News

Sono in vigore dal 26 maggio le norme che attribuiscono all’Autorità Garante della Concorrenza e del Mercato (AGCM) nuove competenze in materia di geoblocking ai sensi del Regolamento (UE) 2018/302.

Il Regolamento ha introdotto norme direttamente applicabili in tutti i Paesi UE volte ad impedire “i blocchi geografici ingiustificati e altre forme di discriminazione basate, direttamente o indirettamente, sulla nazionalità, sul luogo di residenza o sul luogo di stabilimento dei clienti”. L'art. 7, par. 1 affida agli Stati membri il compito di designare uno o più organismi responsabili della sua adeguata ed efficace applicazione.

Ai sensi di quest’ultima disposizione, l’art. 6 della L. 37/2019 (“legge europea 2018”) ha introdotto il nuovo comma 9-bis dell’art. 144-bis del Codice del consumo.

È giunto alla fase conclusiva l’iter di approvazione, da parte del Parlamento europeo e del Consiglio, delle disposizioni di revisione, mediante rifusione, della Direttiva 2003/98/CE relativa al riutilizzo dell’informazione del settore pubblico («Public Sector Information», da cui l’acronimo PSI). Già oggetto di aggiornamento nel 2013, la Direttiva PSI è stata varata dieci anni prima allo scopo di fissare regole minime armonizzate che gli enti pubblici nazionali devono applicare, al fine di consentire il riutilizzo dei documenti in loro possesso da parte delle persone fisiche o giuridiche che ne facciano richiesta per fini commerciali o non commerciali.

Nell’ipotesi di uscita dall’Unione europea in assenza di un accordo (c.d. No-Deal Brexit), il Regno Unito diverrà a tutti gli effetti un Paese Terzo a decorrere dalle ore 00:00 CET del 30 marzo 2019. In previsione di tale scenario, il Comitato Europeo per la Protezione dei Dati (European Data Protection Board, EDPB) ha pubblicato le linee guida a cui devono attenersi i titolari ed i responsabili dei trattamenti che intendano trasferire dati personali nel Regno Unito in conformità al Regolamento (UE) 2016/679 GDPR.

By decision published on 7 December, the Italian Competition and Consumer Authority (AGCM) fined Facebook Inc. and its EU subsidiary Facebook Ireland Ltd. for a total administrative sanction of 10 million euros for two unfair commercial practices against the 31 million Italian FB users, in breach of the Italian Consumer Code (Legislative Decree 206/2005). The proceeding, which focused on two ongoing practices started in 2008, was initiated last April following several complaints of the consumer associations Altroconsumo, Movimento Difesa del Cittadino and Unione Nazionale Consumatori.

Ciascuno Stato membro dell’UE può considerare i servizi di pagamento mobile come «servizi economici di interesse generale» (SIEG), assoggettandoli a specifici obblighi di servizio pubblico. Ad affermarlo è la Corte di giustizia dell’Unione europea nella sentenza del 7 novembre 2018, Commissione v Ungheria (C-171/17).

Qualificare i servizi come SIEG genera rilevanti conseguenze: in presenza di determinati presupposti, infatti, i SIEG possono essere esentati dall’applicazione delle regole di concorrenza e libera circolazione previste dal TFUE e dalla Direttiva Bolkenstein 2006/123/CE.

L’8 ottobre il Garante per la Protezione dei Dati Personali ha pubblicato i propri chiarimenti in merito all’obbligo di tenuta del registro delle attività di trattamento da parte di imprese ed organizzazioni con meno di 250 dipendenti.

In generale, ai sensi dell’art. 30 GDPR, “[o]gni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. Il GDPR prevede una deroga, al suddetto obbligo, in favore delle imprese o organizzazioni con meno di 250 dipendenti.

Con provvedimento del 26 luglio 2018, il Garante per la protezione dei dati personali ha ingiunto a Fastweb di pagare una sanzione di 600.000 euro per pratiche di marketing – in specie tramite telefono – contrarie all’art. 164-bis del Codice della Privacy (D.lgs. 196/2003). Il Garante ha contestato a Fastweb cinque violazioni:

1. violazioni dell’art. 23 e dell’art. 130, co. 3 del Codice per l’accertata mancanza del consenso degli interessati (prospect ed ex-clienti Fastweb) rispetto al trattamento dei dati personali per finalità di marketing;
2. violazione dell’art. 13 del Codice per la carente informativa fornita agli interessati, al momento del perfezionamento della proposta d’acquisto, con particolare riferimento alla profilazione a cui sarebbero stati sottoposti (i prospect ed ex-clienti venivano suddivisi in categorie “anziani”, “basso spendenti”, “alto spendenti”);
3. violazione dell’art. 23 del Codice per la mancata acquisizione di un distinto consenso marketing ai fini della profilazione degli interessati;
4. violazione dell’art. 37 del Codice per l’incompleta notificazione al Garante dei dati oggetto di profilazione;
5. violazione dell’art. 164-bis, co. 2 del Codice per aver posto in essere le violazioni a), b), c), e d) in relazione a “banche dati di particolare rilevanza e dimensioni”.

La raccolta, la registrazione, la conservazione e, in generale, l’utilizzo di immagini di persone fisiche identificate o identificabili configura un trattamento di dati personali ai sensi dall’art. 4, par. 1 n. 1 del Regolamento dell’Unione europea n. 2016/679 General Data Protection Regulation (GDPR) e dell’art. 4, comma 1, lett. b) del Decreto Legislativo n. 196/2003 (Codice della Privacy). Per conformarsi alla normativa a tutela dei dati personali, gli impianti di videosorveglianza devono essere installati in conformità all’art. 4 dello Statuto dei lavoratori, il cui rispetto costituisce il presupposto di liceità del trattamento dei dati acquisiti mediante tali impianti.

Il gestore di un sito web può rifiutare di fornire un servizio all’utente che neghi il consenso a ricevere messaggi promozionali, a condizione che l’utente possa fruire di valide alternative disponibili sul mercato "senza gravoso sacrificio". Ad affermarlo è la Cassazione Civile che, nella sentenza n. 17278/2018, chiarisce altresì che – ai sensi del Codice privacy e del Regolamento (UE) 2016/679 – ad essere vietato “è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli”.

La pronuncia sorge dal ricorso presentato da un operatore web nei confronti del provvedimento n. 427/2014, con il quale il Garante per la protezione dei dati personali aveva accertato l’illiceità delle modalità di raccolta del consenso per finalità di marketing in sede di iscrizione ad una newsletter di contenuto informativo.

On 21 March the Italian Government passed a preliminary proposal for a legislative decree aimed at updating the national legal framework in accordance with the GDPR (Regulation (EU) 2016/679). In force since 2016, the GDPR will become binding in its entirety and directly applicable in all Member States from 25 May 2018. By this deadline, Member States are requested to adopt “complementary” national provisions ensuring the consistency of the internal legal systems with the new EU rules.