Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Diritto per il marketing - Bocconi, Dispense di Diritto

Riassunto del libro e lezioni in aula

Tipologia: Dispense

2021/2022

Caricato il 23/12/2022

elena-ginepro
elena-ginepro 🇮🇹

1 documento

1 / 16

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
DIRITTO PER IL MARKETING
Le norme giuridiche individuano i limiti e le linee di sviluppo dell’attività di marketing:
identificano cioè sia i comportamenti che potrebbero esporre le imprese a forme di
reprimenda e sanzione sia le opportunità che potrebbero consentire alle imprese di
realizzare nuove forme di commercio e guadagno.
DATI PERSONALI
Che cos’è la privacy?
Il diritto di essere «lasciati in pace» (Warren and Brandeis, 1890).
La protezione contro pubblicità, appropriazione di nome o immagine, falsa
informazione o intrusione non desiderate (Prosser, 1960).
Un aspetto dei diritti umani (Bloustein, 1964).
Il controllo dell’individuo sui propri dati personali (Westin, 1967).
La capacità dell’individuo di controllare la raccolta e l’utilizzo dei dati personali
(Stigler, 1980).
Il diritto dell’individuo di controllare interamente le proprie sfere fisiche, mentali o
digitali (Sweeney, 2002).
Cosa sono i dati personali?
L’identità personale e la rappresentazione sociale dell’individuo si dilatano per includere
anche la dimensione delle sue attività svolte online. L’individuo proietta la propria identità
nel mondo digitale attraverso i dati che egli stesso lascia ogni giorno.
La raccolta dei dati personali online rappresenta un prezioso strumento per le strategie di
marketing aziendale, in cui è fondamentale la comprensione dei bisogni dei consumatori
per identificare la situazione presente e gli sviluppi futuri del mercato.
I dati personali costituiscono:
- per le imprese: fonti di informazione per analisi delle scelte di consumo la
raccolta ed elaborazione dei dati finalizzata alla profilazione consente la fornitura di
prodotti e pubblicità personalizzati.
- per l’individuo: frammenti di personalità può menomare l’individuo nella sua
identità e nell’effettiva libertà di esprimere il prorpio pensiero, il proprio modo di
essere e le proprie scelte.
Dati personali: informazioni che identificano o rendono identificabile una persona
fisica e che possono fornire dettagli su:
le sue caratteristiche
le sue abitudini
il suo stile di vita
le sue relazioni personali
il suo stato di salute
la sua situazione economica.4
Tradizionali esempi di dati personali
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff

Anteprima parziale del testo

Scarica Diritto per il marketing - Bocconi e più Dispense in PDF di Diritto solo su Docsity!

DIRITTO PER IL MARKETING

Le norme giuridiche individuano i limiti e le linee di sviluppo dell’attività di marketing: identificano cioè sia i comportamenti che potrebbero esporre le imprese a forme di reprimenda e sanzione sia le opportunità che potrebbero consentire alle imprese di realizzare nuove forme di commercio e guadagno. DATI PERSONALI Che cos’è la privacy?

  • Il diritto di essere «lasciati in pace» (Warren and Brandeis, 1890).
  • La protezione contro pubblicità, appropriazione di nome o immagine, falsa informazione o intrusione non desiderate (Prosser, 1960).
  • Un aspetto dei diritti umani (Bloustein, 1964).
  • Il controllo dell’individuo sui propri dati personali (Westin, 1967).
  • La capacità dell’individuo di controllare la raccolta e l’utilizzo dei dati personali (Stigler, 1980).
  • Il diritto dell’individuo di controllare interamente le proprie sfere fisiche, mentali o digitali (Sweeney, 2002). Cosa sono i dati personali? L’identità personale e la rappresentazione sociale dell’individuo si dilatano per includere anche la dimensione delle sue attività svolte online. L’individuo proietta la propria identità nel mondo digitale attraverso i dati che egli stesso lascia ogni giorno. La raccolta dei dati personali online rappresenta un prezioso strumento per le strategie di marketing aziendale, in cui è fondamentale la comprensione dei bisogni dei consumatori per identificare la situazione presente e gli sviluppi futuri del mercato. I dati personali costituiscono:
  • per le imprese: fonti di informazione per analisi delle scelte di consumo  la raccolta ed elaborazione dei dati finalizzata alla profilazione consente la fornitura di prodotti e pubblicità personalizzati.
  • per l’individuo: frammenti di personalità  può menomare l’individuo nella sua identità e nell’effettiva libertà di esprimere il prorpio pensiero, il proprio modo di essere e le proprie scelte. Dati personali : informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli su:  le sue caratteristiche  le sue abitudini  il suo stile di vita  le sue relazioni personali  il suo stato di salute  la sua situazione economica. Tradizionali esempi di dati personali

Particolarmente importanti sono:

  • i dati identificativi: quelli che permettono l' identificazione diretta , come i dati anagrafici (p.e.: nome e cognome), le immagini, ecc.;
  • i dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
  • i dati giudiziari: quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato. Recenti esempi di dati personali Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come:
  • i dati di localizzazione: quelli che forniscono informazioni sui luoghi frequentati e sugli spostamenti
  • i dati biometrici: come le impronte digitali, la topografia della mano o le caratteristiche della firma autografa
  • i dati online: come l’indirizzo IP e i cookie
  • gli indirizzi email: p.e. viola la privacy chi li utilizza per l’invio generalizzato di email (c.d. spamming ), senza il consenso degli Interessati, anche se reperiti in rete.
  • Indirizzo IP: E' un numero univoco in tutto il mondo che identifica ogni computer collegato a Internet: al momento del collegamento, tramite modem, con un provider, questi assegna al chiamante automaticamente un indirizzo IP valido.
  • Cookie: File di informazioni che i siti web memorizzano sul computer dell'utente di Internet durante la navigazione. Tale memorizzazione permette di:
  • realizzare meccanismi di autenticazione , usati ad esempio per i login;
  • memorizzare dati utili alla sessione di navigazione, come le preferenze sull'aspetto grafico o linguistico del sito
  • associare dati memorizzati dal server , ad esempio il contenuto del carrello di un negozio elettronico
  • tracciare la navigazione dell'utente, ad esempio per fini statistici o pubblicitari.
  • Dati biometrici (art. 4, par. 1, n. 14, GDPR): “ i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici ”. Perché li vogliamo proteggere?
  • Il problema della privacy non è nuovo, ma nuova è la capacità di raccogliere, manipolare, analizzare una massa di dati personali in tempo reale senza intervento umano. Esempio: le profilature di Google e di Meta.
  • Lo sviluppo tecnologico è un potente fattore incidente sulla privacy: la raccolta e l’analisi dei dati personali può menomare l’individuo nella sua identità e della

Come proteggiamo i dati personali nell’UE? Dalla Direttiva 95/46 siamo passati al Regolamento 2016/279 che prevede un corpus unico di norme di protezione dei dati valido per tutta l’UE. Direttiva Regolamento Atto legislativo comunitario che deve essere recepito dai singoli paesi dell’EU. Atto legislativo comunitario immediatamente applicabile in tutti i suoi elementi nell’intera UE. Nuovo Regolamento UE 2016/

  • Il Regolamento 2016/279 in materia di protezione dei dati personali ( GDPR - General Data Protection Regulation ) è entrato in vigore il 24 maggio 2016; è operativo nei paesi membri dal 25 maggio 2018.
  • Sostituisce la precedente Direttiva 95/46;
  • Diretta applicabilità del Regolamento nei paesi membri;
  • Si presenta come una normativa unica per tutta la UE;
  • Maggiore armonizzazione delle regole in materia di protezione dei dati personali.  possibili integrazioni a livello di Stati Membri, ma sotto soltanto per adeguare il quadro normativo nazionale alle disposizioni del Regolamento. Linguaggio tecnico della normativa
  1. Cosa sono i dati personali?
  2. Cosa sono i dati sensibili?
  3. Cosa è un trattamento (di dati personali)?
  4. Chi è l’interessato?
  5. Chi è il titolare?
  6. Chi è il responsabile?
  7. Chi è il rappresentante? Dati personali
  • I dati personali (DP) sono informazioni relative ad una persona fisica , identificata o identificabile, anche indirettamente, proprio mediante il riferimento a quei dati.
  • Sono informazioni che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc. Dati sensibili
  • I dati sensibili (DS) sono quei dati personali che riguardano la sfera più intima dell’individuo e, pertanto, necessitano di una speciale protezione.
  • In particolare, sono quelli idonei a rivelare: o l’origine razziale ed etnica; o le convinzioni religiose, filosofiche o di altro genere; o le opinioni politiche; o l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale; o lo stato di salute e la vita sessuale. Trattamento
  • È ogni operazione compiuta - manualmente o con strumenti elettronici – sui dati personali di un individuo.
  • Ad esempio: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione
  • I soggetti che procedono al trattamento dei dati personali altrui devono adottare particolari misure per garantire il corretto e sicuro utilizzo dei dati. Le parti in giocoInteressato: è la persona fisica cui si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l’indirizzo, il codice fiscale, ecc. di Pinca Pallina, questa persona è l’Interessato.  Titolare: è la persona fisica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., cui spettano le decisioni sugli scopi e sulle modalità del trattamento , oltre che sugli strumenti utilizzati (titolare dei diritti di sfruttamento per effetto del consenso).  Responsabile: è la persona fisica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che tratta dati personali per conto del Titolare del trattamento.  Rappresentante: è la persona fisica o giuridica stabilita nell’UE che rappresenta il Titolare e/o il Responsabile stabiliti in un paese non appartenente all’UE ma sottoposti agli obblighi del Regolamento. Che cosa cambia con il GDPR?
  • Estensione del campo di applicazione territoriale della normativa privacy UE
  • Novità per la liceità del trattamento
  • Maggiori diritti per gli Interessati
  • Accountability : maggiori oneri e responsabilità gestionali per le imprese che trattano i dati
  • Maggiori poteri alle Autorità di controllo

Cosa cambia:

  • DEVE essere revocabile , con la stessa facilità con cui è stato fornito;
  • DEVE essere inequivocabile. Esempio: l'inerzia non può costituire manifestazione di consenso.
  • DEVE essere esplicito per: o dati sensibili o decisioni basate su trattamenti automatizzati (compresa la profilazione).
  • DEVE essere dimostrabile (non è richiesta la forma scritta, anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere «espresso»)
  • Il consenso dei minori è valido a partire dai 16 anni ; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. Consenso inequivocabile vs Consenso esplicito CI = atto positivo inequivocabile (esclude il silenzio, l’inattività o la preselezione di caselle) Non è necessario che sia esplicito ma può anche essere implicito (ma non tacito), purché, nel momento in cui sia desunto dalle circostanze, non sussista alcun dubbio che col proprio comportamento l'interessato abbia voluto comunicare il proprio consenso. Esempio: l'inerzia non può costituire manifestazione di consenso, come anche i form precompilati e caselle già prespuntate. Cioè deve prevedere una chiara azione positiva (come spuntare una casella od inserire la mail in un campo dove è specificata la finalità per la quale sarà usato il dato). In base al Considerando 32: " il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso ". Esempio – Libero _- Un proprietario terriero necessita di alcuni permessi tanto dal comune quanto dalla regione.
  • Entrambi gli enti pubblici richiedono le stesse informazioni per il rilascio dei permessi, ma non hanno accesso alle rispettive banche dati. Di conseguenza entrambi chiedono le stesse informazioni e il proprietario terriero invia i dati ad entrambi._

- Il comune e la regione chiedono il consenso dell’interessato per riunire i fascicoli al _fine di evitare duplicazioni di procedure e corrispondenza.

  • Entrambi gli enti pubblici sostengono che ciò è obbligatorio per le richieste di_ _permesso.
  • Il consenso è libero? No._ Esempio – Specifico _- Un rivenditore chiede ai propri clienti il consenso a utilizzare i loro dati per:
  1. inviare comunicazioni di marketing tramite posta elettronica;
  2. condividere i dati con altre società del gruppo.
  • E’ specifico? No._ Esempio – Informato _- Una startup effettua un trattamento di dati basandosi sul presupposto del consenso.
  • La startup utilizza un’informativa sulla protezione dei dati a più livelli che include tutti i dettagli del Titolare del trattamento e alcune attività di trattamento dei dati che prevede di compiere nel corso dell’attività di impresa.
  • Il consenso è informato? No._ Esempio – Inequivocabile _- Durante l’installazione di un software, l’applicazione richiede all’interessato di acconsentire a utilizzare segnalazioni di arresto anomalo non anonimizzate per migliorare il software.
  • L’applicazione chiede di esprimere il consenso facendo scorrere le pagine del processo di istallazione.
  • Il consenso è inequivocabile? No._ Il contratto
  • E’ sufficiente il contratto (e non serve il consenso) quando il trattamento dei dati è legato ad un’attività essenziale per il suo adempimento. Esempio: per gestire l’utenza in un contratto di fornitura di gas o di elettricità.
  • Non è sufficiente il contratto (e serve il consenso) se i dati raccolti sono utilizzati per altre finalità. Esempio: l’azienda che offre la fornitura vuole pubblicizzare altri suoi servizi. Alcuni diritti degli interessati
  1. Diritto d’accesso
  2. Diritto di rettifica
  3. Diritto alla cancellazione (d. all’oblio)
  4. Diritto alla portabilità dei dati
  5. Diritti su processi decisionali automatizzati. Vi sono restrizioni all’esercizio di questi diritti. Esempio: sicurezza nazionale, difesa, prevenzioni e repressione reati, sicurezza pubblica. Diritto di accesso
  • Il Titolare deve informare l’Interessato dell’esistenza di tale diritto , spiegando nel contempo quali dati sono soggetti alla portabilità
  • I dati possono non essere forniti se ciò lede diritti del Titolare o di terzi, p.e. se la fornitura lede i diritti di proprietà intellettuale del Titolare oppure espone segreti commerciali
  • E’ previsto, soprattutto, al fine di garantire il trasferimento dei propri dati da un servizio online ad un altro, così assicurando da un lato un maggiore controllo sui propri dati da parte degli individui, e dall’altro una maggiore concorrenza tra aziende e quindi promuovendo l’innovazione e lo sviluppo di nuovi servizi. Diritto su processi decisionali automatizzati
  • Oggetto del diritto sono quei trattamenti (compresa la profilazione ma non solo questa) finalizzati a produrre decisioni interamente automatizzate con effetti giuridici sulle persone o conseguenze significative sulla loro vita.
  • I trattamenti automatizzati assumono nel mondo dei Big Data , della AI , del Machine Learning e della IoT una dimensione nuova e assolutamente centrale.
  • Esempio: un procedimento automatizzato in materia sanitaria che decida senza intervento umano tra quanti mesi un paziente può essere operato; o a un trattamento completamente automatizzato che valuti il diritto di un cittadino a ottenere un passaporto o a iscriversi a un corso universitario, magari a numero chiuso.
  • L’Interessato ha sempre il diritto di non essere sottoposto a una decisione basata unicamente sulla automazione , salvo: o quando il trattamento sia necessario per la conclusione o l’esecuzione di un contratto o quando sia richiesto da leggi dell’UE o di uno Stato Membro , come già prevedeva la Direttiva; o quando il trattamento si basi sul consenso esplicito (e cioè fondato su una informativa specifica e dettagliata) dell’Interessato.
  • Il divieto è assoluto rispetto ai dati sensibili , salvo: o che essi siano stati resi pubblici dall’Interessato; o vi sia un interesse pubblico rilevante dell’UE o degli Stati. Accountability Una grande novità del GDPR: non più mera conformità alle regole ma maggior responsabilizzazione (accountability) del Titolare  maggiori oneri per le imprese sotto il profilo sostanziale. (il Titolare deve mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità al Regolamento) Accountability - (DPIA, PbD, Codici di condotta) Ciò impone al Titolare di valutare una serie di elementi tra cui la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi aventi probabilità e

gravità diverse per i diritti e le libertà delle persone fisiche ( DPIA, Data Protection Impact Assessement) Ciò consente individuare le misure da adottare per meglio garantire sicurezza e privacy:

  • la definizione di standard di programmazione che consentano di implementare applicazioni esenti da vulnerabilità dovute a tecniche di programmazione non sicure ( PbD, privacy-by-design );
  • adesione a codici di condotta stabiliti da enti di certificazione. Il principio della Privacy by Design è stato introdotto dal Regolamento. Esso richiede ai Titolari un approccio alla protezione dei dati personali proattivo e non più reattivo, rendendo necessario prevedere modalità operative, configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l’integrità e la disponibilità dei dati personali “by default”, ovvero nel momento in cui essi “entrano” nell’organizzazione. Accountability (Autorità di controllo)
  • La conformità alla legge dei trattamenti e la prescrizione delle misure da adottare compete alle Autorità di Controllo
  • Ogni Stato dell’UE ha la sua Autorità di controllo
  • Tradizionalmente, le autorità di controllo hanno il potere di: o […] esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli Interessati; o vietare i trattamenti illeciti o non corretti; o promuovere la sottoscrizione di codici di condotta
  • Con il GDPR , hanno anche il potere di: o […] o effettuare controlli sulle DPIA; o irrogare sanzioni. Autorità di controllo Il GDPR ha introdotto importanti novità sul coordinamento delle Autorità di controllo nazionali:
  • Introduce il principio dello sportello unico ( one stop shop ): Se un’azienda ha più sedi nell’UE, o se il trattamento incide su individui presenti in più di uno Stato membro, ora si interfaccia con una sola Autorità , quella del paese dove ha la sede principale, piuttosto che con le Autorità di 27 Stati europei;
  • Pertanto, introduce la nozione di Autorità di controllo capofila ( Leading Authority ) : All’Autorità dello stabilimento principale viene trasferita la competenza da tutte le altre Autorità di controllo (definite «Autorità interessate») per quanto riguarda i «trattamenti transfrontalieri» di DP svolti da quell’azienda.
  • Prevede un meccanismo di coerenza gestito dal Comitato europeo per la protezione dei dati che uniforma l’interpretazione e l’applicazione del Regolamento in tutti i Paesi dell’UE.

Norme vincolanti di impresa

  • E’ uno strumento volto a consentire il trasferimento verso paesi extra UE tra società facenti parte dello stesso gruppo d'impresa;
  • Consistono in una serie di clausole contrattuali che dettano principi vincolanti per tutte le società facenti parte del gruppo, in linea con il GDPR e che assicurano un livello di protezione adeguato;
  • Le BCR devono essere esaminate e approvate dall’Autorità di controllo capofila o nazionale. Decisioni di adeguatezza
  • In assenza di SCC e BCR, il trasferimento in paesi extra UE è ammissibile se nel paese di destinazione è garantito un livello di protezione dei dati adeguato a quello europeo ;
  • Per valutare l’adeguatezza occorre esaminare diversi aspetti del trattamento: p.e. la natura dei dati, la finalità del trattamento, la possibilità che tali dati transitino in altri paesi prima di giungere alla destinazione, le norme di diritto anche settoriali, le misure di sicurezza osservate;
  • Il requisito dell’adeguatezza, anziché quello dell’equivalenza, consente l’utilizzo di diverse vie per garantire la protezione dei dati (p.e. accordi internazionali per il trasferimento dei DP). UE – Stati Uniti
  • Un esempio di accordo internazionale sul libero trasferimento, a fini commerciali, è quello tra l’UE e gli Stati Uniti;
  • Nell’anno 2000 i due paesi hanno concluso un primo accordo (cd Safe Harbour) per consentire e regolare il trasferimento dei dati di cittadini europei verso gli Stati Uniti;
  • Nell’ottobre 2015 la Corte di giustizia dell’UE nel caso Schrems I ha dichiarato invalido il Safe Harbour;
  • Nel luglio 2016 la Commissione europea ha adottato una decisione in merito al cosiddetto Privacy Shield, il nuovo accordo che regolamenta il trasferimento di dati tra UE e USA;
  • Nel luglio 2020 la corte di giustizia dell’UE nel caso Schrems II ha dichiarato invalido il Privacy Shield. Il caso Schrems  Nel 2008 uno studente austriaco ed attivista in materia di protezione dei dati personali, Max Schrems , effettuava l’iscrizione al noto social network Facebook, di proprietà e gestione dell’omonima società, Facebook Inc., con sede principale a Palo Alto, California.  All’atto dell’iscrizione, Schrems rilevava come fosse necessario sottoscrivere un contratto con Facebook Ireland , ovvero una controllata di Facebook Inc., sita in territorio irlandese;  In questo atto di iscrizione veniva specificato che i dati degli utenti europei venivano ubicati sui server di Facebook Inc. in California;  Pertanto veniva a verificarsi di fatto un trasferimento di dati dal territorio dell’UE a quello statunitense. Il caso Schrems I
  • Nel giugno del 2013, Schrems, anche muovendo dalle rivelazioni di Edward Snowden sulle violazioni al diritto alla riservatezza da parte della National Security Agency americana, si rivolgeva all’ Autorità di controllo Irlandese invitandola ad agire nei confronti di Facebook per la sua politica di trattamento dei dati.
  • Si decideva di sospendere il procedimento e sottoponeva il caso all’attenzione della Corte di Giustizia dell’Unione Europea.
  • Nell’ottobre 2015, accogliendo il ricorso di Max Schrems, la cosidetta sentenza “Schrems I” della Corte UE decretava sostanzialmente l’illegittimità del Safe Harbour ritenendolo non sufficiente per la protezione dei dati dei cittadini UE.
  • Nel 2016, UE e USA stringevano un nuovo accordo sul trattamento dei dati, il cd Privacy Shield.
  • Il nuovo accordo:
    • avrebbe dovuto fornire un livello di protezione per i dati europei negli USA almeno equivalente a quella fornita nell’UE;
    • richiedeva che le aziende americane, una volta venute in possesso dei dati di una persona europea, dovessero presentare un’ autocertificazione in cui si assicurava il trattamento dei dati in conformità a quanto previsto dal GDPR. Dal Safe Harbour al Privacy Shield Il Privacy Shield introduce una serie di novità significative:
  • obblighi più severi per le imprese che operano negli Stati Uniti e trattano DP di cittadini europei;
  • controlli e sanzioni da parte del Dipartimento del Commercio USA (FTC – Federal Trade Commission);
  • divieto di sorveglianza indiscriminata di massa da parte delle autorità pubbliche sui dati personali trasferiti negli Stati Uniti;
  • la creazione del US Privacy Shield Ombudsman , un organismo esterno di mediazione per l’accertamento dei diritti degli Interessati europei. Introduce forti limitazioni ai poteri di controllo del Governo degli Stati Uniti. L’accesso delle Autorità Pubbliche ai dati, per motivi di legge o sicurezza nazionale, sarà soggetto a chiare limitazioni, garanzie e meccanismi di sorveglianza. La raccolta di dati in blocco sarà possibile solo in presenza di determinati presupposti. Il regolare funzionamento del regime sarà garantito da una revisione congiunta annuale, condotta dalla Commissione Europea di concerto con il Dipartimento del Commercio degli Stati Uniti, con la partecipazione dei maggiori esperti di intelligence degli Stati Uniti e delle Autorità di controllo dei dati europee. Il caso Schrems II
  • A seguito del Privacy Shield, Schrems rilevava comunque la sussistenza dell’obbligo per Facebook Inc (USA) di rendere disponibili alle autorità statunitensi i dati in proprio possesso per le attività di intelligence.
  • Anche in questo caso, la richiesta di Schrems era di proibire il trasferimento dei suoi dati verso gli USA, e anche in questo caso è dovuta intervenire la Corte di Giustizia UE.
  • Nel luglio 2020, la Corte UE ha dichiarato l’invalidità del Privacy Shield in quanto non conforme ai principi del GDPR. In sintesi:
  • i poteri autoritativi riconosciuti alle pubbliche autorità americane erano considerati ancora eccessivi;
  • l’approccio del GDPR basato sul rischio e la responsabilizzazione delle imprese hanno contribuito a un ripensamento dei modelli aziendali;

I MARCHI IN INTERNET

Marchi e nomi a dominio Con l’avvento di internet, la tutela dei marchi è stata sfidata molte volte, in particolare per quanto concerne:

  • Può B registrare il marchio di A come proprio domain name?
  • Può B usare il marchio di A quale metatag?
  • Può B usare il marchio di A link ipertestuale? Cosa sono i domain names? Un Domain Name traduce in termini i cosiddetti indirizzi IP, cioè, quelle stringhe di numeri, che i computer possono leggere per allocare i siti all’interno di Internet. La nostra esperienza suggerisce che, i domain names hanno anche un’altra funzione: oltre ad essere indirizzi, sono segni distintivi, ossia servono a caratterizzare (identificare), uno specifico sito internet, rendendolo riconoscibile da parte dei consumatori La seconda funzione, in particolare, si concentra soprattutto nella “parte centrale” del domain name ... Esempio: www.unibocconi.it www.nike.com La registrazione
  1. Chi concede un domain name? Un’autorità internazionale, detta Internet Corporation for Assigned Names and Numbers (ICANN), che autorizza le registrazioni dei domain names, registra e può riassegnare I domain names.
  2. Chi è autorizzato a registrare un domain name? Chiunque ... ma chi registra come domain name il marchio altrui può essere un contraffattore in base alla legge applicabile In tal caso, il titolare del marchio può avviare un’azione di contraffazione e ottenere i rimedi generalmente riconosciuti ... in particolare, anche rimedi contro l’ICANN e l’Internet Provider.