News #12/2023: anche OpenAI subisce un databreach e ChatGPT va offline senza preavviso

LE PRINCIPALI NEWS DELLA SETTIMANA

  • per un errore di configurazione, ChatGPT è stato messo offline a seguito di un data breach con invio di e-mail automatiche all’utente sbagliato;
  • intanto, il Parlamento UE raccoglie i paper sull’IA e prova a spingere per l’adozione dell’AI Act;
  • in Norvegia, far subire un databreach a un dipendente costa oltre 200 mila euro;
  • una task force per il Digital Markets Act in vigore da maggio 2023.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • se siete in cerca di una checklist, una linea guida o una chart esplicativa in materia di dati personali, ISO o cybertech, dovete assolutamente seguire ed esplorare il profilo di Andrey Prozorov, che possiede anche un canale Patreon in cui ha pubblicato tantissimo materiale molto interessante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • In The Wee Small Hours Of The Morning – Frank Sinatra (1955 – late night jazz version by Webster & Peterson)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DATA BREACH SU UN DIPENDENTE, 220 MILA EURO DI SANZIONE – L’Autorità garante norvegese, Datatilsynet, ha di recente emesso una sanzione di 2,5 milioni di NOK (pari a poco più di 220 mila euro) la società Argon Medical Devices, avente sede legale negli Stati Uniti, a seguito di una violazione di dati personali relativa ai dati personali di un unico suo dipendente tra quelli in Europa, residente in Norvegia. Alla base della decisione ci sarebbero (i) il mancato rispetto delle tempistiche fissate in materia di notifica al Garante (67 giorni a fronte delle 72 ore imposte dal GDPR), seppure a fronte di verifiche approfondite da cui non sarebbero emersi, in una prima fase, rischi per l’interessato), e più in generale (ii) la inadeguatezza delle misure di sicurezza implementate dalla società.

ANCHE OPENAI (CHATGPT) ALLE PRESE CON UN DATA BREACH – Lo scorso 20 marzo è andato offline, per qualche ora, il servizio di ChatGPT: si è appreso in seguito, attraverso un comunicato della stessa OpenAI, che il disservizio era legato a una errata configurazione del sistema automatico di invio e-mail collegato all’iscrizione degli utenti “Plus” (a pagamento). A causa del problema, è possibile – si legge – che un utente abbia ricevuto e/o letto informazioni (anche di pagamento) di un altro utente, come pure le prime righe della conversazione con l’Intelligenza Artificiale che sta rivoluzionando il mondo e internet. Al momento, da quanto risulta, nessuna notifica ai sensi del GDPR sarebbe stata inviata.

PARLAMENTO EUROPEO & AI – Mentre le istituzioni europee si interrogano su come regolare l’Intelligenza Artificiale, con un “AI Act” in discussione dal 2021, il Parlamento ha pensato bene di pubblicare una nota che presenta i link alle recenti pubblicazioni e ai commenti pubblicati sull’intelligenza artificiale. Grazie a data TENET® per la segnalazione.

OSSERVATORIO FEDERPRIVACY SULLA COMPLIANCE – A cinque anni dall’introduzione del GDPR sono ancora molti i casi in cui le prescrizioni del Regolamento vengono applicate in modo teorico o approssimativo, e anche migliaia di imprese, che hanno investito risorse per adeguarsi alla normativa europea, si trovano, loro malgrado, esposte a sanzioni da parte delle autorità di controllo. E’ quanto emerge da un sondaggio condotto dall’Osservatorio di Federprivacy a cui hanno partecipato numerosi addetti ai lavori: il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico, e a dimostrarlo sono anche alcuni casi emblematici come quello della multa da mezzo milione di euro ad una società di eCommerce che aveva nominato un DPO in conflitto d’interessi.

COME PROTEGGERSI DAL VISHING – Con un comunicato stampa dello scorso 22 marzo il Garante per la protezione dei dati personali ha fornito ai cittadini una serie di informazioni e suggerimenti utili per proteggersi dal #vishing, ossia quella particolare forma di phishing (cioè truffa) che utilizza il telefono come mezzo di appropriazione dei dati personali delle vittime. 

STATISTICHE EUROPEE E DATA PROTECTION – Nell’ambito della nuova proposta di Regolamento europeo in materia di statistiche sulla popolazione e sulle abitazioni, l’EDPS (European Data Protection Supervisor, il Garante delle istituzioni europee) ha ricordato ai legislatori l’importanza di non interferire con la normativa in materia di protezione dei dati. Più in particolare, pur accogliendo con favore l’obiettivo della nuova proposta – che riunirà tutti i dati demografici, migratori e censuari attualmente raccolti a livello di singolo Stato Membro – l’EDPS ha fornito una serie di raccomandazioni finalizzate a mitigare le eccessive interferenze con le disposizioni europee in materia di privacy, sottolineando in particolare l’importanza di rendere anonimi (o per lo meno pseudonimi) i dati raccolti.

REPORT PRIVACY E FIDUCIA DEI CONSUMATORI – Il recente report di IAPP (di cui trovate qui un estratto) sulla privacy e la fiducia dei consumatori si occupa di delineare il pensiero delle persone e la loro consapevolezza rispetto alla privacy, rispondendo a domande quali quando siano preoccupate le persone per la privacy online, come influiscono sui comportamenti, anche economici e commerciali, l’uso del telefono e la navigazione sul Web. L’obiettivo del report è cercare di definire cosa pensa la maggior parte dei consumatori riguardo alle leggi sulla privacy e sulla protezione dei dati,e come rispondono quando i loro dati vengono persi o coinvolti in una violazione, a fronte del cambiamento globale, culturale e tecnologico che si sta verificando nel modo in cui gli individui apprezzano la loro privacy e le misure che intraprenderanno per proteggerla.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONTROLLO GIUDIZIARIO E MOGC – Con sentenza n. 11326 dello scorso 16 marzo la Suprema Corte di Cassazione ha stabilito che l’adozione ex post di un Modello di organizzazione, gestione e controllo previsto dal Decreto 231 e di misure self cleaning finalizzate a evitare future infiltrazioni mafiose non sono sufficienti ai fini dell’ammissione di una società – già destinataria di una interdittiva antimafia – al controllo giudiziario, così respingendo la richiesta. In particolare, secondo gli Ermellini, “il ravvisato rapporto di stabile agevolazione che la società (…) ha intessuto con le cosche mafiose (…) non permette di formulare (…) una prognosi favorevole di bonifica e radicale risanamento” (estratto dalla nota di Aodv231).

AUTONOMIA RESPONSABILITÀ DELL’ENTE – La Suprema Corte di Cassazione si è recentemente pronunciata circa la possibilità che un ente possa richiedere e ottenere una revisione della sentenza di patteggiamento emessa a suo carico, nel caso particolare la persona fisica imputata sia stata assolta dal reato-presupposto. Con la sentenza n.10143 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) i Giudici hanno stabilito che una revisione della sentenza avente ad oggetto la responsabilità dell’ente connessa all’assoluzione della persona fisica imputata può discendere solo dalla “negazione del fatto storico, e non anche dalla mancata individuazione del suo autore”. Più in particolare, gli Ermellini hanno chiaramente sottolineato che “la responsabilità dell’ente sussiste anche quando l’autore del reato non è stato identificato”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TASK FORCE DMA – La Commissione europea ha istituito il gruppo di lavoro che fornirà consulenza per garantire una corretta applicazione del Digital Markets Act (“DMA”), il regolamento sui mercati digitali entrato in vigore il 1 novembre 2022 a cui gli Stati membri dovranno adeguarsi a partire dal 2 maggio 2023. Il gruppo fornirà alla Commissione europea consulenza e competenze tecniche per garantire che Il DMA e altri regolamenti applicabili ai gatekeeper siano attuati in modo coerente. Il gruppo di lavoro potrà anche fornire supporto nelle indagini di mercato su servizi e pratiche emergenti, per contribuire a garantire che le regole siano applicate in modo armonico e che possano resistere nel tempo. Il gruppo di lavoro avrà un mandato di due anni e si riunirà almeno una volta all’anno.

CYBERSECURITY – L’ENISA (Agenzia per la Cybersicurezza dell’UE) ha annunciato lo scorso 19 marzo il lancio di una nuova piattaforma il cui obiettivo è promuovere e diffondere informazioni sui sistemi di certificazione UE in materia di cybersicurezza. Più in particolare, la piattaforma consentirà agli utenti di condividere informazioni sugli schemi di certificazioni attualmente in fase di sviluppo, tra cui anche l’EUCS (Cybersecurity Certification Scheme for Cloud Servies). 

AGGIORNAMENTO LINEE GUIDA – Il Consiglio europeo per i pagamenti (EPC) ha recentemente annunciato di aver pubblicato un aggiornamento delle sue “Guidelines on Cryptographic Algorithms Usage and Key Management”. La Commissione ha specificato che all’interno della nuova versione di Linee guida sono disponibili, tra le altre cose, anche aggiornamenti relativi al calcolo quantistico e alle tecnologie di registro distribuito.

PROPOSTA DI RIPARAZIONE DEI PRODOTTI OLTRE LA GARANZIA – Riparazioni più facili ed economiche, anche oltre il periodo legale di garanzia per smartphone, tablet, pc ed elettrodomestici, per ridurre l’impatto ambientale, sostenere il Green Deal e contrastare l’obsolescenza programmata: è la proposta lanciata dalla Commissione europea nel suo nuovo disegno di legge sul diritto alla riparazione. Con le norme presentate, l’istituzione europea punta a dare ai cittadini la possibilità di rivolgersi a servizi di riparazione quando la garanzia legale dei prodotti – solitamente di due anni – sia scaduta. Saranno poi introdotti standard comuni di trasparenza su condizioni e prezzi delle riparazioni. Secondo le proposte, i produttori dovranno riparare i beni ancora in garanzia se costano lo stesso o meno di una sostituzione. I consumatori avranno anche il diritto di chiedere alle aziende di riparare i loro prodotti, se possono ancora essere riparati, entro 10 anni dall’acquisto, anche se non sono più in garanzia. La proposta dovrà ora essere negoziata fra Parlamento europeo e Stati membri, per ricevere l’approvazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – Anche la Spagna adotta una sua normativa in materia di whistleblowing. Lo scorso 13 marzo è infatti entrata in vigore la Ley 2/2023, di recepimento della Direttiva UE 2019/1937. Ai fini di una maggiore tutela del segnalante, la Spagna ha provveduto ad istituire una Autorità indipendente alla quale è stato assegnato il compito di (i) gestire i canali di segnalazione esterni e (ii) irrogare sanzioni in caso di violazioni della disciplina. 

SPAGNA/2 – L’AEPD, garante spagnolo, ha di recente sanzionato CaixaBank per trattamento illecito di dati personali. Il procedimento scaturiva dalla denuncia presentata da un cliente, il quale lamentava che CaixaBank avesse richiesto, attraverso una società di recupero crediti, il pagamento di un debito che era stato già annullato con sentenza. In particolare, dalle indagini dell’Autorità è emerso che nonostante il contratto tra le parti fosse ormai concluso, CaixaBank continuava a trattare i relativi dati del cliente, che continuava ad essere destinatario di sms che richiedevano il pagamento del debito. Per tale ragione, all’esito della propria attività ispettiva l’AEPD ha sanzionato CaixaBank con una multa di per 70 mila euro.

AUSTRIA – NOYB, l’organizzazione no profit sempre in prima linea nella lotta per la protezione dei dati personali dei cittadini europei, ha di recente reso noto che il Tribunale amministrativo federale austriaco (BVwG) ha confermato la decisione del Garante locale (DBS) in materia di accesso ai dati relativi al traffico e all’ubicazione. In particolare, è stata confermata la posizione secondo la quale la compagnia di telefonia A1 Telekom Austria avrebbe agito in maniera corretta non fornendo al reclamante i dati richiesti in quanto – anche alla luce del fatto che all’interno del contratto stipulato non era presente alcuna clausola che impedisca la cessione, anche temporanea, del dispositivo stesso – il richiedente non poteva validamente dimostrare di essere lui l’unico utilizzatore (e dunque il titolare dei dati). Non condividendo tale impostazione, che si tradurrebbe nell’impossibilità per gli interessati di accedere ai propri dati, NOYB ha già fatto sapere nel medesimo comunicato la sua intenzione di proporre reclamo avverso la decisione.

AUSTRIA/2 – L’Autorità austriaca per la protezione dei dati personali ha sanzionato il Ministero delle Finanze locale che, agendo su richiesta di una commissione parlamentare, ha divulgato al pubblico e ai media notizie riguardanti i procedimenti penali a carico di un membro del Parlamento austriaco. L’interessato si è rivolto all’Autorità garante, che ha ravvisato la mancanza di una base giuridica adeguata, avendo, infatti, la divulgazione, come unico scopo quello di danneggiare l’immagine politica dell’esponente parlamentare.

BRASILE – L’ANPD, Autorità garante brasiliana, ha annunciato di aver emesso una nota tecnica in cui ha precisato i confini di applicabilità della legge nazionale in materia di protezione dei dati (LGPD). In particolare, partendo dall’assunto che per il Codice Civile l’esistenza di una persona fisica termina con la morte, l’Autorità ha chiarito che la LGPD si applica verosimilmente al solo trattamento di dati personali riferibili a persone fisiche viventi, rimanendo esclusi dall’ambito di tutela della normativa i dati delle persone decedute.

CINA – La Cyberspace Administration of China (“CAC”) ha pubblicato, il 23 marzo 2023, le procedure per il controllo amministrativo delle azioni esecutive per le violazioni della normativa applicabile in materia di protezione dei dati e sicurezza. Le procedure stabiliscono i passaggi per le indagini e la raccolta delle prove da parte dei dipartimenti di sicurezza informatica e informazione, e le diverse situazioni per la gestione delle violazioni delle norme sulla protezione dei dati e sulla sicurezza. Inoltre, le disposizioni ricordano che, prima dell’irrogazione di sanzioni amministrative, i servizi di sicurezza informatica e informatica devono comunicare agli interessati il loro diritto di chiedere un’audizione, e che devono effettuare tale richiesta entro cinque giorni dal ricevimento della notifica. 

UNGHERIA – Il 21 marzo 2023 l’Assemblea nazionale ungherese ha annunciato l’introduzione di un disegno di legge sulla certificazione e la supervisione della sicurezza informatica. In particolare, il disegno di legge fornisce definizioni per il servizio di cloud computing, il sistema informativo elettronico e per i test di vulnerabilità remoti. Inoltre, il progetto stabilisce norme specifiche per i fornitori di servizi operanti in settori a rischio, nonché per i sistemi informativi elettronici dei fornitori di servizi e delle organizzazioni operanti in settori a rischio in determinate circostanze, specificate negli allegati. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Kym Ellis grazie a Unsplash.

TWITTER & MUSK: una lunga storia (d’amore?)

La vicenda più controversa, discussa ed avvincente del 2022, capace di tenere tutto il mondo col fiato sospeso? Senza dubbio “Twitter – Musk”.

Elon Musk, imprenditore sudafricano patron di Tesla e SpaceX, è un “twitteriano” della prima ora: la sua adesione risale al 2009, solo tre anni dopo il lancio del social, e da allora non ha mai smesso di usarlo, fino a diventarne CEO lo scorso ottobre, al motto di “Let that sink in”.

Innovativo ed eccentrico – certamente uno dei personaggi più controversi della nostra epoca – Musk ha da ormai quasi 15 anni eletto Twitter come il suo canale “ufficiale” per comunicare con il mondo, non solo da imprenditore ma anche come privato cittadino.

Alcuni dei suoi tweet sono ormai passati alla storia (non sempre per essersi rivelati idee geniali).

È il caso di quello in cui affermava che le azioni di Tesla valessero troppo. Poche ore dopo, il valore delle azioni era crollato drasticamente.

O quello in cui inneggiava al bombardamento di Marte (già nel 2015 aveva affermato in una intervista che l’unico modo per rendere il pianeta rosso abitabile fosse bombardarlo con armi termonucleari).

Famose anche i suoi tweet di dissenso nei confronti delle misure anti Covid-19 attuate negli USA, in particolar modo in California – culminate poi nello spostamento della sede di Tesla in Texas.

CRONISTORIA

Dallo scorso 27 ottobre Elon Musk è il nuovo CEO di Twitter.

Ma partiamo dall’inizio..

GENNAIO: a fronte del suo decennale amore per il social dell’uccellino, all’inizio dell’anno Musk comincia una vera e propria “corsa alle azioni” della società.

MARZO: lo “shopping sfrenato” lo porta a detenere oltre il 9% delle azioni di Twitter, rendendolo di fatto il maggiore azionista individuale della società. È a questo punto che il caso diventa pubblico e scoppia a livello mediatico.

APRILE: a fronte di una tale evidenza, viene offerto a Musk un posto d’onore in seno al Consiglio di Amministrazione della società. L’offerta viene tuttavia rifiutata.

A rendere pubblica la rinuncia – che pare essere pervenuta ai vertici nello stesso giorno in cui la nuova composizione del CdA avrebbe dovuto riunirsi – è Parag Agrawal, l’allora CEO.

Solo qualche giorno dopo “il gran rifiuto” viene rivelata la notizia secondo la quale Musk si sarebbe offerto di acquistare la società per la stratosferica cifra di 44 miliardi di dollari.

È a questo punto che il CdA fa la sua mossa, adottando all’unanimità una soluzione per contrastare l’acquisizione, la cd. poison pill – (letteralmente, pillola avvelenata) nota strategia delle società quotate spesso usata per contrastare l’acquisto di una intera società da parte di un singolo azionista. In buona sostanza, attraverso un aumento di capitale vengono create in maniera artificiale nuove azioni da offrire a prezzo di saldo agli altri stakeholders. In tal modo si raggiunge il duplice risultato di (i) far salire il valore delle singole azioni e (ii) far scendere la percentuale di azioni possedute dal potenziale compratore.

Nonostante la predisposizione del piano “letale”, viene comunque raggiunto un accordo: Musk comprerà Twitter per la cifra pattuita. A tal fine, oltre 8 miliardi di dollari di azioni Tesla vengono vendute per finanziare l’acquisto.

MAGGIO:l’accordo subisce una battuta di arresto. Il patron di Tesla nutre forti preoccupazioni in merito all’effettivo numero di utenti fake presenti sulla piattaforma, e chiede pertanto maggiori (e comprovate) rassicurazioni a riguardo.

LUGLIO: come conseguenza del silenzio di Twitter, il piano di acquisizione rischia di saltare. Il papà di Tesla e Space X (ma anche di X Æ A-12) afferma pubblicamente le sue intenzioni di abbandonare l’offerta.

Il dietrofront genera una durissima reazione da parte della società, che decide di fare causa al magnare sudafricano.

Un giudice del Delaware viene investito della controversia. La data di inizio del processo viene fissata al 17 ottobre.

AGOSTO: in seguito alle dichiarazioni di Pieter Zatko (ex capo della sicurezza di Twitter) circa la sistematica noncuranza della società al problema dei bot e degli account falsi – e, più in generale, della sicurezza informativa – Musk decide di inserirlo nella lista delle persone da far salire al banco dei testimoni. Ci si prepara al processo.

OTTOBRE: dopo i fatti dell’estate, vengono nuovamente (ed incredibilmente) stravolte le carte in tavola. Musk si offre di mantener fede alla sua proposta iniziale (e cioè l’acquisto del social per 44 miliardi di dollari) e Twitter si dichiara pronto ad accettare.

Per decisione dell’autorità giudiziaria il processo viene quindi rinviato a novembre. Viene così concessa ad entrambe le parti una nuova deadline per raggiungere una soluzione condivisa: il 28 ottobre è il termine ultimo per trovare un accordo.

A due giorni dalla scadenza del termine viene pubblicato un video nel quale è possibile vedere Musk entrare nel quartier generale di Twitter portando con sé un lavello da cucina (il “let that SINK (lavello) in” di cui alla foto sopra). Gli osservatori interpretano il gesto come un bizzarro, ma positivo, presagio. In perfetto stile Elon Musk.

Nel pomeriggio del 27 ottobre, solo qualche ora prima del gong, arriva la notizia: l’acquisto è stato completato.

The bird is freed”, “l’uccellino è stato liberato”. Questo il primo tweet di Musk nelle vesti di nuovo CEO.

UNA NUOVA ERA

Dopo aver epurato il vertice di Twitter dai suoi dirigenti – tra gli altri, proprio (e ovviamente) il CEO Parag Agrawal, oltre al responsabile legale con cui aveva anche avuto degli screzi in precedenza – tocca ai dipendenti: con una semplice e-mail viene comunicato a 3.500 lavoratori della compagnia (il 50% del totale!) che non c’è più spazio per loro in società.

Una class action è attualmente radicata presso il Tribunale di San Francisco per violazione del periodo di preavviso di 60 giorni previsto dalla normativa californiana in materia di licenziamento.

Il maxi-licenziamento, che precede solo di qualche giorno quello ancor più disastroso di Facebook (si parla a riguardo del più grande licenziamento della storia delle big tech, circa 11.000 persone) ha chiaramente toccato la sensibilità di tutti gli osservatori.

Ma non finisce qui!

Ad aggravare la situazione arriva una lettera aperta dell’Alto Commissario dell’ONU, Volker Türk, in cui viene invocato il rispetto dei diritti umani.

Il timore concreto è che le nette posizioni del nuovo CEO in materia di (massima ed estrema) libertà di espressione possano avallare pericolose e gravissime pratiche, come quella dell’hate speech.

È evidente che la nuova era di Twitter non sia partita nel migliore dei modi. Come andrà a finire?

News #36: il Garante boccia l’Ecosistema dei Dati Sanitari; multa salata per Instagram; battaglia (persa) in Giappone per il marchio Gucci.

Immagine di copertina di Surendran MP grazie a Unsplash.

PRIVACY

ECOSISTEMA DATI SANITARI – Il Garante ha recentemente bocciato lo schema di decreto – proposto congiuntamente da Ministero della salute e Ministero per l’innovazione tecnologica e digitale – che include la realizzazione di una nuova banca dati denominata “EDS” (Ecosistema Dati Sanitari). Essa, prevista dalla riforma del Fascicolo Sanitario Elettronico, comporterebbe infatti la #duplicazione di tutti i dati già presenti nel FSE, finendo così per diventare la più grande banca dati di informazioni sanitarie mai creata in Italia. Proprio in virtù delle tipologie di dati coinvolti e del numero di soggetti interessati (si tratterebbe by default di un trattamento sistematico su larga scala) il Garante si è dimostrato molto scrupoloso: ben venga insomma introdurre nuovi strumenti in grado di agevolare lo sviluppo dei servizi sanitari, se nel costante rispetto dei diritti fondamentali delle persone.

CORTE DEI CONTI SOTTO ATTACCO? – Anche la Corte dei Conti pare essere finita nel mirino degli hacker. Secondo alcune indiscrezioni, diversi giudici sono stati raggiunti da un messaggio tramite l’app WhatsApp, apparentemente proveniente dal numero di un collega. Il messaggio, che aveva l’aria di una innocua catena di Sant’Antonio, si è in realtà rivelata invece un’operazione di #phishing, che ha consentito ai cybercriminali di accedere a tutto quanto contenuto nei cellulari dei giudici della Corte. Dopo un’attenta bonifica dei cellulari colpiti dall’attacco, tutto è tornato sotto controllo. Resta, tuttavia, un problema di sicurezza: nel caso in cui dei giudici dovessero usare (o continuare ad usare) WhatsApp per le loro comunicazioni professionali, in quanto più celere rispetto allo scambio di e-mail, le loro comunicazioni rimarrebbero potenzialmente esposte ad ulteriori attacchi.

MULTA PER INSTAGRAM – A seguito di un’istruttoria durata oltre due anni, la Commissione irlandese per la protezione dei dati (DPC) ha imposto ad Instagram una #sanzione di ben 405 milioni di euro (la più alta finora imposta ad una società del gruppo Meta da parte della DPC) per violazione delle norme europee in materia di protezione dei dati personali dei #minorenni. Secondo le motivazioni del Garante irlandese, riportate da Euractiv, Instagram avrebbe consentito a utenti di età compresa tra i 13 ed i 17 anni di aprire e gestire account aziendali, con la conseguenza che i dati personali di minori sono stati resi pubblici, senza che gli stessi ne fossero effettivamente consapevoli.

LE RISORSE DEI GARANTI UE – L’EDPB ha pubblicato ieri, 5 settembre, una “overview” delle risorse di cui ciascuna Autorità nazionale è dotata, sia dal punto di vista economico che di personale a disposizione. Alcuni #spunti interessanti: (i) un tendenziale, seppur minimo incremento dei budget economici a disposizione delle Autorità tra il 2020 e il 2022; (ii) questi budget sono considerati dal 77% delle Autorità come #insufficienti – con la sorprendente eccezione del Garante nostrano; (iii) anche le risorse umane a disposizione tendono all’incremento, non venendo però considerate adeguate alle numerose attività in corso (ad esempio, per l’Italia, lo staff previsto è di 200 persone, a fronte di 139 operatori attualmente presenti). Nel paper sono riportati anche i grafici comparativi dei dati presenti, insieme ad altri spunti molto interessanti.

  • 231

FATTURE INESISTENTI – In materia di dichiarazione fraudolenta mediante fatture per operazioni inesistenti è necessario provare la fittizietà del soggetto formalmente emittente, nel caso in cui si tratti di una società appartenente al Gruppo. È quanto stabilito dalla Corte di Cassazione lo scorso 5 settembre, con la pronuncia delle #sentenze (consultabili gratuitamente per gli iscritti all’associazione AODV231)  n. 32505, n. 32506 e n. 32507. Secondo i giudici di Piazza Cavour, l’eterodirezione da parte della capogruppo non è un elemento di per sé sufficiente per sostenere la fittizietà della controllata e, di conseguenza, qualificare come inesistenti le fatture emesse da quest’ultima.

BANCA DATI ANTIRICICLAGGIO – Uno schema di legge proposto dal Ministero dell’economia e delle finanze (MEF) si propone di aggiornare la legge antiriciclaggio con l’introduzione di un articolo 34-bis istituendo una banca dati informatica centralizzata, previo parere dell’Autorità Garante per la protezione dei dati. Ne riporta diffusamente Maurizio Arena nella sua newsletter n. 14, qui.

  • MERCATI DIGITALI

GUCCI vs CUGGL – Gucci e CUGGL come Davide e Golia. La storica casa di moda italiana perde una importantissima #battaglia contro una piccola (e finora) poco conosciuta start-up giapponese. A scatenare il caso, la comparsa sul mercato di una t-shirt dove una scritta viene oscurata da una striscia di vernice che, in concreto, non permette di distinguere se il testo riporti la scritta “GUCCI” o “CUGGL”. A decidere le sorti dello scontro è stato l’Ufficio brevetti giapponese (JPO), il quale ha #respinto l’opposizione al marchio proveniente dalla maison fiorentina. Le probabilità che un consumatore si confonda e scambi le t-shirt a marchio CUGGL per autentiche Gucci sono, a detta del JPO, davvero molto basse. Vedere questo articolo e la foto qui di seguito per credere (e valutare).

LEGA VS. FACEBOOK – Nel nuovo millennio, si sa, le battaglie elettorali si combattono sui social. Ma c’è chi fa di più, decidendo di combattere addirittura “contro i social”. Un gruppo di parlamentari della Lega ha infatti deciso di presentare un esposto ad #AGCOM (Autorità per le garanzie nelle comunicazioni) contro Facebook. Il motivo, presentato a supporto dell’esposto, è il seguente: il social avrebbe, del tutto arbitrariamente, reso particolarmente difficoltosa (ed in alcuni casi, addirittura, oscurato) la circolazione dei loro post e contenuti elettorali. Al momento, tuttavia, Meta fa sapere che nessuna problematica è stata riscontrata. 

LA DEFINIZIONE DI “METAVERSO” – Il dizionario Merriam-Webster ha introdotto una definizione di Metaverso, che riportiamo in originale: “a persistent virtual environment that allows access to and interoperability of multiple individual virtuan realities“. Primo utilizzo riportato? #1992.

  • NEWS DAL MONDO

BELGIO – Rinviata davanti alla Corte Europea di Giustizia la controversia sul Transparency and Consent Framework di IAB Europe, utilizzato come standard negli ultimi anni per la gestione dei #cookie. Nei mesi scorsi, lo ricordiamo, l’Autorità belga di protezione dei dati personali aveva sanzionato pesantemente IAB Europe per non conformità alla normativa europea, ponendo in grande difficoltà tutti gli operatori che avevano aderito e implementato lo standard. Ne riporta Luiz Alberto Montezuma in questo post.

GERMANIA – L’ondata generata dalla sentenza “Schrems II” – con cui è venuto meno il Privacy Shield, l’accordo per gli scambi UE-USA di dati personali – pare non essersi ancora fermata. Con una recente decisione, la Camera degli Appalti del Baden-Württemberg ha stabilito che anche il mero accesso dall’estero ai dati personali equivale ad un trasferimento. L’interpretazione – evidentemente estensiva – del concetto è stata possibile a fronte della inesistenza, nel corpo del Regolamento UE 2016/679, di una definizione di “trasferimento”.

UK – L’Autorità per la protezione dei dati inglese (ICO) ha recentemente pubblicato una bozza di guida sulle tecnologie per il miglioramento della privacy (PETs) con l’obiettivo di aiutare le organizzazioni a sfruttare il potenziale dei dati mediante un approccio basato sulla privacy by design (dunque, protezione dei dati sin dalla fase della progettazione).

SPAGNA – Il Garante spagnolo (AEPD) ha pubblicato, lo scorso 6 settembre, una guida per tutti coloro che andranno a ricoprire, nei centri educativi, il ruolo di Coordinatore per il benessere e la protezione degli studenti – nuova figura introdotta dalla Legge organica n.8/2021 per la protezione dei bambini e degli adolescenti contro la violenza. Tra le funzioni proprie del Coordinatore, promuovere la comunicazione immediata tra centro educativo e Agenzia, in tutte quelle situazioni che possono verosimilmente comportare un trattamento illecito dei dati personali dei minori. L’AEPD, nella battaglia per la protezione dei minori, ha  anche messo a disposizione un canale prioritario per la segnalazione di materiale pornografico o violento su internet, di cui si richiede l’immediata rimozione.

USA – Proseguono gli studi legislativi verso il mondo digitale, questa settimana con importanti aggiornamenti dalla Federal Trade Commission che ha pubblicato una proposta di legge, e poi ora attende dagli stakeholder commenti entro il 21 ottobre prossimo.

News #35: attachi informatici al settore energia; la Cassazione sulle raccomandazioni “illecite”​; Cuba ha una legge privacy, mentre gli USA no.

Immagine di copertina di Agence Olloweb grazie a Unsplash.

  • PRIVACY & CYBERSECURITY

ATTACCHI INFORMATICI NEL SETTORE ENERGIA – Dopo GSE (Gestore dei servizi energetici) anche ENI finisce nel mirino degli attacchi informatici: secondo le notizie di stampa diffuse nei giorni scorsi, gli accessi non autorizzati alle reti aziendali non avrebbero causato conseguenze di rilevante entità, e tuttavia la soglia di allarme rimane alta. Appare a questo punto evidente l’intenzione di attaccare un settore, come quello energetico, di carattere strategico e attualmente sensibilissimo a causa del conflitto in corso.

CYBERSICUREZZA – Lo scorso 20 agosto è stato pubblicato in Gazzetta Ufficiale il D. Lgs. 123/2022, che adegua la normativa nazionale al Regolamento Europeo 2019/881 in materia di cybersicurezza. Tra le novità introdotte, l’individuazione di una autorità nazionale di certificazione della cybersicurezza (ACN, Agenzia per la Cybersicurezza Nazionale) e la definizione di un sistema sanzionatorio per i casi di violazione.

NEWSLETTER DEL GARANTE ITALIANO – Lo scorso 1 settembre è stata pubblicata la newsletter della nostra Autorità, nella quale si riporta: un parere in merito alla Carta d’Identità Elettronica per i residenti all’estero; un assenso al sistema informativo che monitora i minori non accompagnati in Italia; il via libera del Garante al database centralizzato per la lotta al riciclaggio di denaro derivante da attività criminose e per finanziamento del terrorismo.

REGISTRO OPPOSIZIONI – Dallo scorso 27 luglio è operativo il Registro delle opposizioni, strumento offerto ai cittadini allo scopo di bloccare l’arrivo, anche sul proprio cellulare, di chiamate moleste di marketing diretto. A un mese dal lancio, si registrano quasi due milioni di iscritti: tuttavia, secondo quanto riportato dall’Unione Nazionale Consumatori, soltanto nel 37% dei casi le chiamate sono effettivamente scomparse, registrandosi per altro un 5% dei casi in cui, addirittura, assolutamente nulla sarebbe cambiato, nemmeno in termini di minor frequenza di chiamate. A fronte di questi dati, la proposta dell’UNC prevede un sistema di indennizzi automatici per tutti coloro che, nonostante l’iscrizione, continuano ad essere colpiti da telefonate di marketing.

DATA BREACH PER SAMSUNG – Con un post all’interno del proprio “security response center” il colosso coreano ha confermato rumors che riferivano di un importante data breach (perdita di dati personali) avvenuto “nel tardo mese di luglio”, e conosciuto dall’azienda intorno al 4 agosto, riguardo a utenti e clienti USA. La mancanza di un sistema di reporting tempestivo come sotto il GDPR può aver contribuito a questo importante ritardo di comunicazione, dato che la normativa americana varia da stato a stato. Seguiranno aggiornamenti.

  • 231

RACCOMANDAZIONI ILLECITE – Secondo quanto stabilito dalla Suprema Corte di Cassazione (con sentenza n. 30564 dello scorso 2 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) il semplice sfruttamento di una relazione con un pubblico agente o il mero uso di una relazione personale non è sufficiente per integrare il reato di traffico di influenze illecite, di cui all’art. 346-bis c.p. Affinché la fattispecie di reato si realizzi, è necessario che sussista un quid pluris, e cioè che la mediazione illecite si concretizzi in un vero e proprio accordo accordo tra committente e mediatore finalizzato a produrre un indebito vantaggio per il primo.

NUOVO WHISTLEBLOWING IN FRANCIA – E’ entrata in vigore lo scorso 1 settembre la legge di riforma del Whistleblowing nel paese, che tocca anche la “Sapin II” omologa – per alcuni temi e, in particolare, per anticorruzione e antiriciclaggio – della nostra 231/2001. Qui un articolo di Data Guidance e qui la nuova legge, mentre le modifiche alla Sapin II le trovate qui (in lingua francese, naturalmente).

  • MERCATI DIGITALI

DIGITAL LEARNING – Atlas VPN (servizio VPN nato con l’obiettivo di rendere internet sicuro e accessibile a tutti) ha recentemente condotto e diffuso una ricerca sulle app educative presenti nello store di Android, all’esito della quale ha stilato una classifica delle dieci che raccolgono il maggior numero di dati. Dal report, per di più, si evince che nel 70% dei casi tali dati vengono condivisi con terze parti. Le maggiori preoccupazioni si ricollegano al fatto che, nella gran parte dei casi, gli utilizzatori di tali piattaforme sono soggetti minori: tra le app più “dativore” HelloTalk e Google Classroom.

ANTITRUST USA VS. APPLE – Secondo alcune indiscrezioni, il Dipartimento di Giustizia degli Stati Uniti starebbe lavorando in vista di una possibile causa in materia di antitrust contro Apple. Al centro della questione vi sarebbero gli Airtag – gli innovativi dispositivi che consentono di non smarrire gli oggetti sui quali vengono apposti. La causa sembrerebbe ricollegarsi ad un reclamo proposto da Tile, società anch’essa californiana e anch’essa produttrice di simili dispositivi.

TWITTER-WATCH – Prosegue la “saga” di Twitter vs. Musk, questa volta con la diffusione della notizia del deposito di una denuncia a carico del social network da parte dell’ex responsabile della sicurezza, Peiter “Mudge” Zatko, legata a pesanti mancanze nella protezione degli utenti. Naturalmente, gli avvocati del magnate sudafricano si sono subito affrettati a citare il whistleblower nella causa in corso, la cui udienza sarà il prossimo 9 settembre. Trovate un interessante riassunto su Guerre di Rete, qui. Stay tuned!

  • NEWS DAL MONDO

CUBA – Lo scorso 25 agosto è stata pubblicata nella Gazzetta Ufficiale della Repubblica di Cuba la Legge sulla protezione dei dati personali (n.149/2022). La nuova normativa – che  entrerà a tutti gli effetti in vigore trascorsi 180 giorni dalla pubblicazione – garantirà ai soggetti interessati il controllo sui propri dati al fine di evitare il verificarsi di qualsiasi violazione nella trasmissione dei propri diritti personali per finalità diverse da quelle legalmente consentite.

GERMANIA – Il Ministro tedesco del digitale e dei trasporti sta attualmente lavorando su un progetto di legge volto a semplificare la gestione del consenso relativo ai cookie. Più nello specifico, l’obiettivo sarebbe quello di ridurre il numero di pop-up in cui gli utenti si imbattono nel corso della loro navigazione. In tal senso, un’eccezione riguarda i siti finanziati da pubblicità: se l’utente presta il consenso, nessun pop-up verrà più visualizzato, mentre, qualora lo rifiuti, il pop-up finalizzato alla sua raccolta verrà di volta in volta riproposto.

USA – La FTC (Federal Trade Commission) ha recentemente reso noto di aver intentato una causa nei confronti di Kochava Inc., broker di dati. Le ragioni della causa sono da rintracciarsi nell’attività di vendita di informazioni – relative a centinaia di migliaia di soggetti – utilizzate per tracciare gli spostamenti degli individui coinvolti, anche da e per luoghi sensibili (ad esempio luoghi di culto o centri di accoglienza per senzatetto).

HONG KONG – Il Garante per la protezione dei dati personali di Hong Kong (PCPD) ha recentemente pubblicato le “Misure per la valutazione della sicurezza delle esportazioni di dati”, contenenti precisi e rigorosi requisiti relativi alle modalità di effettiva esecuzione di tali valutazioni di sicurezza. L’Autorità locale ha poi provveduto a precisare che, laddove i requisiti siano soddisfatti, potrebbe essere richiesto al soggetto che ha effettuato le valutazioni un inoltro delle risultanze alla Cybercrime Administration of China (CAC, Garante cinese).

NORVEGIA – L’Autorità locale ha recentemente pubblicato i risultati di uno studio condotto in tema di monitoraggio dei lavoratori, che include diversi interessanti spunti su come rendere il luogo di lavoro tecnologico (e lo smart working) più a misura di GDPR. Data Guidance ne fa un riassunto qui, per chi non conoscesse il norvegese.

News #34: negli USA si avvicina la legge privacy federale; novità su smart working e controllo da remoto; prima sanzione privacy in California.

Immagine di copertina di Timothy Dykes grazie a Unsplash.

  • PRIVACY

LAVORATORE SPIATO – Scoprire che il lavoratore non adempie alla propria prestazione mediante l’attività di un investigatore privato non consente, da sola, al datore di lavoro di licenziarlo. È quanto stabilito dalla Corte di Cassazione con ordinanza 25287 dello scorso 24 agosto. Il controllo sull’operato del dipendente, infatti, spetta esclusivamente al datore di lavoro, che non può in nessun caso avvalersi di altri soggetti.

LEGGE FEDERALE USA – Continua il percorso della proposta normativa denominato “ADPPA” (American Data Privacy and Protection Act), questa volta con una inedita lettera, inviata da ben 48 diverse associazioni americane per i diritti civili allo Speaker della Camera, Nancy Pelosi. Il generale consenso sulla necessità di uniformare lo spettro della legislazione USA in materia appare evidente e, mai come prima, potrebbe essere il viatico per un avanzamento della bozza di legge: sul punto è interessante questo articolo dello IAPP, che include anche altri sviluppi normativi USA ad esempio in materia di intelligenza artificiale.

NOYB-GMAIL – NOYB (None of your business), l’organizzazione senza scopo di lucro guidata da Max Schrems, ha recentemente presentato una denuncia contro Google presso l’Autorità garante francese (CNIL). La doglianza di NOYB è basata sulle ripetute violazioni da parte di Google della normativa e della giurisprudenza europea in materia di marketing diretto. Pare infatti che Google, in spregio alla Direttiva ePrivacy e ad una sentenza della Corte di Giustizia (C-102/20), abbia ripetutamente inviato ai propri utenti e-mail contenenti pubblicità, e ciò senza che gli utenti stessi avessero prestato il loro consenso a riguardo.

ISTRUTTORIA SUL VIDEO DI PIACENZA – Il Garante per la protezione dei dati italiano ha annunciato di aver aperto un’istruttoria al fine di individuare le responsabilità – dal punto di vista della normativa privacy – dei soggetti coinvolti nell’ambito del caso della violenza sessuale avvenuta a Piacenza. Il caso, già serio di per sè stesso, ha subito un aggravamento (soprattutto dal punto di vista della vittima, in termini di dignità e tutela) in seguito all’uso strumentale che ne è stato fatto ai fini della campagna elettorale da parte di una forza politica che, per raccogliere consensi, ha provveduto a diffondere online il video.

META E LA SANZIONE IRLANDESE – Rimandata all’autunno la decisione sui trasferimenti internazionali effettuati da Facebook e Instagram (Meta Platforms) a seguito delle contestazioni sollevate da alcune autorità locali alla bozza di decisione della DPC irlandese: principale scoglio, l’assenza (incomprensibile) di alcuna sanzione verso il gigante USA seppur nella conferma della violazione di diversi precetti del GDPR. Si è pertanto aperta la procedura di cui all’art. 65 GDPR, che seguiremo da vicino nelle prossime news.

  • MERCATI DIGITALI

SMART WORKING – Il Governo interviene ancora, in piena estate, sulla materia dello “smart working”, con il Decreto ministeriale n. 149/2022 – pubblicato in Gazzetta Ufficiale lo scorso 19 agosto a firma del Ministro Orlando – che fissa alcune novità. Ai fini di un corretto svolgimento del lavoro in modalità agile, tra l’altro, sembra essere scomparso l’obbligo di effettuare al Ministero la comunicazione dei lavoratori coinvolti prima dell’inizio dello smart working, decadendo anche la relativa sanzione. Ne parla il Sole 24 Ore in questo e in questo articolo, mentre il Ministero ha rilasciato una nota stampa qui.

TWITTER – HateAid, organizzazione tedesca no-profit, ha denunciato Twitter presso l’Ufficio federale di giustizia. La denuncia si fonda sulla violazione di una disposizione del Network Enforcement Act, che prescrive l’obbligo di comunicare i meccanismi con i quali i social gestiscono i reclami: secondo quanto lamentato dall’organizzazione, Twitter non avrebbe adempiuto a ciò nel suo ultimo Rapporto sulla trasparenza, relativo al periodo gennaio-giugno 2022. In una notizia non correlata, l’ex responsabile della sicurezza di Twitter (Peiter ‘Mudge’ Zatko) ha lanciato pesanti accuse contro il social network per gravi e reiterate falle nella gestione della protezione degli utenti e nella lotta ai “bots”: qui un interessante articolo del The Guardian.

GOOGLE ENTRA NELL’OOH – Con un blog post ufficiale Google ha annunciato di aver integrato, nella propria piattaforma di adv, anche strumenti di “out of home”, ovvero pubblicazione di annunci commerciali attraverso videowall in stazioni, aeroporti, centri commerciali e altri luoghi di alto traffico di persone. L’azienda di Mountain View si è subito affrettata a precisare, per inciso, che non saranno utilizzati dati personali per “targettizzare” le pubblicazioni, ma solo “dati contestuali”, ad esempio mostrando annunci relativi allo specifico luogo di diffusione e/o al contesto reale in cui lo spettatore si trova.

  • NEWS DAL MONDO

CALIFORNIA – Arriva la prima sanzione del public enforcement locale contro una società per violazione del CCPA, seppure attraverso un accordo transattivo: Sephora, gigante del retail cosmetico, dovrà pagare 1,2 milioni di dollari per aver venduto i dati degli utenti senza effettuare loro alcuna notificazione o dare accurate informazioni, e inoltre sarà tenuta a specificare tali attività mediante diversi interventi concordati con l’autorità. Il portavoce di quest’ultima, per inciso, ha comunicato che sono in corso di invio circa cento altre lettere ad altrettanti brand, per violazioni della legge locale a protezione dei consumatori.

TURCHIA – KVKK, Autorità garante turca, ha pubblicato una bozza – destinata alla consultazione pubblica – di linee guida in materia di trattamento di dati genetici. Scopo del documento è aiutare i titolari del trattamento nel trattamento di tale delicata categoria di dati, nella scelta di un’adeguata base giuridica e nell’adempimento degli obblighi posti dalla normativa nazionale vigente.

USA – L’Electronic Privacy Information Center (EPIC) e il National Consumer Law Center (NCLC) hanno rilasciato una dichiarazione congiunta per sollecitare la Federal Communication Commission (FCC) a imporre sanzioni più severe nei confronti di tutte le compagnie telefoniche che non sono in grado di proteggere i consumatori da telefonate automatiche di truffa.

ROMANIA- L’ANSPDCP, autorità locale, ha recentemente reso nota la propria decisione di infliggere una sanzione di 10 mila euro a Enel Energie Muntenia SA per aver violato gli artt.32  e 33 del GDPR. Infatti, in seguito ad un incidente (un dipendente Enel ha inoltrato ad un destinatario sbagliato dati personali riferibili ad altro soggetto) Enel Energie non ha provveduto a dimostrare di aver posto in essere tutte le misure necessarie per evitare che un simile inconveniente potesse ripetersi in futuro, nè si è adoperata in termini di segnalazione dell’incidente stesso all’Autorità. 

PERÙ – In occasione della “Festa del bambino”, celebrata in Perù lo scorso 21 agosto, il Garante peruviano (ANPD) ha emanato delle raccomandazioni finalizzate alla protezione dei dati personali e alla prevenzione di molestie sessuali nei confronti di soggetti minori. Tra i consigli offerti dall’Autorità, evitare di fornire indicazioni precise circa la scuola e gli altri luoghi frequentata dai bambini, non accettare richieste da soggetti sconosciuti e evitare di rispondere a questionari e/o domande sui minori che appaiono discutibili e inappropriate.

BRASILE – Meta è stata condannata dal SENACON a pagare un risarcimento di 6.6 milioni di Real (circa 1,2 milioni di euro) per le violazioni derivanti dallo scandalo Cambridge Analytica, tra cui l’analisi e valutazione delle risposte attraverso app e “giochi” al fine di indirizzare il voto dei cittadini durante le elezioni.

Recenti sentenze della Corte di Giustizia UE (anno 2021)

Potremmo immaginare il diritto dell’Unione europea come la tela (assai ampia) di un ragno: diventa molto più debole laddove ci sono vuoti o rotture del suo intreccio. Fuor di metafora, i vuoti e le rotture sono le violazioni realizzate con la mancata applicazione del diritto europeo da parte (o all’interno) dei singoli Stati membri: violazioni delle norme sulla concorrenza, del Regolamento Generale per la Protezione dei Dati Personali (“GDPR”), del ne bis in idem e altro ancora.

Diverse sentenze pronunciate dalla Corte di Giustizia UE nel 2021 hanno avuto conseguenze profonde ed evidenti nella vita quotidiana dei cittadini europei: la Corte ha – come sempre accade – rivestito in tutti i casi un ruolo importante nell’assicurare un’interpretazione e un’applicazione uniformi del diritto dell’Unione.

Proprio in questa prospettiva abbiamo fatto una analisi di alcune di tali sentenze, selezionate fra le molte emanate in materia di IP e tecnologia nel 2021, che di seguito vi proponiamo.

La protezione del design comunitario non registrato – 28 ottobre 2021, sent. C-123/2020

Link diretto alla decisione

Nel primo caso, il contenzioso di base ha preso avvio da un Tribunale tedesco presso cui la casa automobilistica Ferrari aveva chiesto un’ingiunzione contro una società di design per violazione di norme sul Design Comunitario non Registrato (“UCD”) in relazione alla nuova serie di supercar da pista.

Il lancio della serie in produzione limitata della nuova macchina da corsa era stato reso pubblico nel 2014, in una conferenza stampa che mostrava immagini frontali e laterali della macchina.

Nel 2016 la società di design, specializzata nella modifica di auto di lusso, ha iniziato ad offrire set di accessori personalizzati, conosciuti come “tuning kits”, pensati per modificare l’aspetto della Ferrari 488 GTB per farla somigliare al modello in serie limitata.

In primo grado e in appello le istanze di Ferrari sono state respinte dalle Corti tedesche; perciò, la decisione è stata impugnata davanti alla Corte di Giustizia dell’Unione europea.

La Corte ha esaminato l’istanza della Corte tedesca e ha affermato che, una volta soddisfatte le condizioni essenziali per la protezione, vale a dire quando il design soddisfa il requisito di novità e ha un carattere individuale, costituisce unica condizione formale per la creazione di un disegno o modello comunitario non registrato l’obbligo di metterlo a disposizione del pubblico.

La Corte di Giustizia ha così chiarito che la scoperta dell’immagine completa di un prodotto è sufficiente per ottenere una protezione del design non registrato per gli elementi separati e specifici del prodotto.

La Corte ha spiegato che dopo aver reso disponibile un progetto al pubblico, gli elementi separati “chiaramente identificabili” e “chiaramente visibili” possono godere di protezione come disegni parziali.

Decompilazione di software – 6 ottobre 2021, sent. C-13/2020

Link diretto alla decisione

Questa vertenza ha visto contrapposti lo Stato del Belgio e uno sviluppatore di software. La disputa è iniziata a causa di problemi operativi sorti mentre l’Ufficio Selezione dell’autorità federale belga (“SELOR”) utilizzava in licenza un programma di Top System.

A causa di problemi operativi, SELOR ha decompilato il programma per correggere gli errori e Top System ha contestato che la decompilazione di SELOR violava il proprio diritto di esclusiva sul software, avanzando una richiesta di risarcimento del danno.

La Corte di Giustizia ha stabilito che chi acquista un programma è autorizzato a decompilare il software al fine correggere gli errori che si verificano nelle operazioni, inclusi i casi in cui la correzione consista nel disabilitare una funzione che comprometta il funzionamento di quel programma.

Le motivazioni applicate in diritto sono state l’art. 5 e l’art. 6 della Direttiva 91/250 relativa alla tutela giuridica dei programmi per elaboratore.

La particolarità osservata dalla Corte in questo caso è che il diritto a decompilare è soggetto a “specifiche previsioni contrattuali”, vale a dire che le parti possono accordarsi sul limitare i diritti a decompilare il software di chi possiede la licenza, mantenendo l’onere di correggere gli errori ed effettuare manutenzioni in capo a chi concede la licenza.

Su questo tema, la Corte ha comunque precisato che non può essere mai completamente esclusa la possibilità per chi possiede la licenza di correggere errori.

La pubblicità di dati particolari – 22 giugno 2021, sent. C-439/2019

Link diretto alla decisione

Il caso in esame riguarda una disposizione nella legge della Lettonia che dà accesso all’informazione sui punti di penalità per violazioni del Codice stradale lituano a chiunque sia interessato, senza necessità di provare uno specifico interesse, al fine di migliorare la sicurezza sulle strade della Lettonia.

Un cittadino, i cui dati sono stati oggetto di ripetuto e sgradito utilizzo, ha proposto un ricorso davanti alla Corte costituzionale lettone per esaminare la compatibilità della disposizione di cui all’art. 141(2) del codice della strada con il diritto fondamentale al rispetto della vita privata sancito dall’art. 96 della Costituzione lituana.

La Corte di Giustizia UE, adita proprio dalla Corte lettone, ha stabilito che i dati su violazioni registrate sono dati particolarmente delicati e ha segnalato che la legislazione lituana si pone in violazione del GDPR. La decisione ha sottolineato anche che l’obiettivo di diminuire gli incidenti e le violazioni sulle strade lettoni non è perseguibile attraverso la pubblicazione di quei dati, che non trovano una base giuridica nel legittimo interesse.

Conclusioni

Nei tre casi presi ad esempio, la Corte di Giustizia ha sempre formulato l’obbligo, per le amministrazioni e i giudici nazionali, di applicare pienamente il diritto dell’Unione nell’ambito della loro sfera di competenza e di tutelare i diritti conferiti ai cittadini, disapplicando qualsiasi contraria disposizione del diritto nazionale, nel rispetto del generalizzato principio di supremazia del primo sul secondo.

Queste sentenze, in particolare, saranno da tenere a mente:

  • per la redazione di contratti di fornitura di software (sent. C-13/2020),
  • per le amministrazioni locali (sent. C-439/2019),
  • e per le grandi società che intendano disporre dei propri marchi (sent. C-123/2020).

_________________________________________

Photo by Berta Ferrer on Unsplash

La volgarizzazione del marchio (e altre vicende)

Sono molteplici i fattori da cui dipende il successo di una impresa.

Tra questi, un ruolo decisivo è svolto dal marchio e dalla sua capacità di imporsi sul mercato per rendere i prodotti di cui si fa promotore immediatamente identificabili nel mare magnum di quelli in commercio.

Proprio in virtù della loro capacità di proporsi alla collettività, i marchi sono oggetto di una particolare regolamentazione fondata sulla importantissima esigenza di assicurare, fin dal principio e per tutta la durata della loro utilizzazione, che questi conservino i requisiti che la legge prescrive come essenziali per la loro esistenza.

Particolarmente importante risulta allora la questione della cd. volgarizzazione del marchio, quel “caso-limite” che ci permette di comprendere come non sempre l’eccesso di popolarità di un marchio, ed il suo inserimento “intensivo” nella vita dei consumatori, comporti un effettivo vantaggio per l’impresa che se ne serve.

Il profilo normativo

Tanto nella normativa del Codice civile quanto in quella del Codice della Proprietà Intellettuale, D.Lgs. 30/2005, il marchio viene descritto come quel segno distintivo idoneo a distinguere i prodotti e i servizi resi da un’impresa da tutti i prodotti e servizi resi da altre imprese, operanti nel medesimo settore.

Perché sia valido, la legge richiede che soddisfi tre requisiti: novità, liceità e capacità distintiva, per questa intendendosi l’idoneità di assolvere alla fondamentale funzione di rendere l’impresa che se ne avvale e i prodotti da questa commercializzati facilmente distinguibili da prodotti affini riconducibili ad altre imprese.

È proprio il requisito della capacità distintiva che impone agli operatori economico-commerciali il divieto di usare quali propri marchi segni generici, che non permetterebbero al consumatore di comprendere immediatamente a quale impresa si ricolleghi il prodotto o servizio oggetto del loro interesse.

Per questo suo ruolo nodale, il marchio gode di una specifica tutela ottenibile mediante la sua registrazione (art. 20 D.Lgs. 30/2005): tra i vantaggi, l’importantissima possibilità di usare in maniera esclusiva il marchio, vietando dunque qualsiasi sua utilizzazione non autorizzata.

Sebbene il marchio registrato rappresenti un marchio più efficacemente tutelato, particolare rilevanza assume nella prassi commerciale anche la figura del marchio di fatto, marchio non registrato che tuttavia assolve pur sempre alla funzione di rendere conoscibile e distinguibile l’impresa sul mercato, nel rispetto dei requisiti di novità, liceità e capacità distintiva.

Per quanto non possa formare oggetto di utilizzazione esclusiva, il marchio di fatto è tutelato dall’ordinamento, in caso di successiva registrazione da parte di altra impresa, nei limiti dell’uso che di esso veniva fatto prima della registrazione (cd. preuso).

Il marchio “troppo popolare”

Ma cosa succede quando un marchio diviene così diffuso e utilizzato da diventare, nell’immaginario e nell’espressione collettiva, il prototipo assoluto che identifica un determinato prodotto?

Il fenomeno, noto come volgarizzazione del marchio, descrive quella particolare condizione in cui finisce per versare il marchio quando perde la sua capacità distintiva, finendo per descrivere un genus piuttosto che un singolo e ben individuato prodotto o servizio.

Per quanto indubbiamente sia il sintomo di un successo commerciale, il marchio volgarizzato è un marchio esposto ad un grandissimo rischio: la decadenza, ex art. 13, comma 4 e 26, comma 2 lettera a) D.Lgs. 30/2005.

Le cause possono essere diverse: azioni inadeguate od omissioni compiute dal titolare, ma anche fatti indipendenti alla sua volontà.

Il trait d’union tra le varie ipotesi è la percezione, viziata, del pubblico nei confronti del marchio e del prodotto o servizio al quale si riferisce: non più “uno specifico rotolo di carta assorbente prodotto dalla Scottex”, ma “un qualsiasi rotolo di carta assorbente, da chiunque prodotto”.

Esempi famosi di tale fenomeno sono i marchi, ormai termini di uso comune, “Scotch”, “Rimmel”, “Kleenex”, un tempo tutti riferibili a ben precisi prodotti di ben determinate case produttrici.

Il caso più eclatante riguarda il famosissimo “Walkman”, marchio registrato dalla Sony.

Il termine diventò così popolare in Austria da essere utilizzato per riferirsi a qualsiasi registratore portatile di musica- a prescindere dalla casa produttrice e, dunque da Sony- tanto da comportare nel 2002, ad opera di una pronuncia della Corte Suprema Austriaca, la decadenza della Sony da tutti i diritti connessi all’uso di tale marchio in territorio austriaco.

Come tutelarsi, anche dopo la registrazione del marchio?

Si possono assumere diversi efficaci accorgimenti per scongiurare le conseguenze negative della volgarizzazione:

  • accompagnare sempre il marchio registrato con il simbolo della registrazione;
  • depositare il marchio in tutti i Paesi di potenziale interesse attuale e futuro;
  • attuare campagne pubblicitarie e strategie di marketing adeguate;
  • ribadire spesso che il marchio “è un marchio registrato”;
  • richiedere, nel caso di menzione in una enciclopedia o in un dizionario, che il marchio venga espressamente menzionato come registrato (art. 12 Reg. 2017/1001).

Esempio virtuoso di impresa sensibile alla tutela del marchio è rappresentato dalla maison fiorentina Gucci: in una recentissima pronuncia (n. 27217/2021 credits: Sole 24Ore) la Prima Sezione Civile della Suprema Corte ha ribadito, proprio mediante l’accoglimento con rinvio della doglianza dell’illustre ricorrente, l’esistenza in favore dei cd. marchi notori di una tutela rafforzata, che va ben oltre il semplice rischio di confusione tra i prodotti (art. 20, lett. e) D.Lgs. 30/2005).

La tutela, riservata ai soli titolari di marchi caratterizzati da un elevato stato di rinomanza, consente di impedire che altri registrino o usino segni uguali o simili, anche per prodotti o servizi non affini a quelli per cui il marchio era stato registrato (tutela ultra-merceologica).

La ratio è chiaramente impedire che attraverso fenomeni come la diluizione o corrosione del marchio (la diffusione cioè di una moltitudine di marchi, tutti simili a quello notorio) e la volgarizzazione, il consumatore si trovi nella condizione di non riuscire più a distinguere i singoli marchi, finendo per associare quello “notorio” ad un prodotto generico anziché ad uno specifico.

_________________________________

Photo by Austin Chan on Unsplash