La tutela dei consumatori nella pubblicità, tra privacy e concorrenza

I mondi della privacy e della concorrenza, se osservati nell’ottica del fare e ricevere pubblicità, sono spesso legati da un denominatore comune: la tutela dei consumatori.

I diritti elencati nel Codice del Consumo – tra i quali figurano la salute e la sicurezza, gli interessi economici, il diritto all’informazione e ad adeguate istruzioni, il diritto al risarcimento, alla rappresentanza e alla partecipazione – rappresentano dei veri e propri diritti soggettivi, garantiti nella tutela individuale e collettiva.

Privacy e concorrenza

Tra i rimedi di natura amministrativa posti a presidio dei consumatori esistono, in particolare, due principali strumenti a fronte di violazioni della privacy che trascendono in pratiche di concorrenza sleale: rivolgersi al Garante privacy, oppure adire l’Autorità Antitrust.

Le due vie si trovano spesso ad intrecciarsi e a far collidere il mondo dei diritti individuali, in particolare quelli relativi alla protezione dei dati personali, con quello della tutela del singolo nel settore della concorrenza e dei mercati.

In questo senso, l’Avvocato generale dell’Unione europea – che formulerà prossimamente le sue conclusioni nel corso del procedimento C-252/21 – in armonia tra l’altro con le decisioni sia del Consiglio di Stato (Sent. 2630 e 2631 del 2021) che del Tar Lazio (Sent. 260 e 261 del 2020), ha proposto alla Corte di Giustizia dell’Unione europea di affermare che per valutare una violazione della concorrenza, l’Autorità antitrust possa incidentalmente indagare se una prassi imprenditoriale sia conforme o meno al GDPR.

Se così decidesse anche la Corte, dal punto di vista delle imprese si porrebbe il necessario tema di (ri)verificare la modulistica contrattuale a disposizione, secondo un doppio parametro di giudizio: la condotta di prevedere all’interno di contratti commerciali delle condizioni di utilizzo di servizi in violazione del GDPR diverrebbe, infatti, censurabile sia dalpunto di vista delle tutele del consumatore sia da quello delle tutele dell’interessato come soggetto passivo in ambito privacy.

Pubblicità

Il caso citato riguarda in effetti Facebook Ireland Ltd. (e la propria controllata locale tedesca), ed in particolare le attività pubblicitarie effettuate a mezzo di Instagram con il supporto dei c.d. “Strumenti di Facebook Business”, in relazione ad un caso in cui è in corso la valutazione dell’abuso di posizione dominante a carico del social network in blu anche in relazione ai dati personali raccolti dagli utenti privati (consumatori), per poi proporre loro pubblicità targettizzate.

In questo senso, si rileva una scelta in senso opposto da parte di Google Italy, che ha di recente annunciato il proprio ingresso nell’italianissimo Istituto dell’Autodisciplina Pubblicitaria (“IAP”) come socio ordinario (qui la notizia).

Google si è così impegnato, accettando il Codice di autodisciplina elaborato dall’Iap, a promuovere una pubblicità più responsabile e sostenibile.

Con questa scelta il principale gestore dei sistemi di advertising online si sottopone ad un quadro di tutela spontanea, anche preventiva, di cui i consumatori fruiranno rispetto alle comunicazioni al pubblico che vengono quotidianamente veicolate dalla piattaforma.

L’ampia eco dell’azione di Google, secondo diversi esperti, non tarderà ad essere avvertita: è una tappa fondamentale nella diffusione nel mondo del web dell’Autodisciplina e dell’enforcement della tutela degli utenti e dei consumatori.

Una riflessione a margine

Oggi più che mai è impensabile fare pubblicità senza dati: diventa allora sempre più importante che ciò avvenga con il rispetto sia delle norme stabilite nel GDPR (e per noi nel Codice privacy) che nella normativa sulla concorrenza e, verso i singoli, nel Codice del Consumo.

La sfida diventa allora, in altri termini, quella di saper conciliare le numerose possibilità offerte dalla tecnologia per la realizzazione e la diffusione di pubblicità mirate con il rispetto delle regole, e delle conoscenze, giuridiche e tecniche.

Soprattutto sarà sempre più rilevante – ed evidente – l’intenzione (o meno) di rinunciare, da parte di ciascuna azienda, a soluzioni apparentemente “semplici” e di grande effetto, come lo sfruttamento di informazioni sui consumatori acquisite con metodi non corretti, che però urtano contro i principi posti a tutela dei dati personali e possono diventare fonte di sanzione anche in ambito di pubblicità e concorrenza.

__________________________________________

Immagine di copertina powered by Dall-E 2 (artist AI + @mpedruzzi)

La Corte di Giustizia UE sui contenuti online provenienti da altri siti Web

In tutti i casi di “incorporazione” (o “transclusion” per utilizzare il termine adottato dalla CGUE) all’interno della propria pagina internet di una risorsa – ovvero, di un contenuto – proveniente da un altro sito web l’elemento incorporato appare nella pagina internet, senza rimandare al sito di provenienza.

Le ragioni alla base dell’uso di questa incorporazione possono essere molteplici: la necessità di presentare all’utente funzioni di altre piattaforme o la fornitura di altri tipi di servizi, come la riproduzione di musica, la pubblicazione post di social media, ecc.

Un altro motivo, ancora, può essere legato agli aggiornamenti contenuti all’interno di un sito o alla necessità di porre immagini provenienti da altre fonti all’interno della propria pagina.

Queste situazioni hanno sfumature diverse tra loro a livello tecnico-informatico, ma possono essere osservate sotto lo stesso punto di vista normativo e giurisprudenziale.

La giurisprudenza della Corte di Giustizia dell’Unione europea

La Corte di Giustizia, Sez. II, nella sentenza del 7 agosto 2018 n. 161 ha previsto che la messa in rete di un contenuto all’interno di un sito internet, precedentemente pubblicato su un altro sito internet, si qualifica come messa a disposizione e perciò come atto di comunicazione al pubblico.

Per questa ragione, la diffusione del contenuto diventa illecita se non autorizzata dal titolare del diritto in questione.

La Corte è arrivata a queste conclusioni distinguendo nettamente i casi in cui:

  • da un lato, il titolare dei diritti conserva una possibilità di controllo sull’opera, in quanto la sua eventuale rimozione dal sito bersaglio rende il link inefficace,
  • dall’altro, in contrasto con quanto previsto dall’art. 3 della Direttiva 2001/29/CE, l’autore del sito che “incorpora” esclude tale possibilità, in violazione dei diritti esclusivi di comunicazione e messa a disposizione del pubblico.

La Direttiva sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione prevede infatti che sia qualificata come comunicazione al pubblico il fatto di incorporare, mediante la tecnica del framing, in una pagina Internet di un terzo, opere protette dal diritto d’autore e messe a disposizione del pubblico in libero accesso con l’autorizzazione del titolare del diritto d’autore su un altro sito Internet, qualora tale incorporazione eluda misure di protezione contro il framing adottate o imposte da tale titolare.

La giurisprudenza italiana si è orientata in modo analogo, affermando che si è in presenza di violazione dell’art. 2598, n. 1 e 2 del Codice civile quando l’utente che si colleghi ad un determinato sito e, su di esso, utilizzi un link, venga collegato alla pagina di un altro sito con contenuti informativi, ma detta pagina venga visualizzata all’interno della cornice (“frame”) del primo sito e, pertanto, i segni distintivi e gli avvisi pubblicitari, posti su questo, continuino a circondare la pagina “agganciata”.

I requisiti per l’incorporazione

I contenuti che si trovano su altri siti possono essere, dunque, incorporati lecitamente solo in presenza di due requisiti.

In primo luogo, che l’utente che sta navigando sulla nostra pagina si renda conto che il contenuto incorporato appartiene a terzi.

Secondariamente, che vengano utilizzati solo contenuti di siti o piattaforme che non prevedano a monte un accesso a pagamento o contenuti che, presi singolarmente, non abbiano nessun tipo di restrizione circa l’incorporamento in domini diversi da quello di origine.

____________________________________________

Immagine di copertina di Febiyan grazie a Unsplash

Brexit e privacy: cosa è cambiato, cosa può ancora cambiare

Dopo un lungo e dibattuto iter, il 31 gennaio 2020 il Regno Unito ha definitivamente lasciato l’Unione Europea.

Da tale momento ha preso il via un periodo di transizione, cd. bridging mechanism, finalizzato a consentire (da un lato) il graduale adeguamento dell’ordinamento britannico alla nuova situazione e (dall’altro) una transizione ordinata dei rapporti economici, amministrativi e giuridici tra Unione Europea e United Kingdom.

Tra i vari hot topics che hanno caratterizzato il caso ed il processo di realizzazione della Brexit, importantissimo è indubbiamente quello relativo alla protezione dei dati personali dei cittadini europei e alla possibilità che questi vengano trasferiti verso Paesi terzi.

La questione, già di per sé rilevante essendosi concluso definitivamente il processo di uscita dall’Unione (il Regno Unito è oggi ufficialmente e a tutti gli effetti un Paese terzo), diventa ancora più delicata alla luce delle future riforme che il Governo di Londra ha dichiarato di voler attuare.

Evoluzione della normativa privacy tra UE e UK

Per meglio comprendere i termini della faccenda è necessario passare in rassegna l’evoluzione normativa che ha caratterizzato negli ultimi anni – dall’inizio del processo fino al completamento della Brexit – l’ordinamento giuridico britannico dal punto di vista della data protection.

Prima della rottura definitiva con l’UE, le fonti normative vigenti in Gran Bretagna in materia di protezione dei dati erano due: una di matrice europea, Regolamento 2016/679 (“GDPR”), e una interna, il Data Protection Act del 2018 (“DPA”).

Nel 2018 poi, con l’intento di gettare solide basi per il cambiamento, il Parlamento inglese ha emanato l’European Union (Withdrawal) Act con un duplice scopo: abrogare l’European Communities Act del 1972 (con cui il Regno Unito aderiva alle tre comunità europee della CEE, CECA ed Euratom), e fornire una base giuridica affinché il diritto nazionale derivato dall’UE e la legislazione europea direttamente applicabile-incorporati nel diritto interno britannico in virtù del medesimo atto- potessero essere modificati.

Risultato di tale operazione “sartoriale” è stata la nascita del cd. retained EU law: un diritto comunitario modellato “su misura” alle esigenze e prospettive di uno Stato che, pur rivendicando indipendenza rispetto alle istituzioni europee, continua entro certi limiti a rispettarle (è stato infatti previsto che il retained law venga pur sempre interpretato dai giudici interni alla luce della giurisprudenza della Corte di Giustizia Europea e dei principi fondamentali dell’Unione, in vigore prima dell’uscita definitiva dell’UK dall’Unione).

Un esempio di legislazione secondaria, emanata in virtù dell’European Union (Withdrawal) Act e capace di modificare il retained law, è rappresentato dal “Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations, 2019 (DPPEC Regulations). Tale documento, a far data dal 1° gennaio 2021, ha modificato sia il DPA nazionale che il recepimento della normativa GDPR europea, creando così quello che oggi è conosciuto come ”UK GDPR”.

Brexit: cosa cambia in materia di trasferimento dei dati extra-UE

Il trasferimento dei dati verso Paesi terzi è oggetto apposita regolamentazione da parte del GDPR, regolamentazione – a questo punto –  applicabile a tutti gli effetti anche al Regno Unito.

I meccanismi previsti dal capo V (art. 44 e ss.) rispondono all’esigenza di assicurare alle persone fisiche coinvolte il medesimo livello di protezione offerto del Regolamento, e sono (in alternativa tra loro):

  • decisione di adeguatezza ex art. 45 GDPR: il trasferimento è ammissibile sulla base di una decisione di adeguatezza della Commissione Europea che stabilisca che il paese terzo garantisce una protezione adeguata (equivalente cioè a quella offerta dal GDPR stesso). I criteri utilizzati dalla Commissione per l’adozione della decisione sono vari, tra cui figurano lo stato di diritto del paese terzo e il suo rispetto nei confronti dei diritti fondamentali e delle libertà degli individui;
  • garanzie adeguate ex art. 46 GDPR: in mancanza di una decisione di adeguatezza, il titolare del trattamento può trasferire i dati verso un paese terzo soltanto nel caso in cui siano state fornite garanzie adeguate, a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Esempio di tali garanzie sono le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea secondo la procedura d’esame di cui all’art. 93 (e contenute nella loro versione più aggiornata nella Direttiva 2021/914);
  • norme vincolanti d’impresa, ex art. 47 GDPR, per i gruppi che le hanno stipulate con l’Autorità di controllo;
  • deroghe, ex art. 49 GDPR: nel caso in cui non dovessero risultare utilizzabili gli strumenti previsti dagli articoli precedenti, in via residuale il trasferimento può comunque essere lecito perché, a titolo esemplificativo, il soggetto interessato ha prestato espressamente il consenso o perché il trasferimento è necessario per l’esecuzione di un contratto.

Come extrema ratio – laddove non fossero applicabili le deroghe specificamente elencate – l’art. 49 stabilisce che il trasferimento è pur sempre lecito se fondato sulla deroga di carattere generale del trasferimento non ripetitivo per il perseguimento di interessi legittimi cogenti dell’esportazione dei dati su cui non prevalgano gli interessi e le libertà degli interessati. Non si tratta di semplici interessi legittimi del titolare ma di interessi essenziali, come ad esempio l’esigenza di proteggere la propria organizzazione o i propri sistemi da un danno grave ed immediato.

Per gestire la questione del trasferimento dei dati verso il Regno Unito, la Commissione Europea ha emanato due decisioni di adeguatezza, una relativa al GDPR e una relativa al LED (Law Enforcement Directive, 2016/680), entrambe facenti parte del più ampio TCA (Trade and Cooperation Agreement), l’accordo volto a regolare gli scambi commerciali UE-UK.

La peculiarità di tali decisioni è la previsione di una “sunset clause”, (un unicum nella storia delle decisioni ex art. 45 GDPR) che limita l’adeguatezza della decisione a quattro anni (la scadenza è prevista al 27 giugno 2025), riservando alla Commissione stessa il potere di monitorare e verificare attivamente l’assetto in materia di privacy garantito dal diritto britannico.

In altri termini l’Unione, pur non rinunciando aprioristicamente alla possibilità di “avere a che fare” con il Regno Unito, si riserva la possibilità di cambiare idea nel caso il cui dovessero cominciare ad essere attuate riforme in grado di minare quel grado di protezione adeguato che il GDPR intende tutelare e che richiede per legittimare il trasferimento dei dati.

La decisione della Commissione appare quanto mai saggia soprattutto alla luce del fatto che la Gran Bretagna sta vivendo un periodo di potenziale (e audace) cambiamento.

Possibili scenari

Tra le molte proposte di riforma in grado di allontanare Londra dalle posizioni europeiste – a titolo esemplificativo, estendere l’utilizzo del legittimo interesse come base giuridica e facilitare il trattamento dei dati da parte di enti pubblici e privati per finalità di interesse pubblico (tra cui anche la lotta al covid-19)- , la più preoccupante riguarda l’ampliamento della lista dei paesi ai quali il Regno Unito intende concedere l’adeguatezza per il trasferimento dei dati, dal momento che tra i nuovi stati figurerebbero anche gli Stati Uniti.

Una riforma in tal senso potrebbe seriamente minare la stabilità della decisione di adeguatezza emessa, con ricadute su due diversi ed egualmente importanti ambiti.

In primo luogo, un allontanamento della legislazione UK dai principi fondanti del GDPR porterebbe forzatamente a rendere più difficoltosi i trasferimenti “diretti” di dati tra Europa e Gran Bretagna, in quanto le tutele accordate dal Regolamento ai cittadini europei potrebbero venire meno al mutare dell’assetto dell’ordinamento inglese.

Non è solo la normativa specialistica in materia di data protection ad avere un impatto diretto sulla decisione di adeguatezza emessa dalla Commissione UE: le stesse tutele generali accordate ai cittadini dallo stato, e lo stesso Stato di diritto, potrebbero comportare una violazione frontale della privacy del singolo.

Si pensi, ad esempio, al tema degli ordini esecutivi diretti con cui le forze di polizia accedono ai dati, in potenziale violazione dei diritti costituzionalmente tutelati – almeno, nell’Unione Europea – di riservatezza e libertà.

Proprio in quest’ottica, ed alla luce della caduta del EU-US Privacy Shield (il sistema di autocertificazione “fatto fuori” dalla sentenza Schrems II), al fine del trasferimento dei dati verso gli Stati Uniti, ad oggi – per qualsiasi business operante in UE – non è più sufficiente il solo riferimento alle Clausole Contrattuali Tipo della Direttiva 2021/914, la cui struttura è stata ricalcata dall’International Data Transfert Agreement approvato dal Garante inglese (ICO).

Se davvero il Regno Unito dovesse aprire le porte ai liberi trasferimenti di dati verso gli Stati Uniti ad esempio mediante l’emissione di una autonoma decisione di adeguatezza, allora si presenterebbe un grosso problema, dal momento che potrebbe di fatto venire elusa la fase dei controlli – particolarmente rilevanti – oggi imposti dal GDPR e dalla sua interpretazione fissata dalla Corte di Giustizia dell’Unione Europea.

L’eventuale revoca della decisione di adeguatezza comprometterebbe insomma, con tutta probabilità, il funzionamento dell’accordo sugli scambi commerciali (TCA) e aprirebbe una nuova frontiera nel settore dei trasferimenti internazionali per le aziende operanti in UE.

Gli occhi dell’Unione – e in particolare della Commissione – rimangono così puntati oltremanica in attesa degli sviluppi prospettati dal governo di Londra. E noi con loro.

_________________________________________________

Photo by Rocco Dipoppa on Unsplash

Recenti sentenze della Corte di Giustizia UE (anno 2021)

Potremmo immaginare il diritto dell’Unione europea come la tela (assai ampia) di un ragno: diventa molto più debole laddove ci sono vuoti o rotture del suo intreccio. Fuor di metafora, i vuoti e le rotture sono le violazioni realizzate con la mancata applicazione del diritto europeo da parte (o all’interno) dei singoli Stati membri: violazioni delle norme sulla concorrenza, del Regolamento Generale per la Protezione dei Dati Personali (“GDPR”), del ne bis in idem e altro ancora.

Diverse sentenze pronunciate dalla Corte di Giustizia UE nel 2021 hanno avuto conseguenze profonde ed evidenti nella vita quotidiana dei cittadini europei: la Corte ha – come sempre accade – rivestito in tutti i casi un ruolo importante nell’assicurare un’interpretazione e un’applicazione uniformi del diritto dell’Unione.

Proprio in questa prospettiva abbiamo fatto una analisi di alcune di tali sentenze, selezionate fra le molte emanate in materia di IP e tecnologia nel 2021, che di seguito vi proponiamo.

La protezione del design comunitario non registrato – 28 ottobre 2021, sent. C-123/2020

Link diretto alla decisione

Nel primo caso, il contenzioso di base ha preso avvio da un Tribunale tedesco presso cui la casa automobilistica Ferrari aveva chiesto un’ingiunzione contro una società di design per violazione di norme sul Design Comunitario non Registrato (“UCD”) in relazione alla nuova serie di supercar da pista.

Il lancio della serie in produzione limitata della nuova macchina da corsa era stato reso pubblico nel 2014, in una conferenza stampa che mostrava immagini frontali e laterali della macchina.

Nel 2016 la società di design, specializzata nella modifica di auto di lusso, ha iniziato ad offrire set di accessori personalizzati, conosciuti come “tuning kits”, pensati per modificare l’aspetto della Ferrari 488 GTB per farla somigliare al modello in serie limitata.

In primo grado e in appello le istanze di Ferrari sono state respinte dalle Corti tedesche; perciò, la decisione è stata impugnata davanti alla Corte di Giustizia dell’Unione europea.

La Corte ha esaminato l’istanza della Corte tedesca e ha affermato che, una volta soddisfatte le condizioni essenziali per la protezione, vale a dire quando il design soddisfa il requisito di novità e ha un carattere individuale, costituisce unica condizione formale per la creazione di un disegno o modello comunitario non registrato l’obbligo di metterlo a disposizione del pubblico.

La Corte di Giustizia ha così chiarito che la scoperta dell’immagine completa di un prodotto è sufficiente per ottenere una protezione del design non registrato per gli elementi separati e specifici del prodotto.

La Corte ha spiegato che dopo aver reso disponibile un progetto al pubblico, gli elementi separati “chiaramente identificabili” e “chiaramente visibili” possono godere di protezione come disegni parziali.

Decompilazione di software – 6 ottobre 2021, sent. C-13/2020

Link diretto alla decisione

Questa vertenza ha visto contrapposti lo Stato del Belgio e uno sviluppatore di software. La disputa è iniziata a causa di problemi operativi sorti mentre l’Ufficio Selezione dell’autorità federale belga (“SELOR”) utilizzava in licenza un programma di Top System.

A causa di problemi operativi, SELOR ha decompilato il programma per correggere gli errori e Top System ha contestato che la decompilazione di SELOR violava il proprio diritto di esclusiva sul software, avanzando una richiesta di risarcimento del danno.

La Corte di Giustizia ha stabilito che chi acquista un programma è autorizzato a decompilare il software al fine correggere gli errori che si verificano nelle operazioni, inclusi i casi in cui la correzione consista nel disabilitare una funzione che comprometta il funzionamento di quel programma.

Le motivazioni applicate in diritto sono state l’art. 5 e l’art. 6 della Direttiva 91/250 relativa alla tutela giuridica dei programmi per elaboratore.

La particolarità osservata dalla Corte in questo caso è che il diritto a decompilare è soggetto a “specifiche previsioni contrattuali”, vale a dire che le parti possono accordarsi sul limitare i diritti a decompilare il software di chi possiede la licenza, mantenendo l’onere di correggere gli errori ed effettuare manutenzioni in capo a chi concede la licenza.

Su questo tema, la Corte ha comunque precisato che non può essere mai completamente esclusa la possibilità per chi possiede la licenza di correggere errori.

La pubblicità di dati particolari – 22 giugno 2021, sent. C-439/2019

Link diretto alla decisione

Il caso in esame riguarda una disposizione nella legge della Lettonia che dà accesso all’informazione sui punti di penalità per violazioni del Codice stradale lituano a chiunque sia interessato, senza necessità di provare uno specifico interesse, al fine di migliorare la sicurezza sulle strade della Lettonia.

Un cittadino, i cui dati sono stati oggetto di ripetuto e sgradito utilizzo, ha proposto un ricorso davanti alla Corte costituzionale lettone per esaminare la compatibilità della disposizione di cui all’art. 141(2) del codice della strada con il diritto fondamentale al rispetto della vita privata sancito dall’art. 96 della Costituzione lituana.

La Corte di Giustizia UE, adita proprio dalla Corte lettone, ha stabilito che i dati su violazioni registrate sono dati particolarmente delicati e ha segnalato che la legislazione lituana si pone in violazione del GDPR. La decisione ha sottolineato anche che l’obiettivo di diminuire gli incidenti e le violazioni sulle strade lettoni non è perseguibile attraverso la pubblicazione di quei dati, che non trovano una base giuridica nel legittimo interesse.

Conclusioni

Nei tre casi presi ad esempio, la Corte di Giustizia ha sempre formulato l’obbligo, per le amministrazioni e i giudici nazionali, di applicare pienamente il diritto dell’Unione nell’ambito della loro sfera di competenza e di tutelare i diritti conferiti ai cittadini, disapplicando qualsiasi contraria disposizione del diritto nazionale, nel rispetto del generalizzato principio di supremazia del primo sul secondo.

Queste sentenze, in particolare, saranno da tenere a mente:

  • per la redazione di contratti di fornitura di software (sent. C-13/2020),
  • per le amministrazioni locali (sent. C-439/2019),
  • e per le grandi società che intendano disporre dei propri marchi (sent. C-123/2020).

_________________________________________

Photo by Berta Ferrer on Unsplash