Call Us +39 011 55.84.111

2016 AdLaw International Annual Conference “MARKETING LAW IN SOCIAL MEDIA”

Lo scorso 21 ottobre si è svolta a Praga la conferenza annuale del network AdLaw International, l’associazione internazionale che riunisce i principali studi legali attivi, in tutto il mondo, nei settori della pubblicità e della comunicazione d’impresa, di cui R&P Legal è membro italiano.
Il tema della conferenza di quest’anno verteva sui complessi aspetti giuridici legati al marketing ed alla pubblicità in Rete e, più nello specifico, sui social network ed è stata ospitata dal Consiglio dell’Ordine degli Avvocati di Praga, ospitando giuristi, studenti e operatori del mercato pubblicitario della Repubblica Ceca.
I relatori hanno fornito una panoramica normativa e giurisprudenziale dell’uso delle fotografie e dei ritratti di personaggi famosi a scopo pubblicitario, delle conseguenze in caso di un loro uso non autorizzato, nonché degli strumenti contrattuali ed extracontrattuali utilizzabili per regolarne al meglio l’uso.
L’incontro è stato aperto da Karla Chlumská, in rappresentanza del Paese ospitante, che ha affrontato il tema dei profili falsi sui social media e del loro uso a fini pubblicitari, sottolineando il peso crescente di questa problematica in parallelo all’uso sempre più massiccio dei social network. Il successivo intervento di Joep Meddens – avvocato olandese - ha permesso un interessante paragone tra la legislazione ceca e quella dei Paesi Bassi, e dell’applicazione che ne viene fatta quotidianamente dalle Corti locali.
Un argomento trasversale, toccato da quasi tutti i relatori del convegno, è stato quello dell’accostamento dell’immagine di una celebrità al nome di un’impresa, che rende necessario chiarire in maniera netta quando l’endorsement sia palese e autorizzato e quando, invece, si tratti di un’attività portata avanti senza il consenso espresso del soggetto ritratto. I casi sempre più frequenti si riferiscono alla possibilità che imprese o privati, sfruttando l’enorme mole di fotografie reperibili sul Web, si approprino dell’immagine di una persona famosa per promuovere un prodotto o un sito Internet, ottenendo un illecito vantaggio dalla notorietà altrui.
Sul punto, l’avvocato Brenda L. Pritchard ha sottolineato l’importanza, per i c.d. influencer, di dichiarare esplicitamente le eventuali finalità pubblicitarie dei propri post, e ciò non solo per creare un ambiente digitale nel quale già a colpo d’occhio si capisca cosa è legittimo e cosa invece non lo è, ma soprattutto per tutelare gli utenti permettendone una navigazione sicura e consapevole.
Per lo studio R&P Legal hanno preso la parola gli avvocati Luca Egitto e Chiara Agostini, con il primo ad introdurre i caratteri dei diritti della personalità nell’ordinamento italiano, per poi concentrarsi sul loro uso non autorizzato nell’ambito dei social network. Tra i casi più comuni, ha evidenziato la creazione di profili falsi riferibili a personaggi noti e l’uso illecito di opere dell’ingegno tutelate dal diritto d’autore al fine di generare traffico da indirizzare, quindi, su siti Internet per trarne un guadagno economico mediante pubblicità e vendita di prodotti contraffatti.
Chiara Agostini ha proseguito la presentazione in rappresentanza dello Studio trattando il tema del diritto d’autore in fotografia prima sotto il profilo più generale della legge italiana, poi approfondendo l’applicazione della normativa interna al mondo del digitale, in due direzioni: da un lato l’acquisto dei diritti di utilizzazione economica di un’immagine tramite database online, dall’altro l’uso delle immagini sui siti Internet ed i conseguenti profili di responsabilità di chi gestisce tali portali. In quest’ottica, ha sottolineato la fondamentale la differenza tra content provider, nei confronti del quale si applicano estensivamente le norme in tema di stampa, e service provider, che non ha alcun obbligo preventivo di monitorare le informazioni trasmesse attraverso il proprio sito ma che può sempre essere ritenuto responsabile, secondo una chiara corrente giurisprudenziale, in caso gli venga riconosciuto un ruolo attivo nella condotta illecita.
Il profilo del copyright è stato, poi, approfondito da Charles Swan che tramite un approccio casistico, tipico della cultura giuridica dei sistemi di Common Law, ha coinvolto il pubblico nell'esame e nella valutazione di alcuni casi pratici.
L’argomento è stato ripreso anche da Olivia Santantonio, relatrice per il Belgio, che ha evidenziato il difficile bilanciamento tra il diritto d’autore ed i diritti della personalità, da un lato, ed il diritto all’informazione e alla libertà d’espressione, dall’altro. La tutela dei primi non è infatti assoluta, e può subire deroghe in ragione di aspetti quali, ad esempio, la parodia o la comicità nei confronti di personaggi noti: se l’autorizzazione del soggetto dell’immagine utilizzata a fini pubblicitari è generalmente necessaria, in certi casi – sui quali è comunque richiesta una deroga esplicita o un solido orientamento giurisprudenziale – è consentito soprassedere.
L’occasione dell’evento ha confermato ancora una volta l’importanza del network Adlaw International, che grazie al calibro dei relatori ed alla qualità dei loro interventi ha consentito un costruttivo confronto professionale tra i massimi esperti della materia.  La prossima conferenza di ADLaw International si svolgerà in Canada nel settembre del 2017.

Leggi tutto...

La legge sulla protezione dei dati personali spiegata in modo semplice

Avvocati provenienti da 32 paesi hanno contribuito alla creazione ed al lancio della più grande piattaforma di informazione Europea, denominata Cloud Privacy Check (CPC), che spiega la normativa sulla protezione dei dati personali in modo semplice e gratuito avuto particolare riguardo ai servizi cloud. Il CPC mette a confronto la disciplina nazionale di 32 paesi consentendo alle aziende interessate di ottenere importanti benefici e risparmi di spesa.
Comprendere la complessità dell’attuale normativa Europea sulla protezione dei dati personali non è agevole neppure per gli operatori di settore. Se a ciò si aggiungono le spesso minime ma generalmente significative differenze esistenti tra le discipline dei vari Stati membri dell’UE, districarsi in tale contesto può diventare particolarmente complicato senza un adeguato supporto che consenta di interpretarne correttamente fin dall’inizio le varie sfaccettature.
EuroCloud Austria, in persona del suo presidente Dott. Tobias Höllwarth, ha promosso un’iniziativa innovativa mirata a costruire uno strumento che potesse semplificare la comprensione di questo insieme di norme coinvolgendo più di 40 avvocati provenienti da tutta Europa.
Per l’Italia sono stati prescelti gli avvocati Gianluca Morretta e Chiara Agostini di R&P Legal e gli Avv.ti Iacopo Destri e Anna Maria Lotto di C-Lex Studio Legale.
Il Cloud Privacy Check (CPC), risultato di tale importante sforzo multi-giurisdizionale, è rinvenibile all’indirizzo cloudprivacycheck.eu, sito che presenta una forte fruibilità, grazie all’impiego di varie infografiche ed utili strumenti di raffronto, e che spiega i principi della normativa relativa alla protezione dei dati personali in 26 lingue.
L’avv. Iacopo Destri dichiara: ”Purtroppo in Europa non è solo la diversità delle lingue nazionali a creare difficoltà: i fornitori di servizi Cloud e gli utenti devono affrontare importanti ostacoli in materia di protezione dei dati personali, che si traducono in un rilevante svantaggio competitivo rispetto ad altri mercati come quello USA.”
L’avv. Chiara Agostini dichiara: “Questa iniziativa è il frutto di una importante collaborazione internazionale di professionisti specializzati nella protezione dei dati personali che hanno deciso di collaborare per creare uno strumento che possa fornire un maggior livello di educazione e consapevolezza negli operatori e nei fruitori dei servizi cloud. Ciò con l’auspicio di poter contribuire all’evoluzione sostenibile di strumenti che rappresentano il futuro dell’impresa e che avranno sempre più un importante impatto nella vita di tutti i cittadini”.
Il Cloud Privacy Check (CPC) si propone di semplificare i processi decisionali per gli operatori ed utenti dei servizi cloud. Inoltre, l’accesso al database di Data Protection Compliance fornirà utili informazioni - per ben 32 paesi - che potranno essere agevolmente messe a confronto e comparate.
Tobias Höllwarth (EuroCloud) dichiara: “Questo è un progetto europeo. Con il portale CPC abbiamo creato la più grande piattaforma europea di informazione che si propone di spiegare gratuitamente la normativa privacy in termini più semplici confrontando 32 diverse discipline nazionali. Questo strumento permetterà alle aziende interessate di ottenere notevoli risparmi di spesa.”

L'avvocato Chiara Agostini di R&P Legal e l'avvocato Iacopo Destri di C-Lex Studio Legale rispondono ad alcune domande in questa intervista:

Qual è il valore aggiunto del Cloud Privacy Check (CPC)?
Avv. Iacopo Destri: Il Cloud Privacy Check (CPC) fornisce ai clienti di servizi cloud un quadro iniziale del contesto di riferimento. Ovviamente, il CPC non può sostituire la consulenza professionale di un legale ma consente di identificare fin dall’inizio le principali questioni che debbono essere prese in considerazione, con conseguente risparmio di tempo e costi di consulenza.
In che cosa consiste il primo livello di valutazione effettuato utilizzando il CPC, per esempio?
Avv. Chiara Agostini: Nella prima fase di utilizzo del CPC, si determina se effettivamente il servizio in esame comporta il trattamento di dati personali. Se la risposta è affermativa, si passa alla seconda fase del Cloud Privacy Check. In questa fase, viene verificato se un terzo tratta o ha accesso a dati personali. La risposta a tali quesiti dipende dalla tipologia di servizio cloud richiesto dal cliente.
Ci sono differenze tra le normativa nazionali?
Avv. Iacopo Destri: Ci sono alcune differenze e peculiarità in quasi tutti i paesi, e portarle a conoscenza dei soggetti interessati rappresenta proprio la finalità del servizio che abbiamo sviluppato. Abbiamo creato Report nazionali omogenei ed uniformi, sia per struttura che linguaggio, così da poter agevolmente confrontare le varie esperienze nazionali. Le differenze sono peraltro agevolmente identificabili in quanto sono evidenziate in colore arancione.”
Come pensate di procedere in futuro?
Avv. Chiara Agostini: Per il momento abbiamo creato una rete internazionale di studi legali in più di 30 paesi mettendo a disposizione CPC in 26 lingue e senza alcun costo. Il nostro portale di informazione è progettato per aiutare le persone a comprendere ed applicare le leggi sulla protezione dei dati personali con riferimento ai servizi cloud in modo semplice e rapido e di confrontarle tra loro. Auspichiamo che il portale CPC possa diventare un punto di riferimento per reperire informazioni su questioni relative alla protezione dei dati personali. Abbiamo in progetto di integrare il portale con le modifiche apportate dal nuovo Regolamento Europeo sulla Protezione dei Dati Personali, pubblicare risposte alle domande più frequenti che verranno sottoposte o emergenti dalla prassi operativa, continuando sempre a proporre aggiornamenti sugli argomenti più rilevanti del settore, sempre a titolo gratuito.
Il CPC è utile anche per clienti di grandi dimensioni con funzioni legali interne?
Avv. Iacopo Destri: Si. Va osservato, però, che l’uso del CPC dovrebbe essere coordinato e concordato con il dipartimento legale interno. Non va dimenticato che il CPC non può sostituire
la valutazione e la consulenza di un legale. L’esecuzione di tale analisi rientra infatti tra le funzioni del dipartimento legale interno che ben conosce ed è in grado di valutare appieno l’impatto di certe attività aziendali sulla disciplina privacy. Comunque la condivisione del CPC con l’ufficio legale interno può, tuttavia, agevolare l’identificazione di un linguaggio comune con le altre funzioni aziendali e facilitare il processo di compliance.

Leggi tutto...

Diritto all’oblio: dopo la Corte di Giustizia, tocca al Garante

 

Diritto all’oblio: primi provvedimenti del Garante dopo la pronuncia della Corte di Giustizia

Con la sentenza del 13 maggio 2014, la Corte di Giustizia dell’Unione Europea si pronuncia in merito al diritto all’oblio. Nella sentenza in questione, la Corte afferma la possibilità di chiedere direttamente al motore di ricerca, nel caso di specie a Google, la rimozione, dai propri risultati di ricerca, di quei link che indirizzano a siti che sono ritenuti dal soggetto richiedente lesivi del proprio diritto di privacy e in particolar modo del diritto all’oblio. La novità della pronuncia sta nel fatto che secondo il parere della Corte (che, tramite un’elaborata motivazione, considera il motore di ricerca “titolare del trattamento dei dati”), tale rimozione, o più correttamente deindicizzazione, possa avvenire senza dover necessariamente coinvolgere i gestori dei siti Internet e delle pagine dei giornali on line sui cui risiedono le notizie. Per arrivare alla deindicizzazione dei contenuti contestati, il motore di ricerca dovrebbe caso per caso elaborare considerazioni in merito a diversi elementi, come ad esempio l’interesse pubblico a conoscere la notizia, il grado di precisione con cui la notizia riporta l’avvenimento, il periodo trascorso tra quest’ultimo e la pubblicazione della notizia. La Corte di Giustizia con questa pronuncia cerca di bilanciare l’interesse di trovare facilmente i contenuti in Rete, derivato di un diritto pilastro della nostra Costituzione, quello dell’informazione, e il diritto all’oblio degli utenti, più recente ma non meno importante per la tutela della privacy e della vita personale che dovrebbero essere garantiti ad ogni persona. Per arrivare ad un equilibro la Corte prevede sì la possibilità di rimozione del link che veicola al contenuto, ma dall’altra parte tale rimozione avverrebbe solo se tale link fosse nominativo. La conseguenza che ne deriva è che tale contenuto possa essere comunque reperibile attraverso altre chiavi di ricerca. A livello europeo, al fine di spiegare meglio l’ambito di applicazione di tale pronuncia, il gruppo di lavoro dei garanti europei, c.d. Gruppo Articolo 29 perché costituitosi sulla base dell’art. 29 della direttiva europea sulla privacy, ha prodotto delle linee guida che dovrebbero facilitare l’elaborazione di criteri comuni, rendendo così omogenee le decisioni dei motori di ricerca. A livello nazionale, il nostro Garante Privacy si è già dovuto esprimere su alcune richieste di deindicizzazione che Google ha rifiutato. Nella maggior parte dei casi il mancato accoglimento da parte di Google delle segnalazioni degli utenti è stato riconfermato dall’Autorità, che non ha riconosciuto la sussistenza dei presupposti per l’esercizio del diritto all’oblio; la conferma delle decisioni di Google, in particolare, ha riguardato i casi in cui la richiesta di deindicizzazione si riferiva a vicende processuali tuttora in corso e per cui, pertanto, sussiste ancora un interesse pubblico a conoscerne le varie fasi processuali e/o a vicende processuali definite di recente. L’esistenza di questo duplice “giudizio” configura in astratto il rischio che Google rigetti a priori tutte le richieste di deindicizzazione, lasciando che gli utenti facciano ricorso al Garante per vedersi tutelati i loro diritti. In una recente intervista, Antonello Soro, Presidente del Garante Privacy, sembra comunque ottimista circa la disponibilità di Google a conformarsi alle disposizioni previste dai Garanti Europei, assumendo un ruolo attivo in ordine alle richieste di deindicizzazione che gli pervengano. Ulteriore elemento critico degno di evidenza è il fatto che le linee guida prodotte dai garanti europei richiedono la deindicizzazione, laddove ne sussistano i presupposti, non solo dei contenuti dei domini europei ma anche extra-europei, al fine di garantire un’effettiva tutela dei diritti degli individui, poiché una tutela limitata solo al territorio europeo non sarebbe sufficiente. Per arrivare a risultati che possano soddisfare il diritto all’oblio e di privacy degli utenti, evitando un “braccio di ferro” tra motori di ricerca e garanti, occorre aprire un dialogo tra tali soggetti, addivenendo a soluzioni uniformi e condivise: dialogo, che secondo Antonello Soro rappresenta “la condizione indispensabile per far evolvere la società dell’informazione nel rispetto di diritti fondamentali”.

Leggi tutto...

Quando il contratto di sub-licenza scade

 

Quando il contratto di sub-licenza scade. Le foto coperte dal diritto d’autore sul web: il confine tra l’utilizzo lecito e illecito

Il 22 gennaio 2014, la Corte di Appello di Torino si è pronunciata in merito ai limiti di utilizzo del materiale fotografico oltre il termine di scadenza del contratto di sub-licenza. 

Il caso vede come soggetti coinvolti LaPresse S.p.A. e Cromografica Roma S.r.l. (“LaPresse” e “Cromografica”) in merito allo sfruttamento sul web da parte di quest’ultima di alcune fotografie coperte dal diritto d’autore e ottenute in sub-licenza da LaPresse per un lasso di tempo temporaneo e ben definito. 

Tale pronuncia segue lo stesso orientamento di un precedente provvedimento emesso dal Tribunale di Torino, l’11 maggio 2012, in relazione ad un caso del tutto analogo e avente quale parte attrice sempre l’agenzia fotografica LaPresse.

Quanto al merito, nei due provvedimenti in analisi, gli organi giudicanti hanno innanzitutto provveduto a qualificare il contratto di sub-licenza come quel particolare tipo di negozio giuridico in cui una parte concede ad un’altra, dietro corrispettivo, il diritto di utilizzare, esclusivamente con le modalità, alle condizioni e nei limiti previsti nel contratto, un determinato bene (l’opera fotografica nel caso specifico). 

Svolta tale necessaria premessa, tali organi giudicanti chiariscono che quando la licenza / sub-licenza d’uso di opere fotografiche / fotografie viene utilizzata per la pubblicazione di contenuti on line, alla scadenza del contratto, il licenziatario può continuare ad utilizzare tali opere solo nell’ambito di pagine statiche, ossia in sezioni del sito per cui il titolare si limita a svolgere attività di “mero mantenimento”.

Alla scadenza del contratto di licenza/sub-licenza, quindi, si avrà violazione dei diritti del licenziante tutte le volte in cui l’opera licenziata sarà utilizzata dal licenziatario per fini economici.

A tal riguardo, tali autorità hanno ritenuto che si sia in presenza di  sfruttamento economico tutte le volte in cui un’opera viene utilizzata in pagine dinamiche di un sito internet, ossia in contenuti in cui siano presenti banner pubblicitari o qualsivoglia altro elemento idoneo a portare guadagno al titolare del sito web poiché tale ipotesi rappresenterebbe uno sfruttamento commerciale attuale della foto. 

Al contrario, una pagina statica non determina un utilizzo illecito ed è utilizzabile senza bisogno di eliminare le foto e/o i contenuti in essa presenti, in quanto non è più idonea a generare profitto per il titolare del sito. 

Un ulteriore elemento meritevole di essere sottolineato in questa sede è l’infondatezza della argomentazione utilizzata dalle convenute, secondo cui il continuato utilizzo di una fotografia, oggetto di un contratto di sub-licenza, sarebbe lecito quando tale immagine è rinvenibile anche nel web e/o risulterebbe tra i risultati di indagini condotte su motori di ricerca come Google. 

Sul punto, il Tribunale e la Corte di Appello di Torino hanno evidenziato l’irrilevanza di tale circostanza ai casi di specie, precisando come il nostro legislatore, ex art. 70, co. 1-bis della Legge 633/1941, consenta la libera pubblicazione attraverso la rete internet, a titolo gratuito, di immagini e musiche a bassa risoluzione o degradate solo in ipotesi circoscritte e, precisamente, “per uso didattico o scientifico e solo nel caso in cui tale utilizzo non sia a scopo di lucro”. 

Leggi tutto...

Carta dei diritti di Internet: la Rete e la sua Costituzione

 

Carta dei diritti di Internet: la Rete e la sua Costituzione

Internet rappresenta non solo uno strumento fondamentale nel campo dell’informazione e della comunicazione ma anche un mezzo attraverso il quale le persone possono comunicare, scambiarsi opinioni e condividere qualsiasi tipo di contenuto nel mondo virtuale, che, usando le parole del Presidente del Garante per la protezione dei dati personali, sta diventando sempre più il “nostro reale spazio di vita”. Ma Internet, come un po’ tutta la tecnologia è ambivalente, e l’altro lato della medaglia è meno positivo. Come accade in qualsiasi ambito, infatti, la possibilità di utilizzare uno strumento a proprio vantaggio, in questo caso dalle enormi potenzialità, porta alcuni degli utilizzatori a sfruttarlo anche in maniera illecita. È proprio in questo caso che vengono minati alcuni diritti che fin dalla nascita della nostra Carta costituzionale sono stati sempre ritenuti meritevoli di tutela. 

Negli ultimi mesi diversi sono stati gli avvenimenti che in ambito europeo hanno coinvolto il mondo del digitale. Particolare rilevanza per il loro impatto assumono due recenti provvedimenti della Corte di Giustizia Europea: nella prima sentenza, emessa l’8 aprile 2014, in particolare, tale autorità ha dichiarato invalida la direttiva in merito alla conservazione dei dati di traffico, n. 2006/24/CE, poiché l’ingerenza vasta e particolarmente grave di tale direttiva nei diritti fondamentali degli interessati non è sufficientemente regolamentata in modo da essere effettivamente limitata allo stretto necessario; con una successiva sentenza del 13 maggio, inoltre, la Corte di Giustizia si è espressa nei confronti di Google in materia di diritto all’oblio, stabilendo che chiunque a interesse può rivolgersi al gestore di un motore di ricerca per chiedere che non venga più indicizzato un contenuto ritenuto lesivo per la propria immagine a patto che tale richiesta non limiti il diritto di informazione.

L’indirizzo che sta seguendo l’Unione Europea è quello di tutelare maggiormente i diritti della persona e fare in modo che questi vengano garantiti anche in rete.

Un ulteriore passo è stato fatto anche dall’Italia con la presentazione a Montecitorio della Carta dei diritti di Internet, redatta dalla omonima Commissione, voluta dalla Presidente della Camera Laura Boldrini e presieduta dal giurista Stefano Rodotà.

La Carta, che secondo Rodotà “si basa sui principi di eguaglianza, libertà e dignità che devono prevalere sulle logiche economiche”, ambisce a diventare una vera e propria dichiarazione fondata sul riconoscimento dei principi fondamentali, principi che non possono considerarsi riconosciuti in modo assoluto se non tutelati anche in Rete. Si vuole impedire che i diritti dei singoli non cedano il passo agli interessi economici. L’idea di estendere al mondo virtuale i diritti fondamentali dell’individuo riconosciuti nel mondo reale viene espressa nelle 6 pagine che compongono la Carta attraverso un preambolo iniziale e 14 articoli di carattere generale: essi mirano a tutelare il diritto di accesso ad Internet, poiché necessario per esercitare ogni altro diritto, la tutela dei dati personali, il diritto all’identità della persona, quello di privacy, il diritto all’oblio etc. Particolare importanza viene data alla neutralità della rete come presupposto fondamentale per evitare discriminazioni a favore di chi può pagare di più ed avere servizi migliori. Non solo: la neutralità della rete permette che si creino le condizioni per una concorrenza leale e che venga impedito ai più forti di tagliare fuori dal mercato i nuovi concorrenti e che non vi siano alterazioni e interferenze.

Al di là delle preoccupazioni sul fatto che tale Carta possa rappresentare solo l’ennesimo atto che va a confluire nel grande insieme del cosiddetto “Soft Law” ce ne sono anche altre. In particolare sul diritto all’anonimato e sul diritto all’oblio. Per quanto riguarda il primo, il bilanciamento tra il diritto all’anonimato e la necessità di tutelare i soggetti vittime di condotte illecite in Rete viene raggiunto con quella che il Presidente del Garante per la protezione dei dati personali, Antonello Soro, chiama “reversibilità dell’anonimato”, cioè la possibilità di poter identificare l’agente che compie la condotta illecita quando tale azione si basa sulla necessità di tutelare il bene pubblico. La preoccupazione su tale aspetto si rivolge non tanto a Paesi liberali come il nostro, quanto a quelli che lo sono meno: in questo caso l’identificazione degli agenti potrebbe avvenire senza specifiche garanzie ed essere utilizzata per reprimere quelle manifestazioni di pensiero che siano in contrasto con il regime e che potrebbero dar in qualche modo fastidio ai soggetti al vertice dello Stato in esame.

In quanto al diritto all’oblio, già riconosciuto dalla Corte di Giustizia Europea, il testo prevede che chiunque sia legittimato a venire a conoscenza dei contenuti per cui è stata richiesta ed ottenuta la deindicizzazione per avere la possibilità di impugnare il contenuto deindicizzato se ritenga tale decisione contraria al diritto all’informazione.

Al momento, tuttavia, non sono chiare le modalità e i tempi di esecuzione di tale adempimento, su cui occorrerà svolgere gli opportuni approfondimento per evitare che la soluzione prospettata non provochi l’effetto contrario rispetto a quello per cui è stato riconosciuto il diritto all’oblio.

Su queste criticità ed altre di diversa natura, ivi inclusa la definizione di dato personale oggetto di protezione, è stata aperta una pubblica consultazione: dal 27 ottobre il testo della Carta dei diritti di Internet è stato pubblicato sul sito web del Camera dei Deputati e chiunque vi abbia interesse può inviare le proprie osservazioni e/o proposte di integrazioni, modifiche o cancellazioni. Tali contributi, poi, verranno utilizzati per definire il testo di questa importante dichiarazione di riconoscimento dei diritti in Internet.

 

Leggi tutto...

Linee guida per tutelare privacy e siti di salute

autore:

Chiara Agostini

Sulla G.U. della Repubblica Italiana n. 42 del 20 febbraio 2012 sono state pubblicate le Linee Guida del Garante per la protezione dei dati personali per tutelare la privacy di chi è iscritto a social network dedicati alla salute, partecipa a blog e a forum di discussione o segue siti web che si occupano esclusivamente di tematiche sanitarie (anche in sezioni del portale) e in cui si svolge un'attività di carattere meramente divulgativo e conoscitivo, non solo con riferimento alle informazioni e ai commenti che si scambiano gli utenti, ma anche con riferimento ai consigli o alle "consulenze" mediche che vengono dagli stessi richieste. In base alle Linee guida del Garante, i gestori di siti, blog, forum, social network dedicati a tematiche relative alla salute, che prevedano o meno la registrazione degli utenti, dovranno rispettare alcuni adempimenti, il cui scopo è quello di richiamare l'attenzione sui rischi connessi al fatto di rendersi identificabili sul web in relazione alla propria patologia.

Linee Guida Garante Privacy.pdf 


Coordinatori:
Avv. Chiara Agostini
Avv. Allegra Bonomo

Leggi tutto...

Garante privacy: call center ancora nel mirino

Dopo un primo intervento del legislatore, con il così detto “Decreto Sviluppo” nel 2012, il Ministero del Lavoro e delle Politiche Sociali e il Garante della Privacy sono tornati a regolamentare la questione del trasferimento delle attività di call center all’estero, rispettivamente, il Ministero, con la circolare esplicativa del 2 aprile 2013 e, il Garante, con il Provvedimento del 10 ottobre 2013, pubblicato in Gazzetta Ufficiale il 13 novembre scorso.

L’emanazione di tali nuovi provvedimenti trova giustificazione nell’esigenza di fornire chiarimenti in merito alla disciplina dettata dall’art. 24-bis del  D.L. 83/2012, indicando altresì misure di sicurezza integrative a tutela dei dati degli interessati trasferiti in un paese estero.

Ricorderete che, con l’art. 24-bis del  D.L. 83/2012, il legislatore ha imposto l’obbligo, per un’azienda che svolge attività di call center, con almeno 20 dipendenti, e che intende spostare l’attività fuori dal territorio nazionale, di darne comunicazione preventiva al Ministero del Lavoro e delle Politiche Sociali, indicando i lavoratori coinvolti, e al Garante Privacy, indicando quali misure di sicurezza ha adottato nel rispetto del Codice Privacy, avuto particolare riguardo al provvedimento che ha istituito il registro delle opposizioni. Ulteriori adempimenti previsti sono l’informativa preliminare da rendere ai cittadini circa il Paese estero in cui l’operatore è fisicamente collocato e - per le sole chiamate così dette inbound - l’adozione di un sistema che consenta, a chi ne faccia richiesta, di parlare con un operatore collocato in territorio nazionale.

Tale disposizione di legge, la cui violazione è punita con sanzioni pecuniarie pesanti (euro 10.000,00 per ogni giornata di violazione), non indicava in maniera chiara l’ambito di applicazione e risultava per certi versi contraria rispetto ai principi generali comunitari.

Per tale motivo, anche a seguito  di numerose richieste di chiarimento da parte degli operatori del settore, il Ministero del Lavoro e delle Politiche Sociali e il Garante Privacy hanno  precisato, in primo luogo, che l’obbligo in questione riguarda la sole ipotesi in cui il trasferimento dei dati avviene fuori dall’Unione Europea. Ciò in quanto, in virtù della necessaria e imprescindibile libertà di circolazione dei dati personali all’interno della Comunità Europea e della esistenza di direttive comuni in materia di privacy, tutti gli Stati Membri assicurano un equivalente livello di tutela del trattamento, con la conseguenza che non occorre adottare particolari prescrizioni per il trasferimento verso questi paesi.

L’obbligo di legge permane, dunque, con esclusivo riferimento ai paesi Extra-UE, per cui il trasferimento può verificarsi solo qualora il paese in cui si trova l’importatore offre un adeguato livello di protezione o quando l’importatore presta opportune garanzie in sede contrattuale mediante l’adozione di regole di condotta infragruppo (le così dette binding corporate rules, BCR) o mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle decisioni della Commissione europea, in forza dell’art. 44 del Codice Privacy, così dette model clauses.

Il Garante Privacy ha poi ulteriormente precisato che occorre regolamentare specificatamente il rapporto tra il titolare del trattamento e il fornitore di call center estero.

In particolare, qualora un titolare residente nell’Unione Europea appalti il servizio di call center ad un responsabile, anch’esso comunitario, che a sua volta appalti ad un terzo stabilito al di fuori dell’Unione Europea, il titolare    dovrà disciplinare il rapporto con il subfornitore, sulla base di una delle seguenti modalità operative:

  1. sottoscrizione diretta delle clausole tra il titolare ed il soggetto terzo;
  2. conferimento da parte del titolare di un mandato con rappresentanza, generale o speciale, al responsabile per la sottoscrizione delle clausole con il terzo, facendo menzione del mandato tra gli incarichi e i compiti previsti nell’atto di designazione;
  3. sottoscrizione di contratti ad hoc tra il titolare ed il sub-incaricato che siano in grado di fornire le stesse garanzie previste dalle clausole contrattuali tipo.

Con riferimento all’ambito di applicazione dell’obbligo imposto dal legislatore, invece, il Ministero del Lavoro e delle Politiche Sociali e il Garante Privacy, hanno intrapreso due strade differenti.

La prima autorità, infatti, in un’ottica derogatoria, ha chiarito che l’obbligo riguarda unicamente le società che svolgono l’attività di call center in via assolutamente prevalente, con almeno 20 dipendenti (intesi sia come personale dipendente che di quello in servizio con contratti di collaborazione coordinata e continuativa) e qualora si verifichino esuberi.

Il Garante Privacy, invece, in ragione dell’ampiezza del fenomeno, ivi compresi gli aspetti derivanti dalla difficoltà di arginare efficacemente il fenomeno delle chiamate indesiderate, ha esteso l’ambito  a tutti i soggetti, pubblici e privati, che svolgono in qualità di titolare del trattamento, direttamente o in affidamento a terzi una attività di call center effettuata in paesi situati fuori dell’Unione Europea, indipendentemente dal numero di dipendenti impiegati e dal fatto che esercitino attività in maniera prevalente.

A carico del titolare del trattamento dei dati trasferito in un territorio extra-UE, inoltre, il Garante ha posto l’obbligo di formazione degli operatori di call center che tratteranno i dati in qualità di incaricati (anche per il tramite del soggetto designato responsabile), ed ha ricordato la necessità di effettuare verifiche periodiche sulle istruzioni impartite.

Quali misure di sicurezza da adottare, da ultimo, ha confermato l’idoneità dell’implementazione del sistema CRM (Customer Relationship Managment) con l’esigenza però, per evitare e/o ridurre al minimo trattamenti non conformi alle finalità dell’incarico ricevuto, di ridurre al minimo l’autonomia degli incaricati, consentendo ad esempio le sole operazioni di lettura e scrittura e l’oscuramento dei dati eccedenti o non pertinenti.

In forza di tali nuovi provvedimenti, pertanto, le società che svolgono attività di call center così detto outbound o inbound, devono:

  • specificare preliminarmente agli interessati che effettuino la chiamata ad un call center o che siano destinatari della stessa – tramite apposita informativa -, quale sia l’ubicazione dell’operatore, adottando, nel solo caso in cui la chiamata venga effettuata dal cittadino, apposite procedure per consentire agli stessi di scegliere che il servizio sia reso tramite un operatore sito nel territorio nazionale;
  • effettuare, in caso di trasferimento o affidamento del trattamento di dati personali ad un call center sito al di fuori dell’Unione europea, una apposita comunicazione al Garante prima di tale trasferimento, utilizzando il modello di comunicazione pubblicato sul sito www.garanteprivacy.it;
    effettuare, nel solo caso di trasferimento extra-UE, da parte di una società che svolge l’attività di call center in via prevalente, con almeno 20 dipendenti e per cui siano previsti esuberi, una comunicazione previa anche al Ministero del Lavoro e delle Politiche Sociali;
  • regolamentare il rapporto con il fornitore extra europeo tramite le così dette model clauses o un contratto che offra le medesime garanzie o, ancora, – nel caso di rapporti infragruppo, le binding corporate rules;
  • supervisionare l’attività del fornitore extra-europeo nominato responsabile del trattamento, tramite verifiche periodiche, effettuando corsi di formazione privacy in favore dei suoi incaricati e adottando misure di sicurezza che riducano al minimo la loro inter-operatività.

Specifichiamo, da ultimo, che l’obbligo di comunicazione al Garante Privacy ha carattere retroattivo, riguardando anche società per cui siano già operanti trattamenti di dati personali affidati a call center extraeuropei e per cui l’obbligo della comunicazione a tale autorità doveva essere assolto entro il 13 dicembre 2013.

Leggi tutto...
Sottoscrivi questo feed RSS

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy

Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bologna
R&P Legal
Via D’Azeglio, 19
40123, Bologna - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy