13 aprile 2023 • 16 minuti di lettura

Innovazione e diritto: le novità della settimana

Podcast

Come i dati sintetici possono risolvere i problemi legali IP e privacy dell’intelligenza artificiale

L’intelligenza artificiale è sotto attacco per i potenziali problemi legali legati alla violazione dei diritti di proprietà intellettuale e delle leggi sulla privacy. In questo contesto, le tecnologie di intelligenza artificiale generativa si stanno rivolgendo a dati sintetici come porto per minimizzare le sfide.

In questo episodio di Diritto al Digitale Giulio Coraggio ne discute con Aldo Lamberti, fondatore e CEO di Syntheticus, azienda specializzata nella generazione di dati sintetici. L’episodio del podcast è disponibile qui.

Data Protection & Cybersecurity

Obblighi di notifica in caso di data breach: pubblicata la versione 2.0 delle Linee Guida dell’EDPB 09/2022

Il 28 marzo 2023 l’European Data Protection Board (EDPB) ha adottato la versione 2.0 delle Linee Guida 09/2022 sugli obblighi di notifica in caso di data breach.

Tali Linee Guida fanno chiarezza sugli obblighi di notifica che sussistono rispetto alle autorità garanti e agli interessati nel caso in cui si verifichi una violazione dei dati personali (il c.d. data breach). Le Linee Guida modificano il contenuto della versione 1.0 del 10 ottobre 2022 e sono state oggetto di pubblica consultazione preventiva.

Nel Regolamento (UE) 2016/679 è previsto che in caso di data breach il titolare del trattamento sia tenuto a notificare la violazione all’autorità garante competente senza ingiustificato ritardo e ove possibile non oltre le 72 ore dal momento in cui è venuto a conoscenza della stessa. Inoltre, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a comunicare quanto accaduto all'interessato senza ingiustificato ritardo.

Il corretto adempimento degli obblighi sopra descritti è fondamentale per la protezione i diritti degli interessati e il mancato rispetto è sanzionato a norma dell’art. 83 GDPR. Per questo motivo, come ha dichiarato l’EDPB le Linee Guida hanno l’obiettivo di fornire ulteriori chiarimenti e numerosi esempi pratici circa il comportamento da tenere in queste circostanze.

Confermando l’orientamento adottato nella versione 1.0, l’EDPB ha chiarito che in caso di data breach il titolare del trattamento ha il compito di svolgere una valutazione del rischio e stimare caso per caso se sia necessario effettuare la notifica. Infatti, se risulta improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche la segnalazione non è richiesta. È, invece, più alta la soglia di pericolo richiesta per rendere necessaria la comunicazione agli interessati: tale avviene allo scopo di fornire informazioni specifiche sulle misure da adottare per proteggersi dalla violazione.

Secondo l’EDPB sussistono rischi quando il data breach può causare un danno fisico, materiale o immateriale per gli interessati. Nell’effettuare questa valutazione devono essere tenute presenti anche tutte le possibili conseguenze secondarie della violazione, i cui effetti potrebbero essere comunque significativi per gli individui.

All’esito dell’accertamento, l’obbligo di notifica scatta nel momento in cui il titolare diventa "consapevole" del data breach. Questo momento dipende dalle circostanze specifiche della violazione. Le stesse circostanze possono rendere necessarie ulteriori indagini e notificazioni follow up all’autorità.

La nuova versione delle Linee Guida ha in particolare aggiornato il contenuto del paragrafo 73, che disciplina gli obblighi di notifica all’autorità garante nel caso in cui il data breach si verifichi in stabilimenti extra-UE. In base a quanto previsto dal regolamento privacy europeo, se il titolare del trattamento che non stabilito in Unione è comunque soggetto all’applicazione del GDPR, deve procedere alla nomina di un rappresentante all’interno di uno degli stati membri. Il paragrafo 73 come modificato è volto ad impedire la pratica dell’one-stop-shop indicando che in tal caso il paese dove si trova il rappresentante non può essere considerato quello della leading authority ai fini del principio del one-stop-shop. Ne consegue che una notifica di data breach sarà necessaria a tutte le autorità dei paesi in cui sono basati gli individui impattati.

Significativo è il commento di alcuni soggetti che hanno partecipato alla consultazione sulle nuove Linee Guida secondo cui la modifica rispetto alla precedente versione:

ha aumentato i costi per i titolari del trattamento, demotivando le aziende a nominare un rappresentante e riducendo il numero di aziende straniere interessate a dirigere l'attività verso gli Stati membri con mercati più piccoli;
crea un onere amministrativo aggiuntivo per le autorità di controllo, allungando i tempi di risposta; e

crea disuguaglianze tra i soggetti interessati di diversi Stati membri, poiché gli Stati membri hanno pratiche diverse in materia di gestione delle violazioni.

In conclusione, sebbene l’EDPB ribadisca che la notificazione in caso di data breach sia uno strumento per rafforzare i meccanismi di tutela dell’interessato, parte delle imprese ritiene che la versione 2.0 delle Linee Guida rallenterà il processo di segnalazione e sarà fonte di ritardi, creando più ostacoli alla tutela efficace dei diritti degli interessati.

Sul tema può essere di interesse il seguente articolo “La comunicazione di un data breach secondo il Garante privacy”.

Intellectual Property

L’impatto del Data Act sulla tutela dei trade secrets

Il 14 marzo 2023, il Parlamento europeo ha approvato la proposta di legge per il Data Act, normativa che si inserisce nel contesto della strategia europea sui dati e che mira a contribuire allo sviluppo di nuovi servizi digitali attraverso una maggiore condivisione dei dati.

Di seguito riportiamo i contenuti più rilevanti del Data Act

La strategia europea sui dati e il Data Act

Il Data Act rappresenta il secondo pilastro della strategia europea sui dati, dopo il Data Governance Act, entrato in vigore il 23 giugno 2022 e applicabile dal settembre 2023. In particolare, con lo sviluppo di una strategia sui dati, l’Unione europea mira ad acquisite una posizione di leadership attraverso la creazione di un mercato unico in cui i dati potranno circolare liberamente in tutti i settori, a vantaggio delle imprese, dei ricercatori e delle pubbliche amministrazioni.

Il Data Act, proposto inizialmente nel febbraio 2022, nasce da alcune constatazioni: da un lato, il volume di dati generati dalle persone e dalle macchine sta aumentando in modo esponenziale, diventando così un fattore fondamentale per l’innovazione da parte delle imprese e delle autorità pubbliche; dall’altro, che attualmente circa l'80% dei dati industriali non viene mai utilizzato, con una conseguente perdita di valore.

In questo contesto, il nuovo Regolamento ha lo scopo di regolamentare l’accesso ai dati ed agevolarne la condivisione, fornendo regole chiare su quali soggetti possono accedere e utilizzare determinati dati e per quali scopi, in tutti i settori economici dell’UE. Questa proposta rileva in particolar modo per i cosiddetti “smart objects” e altri prodotti simili, appartenenti alla Internet of Things (IoT). Infatti, acquistando un prodotto “tradizionale”, si diviene proprietari tutte le parti e gli accessori di quel dato prodotto, mentre quando si acquista un prodotto “smart”, come ad esempio un elettrodomestico intelligente o un macchinario industriale, il cui utilizzo genera dati, spesso non è chiaro quali soggetti possano accedervi. Non infrequentemente tale diritto di accesso resta esclusivamente in capo ai produttori, così rallentando i servizi post-vendita e le opportunità di innovazione.

Sul punto, il Data Act consentirebbe di trasferire più facilmente i dati collegati agli “smart objects”, dando agli individui e alle imprese un maggiore controllo sui dati che generano e consentendo loro di godere dei vantaggi della digitalizzazione dei prodotti. Per esempio, ciò potrebbe comportare la possibilità per l’utente di scegliere un fornitore di riparazione e manutenzione più economico del produttore, stimolando la concorrenza. Tali dati, aggregati da più utenti, potrebbero anche aiutare a sviluppare o migliorare altri servizi digitali o permettere agli enti pubblici di rispondere in modo più rapido e sicuro a un'emergenza.

Data Act e trade secrets

Tra le varie previsioni, sono state rafforzate le disposizioni volte a proteggere i segreti commerciali, i c.d. trade secret, per evitare che un maggiore accesso ai dati venga utilizzato dai concorrenti per modificare i servizi offerti o gli stessi dispositivi, oltre a stabilire condizioni più severe per le richieste di dati da parte delle imprese alle amministrazioni pubbliche.

In particolare, agli articoli 4 e 5 del Data Act, si precisa che i segreti commerciali saranno comunicati solo a condizione che siano adottate tutte le misure specifiche necessarie per tutelarne la riservatezza, in particolare rispetto ai terzi e che, in ogni caso, il titolare dei dati e l'utente possono concordare misure volte a preservarne la riservatezza. Inoltre, nel caso in cui l’utente o un terzo comprometta i segreti commerciali, il titolare dei dati avrà il diritto di sospendere l’accordo di condivisione dei dati.

Quanto, infine, al caso specifico del B2G (Business to Government), l’azienda potrà anche decidere di rifiutare la richiesta di dati qualora l’ente pubblico non adotti tutte le misure tecniche o organizzative sufficienti o laddove l’azienda dimostri che la divulgazione dei dati possa comportare dei gravi danni.

In ogni caso, ad oggi il Data Act non pare comportare modifiche alla Direttiva 2016/943 sui segreti commerciali e anzi ribadisce che “l'obbligo di mettere i dati a disposizione di un destinatario dei dati non impone la divulgazione dei segreti commerciali ai sensi della direttiva (UE) 2016/943”, con l’effetto che non possono escludersi difficoltà di coordinamento tra le due norme.

Prossimi passi

Dopo il parere congiunto dello European Data Protection Board e del Garante per la privacy europeo dello scorso anno e l’approvazione del testo da parte del Parlamento, seguiranno i negoziati con il Consiglio sulla forma finale della legge, non appena quest’ultimo avrà approvato il proprio mandato.

Su un simile argomento può essere interessante l’articolo “Una nuova strategia europea in materia di dati viene annunciata”.

È sempre legittima la pubblicazione dell’immagine delle persone coinvolte ai sensi del diritto di cronaca?

Una recente sentenza del Tribunale di Firenze si è pronunciata in tema di esercizio del diritto di cronaca e di tutela del diritto all’immagine, affermando che l’esercizio del diritto di cronaca non implica sempre, di per sé, la legittimità della pubblicazione o diffusione dell’immagine delle persone coinvolte.

La liceità della pubblicazione dell’immagine delle persone coinvolte, infatti, è subordinata, oltre che al rispetto della normativa in materia, alla verifica in concreto della sussistenza di uno specifico ed autonomo interesse pubblico alla conoscenza delle fattezze dei soggetti di cui si parla, nell’ottica della essenzialità della divulgazione ai fini della completezza e correttezza dell’informazione fornita.

Nel caso di specie, un soggetto ha adito il Tribunale di Firenze chiedendo la condanna al risarcimento dei danni, in proprio favore, di una società proprietaria di un noto quotidiano per aver illecitamente pubblicato una sua fotografia, dove era ritratto frontalmente, e dunque perfettamente riconoscibile, affacciato al balcone della propria abitazione.

Tale scatto, realizzato da un’allieva di una scuola di fotografia anch’essa convenuta nel presente giudizio, era stato pubblicato a corredo di un articolo intitolato “Toscana, ai balconi in pigiama, con la spesa, con la sigaretta”, facente parte di un progetto volto a fornire uno spaccato della vita degli individui durante il lockdown. L’attore ha adito l’autorità giudiziaria ritenendo che tale pubblicazione costituisse una violazione del proprio diritto alla privacy, all’immagine, nonché al rispetto della vita privata. Inoltre, ha affermato di non aver mai ricevuto alcuna richiesta di autorizzazione all’utilizzo della propria immagine.

Le convenute, nel chiedere il rigetto della domanda attorea, hanno rilevato in primo luogo la sussistenza di un interesse pubblico alla conoscenza dei fatti che interessavano i cittadini durante il periodo del lockdown, sia dal punto di vista culturale e artistico, che sociologico e storico. In particolare, esse hanno evidenziato il carattere spiccatamente documentaristico della fotografia in questione, ritenendo che il soggetto in essa raffigurato non fosse riconoscibile ed equiparando il terrazzo ivi ritratto, prospicente la pubblica via, ad un qualsiasi “spazio pubblico”. Sulla base di tali motivi, hanno contestato l’esistenza di qualsiasi danno in capo all’attore. Quanto alla richiesta di autorizzazioni e/o liberatorie, il gruppo editoriale convenuto ha riferito di aver effettuato tutte le verifiche del caso e di aver ricevuto il consenso dell’interessato.

Entrando nel merito della questione, il Tribunale di Firenze si è in primo luogo soffermato sulla natura del diritto all’immagine, ricordando che esso rientra tra i diritti personalissimi e inalienabili costituzionalmente riconosciuti dall’articolo 2 della Costituzione. L’immagine, secondo quanto statuito dal Tribunale, costituisce una delle proiezioni esteriori più rilevanti della personalità del soggetto, in quanto espressione dell’identità e della personalità del singolo individuo, consentendone l’individuazione e contraddistinguendolo dagli altri soggetti.

Oltre ad avere fondamento costituzionale, il diritto all’immagine è tutelato ex articolo 10 del Codice civile, ai sensi del quale in caso di abusiva esposizione o pubblicazione dell’immagine al di fuori dei casi consentiti dalla legge o laddove ricorra un pregiudizio al decoro o alla reputazione, l’interessato ha la facoltà di adire l’autorità giudiziaria per chiedere la cessazione dell’abuso, oltre che il risarcimento dei danni patiti. Inoltre, la pubblicazione dell’immagine dell’interessato in assenza del suo consenso è lecita soltanto quando risponde alle esigenze di pubblica informazione.

Tale disposizione codicistica deve essere letta in correlazione con gli articoli 96 e 97 della legge sul diritto d’autore (l. 633/1941). L’articolo 96 LdA prescrive la necessità del consenso della persona ritratta, mentre l’articolo 97 LdA precisa che tale consenso non occorre quando la riproduzione dell’immagine è giustificata dalla notorietà o dall’ufficio pubblico ricoperto o da altre circostanze tassativamente indicate, quali ad esempio l’esistenza di scopi scientifici, didattici e culturali, ovvero dal collegamento a fatti, accadimenti, cerimonie di interesse pubblico o svoltesi in pubblico.

Per quanto concerne l’esercizio del diritto di cronaca, il Tribunale di Firenze ha ricordato che la liceità della pubblicazione dell’immagine delle persone interessate è subordinata, oltre che al rispetto della normativa di cui sopra e del codice deontologico dei giornalisti, alla necessità di verificare in concreto la sussistenza di uno specifico e autonomo interesse pubblico alla conoscenza delle fattezze dei soggetti di cui si parla. Da ciò discende che, salve le ipotesi eccezionali e tassative di cui al citato articolo 97 LdA, la divulgazione dell’immagine in assenza di prestazione di consenso del soggetto interessato, determina una ingiusta lesione del diritto tutelato ed obbliga al risarcimento del danno, a prescindere dall’eventuale concomitante lesione di altri diritti spesso connessi, quali quelli all’onore, alla reputazione e al decoro.

Alla luce di quanto sopra, il Tribunale di Firenze ha ritenuto integrati gli estremi dell’abuso dell’immagine dell’attore da parte delle convenute, dal momento che la pubblicazione della fotografia in questione era stata realizzata e pubblicata senza il consenso dell’avente diritto. Inoltre, il Tribunale ha affermato che essendo il balcone ritratto parte integrante di un’abitazione privata, esso rientra nella nozione di luogo di privata dimora.

Infine, il Tribunale ha concluso ritenendo che le esimenti di cui all’articolo 97 LdA sono da interpretare in senso restrittivo e che nel caso in questione non sussiste alcun interesse pubblico all’informazione né alcuna finalità sociale e/o culturale dell’immagine riprodotta a corredo dell’articolo pubblicato.

Su un simile argomento può essere interessante l’articolo “La Corte di Cassazione precisa i limiti per l’uso legittimo delle immagini di un calciatore”.

Fintech

Novità nel protocollo Etherum: l’aggiornamento Shangai e lo staking di ETH.

Il 12 aprile 2023 il protocollo Etherum è stato soggetto a questo nuovo aggiornamento chiamato Shangai. In particolare, i partecipanti al protocollo potranno prelevare le somme di cryptovaluta Etherum (ETH), precedentemente bloccate dalla fase di “staking”. Prima di addentrarci oltre, ricordiamo che l’ultimo grande aggiornamento di Etherum si è avuto con lo storico passaggio da Proof of Work a Proof of Stake, determinando un profondo cambiamento delle regole sottostanti all’algoritmo del consenso di Etherum.

Cosa accadrà con l’aggiornamento Shangai? Se sarai uno tra quei partecipanti al protocollo Etherum che ha bloccato gli ETH richiesti dal protocollo, allora avrai la possibilità di ritirarli (tutti o soltanto una parte). In altre parole, il protocollo ti consentirà di poter sbloccare (in modo parziale o totale) le somme messe a garanzia del buon funzionamento della rete. Se il partecipante deciderà di liquidare soltanto una parte delle somme messe in stake, egli potrà continuare a essere un nodo validatore mentre se liquiderà tutta la somma inizialmente messa in staking, allora cesserà di avere tale funzione. Ci sono tanti parametri coinvolti nel processo di staking che, per chi non ne fosse a conoscenza, consiste nel mettere a disposizione una certa somma di ETH a garanzia del corretto funzionamento del nodo; uno di questi è proprio il tempo entro il quale vengono bloccate le somme.

E’ importante precisare che, indipendentemente dal fatto che tali somme vengano ritirate, tutti gli utenti che hanno partecipato al processo di staking ricevereranno automaticamente sul proprio wallet le ricompense (o fee) per aver validato le transazioni sulla blockchain di Etherum. Secondo un recente report, si stima che gli ETH messi in staking sono stati ben 16.5 milioni di ETH (corrispondenti a 25 miliardi di dollari da più di 500 mila nodi validatori dall’ultimo grande aggiornamento (Settembre) fino a quello chiamato Shangai.

In tal senso, vale la pena segnalare che soltanto il 31 percento circa degli attuali nodi validatori sta effettivamente guadagnando dal processo di staking; per questo motivo, molti validatori avrebbero poco interesse a vendere in questo momento. D’altra parte, le regole del protocollo Etherum impongono fees più alte quando il numero di validatori è minore. Cioè, se tanti partecipanti smettono di essere nodi validatori e ritirano tutti i propri ETH, maggiore sarà il guadagno derivante dalle fees potendo attrarre in futuro un maggior numero di potenziali nuovi validatori. Tutti questi elementi potrebbero certamente influire sul prezzo di Etherum (ad esempio, se tutti gli investitori liquidassero la propria quota, il prezzo di un singolo ETH potrebbe subire una grave depressione.

Su un simile argomento può essere di interesse il seguente articolo: “Il Regolamento UE 2022/858 potrebbe ridurre il rischio di cyberattacco legato a blockchain bridge nell’ambito DeFi”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Chiara Fiore, Emanuele Gambula, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.