Call Us +39 011 55.84.111

Corte UE: la registrazione su cloud non rientra nell’eccezione di copia privata

Si è espresso in tema di registrazione sul cloud di programmi televisivi l’avvocato generale della Corte di Giustizia UE, Szpunar, con le sue conclusioni rassegnate nella causa C-265/16, avviata sulla base di un rinvio pregiudiziale operato dal Tribunale di Torino dinanzi al quale VCAST Ltd., una società inglese, aveva citato RTI. L’attività svolta da VCAST, di offrire agli utenti un servizio di videoregistrazione in modalità “cloud computing” di programmi TV per consentirne la visione in qualsiasi altro momento, realizza in realtà una diversa comunicazione al pubblico – a parere dell’Avvocato –, poiché l’utente non accede all’opera mediante l’emissione televisiva, bensì mediante la riproduzione su cloud, che implica una ritrasmissione del segnale. Ciò comporta una variazione del pubblico di destinazione e/o l'utilizzazione di un diverso mezzo tecnico che non sono implicite nel consenso dato dal titolare del diritto d’autore per la prima trasmissione. In ragione di ciò, non può applicarsi l’eccezione di copia privata, che presuppone invece che l'opera sia stata legittimamente messa a disposizione.

Link alla fonte

Read more...

La legge sulla protezione dei dati personali spiegata in modo semplice

Avvocati provenienti da 32 paesi hanno contribuito alla creazione ed al lancio della più grande piattaforma di informazione Europea, denominata Cloud Privacy Check (CPC), che spiega la normativa sulla protezione dei dati personali in modo semplice e gratuito avuto particolare riguardo ai servizi cloud. Il CPC mette a confronto la disciplina nazionale di 32 paesi consentendo alle aziende interessate di ottenere importanti benefici e risparmi di spesa.
Comprendere la complessità dell’attuale normativa Europea sulla protezione dei dati personali non è agevole neppure per gli operatori di settore. Se a ciò si aggiungono le spesso minime ma generalmente significative differenze esistenti tra le discipline dei vari Stati membri dell’UE, districarsi in tale contesto può diventare particolarmente complicato senza un adeguato supporto che consenta di interpretarne correttamente fin dall’inizio le varie sfaccettature.
EuroCloud Austria, in persona del suo presidente Dott. Tobias Höllwarth, ha promosso un’iniziativa innovativa mirata a costruire uno strumento che potesse semplificare la comprensione di questo insieme di norme coinvolgendo più di 40 avvocati provenienti da tutta Europa.
Per l’Italia sono stati prescelti gli avvocati Gianluca Morretta e Chiara Agostini di R&P Legal e gli Avv.ti Iacopo Destri e Anna Maria Lotto di C-Lex Studio Legale.
Il Cloud Privacy Check (CPC), risultato di tale importante sforzo multi-giurisdizionale, è rinvenibile all’indirizzo cloudprivacycheck.eu, sito che presenta una forte fruibilità, grazie all’impiego di varie infografiche ed utili strumenti di raffronto, e che spiega i principi della normativa relativa alla protezione dei dati personali in 26 lingue.
L’avv. Iacopo Destri dichiara: ”Purtroppo in Europa non è solo la diversità delle lingue nazionali a creare difficoltà: i fornitori di servizi Cloud e gli utenti devono affrontare importanti ostacoli in materia di protezione dei dati personali, che si traducono in un rilevante svantaggio competitivo rispetto ad altri mercati come quello USA.”
L’avv. Chiara Agostini dichiara: “Questa iniziativa è il frutto di una importante collaborazione internazionale di professionisti specializzati nella protezione dei dati personali che hanno deciso di collaborare per creare uno strumento che possa fornire un maggior livello di educazione e consapevolezza negli operatori e nei fruitori dei servizi cloud. Ciò con l’auspicio di poter contribuire all’evoluzione sostenibile di strumenti che rappresentano il futuro dell’impresa e che avranno sempre più un importante impatto nella vita di tutti i cittadini”.
Il Cloud Privacy Check (CPC) si propone di semplificare i processi decisionali per gli operatori ed utenti dei servizi cloud. Inoltre, l’accesso al database di Data Protection Compliance fornirà utili informazioni - per ben 32 paesi - che potranno essere agevolmente messe a confronto e comparate.
Tobias Höllwarth (EuroCloud) dichiara: “Questo è un progetto europeo. Con il portale CPC abbiamo creato la più grande piattaforma europea di informazione che si propone di spiegare gratuitamente la normativa privacy in termini più semplici confrontando 32 diverse discipline nazionali. Questo strumento permetterà alle aziende interessate di ottenere notevoli risparmi di spesa.”

L'avvocato Chiara Agostini di R&P Legal e l'avvocato Iacopo Destri di C-Lex Studio Legale rispondono ad alcune domande in questa intervista:

Qual è il valore aggiunto del Cloud Privacy Check (CPC)?
Avv. Iacopo Destri: Il Cloud Privacy Check (CPC) fornisce ai clienti di servizi cloud un quadro iniziale del contesto di riferimento. Ovviamente, il CPC non può sostituire la consulenza professionale di un legale ma consente di identificare fin dall’inizio le principali questioni che debbono essere prese in considerazione, con conseguente risparmio di tempo e costi di consulenza.
In che cosa consiste il primo livello di valutazione effettuato utilizzando il CPC, per esempio?
Avv. Chiara Agostini: Nella prima fase di utilizzo del CPC, si determina se effettivamente il servizio in esame comporta il trattamento di dati personali. Se la risposta è affermativa, si passa alla seconda fase del Cloud Privacy Check. In questa fase, viene verificato se un terzo tratta o ha accesso a dati personali. La risposta a tali quesiti dipende dalla tipologia di servizio cloud richiesto dal cliente.
Ci sono differenze tra le normativa nazionali?
Avv. Iacopo Destri: Ci sono alcune differenze e peculiarità in quasi tutti i paesi, e portarle a conoscenza dei soggetti interessati rappresenta proprio la finalità del servizio che abbiamo sviluppato. Abbiamo creato Report nazionali omogenei ed uniformi, sia per struttura che linguaggio, così da poter agevolmente confrontare le varie esperienze nazionali. Le differenze sono peraltro agevolmente identificabili in quanto sono evidenziate in colore arancione.”
Come pensate di procedere in futuro?
Avv. Chiara Agostini: Per il momento abbiamo creato una rete internazionale di studi legali in più di 30 paesi mettendo a disposizione CPC in 26 lingue e senza alcun costo. Il nostro portale di informazione è progettato per aiutare le persone a comprendere ed applicare le leggi sulla protezione dei dati personali con riferimento ai servizi cloud in modo semplice e rapido e di confrontarle tra loro. Auspichiamo che il portale CPC possa diventare un punto di riferimento per reperire informazioni su questioni relative alla protezione dei dati personali. Abbiamo in progetto di integrare il portale con le modifiche apportate dal nuovo Regolamento Europeo sulla Protezione dei Dati Personali, pubblicare risposte alle domande più frequenti che verranno sottoposte o emergenti dalla prassi operativa, continuando sempre a proporre aggiornamenti sugli argomenti più rilevanti del settore, sempre a titolo gratuito.
Il CPC è utile anche per clienti di grandi dimensioni con funzioni legali interne?
Avv. Iacopo Destri: Si. Va osservato, però, che l’uso del CPC dovrebbe essere coordinato e concordato con il dipartimento legale interno. Non va dimenticato che il CPC non può sostituire
la valutazione e la consulenza di un legale. L’esecuzione di tale analisi rientra infatti tra le funzioni del dipartimento legale interno che ben conosce ed è in grado di valutare appieno l’impatto di certe attività aziendali sulla disciplina privacy. Comunque la condivisione del CPC con l’ufficio legale interno può, tuttavia, agevolare l’identificazione di un linguaggio comune con le altre funzioni aziendali e facilitare il processo di compliance.

Read more...

Il cloud di Amazon ha ricevuto l’ok dal Gruppo Europeo dei Garanti Privacy

I Garanti europei hanno approvato il trasferimento di dati personali verso i servizi cloud di Amazon, anche al di fuori dell’Unione Europea

Amazon Web Services (“AWS”), la piattaforma cloud messa a disposizione da Amazon, ha sottoposto al Gruppo Europeo dei Garanti Privacy talune previsioni contrattuali, contenute in un addendum (“Data Processing Addendum”), tese a consentire il trasferimento dei dati personali anche al di fuori dell’Unione Europea, in conformità con la Decisione della Commissione Europea 2010/87/UE.
Come noto, il trasferimento di dati personali da paesi appartenenti all'UE verso Paesi "terzi" è in linea di principio vietato, salvo casi tassativi (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.) o salvo che il Paese in questione garantisca un livello di protezione "adeguato". A stabilire se il livello di protezione offerto da un paese extraeuropeo sia adeguato, è la Commissione Europea con specifica decisione. È questo quanto avvenuto rispetto al cd. Programma Safe Harbor (approdo sicuro), al quale anche Amazon Web Services ha aderito. Si tratta di un programma derivante da uno specifico accordo negoziato tra Usa ed Unione europea nel 2000 e valutato idoneo ad offrire una protezione “adeguata”, consentendo il trasferimento dei dati personali europei alle aziende americane che aderiscono allo stesso e che quindi, dichiarano di rispettare standard di tutela equivalenti a quelli europei.
Un’altra modalità per traferire i dati verso paesi “terzi” consiste nella stipula delle cd. standard contractual clauses tra soggetto esportatore e soggetto importatore. Si tratta di previsioni contrattuali standard, redatte e approvate dalla Commissione Europea con Decisione 2010/87/UE, idonee ad assicurare un livello di tutela dei dati personali sostanzialmente equivalente a quello offerto dalla normativa europea.
Amazon ha redatto tali clausole standard, contenute nel Data Processing Addendum (“DPA”), e le ha sottoposte al Gruppo Europeo dei Garanti Privacy, che attraverso la Commissione Nazionale per la protezione dei dati personali del Lussemburgo (“CNPD”), in qualità di leader, le ha ritenute conformi alla Decisione 2010/87/UE. Ciò consente, pertanto, il trasferimento dei dati personali gestiti attraverso i servizi AWS, verso le diverse località del mondo in cui Amazon offre i propri servizi cloud, che comprendono USA Oregon, USA Virginia, USA California, Brasile, Australia, Singapore, Tokyo, in tal modo riducendo il numero di autorizzazioni nazionali altrimenti richieste per consentire il trasferimento internazionale dei dati.

Occorre tuttavia precisare che il Data Processing Addendum, il cui contenuto non è stato reso pubblico, non verrà applicato automaticamente, bensì gli utilizzatori dei servizi cloud di AWS che hanno già sottoscritto un contratto con AWS per i servizi cloud dovranno, se interessati al trasferimento dei dati extra UE, richiederne la sottoscrizione espressa.
Pur trattandosi di un importante risultato sotto il profilo della protezione dei dati personali, soprattutto all’interno di un contesto in cui i contratti con i cloud provider sono molto spesso predeterminati nel contenuto e difficilmente negoziabili singolarmente, la stessa Commissione nazionale lussemburghese ha precisato che, al di là del DPA, occorre altresì verificare, caso per caso ed eventualmente da parte delle singole autorità nazionali, le concrete modalità in cui si svolgono i trasferimenti conformi al DPA e le misure di sicurezza effettivamente implementate dal soggetto importatore.  

Non poche sono infatti le preoccupazioni che sorgono intorno al trattamento dei dati personali attraverso la tecnologia del cloud computing, a cui le aziende di tutto il mondo fanno sempre più ampiamente ricorso e che consente la gestione di imponenti quantità di dati a costi particolarmente vantaggiosi. L’Italia risulta essere, oltretutto, tra i principali fruitori di questa tecnologia. Secondo un sondaggio condotto da Eurostat all’inizio del 2014, nella classifica delle imprese sopra i 10 addetti che usano di più il cloud computing, l’Italia figura ben al secondo posto nell’Unione Europea (con un 40%), dopo solo la Finlandia (51%) e prima di Svezia (39%) e Danimarca (38%).

Tuttavia, la mancanza di controllo sui dati caricati sulla “nuvola informatica”, nonché la possibilità per i fornitori di servizi cloud di disporre di infrastrutture in vari luoghi geografici, comportano notevoli rischi sotto il profilo della riservatezza e della sicurezza dei dati personali, senza tralasciare la necessità di dover garantire la tutela dei diritti dello stesso interessato relativamente al consenso ed alla sua revoca, alla modifica dei dati, etc. 

Nei non numerosi provvedimenti cui poter fare riferimento in questa materia, tra cui le brevi pubblicazioni del Garante privacy italiano (“Cloud computing: indicazioni per l’utilizzo consapevole dei servizi”, docweb: 1819933 del 23/06/2011 e “Cloud computing - Proteggere i dati per non cadere dalle nuvole”, docweb: 1894499 del 24/05/2012) e un parere del Gruppo Europeo dei Garanti Privacy del 1° luglio 2012 (WP196 - Parere 05/2012), l’attenzione è rivolta alla necessità di ponderare accuratamente rischi e benefici dei servizi cloud e, in maniera particolare, l’affidabilità del fornitore cloud e le clausole contrattuali che governano la fornitura di tali servizi. In questo contesto, ben si inseriscono pertanto, le nuove clausole contrattuali approvate da Amazon, alla stregua delle analoghe clausole contrattuali per le quali anche Microsoft nel 2014, aveva richiesto e ottenuto l’approvazione dal Gruppo Europeo dei Garanti Privacy.

Read more...
Subscribe to this RSS feed

Turin
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milan
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Rome
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy