Call Us +39 011 55.84.111

EALA Annual Conference

 

Anna Masutti, partner di R&P Legal, parteciperà in veste di relatrice alla 32ma Conferenza annuale dalla European Air Law Association – EALA, organizzata per il 6 novembre 2020 illustrando le misure di sostegno adottate dagli Stati Membri a favore del trasporto aereo e le relative implicazione sulla disciplina della concorrenza e degli aiuti di Stato.

Per la registrazione digiti il seguente link:

https://gorrissenfederspiel.com/en/registration-eala-2020-webinar

Read more...

H&M sanzionata dal Garante Privacy di Amburgo: 35 milioni di euro di sanzione

A cura di Chiara Agostini e Giacomo Pataracchia 

 

Perché H&M è stata sanzionata?

Il caso ha ad oggetto il trattamento illecito dei dati personali di centinaia di dipendenti da parte della società H&M Hennes & Mauritz Online Shop A.B. & Co con sede nella città di Norimberga.

Tale società, secondo il provvedimento del Garante Privacy di Amburgo, ha provveduto alla raccolta di una gran mole di dati inerenti alla vita personale dei propri dipendenti.

 In particolare, tali dati avevano ad oggetto:

  • a seguito di assenza dei dipendenti per ferie o malattia, informazioni relative alle vacanze dei propri dipendenti nonché sintomi/diagnosi delle malattie;
  • dettagli della vita privata dei dipendenti, quali informazioni circa la situazione familiare o il credo religioso.

L’accesso ad una parte di tali dati era consentito ad un elevato numero di manager all’interno dell’azienda. Lo scopo della raccolta di tali dati era la valutazione delle prestazioni lavorative dei dipendenti nonché la creazione di profili dettagliati dei dipendenti e l’utilizzo di tali profili per decisioni relative alla carriera dei dipendenti.

Quali sono le azioni che ha posto in essere H&M per tutelare gli interessati?

A seguito della scoperta delle violazioni privacy, la direzione dell'azienda:

  • si è scusata espressamente con i soggetti interessati provvedendo altresì al pagamento di un indennizzo;
  • ha nominato un nuovo coordinatore per la protezione dei dati;
  • ha adottato un sistema di aggiornamenti mensili in materia privacy;
  • ha potenziato il sistema di whisteblowing e le procedure per il riscontro dei diritti degli interessati.

Cosa fare per tutelare i dati dei propri dipendenti e non incorrere in sanzioni?

Al fine di non trovarsi impreparati di fronte ad una possibile ispezione avente ad oggetto il trattamento dei dati dei dipendenti si suggerisce di:

  • effettuare un’attività di audit relativa al trattamento dei dati dei dipendenti;
  • individuare/verificare la corretta base giuridica per il trattamento dei dati dei dipendenti;
  • verificare che il trattamento dei dati dei dipendenti rispetti il principio di minimizzazione;
  • predisporre una deletion policy per garantire la cancellazione dei dati dei dipendenti;
  • sensibilizzare il personale circa tale tematica anche con corsi di formazione.

 

https://edpb.europa.eu/news/national-news/2020/hamburg-commissioner-fines-hm-353-million-euro-data-protection-violations_pl

 

Read more...

Gianluca Morretta e Marco Giacomello relatori al webinar organizzato da UIBM, EUIPO e Innexta in materia di Blockchain e Big Data

Gianluca Morretta, partner di R&P Legal, e Marco Giacomello, CEO di MakeMark Company e Of Counsel di R&P Legal, parteciperanno in veste di relatori al webinar organizzato il 23 ottobre 2020 da UIBM, EUIPO e Innexta in collaborazione con la Camera di Commercio delle Riviere di Liguria in materia di “Blockchain e Big Data: gli algoritmi al servizio della tracciatura e dell’utilizzo dei marchi”, occupandosi rispettivamente dell’inquadramento giuridico e giurisprudenziale e della tutela dei marchi nell’On-Life.

 

Obiettivo del webinar è quello di fornire un aggiornamento sulla possibilità di utilizzare le nuove tecnologie per valorizzare e proteggere i diritti IP, sfruttando in particolare i valori di immutabilità e trasparenza che la Blockchain fornisce.

 

https://register.gotowebinar.com/register/6658049091708774155 

Read more...

L’azienda è in crisi; l’amministratore latita; cosa possono fare i soci della S.r.l.?

In periodi di crisi come quello che stiamo vivendo, capita non di rado di osservare che un amministratore di una S.r.l. – senza volerne qui indagare le ragioni – non si attivi per convocare i soci per permettere loro di prendere decisioni sulle sorti della società e dell’attività aziendale (come, ad esempio, finanziare o ricapitalizzare la società, cercare nuovi investitori, chiudere l’attività e porre in liquidazione la società).

Read more...

Archiviato il procedimento penale a carico di un ente che aveva adottato ed efficacemente attuato un idoneo Modello Organizzativo

ABSTRACT:

La Procura della Repubblica presso il Tribunale di Como ha disposto l’archiviazione del procedimento penale a carico di un ente indagato per l’illecito amministrativo previsto dall’art. 25, comma 2, D. Lgs. 231/2001 in relazione ad alcuni episodi di corruzione commessi dal Presidente e dall’Amministratore Delegato della società.

Nel corso delle indagini, infatti, era emersa (i) l’adozione da parte della società di un Modello idoneo ed efficace, contenente l’indicazione, nella Parte Speciale, di specifiche procedure e protocolli operativi per prevenire reati contro la Pubblica Amministrazione, (ii) l’elusione fraudolenta, da parte dei due vertici aziendali, dei controlli e delle procedure previsti dal Modello, nonché (iii) l’estraneità della società rispetto ai fatti corruttivi commessi dagli apicali.

Inoltre, è stata valutata con favore la pronta attivazione dell’Organismo di Vigilanza che, all’indomani dell’apertura delle indagini aveva esercitato i propri poteri di iniziativa e controllo richiedendo informazioni, acquisendo documenti rilevanti (tra cui i verbali di interrogatorio), e svolgendo pertanto in autonomia il proprio potere di vigilanza attraverso la pianificazione di un audit relativo alla vicenda.

 

 

 

Read more...

Sponsorizzazioni e pubblicità: quali sono i requisiti per l’uso dell’immagine di un minore?

Sponsorizzazioni e pubblicità: quali sono i requisiti per l’uso dell’immagine di un minore?

ABSTRACT:

  1. Introduzione

Con sentenza n. 4379 del 16/07/2020, il Tribunale di Milano ha fornito alcuni chiarimenti in relazione al caso – sempre più diffuso, anche in ambito social media – dello sfruttamento dell’immagine di un minore in ambito pubblicitario.

In particolare, dopo aver ripercorso la normativa applicabile, il Tribunale ha identificato in quali circostanze e a fronte di quali adempimenti l’uso del ritratto del minore possa considerarsi lecita.

 

  1. Il caso

Nel giugno 2017, il padre del minore ha chiamato in giudizio la propria ex moglie ed un brand che aveva utilizzato l’immagine del figlio in un catalogo di abbigliamento, lamentando la stipula di un contratto di sponsorizzazione in assenza del proprio consenso e domandando quindi la declaratoria di nullità del contratto, l’ordine di rimozione delle immagini ed il risarcimento dei danni subiti.

Il brand si è costituito affermando come la madre del ragazzo avesse dichiarato di esserne affidataria esclusiva, chiedendo pertantodi essere manlevato di quanto in ipotesi destinato a rifondere a titolo risarcitorio.

La madre del minore ha invece sostenuto che l’ex marito avesse prestato il consenso prima della divulgazione del catalogo e che, in ogni caso, tale attività costituisse un atto di ordinaria amministrazione per il quale era sufficiente il consenso di un solo genitore.

 

  1. La tutela dell’immagine del minore

Ai sensi dell’art. 96 della legge sul diritto d’autore, “il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa”, salvo applicazione delle eccezioni di legge.

Trattandosi di immagine di un minore, è necessario considerare che il diritto “alla riservatezza deve essere sempre considerato come primario rispetto al diritto di critica e di cronaca e chiunque decida di diffondere notizie o immagini riguardanti minori, dovrà farsi carico della responsabilità di valutare se la pubblicazione sia davvero nell'interesse oggettivo del minore, secondo i principi e i limiti stabiliti dalla Carta di Treviso”, che impone di tutelare “la specificità del minore come persona in divenire, prevalendo su tutto il suo interesse ad un regolare processo di maturazione che potrebbe essere profondamente disturbato e deviato da spettacolarizzazioni del suo caso di vita, da clamorosi protagonismi o da fittizie identificazioni”.

Tuttavia, non ogni sfruttamento pubblicitario è di per sé illecito, ben potendo mostrarsi pubblicamente un giovane “in situazioni tranquille, positive per il bambino, addirittura festose. In questi casi, la pubblicazione dell’immagine è perfettamente lecita, non c'è alcun pericolo per lo sviluppo del minore e nessuna ragione per rinunciare a far vedere una bella immagine. Siffatte considerazioni, espresse in relazione al diritto di cronaca si possono estendere alla utilizzazione dell'immagine del minore in pubblicità”.

Il consenso alla disposizione del ritratto di un minore è quindi un atto “di straordinaria amministrazione in quanto dispositivo di diritti personalissimi e fondamentali con riflessi di carattere patrimoniale” che spetta congiuntamente ai genitori senza necessità di autorizzazione del giudice tutelare e può essere espresso in ogni modo, non necessitando di forma scritta, neppure ad probationem.

Il comportamento tenuto dal padre del ragazzo durante il giudizio e prima dello stesso, quando aveva inviato una comunicazione al brand indicando di aver esplicitamente negato la propria autorizzazione e intimando la cessazione dell’uso dell’immagine del minore, hanno quindi fatto ritenere al Tribunale che non vi fosse stato consenso, neanche implicito, per tali usi pubblicitari.

 

  1. Conclusioni

Il contratto di sponsorizzazione relativo ad un minore stipulato da un solo genitore rende quindi il contratto non solo annullabile ma anche nullo per illiceità dell’oggetto in ragione della violazione dell’art. 96 LDA.

Conseguentemente, è onere dei brand attivarsi per accertare adeguatamente la presenza del consenso di entrambi i genitori, non essendo sufficiente fidarsi della mera affermazione di uno di essi.

Su tali basi, il Tribunale ha inibito l’ulteriore utilizzo delle immagini del minore, senza riconoscere alcun risarcimento al padre poiché “la lesione di un diritto quale quello alla prestazione del consenso da parte di un genitore non è di per sé produttiva di danni, in assenza di prove e financo di plausibili allegazioni in tal senso”.

Read more...

Linee Guida dell’EDPB sul targeting degli utenti di social media: ruoli e responsabilità

A cura di Ludovica Ceretto e Ilaria Olivari

 

  1. Introduzione.

Con la pubblicazione del 2 settembre 2020, il Comitato Europeo per la protezione dei dati personali (di seguito, “EDPB”) ha emanato le nuove linee guida 8/2020 (di seguito, “Linee Guida”) in tema di targeting degli utenti dei social media, con l’intento di chiarire quale potrebbe essere la ripartizione delle responsabilità tra i provider di social media e i targeter – ovvero i soggetti che utilizzano i servizi dei social media per indirizzare messaggi sulla base di parametri o criteri specifici - nonché identificare i potenziali rischi che tali operazioni, implicanti il trattamento di dati personali, comportano per i diritti e le libertà delle persone fisiche.

I social media rappresentano, infatti, uno degli sviluppi più significativi dell’ambiente “online” nell’ultimo decennio; ai fini delle Linee Guida, i social media sono intesi come le “online platforms that enable the development of networks and communities of users, among which information and content is shared. Key characteristics of social media include the ability for individuals to register in order to create “accounts” or “profiles” for themselves, to interact with one another by sharing user-generated or other content and to develop connections and networks with other users”.

Come parte del loro business, molti provider di social media offrono servizi di targeting, attraverso i quali è possibile inviare messaggi specifici ad un determinato gruppo di riferimento; tale operazione presuppone la combinazione e l’analisi di dati provenienti da fonti diverse che, insieme alla natura potenzialmente “sensibile” dei dati in questione, crea notevoli rischi per i diritti e per le libertà delle persone fisiche, rischi che riguardano soprattutto la mancanza di trasparenza sul trattamento dei dati effettuato dal titolare e la mancanza di controllo dei dati personali da parte degli interessati.

L’importanza di identificare correttamente le persone coinvolte in questo processo, nonché le rispettive responsabilità, è stata la ragione per la quale l’EDPB ha deciso di intervenire sul tema, fornendo alcune importanti indicazioni e chiarimenti.

  1. Possibili rischi derivanti dall’attività di targeting.

Il targeting degli utenti può comportare l’utilizzo dei dati personali che vanno contro o, addirittura, oltrepassano le aspettative degli utenti, violando i principi in materia di protezione dei dati personali. L’EDPB individua, in tal senso, tre differenti tipologie di rischi:

(i)           le attività di profilazione che sono collegate al targeting potrebbero comportare, ad esempio, la creazione di nuovi dati che l’individuo non ha divulgato attivamente, minando in tal modo la sua capacità di controllo dei propri dati personali;

(ii)          un secondo tipo di rischio riguarda la possibilità di esclusione e discriminazione: il potenziale di discriminazione nel targeting deriva dalla capacità degli inserzionisti di sfruttare la grande quantità e varietà di dati personali che le piattaforme dei social media raccolgono sui loro utenti;

(iii)         un ulteriore rischio riguarda poi la possibile manipolazione degli utenti: i meccanismi di targeting sono utilizzati, per definizione, per influenzare il comportamento e le scelte degli individui. Ad esempio, un’analisi dei contenuti condivisi sui social media può rivelare informazioni sullo stato emotivo, informazioni che potrebbero essere utilizzate per indirizzare l’individuo con messaggi specifici e in momenti specifici nei quali ci si aspetta che sia più ricettivo, influenzando così il suo pensiero, le sue emozioni e il suo comportamento.

Nella stessa ottica, può verificarsi anche l’ipotesi in cui, attraverso l’utilizzo di algoritmi, si determini quali informazioni vengono visualizzate e a quali individui, influendo negativamente, in tal modo, sul libero accesso alle informazioni.

  1. La raccolta dei dati personali.

Il provider di social media ha la possibilità di raccogliere grandi quantità di dati personali relativi alle interazioni, alle abitudini e alle preferenze degli utenti, e ciò consente di ottenere notevoli informazioni sugli interessi degli utenti stessi (ad esempio, cliccando “mi piace” ad un post o guardando un contenuto video, sì può dedurre che l’utente ha apprezzato il contenuto con cui ha interagito).

Inoltre, i provider di social media sempre più spesso raccolgono i dati non solo dalle attività sulla piattaforma stessa, ma anche dalle attività intraprese “fuori piattaforma” combinando dati provenienti da più fonti, al fine di generare nuovi dati, talvolta con un maggior grado di accuratezza.

In particolare, gli utenti dei social media possono essere selezionati sulla base:

(i)           dei dati forniti, ovvero le informazioni fornite attivamente dall’interessato al fornitore di servizi di piattaforme online e/o al destinatario;

(ii)          dei dati osservati, ovvero i dati forniti dall’interessato in virtù dell’utilizzo di un servizio o di un apparecchio (ad esempio, dalle attività sulla piattaforma di social media, quali contenuti condivisi o apprezzati);

(iii)         dei dati desunti, ovvero “dati derivati”, che comprendono tutti quei dati creati dal titolare del trattamento sulla base dei dati forniti e dei dati osservati.

Rispetto a tali operazioni, l’EDPB chiarisce come il targeter e il provider di social media operino in regime di contitolarità qualora determinino congiuntamente i mezzi e le finalità del trattamento, e saranno solidalmente responsabili anche nel caso in cui solo uno dei due abbia accesso ai dati personali.

  1. La base giuridica.

In qualità di contitolari del trattamento, sia il targeter che il provider di social media devono essere in grado di dimostrare l’esistenza di una base giuridica adeguata che giustifichi il trattamento dei dati personali.

Tale base giuridica può variare sulla base delle modalità con cui sono stati raccolti i dati personali. Ad esempio, con riguardo al targeting sulla base dei dati forniti direttamente dall’interessato, secondo quanto stabilito dall’EDPB nelle citate Linee Guida, sembrerebbero sussistere due possibili basi giuridiche a supporto:

(i)           il consenso della persona interessata, a condizione che siano soddisfatti tutti i requisiti per un consenso validamente prestato e, in particolare, il consenso deve essere frutto di una libera e consapevole scelta dell’interessato, dovendo lo stesso, inoltre, poter essere revocato in qualsiasi momento in modo semplice e senza alcun pregiudizio;

(ii)          il legittimo interesse del titolare, per il quale l’EDPB ribadisce la necessità che vengano soddisfatte, cumulativamente, le seguenti condizioni:

  1. a) il perseguimento effettivo di un legittimo interesse da parte del titolare o del targeter a cui vengono comunicati i dati;
  2. b) la necessità di trattare i dati personali ai fini degli interessi legittimi perseguiti;
  3. c) la condizione che i diritti e le libertà fondamentali dell’interessato non abbiano la precedenza.

Con riguardo, invece, al targeting sulla base dei dati osservati, la base giuridica idonea è il consenso dell’interessato: in tale circostanza, infatti, il legittimo interesse non può essere considerata una base giuridica valida in quanto il targeting si basa sul monitoraggio del comportamento dei singoli individui attraverso l’utilizzo e la navigazione sui siti web, nonché utilizzando tecnologie di tracciamento.

Infine, relativamente al targeting sulla base dei dati desunti, è necessario considerare che tale operazione presuppone, in genere, la profilazione dell’utente e l’automazione del trattamento, per il quale è dunque necessario osservare quanto disposto dall’art. 22 GDPR. Secondo quanto disposto da tale norma, il trattamento automatizzato comprensivo di profilazione può essere legittimo sulla base di tre differenti basi giuridiche: (i) il consenso dell'interessato, (ii) l’esecuzione di un contratto e (iii) l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento.

  1. Il principio di trasparenza.

Il principio di trasparenza impone che sia reso trasparente agli individui quale tipo di trattamento viene svolto, nonché le relative implicazioni pratiche che ricadono sull’individuo stesso. Per ottemperare adeguatamente a tale obbligo, i contitolari devono anzitutto mettere a disposizione dell’interessato il contenuto essenziale dell’accordo ex art. 26 GDPR (accordo che deve essere stipulato tra i contitolari per determinare le rispettive responsabilità con riguardo agli adempimenti previsti dal GDPR) in modo che lo stesso interessato abbia contezza di come le responsabilità sono state suddivise.

In quest’ottica, l’EDPB evidenzia da un lato, la necessità di portare a conoscenza dell’interessato tutte le informazioni relative al trattamento dei propri dati personali e, dall’altro, come tale adempimento possa essere svolto, nella fase iniziale, anche solo da uno dei due contitolari, ad esempio quello che per primo viene a contatto con l’interessato stesso.

Infine, si precisa come le suddette informazioni debbano riguardare solo l’ambito di trattamento di competenza congiunta dei contitolari, mentre non devono comprendere gli eventuali ulteriori trattamenti posti in essere, ad esempio, dalla piattaforma del social media - di cui si renderà responsabile, a differenza di quanto sopra descritto, unicamente il titolare provider di social media, e non anche il targeter.

 

Read more...
Subscribe to this RSS feed

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy

Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bologna
R&P Legal
Via D’Azeglio, 19
40123, Bologna - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy