GPS E LOCALIZZAZIONE DEI VEICOLI AZIENDALI – IL GARANTE DELLA PRIVACY DICHIARA CHE ANCHE IL GPS DEVE RISPETTARE LA PRIVACY DEGLI UTENTI

18/09/2018

Per la prima volta con il provvedimento n. 396 del 28 giugno 2018 il Garante della Privacy ha ordinato ad un fornitore di servizi di geolocalizzazione di prevedere nella funzionalità del prodotto il rispetto del diritto alla privacy, attuando il principio di minimizzazione dei dati e della privacy by design e by default. In questo modo, il cliente potrà disporre di un sistema adattabile a tutte le proprie esigenze organizzative e di sicurezza.

 

Il Garante si è espresso a seguito di una segnalazione da parte di un dipendente di un’azienda che utilizza il servizio di geolocalizzazione sulla propria flotta aziendale, secondo il quale le caratteristiche del sistema non erano conformi alle norme sulla privacy.

Dalle verifiche effettuate dall’Autorità, con la collaborazione della Guardia di Finanza, è venuto alla luce che il sistema ha consentito il monitoraggio continuo dell’attività dei dipendenti senza che gli stessi ne fossero a conoscenza in totale violazione del principio di necessità e proporzionalità. Inoltre, poiché i veicoli dei dipendenti potevano essere utilizzati anche al di fuori dell’orario di lavoro e dai loro familiari, il sistema di geolocalizzazione ha permesso di raccogliere informazioni sul dipendente che non erano rilevanti per lo svolgimento dell’attività lavorativa e in totale violazione dell’articolo 8 dello Statuto dei lavoratori e dei diritti dei terzi.

Il Garante, quindi, è intervenuto vietando all’azienda, che ha installato il sistema sul proprio parco veicoli, l’elaborazione e l’utilizzo dei dati raccolti e ha anche richiesto al fornitore di servizi di geolocalizzazione di adeguare il sistema alle norme europee sulla protezione dei dati, indicando le seguenti condizioni da rispettare per la legalità del controllo e:

– il servizio standard deve essere rimodellato con particolare riguardo agli intervalli di tempo per la rilevazione della posizione geografica dei veicoli – attualmente fissati tra i 30 e i 120 secondi – e i tempi di memorizzazione dei dati – ora fissati a 365 giorni – e la memorizzazione e messa a disposizione di mappe di tutti i percorsi effettuati;

– l’azienda deve inoltre comunicare ai propri clienti la possibilità di adattare le caratteristiche del servizio alle specifiche finalità perseguite;

– la funzione che consente la disattivazione del GPS deve essere resa disponibile per tutte le tipologie di abbonamento al servizio senza costi aggiuntivi ed eccessivi.

In ogni caso, i dipendenti devono essere preventivamente informati del sistema di raccolta dati e devono essere predisposti dall’azienda tutte le misure che consentono ai lavoratori di accedere ai dati trattati per la visualizzazione o per eventuali modifiche. In questo modo, il Garante, oltre a ridimensionare e regolarizzare le attività dell’azienda che utilizza il servizio di localizzazione della propria flotta aziendale nel rispetto della normativa sulla privacy, ha anche creato un precedente fondamentale per la tutela dei lavoratori.


PRIMI PASSI VERSO UNA RINNOVATA DIRETTIVA SUL COPYRIGHT, TRA TUTELA IN RETE E FAKE NEWS

13/09/2018

L’attesa seduta del Parlamento UE dello scorso mercoledì 12 settembre si è conclusa con l’approvazione di un primo testo della riformata Direttiva Copyright con cui l’UE intende disciplinare lo sfruttamento delle opere protette dal diritto d’autore on-line messe a disposizione degli utenti tramite alcune categorie di Internet Service Provider. Tra le disposizioni più controverse vi sono la protezione degli articoli giornalistici on-line condivisi tramite link (il caso dei c.d. snippet) e la comunicazione al pubblico di contenuti protetti dal diritto d’autore attraverso le piattaforme dedicate agli user-generated-contents (YouTube e simili). L’impatto (soprattutto politico) della Direttiva ha generato un intenso dibattito in rete anche attraverso la diffusione incontrollata di fake news.

 

Con voto del 12 settembre 2018, il Parlamento dell’Unione Europea ha approvato la riforma della Direttiva sul Copyright avviando le trattative tra gli Stati membri, il Consiglio e la Commissione dell’Unione Europea per la definizione del testo legislativo finale, che andrà votato a gennaio 2019. L’ultimo testo approvato dal Parlamento regolamenta situazioni differenti tra loro e che sono divenute molto controverse, soprattutto per l’opinione pubblica.

Da un lato (Articolo 11) si prevede il (nuovo) diritto connesso in favore degli editori di ottenere un “equo compenso” per l’utilizzo digitale dei propri articoli giornalistici da parte delle piattaforme degli ISP anche attraverso link accompagnati da un estratto dell’articolo stesso (c.d. snippet). Gli stessi editori saranno obbligati a riconoscere agli autori degli articoli (giornalisti) una quota dei proventi così percepiti. Tale misura è stata introdotta al fine di contrastare la “regressione del panorama mediatico a livello regionale” (considerando 31) nonché per “garantire la disponibilità di informazioni affidabili” (considerando 32). Proprio riguardo a tale previsione erano circolate numerose (fake) news che avrebbero affermato che sarebbe stata introdotta una vera e propria “Link-tax”, circostanza che, come abbiamo visto, viene esclusa dalla Direttiva. Da un lato infatti si prevede un “equo compenso” per gli editori (e non una vera propria tassa) dovuta dagli ISP (e non dagli utenti) e dall’altro tale previsione non si applica ai “semplici collegamenti ipertestuali accompagnati da singole parole” (Articolo 11). La Direttiva non sembra neppure incidere sulla “libertà di internet” (come tra l’altro affermato dalla nota enciclopedia on-line Wikipedia con una nota del 3 luglio 2018, link) ma intende effettivamente regolamentare i contenuti disponibili in rete, scoraggiando la diffusione di informazioni non affidabili.

Dall’altro lato, ISP – quali YouTube e simili – saranno ritenuti responsabili dei contenuti caricati dagli utenti sulla propria piattaforma di condivisione on-line (Articolo 13). La visibilità del contenuto protetto dal diritto d’autore attraverso la piattaforma on-line rappresenta infatti un atto di comunicazione al pubblico dell’opera protetta e, come tale, riservato all’autore. Da qui la Direttiva prevede la possibilità per tali ISP di concludere contratti di licenza con i titolari dei diritti sulle opere uploadate ovvero, in alternativa, di cooperare con il titolare del diritto per garantire che non siano disponibili sui loro servizi opere o altro materiale protetti non autorizzati. I confini di tale “cooperazione” non sono stati stabiliti e pertanto (facendo riferimento al testo proposto dalla Commissione UE poi emendato dal Parlamento) l’ISP potrebbe dotarsi strumenti tecnologici in grado di riconoscere preventivamente il caricamento di opere protette (i.e. content ID già in uso su YouTube) ovvero attendere semplicemente la segnalazione del titolare del diritto prima di rimuovere il contenuto stesso. Certo è che, in assenza di accordi di licenza e di cooperazione, l’ISP dovrà essere ritenuto concorrente nell’illecita riproduzione e diffusione di opere protette, in deroga al “safe harbour” previsto dalla Direttiva Ecommerce. È poi previso che l’utente che abbia caricato un contenuto asseritamente protetto possa ricorrere (attraverso modalità stabilite dall’ISP ovvero attraverso un organismo terzo ADR) contro la rimozione ingiustificata del contenuto (Articolo 13).

A tali misure non sono poi soggetti, tra l’altro, le micro e piccole imprese e gli ISP che agiscono a fini non commerciali quali enciclopedie on-line (Wikipedia) e i prestatori di servizi online in cui il contenuto è caricato con l’autorizzazione di tutti i titolari di diritti interessati, come i repertori didattici o scientifici (Articolo 2 e considerando 37bis).

A questo punto bisognerà attendere le prossime settimane per verificare se l’attuale testo approvato dal Parlamento diverrà definitivo ovvero verrà ulteriormente emendato a seguito delle ulteriori consultazioni. Il risultato rappresenta certamente un primo passo verso un tentativo di regolamentazione dei contenuti immessi in rete che necessiterà, come ovvio, di analisi “sul campo” per valutarne l’efficacia


L’ANTITRUST PUNTA GLI OCCHI SU SKY ITALIA E DAZN

06/09/2018

Con un comunicato dello scorso 28 agosto l’Autorità Garante della Concorrenza e del Mercato (AGCM) rende noto l’avvio – su segnalazione di singoli consumatori – di due istruttorie nei confronti di Sky Italia S.r.l., Perform Investment Limited e Perform Media Services S.r.l. (queste ultime meglio note al pubblico con il nome di “DAZN”) con riferimento alla commercializzazione dei pacchetti delle partite di calcio (Serie A e B) per la stagione 2018/2019.

 

Sono distinti gli illeciti astrattamente ascrivibili alle due emittenti.

Quanto a Sky, secondo l’AGCM la società leader in Italia nella trasmissione di eventi sportivi non avrebbe adeguatamente informato il proprio pubblico circa le modalità di erogazione ed i limiti dell’offerta del pacchetto calcio per la stagione 2018/2019, tanto da poter indurre i nuovi clienti ad assumere una decisione commerciale inconsapevole. Inoltre, la condotta tenuta da Sky potrebbe presentare profili di “aggressività” nei confronti degli utenti già abbonati, poiché – a fronte tra l’altro di un consistente ridimensionamento del numero delle partite trasmesse – il professionista avrebbe indotto il cliente a rinnovare l’abbonamento nell’erroneo convincimento che l’offerta calcistica non fosse mutata. Tale condotta potrebbe integrare la fattispecie di illecito disciplinata dall’art. 65 del Codice del Consumo.

Quanto a DAZN, da un lato viene contestato il claim “quando vuoi, come vuoi”, potenzialmente idoneo ad indurre il consumatore a ritenere di poter usufruire del servizio ovunque si trovi, sottacendo di indicare le limitazioni tecniche e/o territoriali che potrebbero impedire o rendere difficoltosa la fruizione del servizio; dall’altro lato, si ritiene fuorviante il messaggio secondo cui l’utente potrebbe fruire del primo mese del servizio “gratuitamente” e “senza contratto”. In realtà infatti il consumatore è comunque tenuto a sottoscrivere un contratto (pur gratuito per il primo mese), con conseguente esigenza di esercitare formale recesso per non rinnovare il servizio ed evitare l’addebito delle successive mensilità. Tali condotte, secondo l’Antitrust, potrebbero presentare profili sia di ingannevolezza che di aggressività, in violazione degli artt. 21, 24 e 25 del Codice del Consumo.


LGV OTTIENE UN ORDINE DI INIBITORIA CONTRO UN RIVENDITORE ON LINE DI SOFTWARE ILLECITI

26/07/2018

Con provvedimento del 20 luglio 2018, il Tribunale di Torino ha inibito ad un rivenditore online di proseguire la vendita senza autorizzazione di programmi per elaboratore di titolarità di un’importante società produttrice di software; il Giudice torinese ha riconosciuto sussistente il periculum in mora stante il danno irreparabile e difficilmente quantificabile che deriva dalle vendite di prodotti non autorizzati su internet.

 

L’azione cautelare è stata instaurata da LGV per conto della propria cliente dopo che quest’ultima aveva appreso che la società resistente rivendeva, tramite un noto sito di aste online, programmi per elaboratore di propria titolarità senza autorizzazione. Si trattava, in particolare, di programmi in versione Educational che normalmente vengono resi accessibili solo a istituzioni accademiche (ovvero al proprio personale ed ai propri studenti), gratuitamente e per un periodo limitato di tempo. Il rivenditore online, invece, rivendeva tali prodotti a utenti non classificabili come istituzioni accademiche, a fronte della corresponsione di un prezzo e consentiva l’accesso al programma in modo perpetuo.

Il Tribunale di Torino ha riconosciuto sussistenti sia il fumus boni iuris sia il periculum in mora, requisiti necessari per la concessione del provvedimento di inibitoria richiesto. Con riferimento al fumus, è stato accertato l’illecito sfruttamento da parte del resistente dei diritti di esclusiva di titolarità della società ricorrente, accogliendo la domanda di inibitoria anche in relazione alla tutela del marchio di titolarità della software house.

Con riferimento al periculum, il Tribunale ha affermato che il protrarsi dell’offerta in vendita da parte del resistente recava alla parte ricorrente un pregiudizio grave e non integralmente riparabile, evidenziando come per l’impresa (e a maggior ragione per le imprese produttrici di software) la rete internet rappresenti oggi la vetrina più rilevante e importante di esposizione e distribuzione dei propri prodotti e del proprio brand. È stato inoltre riconosciuto che, in via generale, la tutela cautelare in materia di diritto d’autore, di diritto industriale e concorrenza sleale è ritenuta ammissibile giacché il danno dall’esclusione dal mercato che subisce l’imprenditore illecitamente danneggiato è difficilmente quantificabile, e quindi riparabile, stante l’obiettiva difficoltà di stima e l’impossibilità di reversione integrale degli effetti della condotta abusiva.


CORTE DI CASSAZIONE IN MATERIA DI NEWSLETTER E PRIVACY

18/07/2018

La Suprema Corte, con la decisione n. 17278 del 2 luglio 2018,                    condanna la pratica sempre più diffusa da parte dei siti web di inviare comunicazioni pubblicitarie in assenza di specifico consenso dell’interessato e ricorda le regole per l’advertising sul web.

 

La citata decisione ha definito un contenzioso partito nel 2014 a seguito di un provvedimento del Garante per la protezione dei dati personali che aveva ritenuto illegittimo il trattamento di dati personali per finalità promozionali da parte di una società specializzata nel settore di servizi web senza aver raccolto il consenso «libero e specifico» degli interessati. In particolare, gli utenti del sito, per poter accedere ai servizi web (newsletter su finanza, fisco, diritto e lavoro) dovevano registrarsi fornendo la propria email e prestare un generico consenso al trattamento dei dati personali. L’informativa tuttavia veniva resa accessibile solamente tramite un link che rinviava ad una diversa pagina web in cui si chiariva che i dati venivano utilizzati non solo per la fornitura del servizio ma anche per “l’invio di comunicazioni promozionali nonché informazioni commerciali da parte di terzi”. In mancanza di consenso l’utente non poteva fruire del servizio.

A seguito di opposizione della società inibita dal Garante, il Tribunale di Arezzo riconosceva che il consenso era stato legittimamente prestato anche per le finalità promozionali, non prevedendo la legge gli ulteriori obblighi dedotti dalle linee guida del Garante.

La Suprema Corte, con la recente decisione sopra menzionata, in accoglimento del ricorso del Garante, ha invece riconosciuto illegittimo il comportamento posto in essere dalla società di servizi web, evidenziando che, con riguardo ai dati personali, si deve fare riferimento ad una nozione di consenso informato tale “da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo, ma anche per effetto de l’intero ventaglio di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento”. La Corte ribadisce inoltre che il consenso deve essere libero e specifico, richiedendo l’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari sono riferiti.

La Corte aggiunge inoltre che può ritenersi sussistente un condizionamento se la prestazione offerta dal gestore del sito Internet sia infungibile ed irrinunciabile per l’interessato.

Infine, la Suprema Corte ha fornito il seguente principio di diritto: “in tema di trattamento dei dati personali, la previsione dell’articolo 23 del Codice della privacy, nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legate alla finanza, a fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti”.