serie di app c.d. “rubadati”.

Nell’ambito del trattamento di dati personali da parte di app che forniscono servizi legati al tracciamento dei contatti nel contesto dell’emergenza pandemica da Covid-19, si devono ricordare leLinee Guida 4/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19, adottate dall’EDPB il 21 aprile 2020.

Gli specifici aspetti sopra menzionati costituiscono i principali aspetti su cui si focalizzeranno le attività ispettive dell’Autorità, tuttavia, si sottolinea che il Garante, indipendentemente dal piano ispettivo fissato, potrà in ogni caso svolgere ulteriori attività istruttorie di carattere ispettivo sia d’ufficio sia in relazione a segnalazioni o reclami proposti.

Andrea Pisano & Alessandro Perotti

L'articolo Le attività ispettive del Garante Privacy: pubblicato il piano ispettivo dell’Autorità per il primo semestre del 2022. proviene da E-Lex.

Con la sentenza n. 03952 del 1° dicembre 2021 (depositata l’8 febbraio 2022), la Suprema Corte di Cassazione si è pronunciata di nuovo sul tema del diritto all’oblio e, nello specifico, del bilanciamento dell’interesse a vedere “dimenticati” determinati accadimenti con il passare del tempo, da un lato, e quello dei consociati ad essere informati in merito a detti accadimenti, dall’altro.

I fatti oggetto della vicenda

Con una richiesta del 22 aprile 2015, un utente aveva inoltrato a due gestori di un motore di ricerca una richiesta fondata sul diritto all’oblio, avente ad oggetto la rimozione – dai risultati delle ricerche effettuate con detto motore – delle notizie che collegavano il nome dell’interessato a una vicenda giudiziaria risalente nel tempo.

A valle del rifiuto dei gestori di dare seguito alla richiesta, l’interessato aveva proposto ricorso all’Autorità garante per la protezione dei dati personali che, in accoglimento del ricorso, ordinava sia la rimozione degli URL sia la cancellazione delle copie cache dalle pagine accessibili tramite detti URL.

Le società impugnavano poi il provvedimento del Garante presso il Tribunale di Milano, che rigettava il ricorso con sentenza del 15 gennaio 2016, a sua volta impugnata per Cassazione.

La deindicizzazione alla luce delle pronunce della Cassazione

Nella pronuncia in esame, il Collegio si è diffusamente soffermato sul concetto e sulla ratio della cosiddetta deindicizzazione, ossia il rimedio atto ad evitare che il nome di una persona sia associato dal motore di ricerca a fatti di cui internet continua a conservare memoria.

La summenzionata pratica costituisce una declinazione del noto diritto all’oblio (in inglese, right to be forgotten) e, nello specifico, il diritto della persona a non essere trovata facilmente sulla rete (in inglese, right not to be found easily). In tal senso, la deindicizzazione consente di escludere che delle ricerche effettuate partendo dal nome di un determinato soggetto possano condurre a risultati idonei a fare conoscere ambiti della vita passata di questo che, tuttavia, non possono essere totalmente oscurati (in quanto presentano ancora un interesse per la collettività).

L’obiettivo del rimedio in commento è, pertanto, preservare l’identità digitale dei cittadini, evitando che gli utenti di internet – che ignorano il coinvolgimento della persona nelle vicende in questione – possa imbattersi in notizie riguardanti le stesse in maniera casuale o, ancora, in quanto animati “dalla curiosità di conoscere aspetti della trascorsa vita altrui di cui la rete ha ancora memoria”.

Ecco allora che la deindicizzazione costituisce il punto di incontro, per dir così, tra il diritto ad essere dimenticato, in capo al singolo, e quello all’informazione, in capo a tutti i consociati.

In tal senso, inoltre, si era già pronunciata la Corte EDU con riferimento al diritto al rispetto della vita privata (art. 8 della CEDU) e il diritto alla libertà di espressione (art. 10 della CEDU), fornendo precisi criteri per la ponderazione dei diritti in commento, tra cui il contributo della notizia ad un dibattito di interesse generale, il grado di notorietà del soggetto e della notizia, la sua veridicità, etc. (ex pluribus, Corte EDU 19 ottobre 2017, Fuchsmann c. Germania; Corte EDU 28 giugno 2018, M.L. e W.W. c. Germania).

In conclusione, la deindicizzazione attiene alla durata e alla facilità di accesso alle informazioni, ma non anche alla loro conservazione su internet.

Nel caso oggetto della pronuncia in esame, tuttavia, non era controversa la legittimità della deindicizzazione, ma, diversamente, l’ordine di procedere alla cancellazione delle copie cache delle pagine internet accessibili tramite l’URL degli articoli che trattavano della vicenda rispetto alla quale era stato esercitato il diritto all’oblio.

La conservazione delle copie cache

La copia cache su siti internet indicizzati consente al motore di ricerca di fornire una risposta più veloce ed efficace all’interrogazione posta dall’utente attraverso una o più parole chiave. La cancellazione di questa impedisce (o, comunque, rende più difficile) al motore di ricerca di indirizzare l’utente alla notizia presente sul web, a prescindere dalle chiavi di ricerca utilizzate.

Risulta evidente che, rispetto al bilanciamento di cui sopra, nella cancellazione delle copie cache occorre ravvisare una netta prevalenza del diritto alla riservatezza di una persona rispetto a quello all’informazione.

A tale proposito, il Collegio ha ricordato la Raccomandazione CM/Rec (2012) del Comitato dei Ministri del Consiglio d’Europa, la quale evidenzia che uno dei presupposti per l’esistenza di motori di ricerca efficaci è la libertà di scansionare e indicizzare le informazioni disponibili su internet, nonché che il filtraggio e il blocco dei contenuti da parte dei gestori dei motori comporta, nei fatti, una compressione del diritto all’informazione di cui all’art. 10 della CEDU.

Le conclusioni della Suprema Corte

Tanto premesso in merito alle nozioni (e alle diverse implicazioni) della deindicizzazione e della cancellazione di copie cache, la Cassazione ha concluso che il bilanciamento da compiersi con riferimento a quest’ultima non coincide con quello operante ai fini della prima.

Infatti, nel caso delle copie cache, il sacrificio del diritto all’informazione non ha ad oggetto una notizia raggiungibile attraverso una ricerca condotta a partire dal nome della persona, ma, piuttosto, la notizia in sé considera (e, in quanto tale, raggiungibile attraverso ogni diversa chiave di ricerca).

Da ciò discende il principio in base al quale – con riferimento a detta cancellazione – il giudizio di bilanciamento deve essere ancora più stringente ed avere ad oggetto il diritto all’oblio dell’interessato, da un lato, e quello alla diffusione dell’informazione in sé considerata, dall’altro.

Nel caso esaminato dalla Corte, avendo la stessa rilevato che il Tribunale di Milano (e il Garante prima) aveva calibrato il proprio ragionamento sulla vicenda personale dell’interessato, ha rinviato la causa a detto Tribunale (in diversa composizione) al fine di applicare il summenzionato principio.

Ariella Fonsi

L'articolo Cancellazione delle copie cache: la Corte di Cassazione torna sul diritto all’oblio proviene da E-Lex.

Cloud della PAPubblicati i documenti per classificare dati e servizi e qualificare i servizi delle PA

Prosegue il percorso previsto per l’adozione della Strategia nazionale sul cloud per le pubbliche amministrazioni.

L’Agenzia per la cybersicurezza nazionale ha predisposto gli atti che definiscono le modalità per la classificazione dei dati e dei servizi pubblici e i requisiti per le tipologie di qualificazione dei servizi cloud della PA.

Gli atti pubblicati fanno seguito al Regolamento per i servizi cloud pubblicato dall’Agenzia per l’Italia Digitale a dicembre 2021.

Leggi la news

Competenze digitaliNasce il Fondo Repubblica Digitale

Il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze hanno siglato un protocollo d’intesa che definisce le modalità per l’istituzione del Fondo per Repubblica Digitale, il progetto dedicato alle competenze digitali.

Il Fondo sarà alimentato dai versamenti effettuati dalle Fondazioni di origine bancaria, per un importo complessivo previsto di circa 350 milioni di euro.

Leggi la news

Spesa ICT della Pubblica Amministrazione L’Agenzia per l’Italia Digitale ha pubblicato il report sulla spesa ICT delle PA 2021

L’Agenzia per l’Italia Digitale ha pubblicato il report sulla spesa ICT della pubblica amministrazione relativo all’anno 2021.

La ricerca ha coinvolto un gruppo di 74 enti e evidenzia un aumento della spesa ICT delle amministrazioni analizzate pari a 3,7 miliardi nel 2021, in crescita rispetto ai 2,8 miliardi del 2019.

Leggi la news

ConnettivitàAl via il bando del Piano Italia a 1 Giga

È stato pubblicato il Piano “Italia a 1 Giga” con cui vengono messi a disposizione quasi 3,7 miliardi di euro dai fondi del PNRR. Il bando è uno degli interventi della Strategia nazionale per la Banda Ultra Larga che prevede anche Piani per connettere le scuole e le strutture sanitarie e per promuovere lo sviluppo delle reti 5G. Gli operatori interessati possono presentare le offerte entro il 16 marzo 2022.

Leggi la news

Sanità digitalePubblicata la seconda gara per la Sanità digitale

Consip ha pubblicato la seconda gara di Sanità Digitale che fa parte delle iniziative strategiche realizzate da Consip nell’ambito del Piano Triennale per l’informatica nella Pubblica Amministrazione.

In coerenza con la Missione 6 del PNRR (“Salute”), le iniziative sulla Sanità Digitale mettono a disposizione delle amministrazioni servizi applicativi e di supporto al processo di trasformazione digitale della Sanità pubblica.

Leggi la news

L'articolo What’s new in Italy on Digital Administration<BR> n.1 – Gennaio 2022 proviene da E-Lex.

A seguito dell’emanazione della Direttiva n. 790/2019 (c.d. “Direttiva Copyright”) e del suo recepimento, avvenuto con il d.lgs. 8 novembre 2021, n. 177, l’Italia ha novellato molteplici disposizioni della legge sul diritto d’autore (LDA) al fine di adattarla all’attuale scenario digitale.

Gli Stati membri, tuttavia, sembrano aver adottato un’impostazione non sempre uniforme dell’art.17 della Direttiva Copyright, rubricato “Utilizzo di contenuti protetti da parte di prestatori di servizi di condivisione di contenuti online”, che chiarisce i casi nei quali i prestatori di servizi compiono atti di comunicazione al pubblico, disciplinando altresì il regime di responsabilità che ne deriva.

Preliminarmente è doveroso ricordare, secondo la direttiva e il decreto di recepimento, che i prestatori di servizi sono quei soggetti che consentono il caricamento da parte degli utenti, attraverso le proprie piattaforme di file-sharing, grandi quantità di opere protette dalla LDA, comportandone così la messa a disposizione del pubblico.

Il legislatore comunitario ha, con l’inserimento dell’art.17 della Direttiva Copyright, chiarito, da un lato, il significato di “comunicazione al pubblico”, che si ha nel caso in cui il prestatore di servizi “concede l’accesso al pubblico a opere protette dal diritto d’autore o altri materiali protetti caricati dai suoi utenti”, nonché, dall’altro, disposto che gli stessi prestatori di servizi, nel momento in cui compiono atti di comunicazione al pubblico di opere protette dalla LDA, devono ottenere dai titolari di tali diritti una preventiva licenza.

Nel caso in cui la licenza non sia rilasciata, la Direttiva prevede, al paragrafo quattro dell’articolo 17, che il prestatore di servizi debba adempiere ai seguenti obblighi per essere esente da responsabilità:

• aver compiuto i massimi sforzi per ottenere un’autorizzazione, e
• aver compiuto, secondo elevati standard di diligenza professionale di settore, i massimi sforzi per assicurare che non siano disponibili opere e altri materiali specifici per i quali abbiano ricevuto le informazioni pertinenti e necessarie dai titolari dei diritti; e in ogni caso,
• aver agito tempestivamente, dopo aver ricevuto una segnalazione sufficientemente motivata dai titolari dei diritti, per disabilitare l’accesso o rimuovere dai loro siti web le opere o altri materiali oggetto di segnalazione e aver compiuto i massimi sforzi per impedirne il caricamento in futuro conformemente alla lettera b).

Dopo aver chiarito quali sono gli obblighi che il prestatore di servizi deve adempiere al fine di non essere ritenuto responsabile della pubblicazione di un’opera protetta dalla LDA da parte di un utente privo della relativa autorizzazione, al successivo paragrafo cinque, il legislatore dell’Unione europea indica, alla luce del principio di proporzionalità, quali sono gli elementi che stabiliscono se il prestatore di servizi si è conformato o meno agli obblighi di cui sopra, ossia:

• la tipologia, il pubblico e la dimensione del servizio e la tipologia di opere o altri materiali caricati dagli utenti del servizio;
• la disponibilità di strumenti adeguati ed efficaci e il relativo costo per i prestatori di servizi.

Come si evince da quanto esposto, i prestatori di servizi possono non essere responsabili della pubblicazione di contenuti protetti dalla LDA non autorizzati, purché siano rispettate le suddette condizioni.

Allo stesso tempo non viene lasciato privo di tutela il titolare dei diritti che voglia rimuovere il proprio contenuto pubblicato senza apposita licenza.

Infatti, la Direttiva Copyright non ha dimenticato di fornire una tutela ad ampio raggio anche ai titolari dei diritti dei contenuti caricati sulle piattaforme dei prestatori di servizi, imponendo, pertanto, a questi ultimi, di dar vita ad un “meccanismo di reclamo e ricorso celere ed efficace che sia disponibile agli utenti dei loro servizi in merito alla disabilitazione dell’accesso a, o alla rimozione di, specifiche opere o altri materiali da essi caricati”.

Prima dell’entrata in vigore della suddetta normativa, secondo la recente giurisprudenza della Corte di Giustizia – ad esempio, Corte di Giustizia UE, Grande Sezione, 22/06/2021 , n. 682 – i gestori di una piattaforma di condivisione di video o di una piattaforma di hosting e di condivisione di file, per il tramite della quale alcuni utenti mettevano illecitamente a disposizione del pubblico contenuti protetti, non effettuavano una “comunicazione al pubblico” di detti contenuti.

La “comunicazione al pubblico”, infatti, si sarebbe realizzata solo nel caso in cui gli stessi gestori avessero contribuito, al di là della semplice messa a disposizione della piattaforma, a consentire al pubblico l’accesso a siffatti contenuti – astenendosi dal rimuoversi o dal bloccarne immediatamente l’accesso- così integrando una violazione della LDA.

Ulteriore ipotesi di responsabilità si aveva anche nel caso di partecipazione da parte degli stessi gestori alla selezione di contenuti protetti comunicati illecitamente al pubblico tramite le proprie piattaforme, come nel caso della c.d. indicizzazione dei contenuti.

Con il nuovo articolo 17 della Direttiva Copyright, si è stabilito che il prestatore di servizi di condivisione online pone in essere sempre un atto di comunicazione al pubblico ogni volta che concede l’accesso ad opere protette dal diritto d’autore o ad altri contenuti protetti caricati dai suoi utenti, ampliando così il regime di responsabilità degli stessi prestatori di servizi e riconoscendo loro, dunque, una sorta di responsabilità semi-oggettiva qualora non abbiano rispettato le condizioni stabilite dall’art. 17 della Direttiva Copyright.

Daniele Lo Iudice

L'articolo Il recepimento della “Direttiva Copyright” – focus sull’art. 17 proviene da E-Lex.

Cloud della PAPubblicati i documenti per classificare dati e servizi e qualificare i servizi delle PA

Prosegue il percorso previsto per l’adozione della Strategia nazionale sul cloud per le pubbliche amministrazioni.

L’Agenzia per la cybersicurezza nazionale ha predisposto gli atti che definiscono le modalità per la classificazione dei dati e dei servizi pubblici e i requisiti per le tipologie di qualificazione dei servizi cloud della PA.

Gli atti pubblicati fanno seguito al Regolamento per i servizi cloud pubblicato dall’Agenzia per l’Italia Digitale a dicembre 2021.

Leggi la news

Competenze digitaliNasce il Fondo Repubblica Digitale

Il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze hanno siglato un protocollo d’intesa che definisce le modalità per l’istituzione del Fondo per Repubblica Digitale, il progetto dedicato alle competenze digitali.

Il Fondo sarà alimentato dai versamenti effettuati dalle Fondazioni di origine bancaria, per un importo complessivo previsto di circa 350 milioni di euro.

Leggi la news

Spesa ICT della Pubblica Amministrazione L’Agenzia per l’Italia Digitale ha pubblicato il report sulla spesa ICT delle PA 2021

L’Agenzia per l’Italia Digitale ha pubblicato il report sulla spesa ICT della pubblica amministrazione relativo all’anno 2021.

La ricerca ha coinvolto un gruppo di 74 enti e evidenzia un aumento della spesa ICT delle amministrazioni analizzate pari a 3,7 miliardi nel 2021, in crescita rispetto ai 2,8 miliardi del 2019.

Leggi la news

ConnettivitàAl via il bando del Piano Italia a 1 Giga

È stato pubblicato il Piano “Italia a 1 Giga” con cui vengono messi a disposizione quasi 3,7 miliardi di euro dai fondi del PNRR. Il bando è uno degli interventi della Strategia nazionale per la Banda Ultra Larga che prevede anche Piani per connettere le scuole e le strutture sanitarie e per promuovere lo sviluppo delle reti 5G. Gli operatori interessati possono presentare le offerte entro il 16 marzo 2022.

Leggi la news

Sanità digitalePubblicata la seconda gara per la Sanità digitale

Consip ha pubblicato la seconda gara di Sanità Digitale che fa parte delle iniziative strategiche realizzate da Consip nell’ambito del Piano Triennale per l’informatica nella Pubblica Amministrazione.

In coerenza con la Missione 6 del PNRR (“Salute”), le iniziative sulla Sanità Digitale mettono a disposizione delle amministrazioni servizi applicativi e di supporto al processo di trasformazione digitale della Sanità pubblica.

Leggi la news

L'articolo What’s new in Italy on Digital Administration<BR> n.1 – Febbraio 2022 proviene da E-Lex.

Un nuovo provvedimento sull’utilizzo di algoritmi nell’ambito dell’attività amministrativa arriva dal Tribunale di Latina.

Ormai siamo abituati a tante pronunce in materia dei Tribunali amministrativi ma, a seguito della privatizzazione del pubblico impiego, quando la questione concerne il rapporto tra la pubblica amministrazione e i propri dipendenti, spesso è il giudice del lavoro ad essere chiamato a decidere sulla legittimità di un procedimento.

Il caso

La vicenda oggetto dell’ordinanza n. 13497 del 28.12.2021 prende le mosse dalla presunta irregolarità della procedura per il conferimento di alcuni incarichi a tempo determinato per l’anno scolastico 2021/2022.

La ricorrente ha lamentato, in particolare, che l’Ufficio scolastico provinciale competente avrebbe assegnato incarichi di supplenza su posti di sostegno ad aspiranti docenti collocati in posizione successiva rispetto alla stessa, nonché ad aspiranti docenti con punteggio inferiore, ma su sedi non indicate in domanda dall’istante. La mancata assegnazione in proprio favore, secondo la ricorrente avvenuta in violazione delle regole della procedura, le avrebbe comportato gravi danni attuali (perdita dell’incarico e dello stipendio) e futuri (perdita di punteggio per la partecipazione a successive procedure).

Sulla base di queste considerazioni l’insegnante ha presentato ricorso d’urgenza al Tribunale di Latina, chiedendo e ottenendo la condanna del Ministero dell’Istruzione ad attribuirle l’incarico e al pagamento delle spese di lite.

Le motivazioni dell’ordinanza

La decisione del giudice si basa su un’analisi precisa della procedura scelta dall’Amministrazione per l’anno 2021/2022 per il conferimento degli incarichi.

A differenza degli anni precedenti, infatti, l’assegnazione degli incarichi di supplenza per l’anno scolastico in oggetto è stata, questa volta, completamente informatizzata e affidata ad un algoritmo che attribuisce le sedi sulla base di un incrocio tra posizione in graduatoria degli aspiranti docenti e indicazioni preferenziali da questi espresse nella domanda di partecipazione alla procedura.

Ebbene, l’impostazione della procedura, disegnata dal DM 242/2021, prevedeva una serie di conseguenze automatiche scaturenti da azioni o omissioni dei partecipanti. Tra queste ultime il giudice ha esaminato con particolare attenzione la fattispecie della “rinuncia alla sede”, che era prevista dal comma 8 dell’art. 4 dello stesso decreto e alla quale viene ricondotto il caso della ricorrente.

In particolare, per espressa previsione del decreto, la mancata indicazione di talune sedi sarebbe stata intesa quale rinuncia per le sedi non richieste.

Secondo la ricorrente, però, nel caso di rinuncia alla sede – in cui il docente ha presentato tempestivamente istanza telematica e ha quindi un chiaro interesse a partecipare alla procedura straordinaria di reclutamento supplenti ma si è reso disponibile ad assumere l’incarico solo in alcune sedi rientranti nel perimetro geografico dell’USP competente e non in altre – avrebbe comunque dovuto trovare piena applicazione il successivo comma 9 del citato art. 4, ai sensi del quale: “La mancata assegnazione dell’incarico per le classi di concorso o tipologie di posto e per le sedi richieste consente la partecipazione alle successive procedure di conferimento delle nomine a tempo determinato di cui all’articolo 2, comma 4, lettere a) e b) dell’Ordinanza ministeriale, per le quali si applicano gli articoli 4 e 5 del presente decreto in quanto compatibili”.

È qui che, secondo il giudice, ha sbagliato l’algoritmo il quale ha fatto seguire alla rinuncia della sede – che significa semplicemente “rifiutare di partecipare alla procedura per quelle sedi e non rinunciare ad alcun incarico” – le più aspre conseguenze della rinuncia all’incarico, ossia l’estromissione dell’insegnante dall’intera procedura di assegnazione delle supplenze.

La tesi del Ministero resistente respinta totalmente dal Tribunale di Latina è, invece, che la pretermissione della ricorrente dal turno di nomina dovrebbe ritenersi pienamente legittima. Ciò perché, ai sensi dell’art. 14 dell’Ordinanza Ministeriale n. 60/2020 (“la rinuncia ad una proposta di assunzione o l’assenza alla convocazione comportano la perdita della possibilità di conseguire supplenze sulla base delle GAE e GPS per il medesimo insegnamento”) – secondo il giudice non applicabile alla procedura in oggetto – la ricorrente andrebbe considerata “rinunciataria dell’incarico”.

Conclusioni

Quello in esame è un altro dei numerosi casi in cui emergono in modo tangibile i rischi legati all’automazione dei procedimenti amministrativi.

Non v’è dubbio che, come evidenziato dalla giurisprudenza in materia, l’informatizzazione comporti evidenti vantaggi di efficienza ed economicità in tutti i casi in cui l’amministrazione agisce per l’esercizio di un potere o nello svolgimento di attività negoziali.

Solo una regolamentazione certa dell’utilizzo di soluzioni basate su algoritmi e intelligenza artificiale in ambito pubblico, però, può scongiurare i rischi che inevitabilmente si prospettano accanto ai vantaggi.

Fondamentali risultano anche i controlli ex ante ed ex post sulle soluzioni impiegate nell’ambito dell’attività amministrativa.

Del resto, anche con riferimento al caso di specie, non sbilanciandosi il provvedimento sulle ragioni tecniche che in concreto hanno causato l’estromissione della ricorrente, potrebbe trattarsi tanto di un errore in fase di programmazione determinato dall’erronea interpretazione normativa propugnata dal Ministero anche in giudizio, quanto di un errore di funzionamento che, anche una soluzione ben congegnata, può fare, se non adeguatamente testata e collaudata.

In ogni caso, questa volta ci ha pensato il giudice che ha bocciato l’algoritmo e il Ministero, eccessivamente severi, salvando incarico e punteggio della docente.

Francesca Ricciulli

L'articolo Procedura informatizzata per l’assegnazione di incarichi di supplenza: un caso di discriminazione algoritmica? proviene da E-Lex.

Giovanni Maria Riccio

Giovanni Maria Riccio sarà relatore alla quarta Fourth IP & Innovation Researchers of Asia (IPIRA) Conference, che si terrà dal 9 al 12 febbraio 2022. La conferenza è organizzata dal World Intellectual Property Organization (WIPO) Academy, dalla World Trade Organization (WTO) e dalle seguenti istitutuzioni universitarie: Ahmad Ibrahim Kulliyyah of Laws, International Islamic University Malaysia; Faculty of Law, Universitas Indonesia; Nanyang Business School, Nanyang Technological University; Texas A&M University School of Law; Faculty of Law, University of Geneva.

L’accesso è libero, ma è necessario registrarsi. Ulteriori informazioni qui.

L'articolo Giovanni Maria Riccio relatore alla quarta Fourth IP & Innovation Researchers of Asia (IPIRA) Conference proviene da E-Lex.

The Austrian Data Protection Authority ruled that the use of Google Analytics by a website owner violated Chapter V GDPR (transfers of personal data to third countries or international organisations).

Google Analytics is on the verge of an astounding avalanche of complaints lodged by NOYB1, the non-profit organization chaired by the Austrian activist and lawyer Maximilian Schrems. The first of these complaints has just been discussed2 by the Austrian Data Protection Authority (DSB), who ruled that the use of Google Analytics tool is unlawful. This decision has a far-reaching effect, as it represents the tangible consequence of the recent CJEU case Schrems II and the invalidation of the Privacy Shield. With only a few legal instruments available to controllers and processors3 in addition to the new versions of the SCCs, there is still plenty of room for a guidance on EU – US data transfers.

Amid 2020, the data subject visited a .at website managed by its Austrian owner (“Controller”). The latter implemented the Google Analytics service tool on its website. Google Analytics places cookies to measure traffic characteristics, including the behavior of website visitors and the offer of targeted advertising on the website. While surfing the website, the data subject was logged with his Google account. The log allowed Google LLC, vested as the processor (“Google”, or “Processor”), to view at least his IP address, unique user identification numbers and browser settings. Due to human factors, Controller did not activate the anonymization function on Google Analytics dashboard4. The said function masks the last three digits of the end-user IP address while leaving unmasked the so-called “device fingerprinting”56. This data is meant to be sufficient for Google to single-out the data subject. Both Controller and Processor entered into the former version of the SCCs7 in order to be able to transfer the data to the U.S..

Soon after becoming aware of the type of processing conducted by and on the behalf of the Controller, the data subject, represented by NOYB, lodged a complaint before the DSB, claiming that the transfer of personal data to Google was in violation of the GDPR and the Schrems II ruling8.

The claimant complained on the violation of Chapter V, Articles 44 et seq. GDPR9 in the light of Schrems II ruling. According to the fact Privacy Shield has been held invalid, the transfer could only be possible as far as essentially equivalent measures to the EU were also available in the U.S.. As if that were not enough, the data subject complained that, since Google is an electronic communication service provider under 50 U.S. Code § 1881(b)(4), it is subject to surveillance activities by U.S. intelligence services. Therefore Google can be “cracked” and disclose to the U.S. government the transferred personal data of EU residents10. In this regard, Google stated that additional technical and security measures were in place to handle the US government requests11. DSB did not consider such measures as essentially equivalent to those available in the EU.

Regardless of the additional measures implemented in addition to the SCCs, personal data collected through Google Analytics were potentially accessible by the U.S. intelligence. This was possible even in the case Google’s anonymization and pseudonymization means were available and functioning. If the data subject was logged with his Google account while surfing the web, it was Google that, regardless of the security measures applied12, had the means to reidentifying the individual13. As a consequence, it is not excluded that Google could single-out the data subject with reasonable effort at any rate. Mutatis mutandis, this is what Recital 26 GDPR suggests when it states that the question of whether a natural person is identifiable takes into account “[…] any means reasonably likely to be used by the controller or by any other person [Google LLC] to identify the natural person, directly or indirectly, such as singling out”14. With this in mind, it is difficult to imagine a threshold where the “reasonably likely” effort of a tech giant like Google eventually turns into a disproportionate effort to single out the data subject, especially in the case of a logged account.

DSB is consistent with this interpretation of the law, and confirms that, regardless the anonymization function available as an optional setting, its implementation would not have saved the Controller from violating the GDPR. DSB expressly mentions that

“The “anonymization function of the IP address” mentioned is not relevant in relation to the case, as this was not implemented correctly […].”15

DSB continues its reasoning by stating that

“[a]part from that, the IP address is in any case only one of many “puzzle pieces” of the complainant’s digital footprint.”

As with the “device fingerprinting”, the “digital footprint” allows to cross-check data in order to date back to the data subject and single him/her out. This is what Google’s proprietary technology is potentially capable of, and this, again, is the reason why the additional measures implemented to render Google Analytics GDPR compliant on behalf of the Controller are not sufficient to close the legal protection gaps identified in the context of the Schrems II decision. Speaking of which, DSB cites the EDPB recommendations 01/2020 (paragraph 70) as the interpretation key of the Schrems II case law as applied to the case:

“[a]ny supplementary measure may only be deemed effective in the meaning of the CJEU judgment “Schrems II” if and to the extent that it addresses the specific deficiencies identified in your assessment of the legal situation in the third country. If, ultimately, you cannot ensure an essentially equivalent level of protection, you must not transfer the personal data.”

This being said, at least at this point in time and according to the DSB, Google Analytics does not ensure a level of protection which is essentially equivalent to that of the EU.

In conclusion, after the Schrems II ruling16 and the invalidation of Privacy Shield, the EU – US approach to cross-border data transfers got harsher than before. As a matter of fact, Privacy Shield was the only guidance available to EU based businesses who wished to transfer personal data to the US. The invalidation of the Privacy Shield led to a clear fragmentation of approaches available to enact EU – US data transfers; it contributed, in part, to enhance the uncertainty behind the appropriate technical, organizational and security measures to adopt in such situations. It is needless to say that Schrems II decision has shed a light on the criticalities and incompatibilities between the access to data available to the US government agencies and the fundamental rights and freedoms enforced through the GDPR. Nevertheless, as far as a definition of appropriate and correct transatlantic transfer is concerned, neither the EU, nor, let alone, the US, have reached an even position.

Edoardo Di Maggio

1 Following Schrems II decision, NOYB lodged a total of 101 complaints in different jurisdictions, noyb.eu/en/eu-us-transfers-com…

2 The fine is yet to be decided, and could go up to 20 million euros or 4% of turnover, whichever is higher.

3 Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data; Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.

4 Datenschutzbehörde, Case: D155.027 2021-0.586.257, Reasons, A.7.

5 support.google.com/analytics/a….

6 “[…] the combination of cookie data and IP address [that] allows tracking and the evaluation of geographical localization, Internet connection and context of the visitor, which can be linked [to an individual’s device] (emphasis added), ut supra, fn. 4, Reasons, A.10.

7 Standard Contractual Clauses pursuant to Commission Decision 2010/87 of 05.02.2010.

8 Ut Supra, fn. 4, Reasons, A.1.

9 Ibid.

10 Ibid.

11 Ut supra, fn. 4, D.3 Heading 2.b, letters e) and f).

12 Ut supra, fn. 4, Findings of fact, C.10, “for the determination of the facts, this accountability under data protection law means that the respondent (or, in any case, the first respondent as the responsible party) – and not the complainant or the data protection authority – must provide sufficient proof. Such sufficient proof – i.e., that from a technical point of view there is no possibility for the second respondent to obtain data – was not provided in this context, especially since it is precisely an essential part of the concept of Google Analytics to be implemented on as many websites as possible in order to be able to collect data”.

13 Ut supra, fn. 4, Findings of fact, C.10.

14 Emphasis added.

15 Ut supra, fn. 5, D.3 f).

16 Court of Justice of the European Union, Case C-11/18.

L'articolo Using Google Analytics is not GDPR compliant, states the Austrian Data Protection Authority proviene da E-Lex.