Portolano Cavallo INFORM@
Transcript
Portolano Cavallo INFORM@
PORTOLANO CAVALLO INFORM@ ANNULLATO IL BEAUTY CONTEST: LE FREQUENZE TELEVISIVE SARANNO ASSEGNATE IN BASE AL CRITERIO DELL’OFFERTA ECONOMICA PIÙ ALTA I diritti di uso per frequenze in banda televisiva che si sarebbero dovuti assegnare tramite beauty contest verranno invece assegnati mediante gara competitiva all’operatore di rete che presenterà l’offerta economica più elevata. Lo ha stabilito l’art. 3quinquies del D.L. 2 marzo 2012, n. 16, meglio noto come “decreto fiscale”, convertito definitivamente in legge lo scorso 24 aprile. Il bando di gara e il relativo disciplinare del beauty contest sono stati contestualmente annullati, corrispondendo ai partecipanti un indennizzo che spetterà al Ministero dello sviluppo economico quantificare. Tocca adesso all’AGCOM stabilire le procedure per lo svolgimento dell’asta, che il Ministero dello sviluppo dovrà indire entro 120 giorni dall’entrata in vigore della legge di conversione del decreto fiscale. Il decreto fiscale stabilisce che l’aggiudicazione dei vari lotti di frequenze avverrà sulla base del criterio dell’offerta economica più alta, anche mediante un meccanismo di rilanci competitivi. La durata dei diritti d’uso per ciascun lotto di frequenze sarà calibrata in maniera differente per i diversi lotti. Infatti, secondo quanto richiesto dalla Commissione Europea (col “Radio Spectrum Policy Programme” approvato il 15 febbraio scorso) e soprattutto dall’ultima Conferenza Mondiale delle Radiocomunicazioni di Ginevra, anche le frequenze sotto i 790 MHz – quattro delle quali sono ricomprese tra quelle da assegnare per i servizi televisivi – dovrebbero poter essere assegnate ai servizi di comunicazione mobile entro il 2015 (data di implementazione del programma europeo sulle frequenze), come già avvenuto per la banda a 800 Mhz (la cui assegnazione, in Italia, è avvenuta tramite asta nel settembre 2011 e ha fruttato allo Stato poco meno di 3 miliardi di euro). Il sesto comma dell’art. 3-quinquies del decreto fiscale fa salvo il divieto per ciascun operatore di ottenere, in esito alla gara, più di 5 multiplex nazionali DVB-T. È stato inoltre previsto che a partire dal 1 gennaio 2013 gli apparecchi atti a ricevere servizi radiotelevisivi venduti dai produttore ai commercianti possano non incorporare più un sintonizzatore analogico, mentre a partire dal 1 luglio 2015 gli apparecchi venduti ai consumatori dovranno includere un sintonizzatore digitale per la ricezione di programmi in tecnologia DVB-T2 con codifica MPEG-4. NUOVI POTERI DI VETO DEL GOVERNO PER LE OPERAZIONI SOCIETARIE NEL SETTORE COMUNICAZIONI Il 15 marzo scorso il Governo italiano ha istituito (con Decreto Legge 21/2012) nuovi poteri speciali di intervento e di veto da parte del Governo sui cambi degli assetti societari in alcuni settori di rilevanza strategica, tra cui le comunicazioni. Il provvedimento, attualmente in vigore, stabilisce per la prima volta una disciplina organica finalizzata a impedire o sottoporre a condizioni investimenti esteri in specifici settori, sopperendo a un vuoto legislativo che in passato aveva costretto il Governo a interventi ad hoc o a interpretazioni estensive dei propri poteri (ad esempio nel 2001, quando il Governo negò il nulla osta all’acquisizione di RaiWay da parte di CrownCastle nonostante i pareri favorevoli di AGCOM e AGCM, scatenando un contenzioso amministrativo con la stessa RAI). Il Decreto Legge prevede che nel settore delle comunicazioni, così come in altri settori strategici, la Presidenza del Consiglio dei Ministri individui con uno o più decreti le reti e gli impianti, i beni e i rapporti di rilevanza strategica nazionale. Fatto ciò, qualsiasi delibera, atto o operazione societaria che produca una modifica nella titolarità, nel controllo o nella disponibilità di tali impianti, beni, reti o rapporti – comprese le delibere che determinano la fusione o la scissione delle società che li detengono, o il trasferimento della loro sede all’estero, etc. – dovranno essere comunicati alla Presidenza del Consiglio dei Ministri, allegando anche una “informativa completa sulla delibera, atto o operazione in modo da consentire l’eventuale tempestivo esercizio del potere di veto”. Il termine per tale informativa è di dieci giorni e decorre da momenti diversi a seconda del tipo di operazione. Una volta ricevuta l’informativa, il Governo può esercitare tale potere di veto entro quindici giorni (salvo sospensione per richiesta di ulteriori informazioni) e si articola diversamente a seconda che ad acquistare partecipazioni nella società sia un soggetto interno o esterno allo Spazio Economico Europeo. Infatti, in caso di acquisto da parte di qualsiasi persona fisica o giuridica non stabilita in uno Stato dello Spazio economico europeo, il Governo potrà imporre specifiche prescrizioni o condizioni qualora ciò sia richiesto dagli interessi essenziali dello Stato, oppure potrà opporsi totalmente all’acquisto in casi eccezionali di rischio per la tutela degli stessi interessi. Nel caso invece in cui il soggetto entrante sia stabilito nello Spazio Economico Europeo, il Governo potrà porre il veto o – se richiesto dall’interesse pubblico – imporre specifiche prescrizioni o condizioni soltanto nel caso di delibere, atti e operazioni che diano luogo a situazioni eccezionali di minaccia effettiva di grave pregiudizio per gli interessi pubblici relativi alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti. I poteri di veto sopra esposti potranno essere esercitati esclusivamente sulla base di criteri oggettivi e non discriminatori. In caso di violazione delle nuove procedure descritte dal Decreto, cioè di mancata sottoposizione al Governo entro i termini stabiliti, le delibere, le operazioni o gli atti saranno considerati nulli, la società potrà essere sanzionata fino al doppio del valore dell’operazione (e comunque per non meno dell’uno per cento del fatturato cumulato realizzato dalle imprese coinvolte nell’ultimo esercizio per il quale sia stato approvato il bilancio) e il Governo potrà ordinare alla società e all’eventuale controparte di ripristinare a proprie spese la situazione precedente all’atto/delibera/operazione. PROPOSTA DI REGOLAMENTO UE SULLA PROTEZIONE DEI DATI PERSONALI: UN NUOVO QUADRO GIURIDICO IN MATERIA DI PRIVACY Lo scorso 25 gennaio 2012 la Commissione europea ha presentato una proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati – “Regolamento”). Il Regolamento mira ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE prevedendo un corpus unico di norme di protezione dei dati valido per tutta l’Unione europea al fine, in particolare, di garantire un maggiore controllo dei soggetti interessati sui propri dati personali pubblicati online, e stimolare l’economia digitale europea, riducendo gli oneri per le imprese (con un risparmio previsto pari a circa 2,3 miliardi di euro l’anno). L’iniziativa della Commissione europea si colloca nel quadro di una più ampia proposta di riforma del quadro giuridico europeo in materia di dati personali, che include anche una proposta di direttiva concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati. Il Regolamento, ora all’esame del Parlamento europeo e degli Stati membri dell’Unione europea (riuniti in sede di Consiglio dei Ministri), una volta approvato, non entrerà in vigore prima di due anni. Qui di seguito si analizzeranno sinteticamente alcune delle principali novità previste dal Regolamento, valutando l’effetto che le nuove regole, se approvate, potranno avere sulla normativa italiana in materia di protezione dei dati personali (D. Lgs 196/2003 – “Codice Privacy”). Campo di applicazione Il Regolamento introduce una prima, rilevante novità rispetto ai criteri di applicazione territoriale di cui al Codice Privacy. Nel caso in cui il titolare del trattamento non sia stabilito nell’Unione europea, il Regolamento troverebbe comunque applicazione al trattamento dei dati personali di soggetti interessati residenti nell’Unione, quando le attività di trattamento riguardano: l’offerta di beni o la prestazione di servizi ai residenti nell’Unione, o il controllo del loro comportamento (articolo 3(2) del Regolamento). Il Regolamento chiarisce che sussiste “controllo del comportamento” dell’utente qualora le operazioni che questi esegue su Internet siano sottoposte a tecniche di trattamento dei dati volte alla sua “profilazione”, in particolare per assumere decisioni che lo riguardano o analizzarne o prevederne le preferenze e i comportamenti (considerando 21 del Regolamento). In merito al primo criterio, relativo all’offerta di beni o alla prestazione di servizi a residenti nell’Unione, recentemente il Gruppo di Lavoro Articolo 29 per la protezione dei dati (organo consultivo indipendente dell’Unione europea), ha suggerito di chiarire che esso dovrà trovare applicazione anche in caso di servizi “gratuiti”, per i quali gli utenti pagano, in concreto, fornendo i propri dati personali (Parere n. 1/2012, del 23 marzo 2012, sulla proposta di riforma privacy). Negli altri casi, e cioè quando il titolare del trattamento sia stabilito nell’Unione europea, continuerà a trovare applicazione il “principio di stabilimento”: il Regolamento si applicherà al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento del titolare del trattamento o del responsabile all’interno nell’Unione europea (articolo 3(1) del Regolamento). Il regolamento distingue tra titolare e responsabile? Il criterio dell’“offerta di beni o prestazione di servizi ai residenti nell’Unione” o del “controllo del comportamento dei residenti nell’Unione”, da utilizzare nel caso in cui il titolare del trattamento non risieda nell’Unione europea, non è attualmente previsto dal Codice Privacy: qualora le nuove regole fossero approvate senza modifiche, il Regolamento potrebbe quindi disciplinare operazioni di trattamento che, attualmente, non sono regolamentate. I titolari del trattamento non stabiliti nell’Unione europea dovranno designare un rappresentante nell’Unione europea. Tale obbligo non sussiste per i titolari stabiliti in un paese terzo che garantiscano un livello di protezione adeguato, per le piccole o medie imprese (che abbiamo meno di 250 dipendenti), per le autorità pubbliche e gli organismi pubblici, o nel caso in cui il titolare offra beni o servizi agli interessati solo occasionalmente (articolo 25 del Regolamento). Il rappresentante dovrà agire per conto del titolare del trattamento e potrà essere interpellato da qualsiasi autorità di controllo. Eliminazione dell’obbligo di notificazione del trattamento Il Regolamento prevede l’abolizione dell’obbligo di notificare il trattamento dei dati personali alle autorità di controllo, sull’assunto che tale obbligo, introdotto dalla Direttiva 95/46/CE (e previsto dal Codice Privacy in determinati casi specifici, di cui all’articolo 37), comporta oneri amministrativi e finanziari senza in realtà aver mai veramente contribuito a migliorare la protezione dei dati personali. In sua sostituzione, il Regolamento prevede l’introduzione di maggiori responsabilità e un obbligo di rendicontazione per i titolari del trattamento. In particolare, rispetto ad operazioni di trattamento che potenzialmente presentano rischi specifici per i diritti e le libertà degli interessati (quali, ad esempio, la valutazione sistematica della personalità dell’interessato o volta ad analizzarne o prevederne, in particolare, la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento, basata su un trattamento automatizzato e da cui discendono misure che hanno effetti giuridici o significativamente incidono sull’interessato; ecc.), il titolare del trattamento o il responsabile dovranno effettuare una “valutazione d’impatto” del trattamento previsto sulla protezione dei dati prima di procedere al trattamento (articolo 33 del Regolamento). Notificazione di violazioni dei dati personali Il titolare del trattamento dovrà notificate dal all’autorità di controllo eventuali violazioni di dati personali (violazioni, cioè, di sicurezza che comportino accidentalmente, o in modo illecito, la distruzione, la perdita, la modifica, la diffusione non autorizzata o l’accesso ai dati personali – si pensi ai casi di usurpazione di identità) senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. Oltre il termine di 24 ore, la notificazione dovrà essere corredata di una giustificazione motivata (articolo 31 del Regolamento). La notificazione dovrà contenere, almeno, una descrizione della natura della violazione dei dati personali, informazioni sul titolare del trattamento, un elenco delle misure raccomandate per attenuare gli effetti pregiudizievoli della violazione, una descrizione delle conseguenze della violazione nonché delle misure proposte o adottate per porre rimedio alla violazione. La violazione dovrà essere comunicata anche all’interessato, senza ingiustificato ritardo. Maggiori responsabilità anche per i responsabili del trattamento: questi, infatti, dovranno informare il titolare del trattamento immediatamente dopo aver accertato una violazione dei dati personali. Le nuove regole di cui al Regolamento estendono a tutti i titolari del trattamento le disposizioni in materia di data breaches introdotte dalla Direttiva 2009/136/CE con specifico riferimento ai fornitori di servizi di comunicazione elettronica. Diritto all’oblio Il Regolamento, all’articolo 17, prevede il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione di dati personali che lo riguardano, e la rinuncia a un’ulteriore diffusione di tali dati, in talune circostanze (ad esempio, nel caso in cui tali dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, o l’interessato revochi il consenso su cui si fonda il trattamento) (cd. “diritto all’oblio”). Si prevede anche l’obbligo del titolare che ha pubblicato dati personali di informare i terzi che stiano trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. In tal modo, il Regolamento chiarisce ed estende il principio per cui i dati personali devono essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati, di cui all’art. 11(1), lettera e), del Codice Privacy. Altre novità Tra le altre novità introdotte dal Regolamento, si segnalano: la specificazione che il consenso del soggetto interessato al trattamento dei dati personali deve essere “esplicito” (l’onere di provare che l’interessato ha espresso un esplicito consenso al trattamento graverà sul titolare dello stesso); la previsione di un diritto alla portabilità dei dati personali, anche al fine di agevolare il trasferimento dei dati da un fornitore di servizi a un altro; l’espressa previsione della tutela dei dati dei minori; l’obbligo, per il titolare del trattamento, di adottare politiche interne e attuare misure adeguate che soddisfino i principi della protezione fin dal momento della determinazione dei mezzi del trattamento (cd. privacy by design) e della protezione di default, tale per cui solo i dati personali necessari per ciascuna finalità specifica del trattamento dovranno essere trattati di default (articolo 23 del Regolamento); l’introduzione dell’obbligo di nomina di un Data protection officer per imprese con più di 250 dipendenti e per gli enti pubblici; l’istituzione del “Comitato europeo per la protezione dei dati”, composto dal responsabile delle autorità di controllo di ciascuno Stato membro e dal garante europeo della protezione dei dati. Il Comitato europeo per la protezione dei dati sostituisce il Gruppo di Lavoro Articolo 29 per la protezione dei dati. Sanzioni Le autorità di controllo nazionali potranno comminare, alle imprese che violino, con dolo o con colpa, gli obblighi di cui al Regolamento, sanzioni pecuniarie fino a 1 milione di euro o pari al 2% del fatturato mondiale annuo (articolo 79(6) del Regolamento). Conclusioni Poiché il Regolamento, una volta approvato, sarà direttamente applicabile in ogni Stato membro dell’Unione europea, quindi anche in Italia, senza richiedere misure di recepimento nel diritto nazionale, l’impatto sul Codice Privacy sarà notevole: è evidente che non potranno sopravvivere al Regolamento tutte quelle norme contenute nel Codice Privacy incompatibili con quanto stabilito dal Regolamento. PARERE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI PERSONALI SUI PROFILI PRIVACY DELL’ACTA In data 24 aprile 2012 il Garante Europeo della protezione dei dati personali (“Garante Europeo”) ha emesso il proprio parere in merito al testo finale del Anti-Counterfeiting Trade Agreement (“ACTA”), attualmente al vaglio del Parlamento UE per la ratifica, fissata per il prossimo 11 giugno. I principali profili di rilievo, a giudizio del Garante Europeo, riguardano la mancanza di precisione dell’accordo in merito alle misure attuative di contrasto alle violazioni dei diritti di proprietà intellettuale su Internet, che rischiano di incidere in modo non accettabile sulla tutela dei diritti fondamentali, tra cui, in primis, il diritto alla privacy degli utenti. Secondo quanto riportato nel parere, molte delle misure di controllo previste dall’ACTA implicano un monitoraggio su larga scala del comportamento degli utenti e delle loro comunicazioni attraverso la rete. Il Garante Europeo ritiene tali misure intrusive della sfera privata degli individui e, dunque, la loro applicazione potrebbe essere ritenuta accettabile solo nei limiti in cui fosse necessaria e proporzionale all’obiettivo specifico che con essa si intenderebbe raggiungere. In sintesi, nel proprio parere, il Garante Europeo: sottolinea che le misure che permettono il monitoraggio indiscriminato e su larga scala dei comportamenti degli utenti e delle loro comunicazioni tramite Internet, per violazioni non profittevoli, su bassa scala e trascurabili, sarebbero qualificabili come sproporzionate e in violazione, tra gli altri, degli articoli 7 e 8 della Carta Fondamentale dei diritti dell’Uomo e della direttiva in materia di protezione dei dati personali; specifica che sarebbe qualificabile come legittima una forma di monitoraggio in cui il trattamento dei dati avvenisse all’interno di uno specifico, attuale o imminente procedimento giudiziale mentre, al contrario, il monitoraggio generalizzato seguito dall’immagazzinamento dei dati su larga scala supererebbe ampiamente la sfera di legittimità di questo tipo di attività; afferma che la nozione di “autorità competenti” prevista dall’ACTA, a cui vengono affidati poteri ingiuntivi, risulta troppo vaga e non fornisce una certezza sufficiente a che la divulgazione dei dati personali dei presunti soggetti violanti i diritti di IP, avvenga esclusivamente sotto il controllo delle autorità giurisdizionali; sottolinea come molte delle misure volontarie di cooperazione nelle attività di enforcement (come i meccanismi dei tre strikes, il blocco e filtraggio del traffico peer to peer, il blocco dei siti ritenuti violare i diritti di copyright) comporterebbero un trattamento di dati personali da parte degli Internet Service Provider che attualmente non risulta consentito dalla normativa UE; afferma, infine, che l’ACTA non contiene sufficienti limitazioni e garanzie quali un’effettiva tutela giurisdizionale, due process, principio di presunzione di innocenza, il diritto alla privacy e alla protezione dei dati TUTELA DEL SOFTWARE E RIVENDITA DI LICENZE – CONCLUSIONI DELL’AVVOCATO GENERALE DELLA CORTE DI GIUSTIZIA L’Avvocato Generale della Corte di Giustizia Yves Bot ha reso, in data 24 aprile 2012, le proprie conclusioni con riferimento ad alcune disposizioni della Direttiva n. 2009/24/CE relativa alla tutela giuridica dei programmi per elaboratore (Direttiva n. 2009/24/CE). Nella fattispecie, la società Oracle International Corp., che sviluppa software e lo distribuisce per scaricamento (download) via Internet, concludendo con i propri clienti contratti di licenza che consentono un diritto di utilizzazione del software a durata indeterminata, non cedibile e riservato ad uso professionale interno, aveva citato in giudizio la società tedesca UsedSoft GmbH, al fine di ottenere l’inibitoria della pratica consistente nella commercializzazione di licenze della Oracle “usate”, cioè riacquistate da clienti della Oracle. La Corte suprema federale tedesca, chiamata a pronunciarsi sulla controversia in ultimo grado, ha adito la Corte di Giustizia per ottenere una pronuncia sull’interpretazione delle disposizioni della Direttiva n. 2009/24/CE relative all’esaurimento del diritto di distribuzione di copie di un programma per elaboratore (causa C-128/11 – Axel W. Bierbach, curatore fallimentare della UsedSoft GmbH, c.Oracle International Corp.) Secondo il cd. “principio di esaurimento”, la prima vendita di una copia di un programma per elaboratore nell’ambito dell’Unione, da parte del titolare del diritto o con il suo consenso, “esaurisce” il diritto di distribuzione della copia medesima nell’Unione, fatto salvo il diritto di controllare le ulteriori locazioni (articolo 4 della Direttiva 2009/24/CE). Per effetto di tale principio, il titolare del diritto che abbia commercializzato il programma per elaboratore sul territorio di uno Stato membro dell’Unione perde la possibilità di invocare il suo diritto di sfruttamento esclusivo per opporsi alla rivendita del programma stesso. La UsedSoft invocava il principio dell’esaurimento del diritto di distribuzione al fine di sostenere la liceità della pratica consistente nella rivendita di software della Oracle “usato”. La Oracle, invece, riteneva che tale principio non potesse trovare applicazione in caso di download di un software su Internet, in assenza di vendita di un supporto tangibile. Con conclusioni rese in data 24 aprile 2012, l’Avvocato Generale ha suggerito alla Corte di Giustizia di interpretare la normativa comunitaria rilevante ai fini del caso in esame nel senso che il titolare dei diritti su un software non può opporsi alla rivendita di una copia del software qualora (come nel caso della Oracle) abbia autorizzato lo scaricamento (“download”) da Internet di tale copia su un supporto informatico, e abbia parimenti ceduto a titolo oneroso il diritto di uso della copia medesima, per una durata illimitata. In particolare, secondo l’Avvocato Generale, poiché la commercializzazione dei software avviene, nella maggior parte dei casi, sotto forma di licenze di utilizzazione, una lettura eccessivamente restrittiva del termine “vendita” ai sensi della Direttiva 2009/24/CE comprometterebbe l’effetto utile del principio dell’esaurimento. L’Avvocato Generale suggerisce, pertanto, di definire la vendita nel senso di qualsiasi messa a disposizione nell’Unione, sotto qualsivoglia forma e con qualsivoglia mezzo, di una copia di un programma per elaboratore ai fini della sua utilizzazione per un periodo illimitato, e a fronte della corresponsione di un prezzo forfettario. Tuttavia, secondo l’Avvocato Generale, poiché il principio dell’esaurimento è intrinsecamente connesso al diritto di distribuzione, e, pertanto, non può estendersi al diritto di riproduzione, in caso di rivendita di una licenza, il secondo acquirente non potrà invocare l’esaurimento del diritto di distribuzione della copia inizialmente scaricata per procedere alla riproduzione del programma realizzando una nuova copia, e ciò anche qualora il primo acquirente abbia cancellato la propria ovvero non la utilizzi più. BREVISSIME DIRITTO D’AUTORE: RINVIATA ALL’INSEDIAMENTO DEI NUOVI COMMISSARI DELL’AUTORITÀ PER LE GARANZIE NELLE COMUNICAZIONI L’ADOZIONE DEL REGOLAMENTO SULLA PROTEZIONE DEL DIRITTO D’AUTORE ONLINE Nella relazione di presentazione del bilancio di fine mandato 2005-2012, il presidente uscente dell’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”), Corrado Calabrò, ha ribadito che l’adozione del regolamento in materia di protezione del diritto d’autore online è rinviata all’insediamento della prossima Consiliatura. Tale decisione è stata presa, secondo quanto si legge nella predetta relazione, sulla base del fatto che il Governo avrebbe dovuto proporre l’adozione di una norma di interpretazione autentica che meglio definisse le competenze di AGCOM nella materia oggetto del regolamento. “Finché il Governo non adotterà questa norma – ha concluso il Presidente AGCOM sul punto – noi – almeno in questa Consiliatura – non ci sentiremo tenuti alla deliberazione del regolamento, pur così equilibrato, che abbiamo predisposto e messo a punto con ampia consultazione”. DECRETO SEMPLIFICA ITALIA E PROTEZIONE DEI DATI PERSONALI: ABOLIZIONE DEL DPS E NUOVE REGOLE IN MATERIA DI TRATTAMENTO DEI DATI GIUDIZIARI Il Decreto Legge 9 febbraio 2012, n. 5, recante “Disposizioni urgenti in materia di semplificazione e di sviluppo” (“Decreto Semplifica Italia”) convertito, con modificazioni, in Legge 4 aprile 2012, n. 35, ha apportato ulteriori modifiche al “Codice in materia di protezione dei dati personali” (Decreto Legislativo 30 giugno 2003, n. 196 – “Codice Privacy”), già oggetto di importanti emendamenti a seguito dell’entrata in vigore del c.d. Decreto “Salva Italia” (Decreto Legge 6 dicembre 2011, n. 101 convertito, con modificazioni, in Legge 22 dicembre 2011, n. 214) che ha di fatto escluso dall’applicazione del Codice Privacy i dati personali relativi a persone giuridiche, enti ed associazioni (sul punto, vedi Newsletter n. 1/2012). Le novità introdotte dal Decreto Semplifica Italia si concentrano su due profili: è stato abolito l’obbligo di tenuta del “Documento programmatico sulla sicurezza” (“DPS”). Ai sensi dell’allegato B al Codice Privacy, il DPS doveva essere redatto entro il 31 marzo di ogni anno e contenere informazioni relative, tra l’altro, all’elenco dei trattamenti di dati personali effettuati dal titolare, alle misure da adottare per garantirne l’integrità e la disponibilità, all’analisi dei rischi connessi a specifici trattamenti, alle procedure di disaster recovery implementate. È opportuno chiarire che l’abolizione dell’obbligo di redazione del DPS non implica ovviamente l’abolizione degli obblighi il cui adempimento era precedentemente “cristallizzato” nello stesso DPS (specie in riferimento alle misure di sicurezza da adottare); semplicemente, è stata abolita la formalità relativa all’adozione del DPS entro un dato termine, con conseguenti benefici in termini di risparmio di costi per le imprese. Sono state ampliate le ipotesi in cui si può procedere al trattamento dei dati giudiziari (ossia i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti), sia da parte di privati che di enti pubblici. In particolare, mentre in passato il trattamento dei dati giudiziari era possibile solo in presenza di un’espressa disposizione di legge o provvedimento del Garante, oggi è consentito anche quando è effettuato in attuazione di protocolli d’intesa per la prevenzione ed il contrasto di fenomeni di criminalità organizzata stipulati con il Ministero dell’Interno, previo parere del Garante. CORTE DI CASSAZIONE: MODALITÀ DI TENUTA DEGLI ARCHIVI STORICI DA PARTE DI EDITORI ONLINE La terza sezione della Corte di Cassazione, con sentenza n. 5525 del 5 aprile 2012, ha disposto che gli editori di giornali online dotati di archivi storici, nell’ipotesi in cui gli articoli conservati nei suddetti archivi siano indicizzati dai motori di ricerca, hanno l’obbligo di adottare delle misure idonee a garantire la contestualizzazione e l’aggiornamento delle notizie in modo da garantire il diritto all’immagine ed alla reputazione dei soggetti interessati dagli articoli giornalistici nonché il diritto dei cittadini a ricevere una corretta e completa informazione. In particolare, la sentenza ha dato ragione al ricorrente poiché l’archivio storico in oggetto recava soltanto notizia di una sentenza di condanna emessa nei suoi confronti, senza contenere tuttavia un riferimento alla sentenza di proscioglimento successivamente pronunciata. Nello specifico, se, infatti, è stata garantita all’editore la possibilità di mantenere per scopi storici nei propri archivi notizia della precedente sentenza di condanna, sono stati tuttavia ritenuti necessari la contestualizzazione e l’aggiornamento della notizia e cioè il collegamento della stessa ad altre informazioni successivamente pubblicate concernenti l’evoluzione della vicenda, “che possano completare o finanche completamente mutare [come nel caso di specie] il quadro evincentesi dalla notizia originaria, a fortiori se trattasi di fatti oggetto di vicenda giudiziaria […]”. CORTE DI CASSAZIONE: COSTITUISCE REATO PARTECIPARE AD ASTE ONLINE ATTRAVERSO L’UTILIZZO DI GENERALITÀ ALTRUI La Corte di Cassazione, confermando la condanna per reato di sostituzione di persona ex. art. 494 cp, ha stabilito che la partecipazione ad aste online con uso di uno pseudonimo presuppone necessariamente che a tale pseudonimo corrisponda una reale identità, accertabile on-line da parte di tutti i soggetti con i quali vengono concluse le compravendite, al fine di garantire la tutela delle controparti in caso di eventuali inadempimenti (sentenza n. 12479/2012). Nel caso di specie l’imputato aveva utilizzato i dati anagrafici di una donna aprendo a suo nome una casella di posta e un account presso un sito di aste online, facendo poi ricadere sull’ignara intestataria le morosità nei pagamenti dei beni acquistati tramite le aste online. Egli si era quindi difeso sostenendo che non vi era stata alcuna sostituzione di persona, in quanto egli si era servito dei dati della vittima solo per iscriversi al sito d’aste a cui aveva, in seguito, partecipato attraverso uno pseudonimo. Al contrario, la Suprema Corte, come aveva già affermato nella sentenza n. 46674/2007, ha ribadito come integri il reato di sostituzione di persona la condotta di colui che crea ed utilizza un account di posta elettronica, attribuendosi falsamente le generalità di un diverso soggetto, inducendo in errore gli utenti della rete, nei confronti dei quali le false generalità siano declinate e con il fine di arrecare danno al soggetto le cui generalità siano state abusivamente spese, ritenendo, quindi, irrilevante il fatto che poi l’imputato avesse utilizzato un nome di fantasia durante la partecipazione all’asta. CORTE DI GIUSTIZIA UE – LA FUNZIONALITÀ DEL SOFTWARE NON È PROTETTA DAL DIRITTO D’AUTORE Con sentenza del 2 maggio 2012, causa C-406/10 (SAS Institute Inc, c. World Programming Ltd) la Corte di Giustizia dell’Unione Europea ha chiarito che non sono tutelati dal diritto d’autore né la funzionalità del software né il linguaggio di programmazione e il formato di file di dati utilizzati nell’ambito del software per sfruttare talune delle sue funzioni. La Corte ha ribadito, infatti, che soltanto il codice sorgente e il codice oggetto del software, in quanto forme di espressione di quest’ultimo, possono essere protetti con il diritto d’autore. Riconoscere che la funzionalità di un software possa essere tutelata dal diritto d’autore equivarrebbe, secondo la Corte, ad offrire la possibilità di monopolizzare le idee, a scapito del progresso tecnico e dello sviluppo industriale. Inoltre, secondo la Corte, colui che ha ottenuto su licenza una copia di un programma per elaboratore può, senza l’autorizzazione del titolare del diritto d’autore, osservare, studiare o sperimentare il funzionamento di detto programma al fine di determinare le idee e i principi su cui si basa ogni elemento di tale programma, allorché egli effettua operazioni coperte da tale licenza nonché operazioni di caricamento e svolgimento necessarie all’utilizzazione del programma, e a condizione che non leda i diritti esclusivi del titolare del diritto d’autore sul programma di cui trattasi. Infine, la Corte ha affermato che la riproduzione, in un software o in un manuale d’uso ad esso relativo, di taluni elementi descritti nel manuale d’uso di un altro software tutelato dal diritto d’autore può costituire una violazione del diritto d’autore su quest’ultimo manuale qualora tale riproduzione costituisca l’espressione della creazione intellettuale propria dell’autore del manuale d’uso del software protetto dal diritto d’autore. VIAGGI TUTTO COMPRESO: LA CORTE COSTITUZIONALE DICHIARA ILLEGITTIMO IL MASSIMALE PER IL RISARCIMENTO DEI DANNI ALLA PERSONA Con la sentenza n. 75/2012 la Corte Costituzionale ha dichiarato l’illegittimità costituzionale dell’articolo 15 del decreto legislativo 17 marzo 1995, n. 111 (Attuazione della direttiva n. 90/314/CEE concernente i viaggi, le vacanze ed i circuiti «tutto compreso»), nella parte in cui introduce quale limite all’obbligazione risarcitoria per i danni alla persona derivanti dall’inadempimento o dalla inesatta esecuzione delle prestazioni che formano oggetto di un servizio viaggi con la formula “tutto compreso”, l’ammontare indicato dalla Convenzione internazionale relativa al contratto di viaggio, firmata a Bruxelles il 23 aprile 1970, ratificata con la legge 27 dicembre 1977, n. 1084 (Ratifica ed esecuzione della convenzione internazionale relativa al contratto di viaggio – CCV) ossia 50.000 franchi-oro corrispondenti a circa 313.500,00 euro. La Corte ha ritenuto detto articolo emanato in violazione dei criteri della legge delega del 22 febbraio 1994, n. 146 (Disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunità europee – legge comunitaria del 1993) che aveva stabilito (all’articolo 24) che solo il risarcimento dei danni diversi dal danno alla persona, derivanti da inadempimento o cattiva esecuzione delle prestazioni, avrebbe dovuto essere ammesso nei limiti stabiliti dalla citata legge di ratifica della Convenzione di Bruxelles. GOOGLE ADWORDS: SECONDO LA CORTE D’APPELLO DI LIONE GOOGLE FRANCE NON È RESPONSABILE PER L’USO ILLEGITTIMO DEL MARCHIO DA PARTE DEI PROPRI INSERZIONISTI Con decisione del 22 marzo 2012, la Corte d’Appello di Lione ha annullato la sentenza del Tribunal de Grande Instance che aveva condannato nel 2008 Google France per la contraffazione del marchio “Rentabiliweb”, di proprietà della società Rentabiliweb Europe e registrato come parola chiave dalla società Clic-Event nell’ambito del servizio Google AdWords. La Corte, richiamando la giurisprudenza della Corte di Giustizia, ha dichiarato che, benché fornisca un servizio che memorizza su Internet come parola chiave un segno identico ad un marchio ed organizzi la visualizzazione di messaggi pubblicitari sulla base di esso, Google non fa “uso” del il marchio ai sensi dell’articolo 5, paragrafo 1 della direttiva 89/104/CEE. Google infatti si limita a permettere tale uso agli inserzionisti che sono gli unici soggetti che possono essere ritenuti responsabili per l’ eventuale utilizzo illecito del marchio mediante il servizio AdWords.