Il livello di attenzione al tema della privacy da parte di chi ci governa è spaventosamente basso. Sono tanti i segnali a riguardo ma, oggi, vogliamo parlare dell’approccio adottato dall’Ufficio Marchi e Brevetti Italiano.
Chi volesse depositare un marchio utilizzando il servizio telematico ad oggi si troverebbe a fare i conti con la seguente dicitura (enfasi inserite da noi):
Attenzione! Per poter presentare il deposito è obbligatorio dare il consenso al trattamento dei dati.
CONSENSO AL TRATTAMENTO DEI DATI PERSONALI
degli utenti che consultano ed utilizzano il sito web della Direzione Generale per la Tutela della Proprietà Industriale – Ufficio Italiano Brevetti e Marchi (MISE-DGTPI-UIBM) dedicato al Deposito delle domande di titoli in P.I.
– Regolamento (UE) 2016/679 –
Ai sensi del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, autorizzo il Ministero dello Sviluppo Economico – Direzione Generale per la Tutela della Proprietà Industriale – Ufficio Italiano Brevetti e Marchi, al trattamento di tutti i dati personali eventualmente forniti con il presente deposito, ivi compresi quelli riferiti a terze persone. I dati acquisiti saranno trattati dall’Amministrazione esclusivamente nell’esercizio delle proprie funzioni e per lo svolgimento dei propri compiti istituzionali, nelle modalità e per le finalità previste dalla normativa vigente in materia di proprietà industriale.
In particolare, i suddetti dati saranno conservati negli archivi dedicati e utilizzati al solo fine svolgere l’iter di esame della domanda depositata. Gli stessi potranno essere altresì soggetti a pubblicazione nei bollettini ufficiali dedicati e nelle banche dati istituzionali dell’UIBM, nonché trasmessi ai principali organismi europei ed internazionali operanti in materia di proprietà industriale.
Per maggiori informazioni si prega di leggere l’informativa pubblicata in calce alla home page del presente portale.
Dalla lettura di questo disclaimer emergono almeno tre grandi criticità, segno che chi lo ha scritto non ha avuto particolarmente a cuore i principi fondamentali del GDPR.
Indice degli argomenti
Gestione privacy nella PA e consenso obbligatorio
Ora, è ormai noto come una PA non possa fondare il proprio trattamento sul consenso.
Questo assunto è ben specificato nel considerando 43 il quale indica chiaramente che è improbabile che le autorità pubbliche possano basarsi sul consenso per effettuare il trattamento, poiché quando il titolare del trattamento è una PA sussiste un evidente squilibrio di potere nella relazione tra il titolare del trattamento e l’interessato.
Non solo, nella maggior parte dei casi, come quello in esame, il problema non riguarda solo uno squilibrio di potere ma anche la effettiva mancanza di alternative. Se in Italia vuoi proteggere un marchio l’unico modo che hai per farlo è quello di depositarlo presso l’Ufficio Italiano Marchi e Brevetti.
È quindi evidente che il consenso non è libero in quanto non esiste alternativa alcuna: o ti adegui, o ti adegui. Punto. Questo principio, oltre ad essere scritto al considerando 43 è ribadito anche dalle linee guida sul consenso del WP29 (poi European Data Protection Board), non risultando quindi in alcun modo scusabile questa svista della PA in questione.
Consenso per conto terzi
Purtroppo, però, non finisce qui. Il consenso (obbligatorio) non riguarda solo i propri dati ma anche i dati di terzi. L’Ufficio Italiano Brevetti chiede difatti di acconsentire al trattamento di dati di terzi inseriti nel modulo. Ma che valore ha una simile richiesta? La risposta è semplice: nessuno.
Il consenso, salvo casi di incapacità, deve essere rilasciato dall’interessato non risultando possibile chiedere il consenso in nome e per conto di terzi.
Rinvio alla informativa estesa
Come abbiamo visto, il disclaimer si conclude dicendo che, se si vuole, è possibile leggere l’informativa estesa andando sulla home del portale. Questo, per capirci, significa che il compilante deve chiudere la schermata del servizio di deposito, andare nuovamente sulla home e cercare l’informativa estesa.
Un volta trovata, peraltro, ci si accorge facilmente che si tratta di una informativa che dice cose totalmente diverse rispetto a quanto indicato nel banner di cui sopra. Una su tutte la base giuridica che, in questo caso viene correttamente individuata nell’esercizio dei poteri istituzionali dell’Ufficio.
Allora si potrebbe pensare che quello più sopra sia solo un refuso, ma la risposta è no, perché come si legge nelle news rinvenibili nella home dell’Ufficio:
Dal 18/12/2018, per poter utilizzare il portale di deposito è obbligatorio, dopo aver effettuato l’accesso al portale, dare il consenso al trattamento dei dati secondo il GDPR (Regolamento UE 2016/679) e del Decreto Legislativo 30 giugno 2003, n. 196.Se non viene visualizzato il tasto “Conferma” per autorizzare il trattamento dei dati o non è funzionante bisogna eseguire dalle impostazioni del Browser la cancellazione della cache, i file temporanei di rete ed effettuare gli eventuali aggiornamenti del Browser (Google Crome o Mozilla Firefox).Successivamente accedendo al portale si potrà autorizzare correttamente la nuova privacy.
È quindi evidente che esistono due versioni dell’informativa privacy, che una di queste (quella che impone il consenso) è inserita in forma breve nel sistema di deposito rendendo peraltro obbligatorio il rilascio del consenso impedendo, in difetto, di proseguire oltre.
Ma il problema non è solo l’esistenza di due informative del tutto agli antipodi tra loro; il problema è costituito anche dal rinvio, per chi volesse leggere l’informativa, ad un’altra pagina, non direttamente raggiungibile e non collegata con link.
A tal proposito le linee guida sulla trasparenza del WP29 hanno precisato che “L’elemento della “facile accessibilità” implica che l’interessato non sia costretto a cercare le informazioni, ma che anzi gli sia immediatamente chiaro dove e come queste siano accessibili, ad esempio perché gli sono fornite direttamente”.
Gestione privacy nella PA: bisogna cambiare approccio
Insomma, ancora una volta è evidente l’approccio quantomeno approssimativo della PA nei confronti del tema privacy e sicurezza del dato. Il caso dell’Ufficio Marchi e Brevetti si aggiunge quindi al caso del Ministero dell’Istruzione che propone piattaforme non compliant con la decisione Schrems II, al caso di data breach subiti in sede di click day dai vari istituti erogatori di privilegi, al crash nei primi giorni di funzionamento del sistema cashback e via dicendo.
In uno scenario così fa riflettere il divario tra il pubblico e privato ove mentre al primo nulla viene detto, pur trattando dati anche molto sensibili, spesso pecca anche di requisiti minimi, al secondo viene insinuato il terrore del rispetto del GDPR con elevato rischio sanzioni anche se, nella maggior parte delle volte, tratta dati quantomeno già pubblicati su internet e sui vari social network.
La soluzione potrebbe essere quella di scegliere in modo più accurato i DPO e di ascoltare davvero le loro istanze, in modo da evitare situazioni simili a quelle sin qui descritte.
