10 agosto 2023 • 26 minuti di lettura
Innovazione e diritto: le novità della settimana
Data Protection & Cybersecurity
Pubblicità targetizzata: Meta annuncia la modifica della base giuridica nel consenso
Attraverso un blog post, Meta ha annunciato di voler adottare il “consenso” come nuova base giuridica della pubblicità targetizzata, superando quindi l’impostazione che – fino ad oggi – affermava che il “legittimo interesse” fosse il fondamento più corretto per giustificare il trattamento dei dati per tali finalità.
Meta sarebbe quindi pronta a offrire agli utenti europei una scelta netta - “sì o no” al trattamento dei loro dati (o a quanto si legge dal post di “alcuni dati”) per ricevere pubblicità mirate.
La proposta di modifica arriva in risposta a una sanzione di 390 milioni di euro inflitta dall’Irish Data Protection Commission (DPC) proprio a causa della base giuridica scelta da Meta per i propri annunci personalizzati e alle pressioni esercitate dalle autorità garanti europee. Da ultima, l’autorità norvegese che – proprio lo scorso mese – ha imposto a Meta un divieto di tre mesi alla pubblicità comportamentale a meno che non ottenga il consenso degli utenti.
La vicenda prende le mosse dal reclamo presentato alla DPC nel 2018 da noyb – associazione non profit capitanata da Max Schrems – in cui Meta veniva accusata di utilizzare un meccanismo di “consenso forzato” e non libero come richiesto dal GDPR per tracciare e targetizzare gli utenti delle sue piattaforme con annunci personalizzati. Alle accuse, Meta aveva ribattuto sostenendo che il trattamento fosse in realtà fondato sull’esecuzione contrattuale (non il consenso), in quanto necessario ad adempiere al contratto che gli utenti avevano concluso con Meta accedendo a Facebook o Instagram, nel quale si prevedeva tra le altre cose la fornitura di annunci personalizzati.
A tre anni dall’inizio del procedimento, noyb aveva fatto trapelare una prima bozza di decisione della DPC da cui si evinceva la posizione dell’autorità irlandese particolarmente favorevole all’interpretazione di Meta , che aveva però sollevato pesanti obiezioni da parte di altre autorità garanti europee. Sul punto era stato quindi necessario l’intervento dell’EDPB, che aveva messo la parola fine ai contrasti tra le autorità adottando una decisione congiunta nella quale, cassando la posizione della DPC, affermava che Meta non avrebbe potuto utilizzare i dati personali per personalizzare annunci sulla base di un presunto contratto con l’utente.
La decisione vincolante dell’EDPB aveva costretto la DPC a rivedere le sue posizioni nella decisione finale pubblicata a gennaio 2023, nella quale – oltre a sanzionare Meta per 390 milioni di euro – veniva stabilito che il gigante tech non fosse legittimato a utilizzare la base giuridica del “contratto” per giustificare trattamenti di dati a fini pubblicitari e dava alla società tre mesi di tempo per adeguarsi. In risposta all’ordine di adeguamento, Meta aveva annunciato che avrebbe modificato la base giuridica a fondamento della pubblicità targetizzata optando per il legittimo interesse come nuova base giuridica, tentando quindi di svincolarsi dall’obbligo di raccogliere un consenso libero e specifico degli utenti.
La nuova posizione di Meta non ha però avuto vita lunga. A luglio 2023, infatti, la CGUE ha pubblicato un’importante sentenza che - pur deliberando su una diversa controversia – raggiungeva la dirompente conclusione che “la pubblicità personalizzata con cui il social network online Facebook finanzia la propria attività non può giustificare, quale interesse legittimo perseguito da Meta Platforms Ireland, il trattamento dei dati in questione, in assenza del consenso dell'interessato".
Eliminata la possibilità di utilizzare il contratto o il legittimo interesse per legittimare le proprie attività pubblicitarie, con l’impegno pubblico preso pochi giorni fa Meta sembra capitolare alla necessità di raccogliere un consenso espresso da parte degli utenti per poter continuare le sua attività di tracciamento e personalizzazione.
Il post non indica una data certa dalla quale Meta intende implementare la modifica, né rappresenta una decisione vincolante. Tuttavia, è un segnale significativo per tutti gli operatori del settore, che fino ad oggi guardavano al gigante Meta e al suo business model come un punto di riferimento per la prassi di mercato.
L’ostinazione di noyb e delle autorità europee che, dopo cinque lunghi anni, sembra aver messo all’angolo Meta è in linea con la generale stretta adottata a livello europeo nei confronti della pubblicità comportamentale personalizzata, sotto diversi fronti. La linea dura è stata infatti tenuta anche dal legislatore europeo che ha introdotto sia nel Digital Markets Act, sia nel Digital Services Act condizioni e obblighi più stringenti rispetto alla possibilità per i provider di effettuare forme di pubblicità basate sul tracciamento degli utenti.
L’esistenza di business model basati su forme di targetizzazione massiva degli utenti è incerta e prossima a una possibile rivoluzione. Si attende ora la prossima mossa di Meta per valutare quale sarà l’impatto concreto che questa decisione avrà sul futuro del settore.
Sullo stesso argomento si rinvia anche agli articoli La sanzione privacy di 390 milioni di euro contro Meta sulla pubblicità personalizzata potrebbe cambiare Internet? e EDPB: Vietata a Meta la pubblicità personalizzata sulla base giuridica privacy dell’esecuzione del contratto di questa rivista.
Paywall e cookie wall: l’Autorità Garante tedesca prende posizione
L’Autorità Garante per la Protezione dei Dati Personali tedesca ha emanato negli ultimi giorni una importante pronuncia in tema di sistemi di paywall, che segna un nuovo passo verso la definizione del perimetro di legalità di questo strumento. La pronuncia offre anche lo spunto per fare il punto della situazione sul tema dei cookie wall e paywall nell’attesa della preannunciata presa di posizione dell’Autorità Garante Italiana.
I paywall e i cookie wall sono un fenomeno principalmente legato al campo dell’editoria online, dove l’accesso a determinati contenuti premium può essere concesso lasciando agli utenti l’alternativa tra il pagamento di un prezzo e l’accettazione dell’installazione dei cookie di profilazione.
Si parla di cookie wall in tutti quei casi in cui la fruizione di un contenuto online è subordinata al rilascio del consenso da parte degli utenti all’installazione di cookie e altri strumenti di tracciamento dei dati personali.
I paywall sono invece dei sistemi e filtri che consentono all’utente di scegliere se accedere a contenuti a pagamento attraverso il pagamento di un prezzo (o la sottoscrizione di un abbonamento) oppure se comprare tale accesso offrendo come corrispettivo i propri dati personali.
Non è infrequente, per esempio, accedere ad una pagina web e trovare un banner che ne impedisce la lettura recante l’indicazione che per proseguire è necessario accettare tutti i cookie di profilazione e/o abbonarsi alla testata giornalistica o sito web.
Ai sensi del GDPR, la questione principale è se il consenso prestato in presenza della paywall è libero e quindi valido.
Le Autorità Garanti per la protezione dei dati personali sono ormai d’accordo nel ritenere che il consenso prestato dall’utente ai cookie wall non possa ritenersi validamente espresso, trattandosi di una scelta necessaria. L’utente, infatti, se vuole accedere alla pagina web non ha altra alternativa se non quella di accettare tutti i cookie. In particolare, l’European Data Protection Board ha confermato nelle sue Linee guida sul consenso che l’utilizzo dei cooke wall non costituisce una valida forma di prestazione del consenso. Alcune Autorità Garanti hanno confermato questa impostazione in alcune loro pronunce. Tra questi, il Garante italiano ha affermato, nelle sue Linee guida sui cookie e altri strumenti di tracciamento, l’illiceità dei cookie wall, salvo che non venga offerta all’interessato una opzione alternativa per accedere al contenuto senza prestare il consenso al trattamento.
Più controversa è, invece, la questione sulla validità del consenso espresso tramite paywall. In questo caso, infatti, tale potrebbe ritenersi liberamente prestato trattandosi di una scelta alternativa e non necessaria.
Nell’assenza di una posizione ufficiale delle Autorità Garanti europee, alcuni garanti nazionali si sono già espressi sulla questione. Le autorità danese, austriaca e francese hanno già affermato che il consenso ai sistemi di paywall si ritiene validamente prestato se il prezzo da pagare in alternativa al consenso è moderato al punto da essere idoneo a non limitare la libera prestazione del consenso.
Recentemente anche l’Autorità Garante tedesca della Bassa Sassonia si è pronunciata. Il provvedimento ha interessato una delle principali piattaforme di divulgazione di contenuti online del Paese ed ha stabilito l’illegittimità dei sistemi di paywall presenti sulla piattaforma.
Nel caso di specie, la piattaforma richiedeva ai suoi abbonati per accedere ai contenuti della piattaforma di pagare un abbonamento oppure di accettare il trattamento dei loro dati da parte di terzi.
Essendo l’editore attivo sia in Austria che in Germania. il ricorso è stato presentato da None of Your Business, organizzazione no-profit fondata dall’attivista Max Schrems, sia dinnanzi all’Autorità Garante tedesca che austriaca.
Conformemente a quanto già detto dall’Autorità austriaca, il Garante tedesco ha giudicato astrattamente idonea a soddisfare i requisiti cui alla normativa privacy il consenso espresso tramite paywall laddove l’utente sia messo in condizione di esprimere il suo consenso attivamente e in maniera trasparente.
Riprendendo un punto sollevato dal CNIL, Autorità Garante francese, gli utenti devono avere la possibilità di esprimere o negare il loro consenso a qualsiasi trattamento specifico dei dati che si realizza tramite la piattaforma.
Nel caso di specie, invece, agli utenti non veniva consentito di selezionare le proprie preferenze di consenso e la profilazione avveniva già al momento dell’apertura del sito, senza attendere l’accettazione.
In Italia è ancora attesa una pronuncia del Garante sul punto. In base a quanto stabilito dalla normativa privacy, e in linea con le pronunce degli altri Garanti europei, è auspicabile che anche in Italia sarà ammissibile l’utilizzo di paywall.
La questione è attualmente al vaglio dell’Autorità, che tra ottobre e novembre 2022 ha diffuso due note informative dove ha fatto sapere che L’Autorità, anche a seguito di alcune segnalazioni, sta esaminando tali iniziative alla luce del quadro normativo attuale, anche al fine di valutare l’adozione di eventuali interventi in materia.
Sul punto può essere di interesse il seguente articolo Cookie e profilazione con Guido D'Ippolito Funzionario del Garante privacy.
Intellectual Property
AGCOM contro la pirateria online per eventi sportivi: modifiche al Regolamento sul diritto d'autore online
Durante la seduta del 26 luglio 2023, il Consiglio dell’autorità per le Garanzie nelle Comunicazioni (AGCOM), ha approvato le modifiche al Regolamento in materia di tutela del diritto d’autore sulle reti di comunicazione elettronica e procedure attuative ai sensi del decreto legislativo 9 aprile 2003, n. 70 per contrastare la illecita diffusione online di contenuti sportivi in diretta.
Tale presa di posizione da parte di AGCOM fa seguito all'approvazione definitiva della legge 14 luglio 2023, n. 93, Disposizioni per la prevenzione e la repressione della diffusione illecita di contenuti tutelati dal diritto d'autore mediante le reti di comunicazione elettronica, che entrerà in vigore il prossimo 8 agosto 2023. Tale legge, volta a contrastare l'illecita diffusione o trasmissione online, nonché la fruizione illegale, di contenuti protetti dal diritto d'autore e dai diritti connessi, interviene direttamente sulla legge 22 aprile 1941, n. 633 (la legge sul diritto d'autore), allo scopo di contrastare la pirateria audiovisiva. Inoltre, essa attribuisce all'AGCOM nuovi poteri al fine di contrastare il fenomeno della illecita diffusione in diretta di contenuti tutelati dal diritto d'autore.
In particolare, ai sensi dell'articolo 1 della nuova legge n. 93/2023, rubricato "Principi", la Repubblica è chiamata i) a riconoscere, tutelare e promuovere la proprietà intellettuale in tutte le sue forme; ii) a tutelare il diritto d'autore e i diritti connessi; iii) ad assicurare e sostenere imprese, autori, artisti e creatori con adeguate forme di sostegno; iv) a prevedere adeguate forme di responsabilizzazione nei confronti degli intermediari di rete allo scopo di efficientare le attività di contrasto della diffusione illecita e della contraffazione di contenuti tutelati dal diritto d'autore, nonché a promuovere campagne di comunicazione e sensibilizzazione del pubblico valore della proprietà intellettuale; v) a salvaguardare i diritti alla segretezza delle comunicazione; e vi) a garantire l'attuazione delle politiche volte a promuovere la libertà di espressione e di informazione, la diversità culturale e linguistica e il pluralismo dei mezzi di comunicazione.
I successivi articoli della nuova legge contro la pirateria online attribuiscono ad AGCOM specifici poteri di intervento al fine di perseguire le finalità e rispettare i principi di cui all'articolo 1, prevedendo inoltre la modifica di alcuni articoli della legge sul diritto d'autore e del codice penale.
In particolare, al fine di disabilitare l'accesso a contenuti diffusi abusivamente online, l'articolo 2 della nuova legge attribuisce ad AGCOM il potere di emanare le c.d. “ingiunzioni dinamiche. Ovvero, si prevede che, con proprio provvedimento, AGCOM ha il potere di ordinare ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l'accesso a contenuti diffusi illecitamente consentendogli di bloccare la risoluzione DNS dei nomi di dominio nonché l'instradamento del traffico di rete verso gli indirizzi IP univocamente destinati ad attività illecite. Con il medesimo provvedimento, AGCOM può inoltre ordinare il blocco di ogni altro futuro nome di dominio, sottodominio, ove tecnicamente possibile, o indirizzo IP, a chiunque riconducibili, comprese le variazioni del nome o della semplice declinazione o estensione (ovvero il c.d. top level domain), che consenta l'accesso ai medesimi contenuti illecitamente diffusi o a contenuti della medesima natura.
Il comma 3 dell'articolo 2 della legge n. 93/2023 attribuisce ad AGCOM speciali poteri nei casi di gravità e urgenza in cui la diffusione abusiva riguardi contenuti trasmessi in diretta, prime visioni di opere cinematografiche e audiovisive o programmi di intrattenimento, contenuti audiovisivi, anche sportivi o altre opere dell'ingegno assimilabili, eventi sportivi nonché eventi di interesse sociale o di grande interesse pubblico. In tali casi, su richiesta del titolare o licenziatario del diritto o dall'associazione di gestione collettiva o di categoria, con procedimento abbreviato senza contraddittorio, AGCOM può adottare un provvedimento cautelare con cui ordinare ai prestatori di servizi di disabilitare l’accesso ai contenuti diffusi abusivamente online mediante blocco dei nomi di dominio e degli indirizzi IP. In tali casi di gravità e urgenza, il provvedimento viene adottato ed eseguito prima dell’inizio della prima trasmissione o, al più tardi, durante la medesima.
I soggetti legittimati potranno presentare all'AGCOM la richiesta di immediato blocco della risoluzione DNS dei nomi di dominio e dell’instradamento del traffico di rete agli indirizzi IP, anche congiuntamente. Per presentare la richiesta di blocco, tali soggetti saranno tenuti ad allegare la documentazione necessaria, tra cui l’elenco dei nomi di dominio e degli indirizzi IP attraverso i quali sono resi disponibili i contenuti diffusi illecitamente online. AGCOM sarà pertanto tenuta a comunicare ai soggetti destinatari del provvedimento di provvedere alla tempestiva rimozione o disabilitazione di tali contenuti, entro il termine massimo di 30 minuti dalla comunicazione.
AGCOM è tenuta a notificare immediatamente tali provvedimenti di disabilitazione ai prestatori di servizi di accesso alla rete, ai soggetti gestori di motori di ricerca e ai fornitori di servizi della società dell'informazione coinvolti nell'accessibilità del sito web o dei servizi illegali, alla European Union Internet Referral Unit dell'Europol, e al soggetto che ha richiesto l'adozione del provvedimento. I prestatori di servizi di accesso alla rete, i soggetti gestori di motori di ricerca e i fornitori di servizi della società dell'informazione destinatari del provvedimento dovranno dargli esecuzione entro 30 minuti dalla notificazione, disabilitando la risoluzione DNS dei nomi di dominio e l'instradamento del traffico di rete verso gli indirizzi IP indicati nell'elenco e, in ogni caso, adottando tutte le misure tecnologiche e organizzative necessarie al fine di per rendere non fruibili da parte degli utilizzatori finali i contenuti diffusi abusivamente online.
Nell'eventualità che i destinatari del provvedimento non ottemperino prontamente agli obblighi di esecuzione dei provvedimenti di disabilitazione, l'articolo 5 della nuova legge prevede l'irrogazione da parte di AGCOM delle sanzioni amministrative di cui all'articolo 1, comma 31, della legge n. 249/1997, ovvero da €10.000 fino al 2% del fatturato realizzato nell’ultimo esercizio chiuso anteriormente alla notifica della contestazione.
Con la nuova legge è stata aggiunta la lettera h-bis all'articolo 171-ter comma 1 della legge sul diritto d'autore, con cui si prevede che chiunque abusivamente esegua la fissazione su supporto digitale, audio, video o audio-video, in tutto o in parte, di un'opera cinematografica, audiovisiva o editoriale, ovvero effettui la riproduzione, l'esecuzione e la comunicazione al pubblico della fissazione abusivamente eseguita è punito con la reclusione da sei mesi a tre anni e con una multa da 2.582 a 15.493 euro. È stata inoltre estesa la sanzione amministrativa di cui all'articolo 174-ter comma 1 a chiunque metta a disposizione opere o materiali protetti, oppure acquisti o noleggi supporti o servizi audiovisivi, fonografici, informatici o multimediali non conformi alle prescrizioni della legge, ovvero attrezzature, prodotti o componenti atti ad eludere misure di protezione tecnologiche.
Con delibera del 26 luglio, AGCOM ha già adeguato il proprio Regolamento in materia di tutela del diritto d'autore sulle reti di comunicazione elettronica alle disposizioni della nuova legge n. 93/2023. La delibera entrerà in vigore al momento della definizione dei requisiti tecnici e operativi degli strumenti necessari a consentire la disabilitazione dei nomi di dominio o degli indirizzi IP attraverso la piattaforma tecnologica unica da parte del tavolo tecnico e comunque non oltre il 1° gennaio 2024.
In particolare, l'articolo 9-bis del Regolamento prevede ora che con istanza motivata i soggetti legittimati possono richiedere ad AGCOM di ordinare in via cautelare ai prestatori di servizi di mere conduit operanti nel territorio italiano di porre fine alla violazione del diritto d’autore o dei diritti connessi riguardanti opere audiovisive aventi ad oggetto manifestazioni sportive trasmesse in diretta e assimilate. L'ordine cautelare verrà emanato da AGCOM qualora la violazione risulti manifesta. Tale ordine cautelare deve essere adottato da AGCOM entro 3 giorni dalla ricezione dell'istanza, e dovrà essere eseguito dai destinatari del provvedimento entro il termine stabilito dall'Autorità, e comunque non oltre le 24 ore dalla notifica dello stesso.
Viene inoltre precisato che i soggetti legittimati possono altresì richiedere che, a seguito dell'adozione dell'ordine cautelare, i destinatari del provvedimento procedano, attraverso segnalazioni successive, al blocco di ogni altro futuro nome di dominio e sottodominio, o indirizzo IP, comprese le variazioni del nome o della semplice declinazione o estensione, riconducibili ai medesimi contenuti e tramite i quali avvengono le violazioni. A seguito dell'adozione dell'ordine cautelare, il soggetto legittimato potrà comunicare ad AGCOM i siti internet/indirizzi telematici su cui sono disponibili le opere audiovisive aventi ad oggetto manifestazioni sportive trasmesse in diretta e assimilate in violazione dei diritti d’autore o connessi. Sarà compito dell'Autorità verificare la conformità e la completezza delle segnalazioni pervenute e comunicare le stesse ai destinatari del provvedimento cautelare che immediatamente – e comunque non oltre 30 minuti dalla ricezione – sono tenuti a disabilitare l'accesso ai siti internet/indirizzi telematici segnalati, con contestuale reindirizzamento automatico verso una pagina internet redatta secondo le modalità indicate da AGCOM.
Technology, Media and Telecommunications
Osservatorio sulle comunicazioni dell’AGCom per il periodo gennaio – marzo 2023
Il 25 luglio 2023 l’AGCom ha pubblicato il secondo Osservatorio sulle Comunicazioni per il 2023, che contiene i dati relativi al primo trimestre del 2023.
I dati riportati nell’Osservatorio sulle Comunicazioni indicano che gli accessi complessivi per la rete fissa sono risultati stabili su base trimestrale, mentre vi è stata una flessione su base annua, quantificabile in 130 mila accessi. Inoltre, rispetto al corrispondente periodo del 2019 si è registrata una riduzione degli accessi pari a 284.000 unità. Sono poco meno di 20 milioni gli accessi alla rete fissa complessivamente registrati a marzo 2023.
L’AGCom informa che le tradizionali linee basate su tecnologie in rame si sono ridotte di oltre 1 milione rispetto a marzo 2022 (una riduzione di circa 6,9 milioni nell’ultimo quadriennio), mentre le linee che utilizzano altre tecnologie più evolute sono aumentate di circa 862 mila unità rispetto al medesimo periodo dell’anno precedente. Se nel mese di marzo 2019 il 54,5% degli accessi alla rete fissa era in rame, dopo quattro anni, nel corrispondente mese del 2023, essi si sono più che dimezzati, attestandosi al 20,7%.
è stata registrata una lieve flessione, quantificabile in 60 mila accessi su base trimestrale e 129 mila su base annua, nel numero di accessi in rete FTTC (Fiber To The Cabinet), con un totale di circa 10,2 milioni di accessi a marzo 2023. Gli accessi alla rete in tecnologia FTTH (Fiber To The Home) sono aumentati di circa 850.000 unità su base annua e, a fine marzo, ammontavano a circa 3,7 milioni. In crescita risultano anche le linee FWA (Fixed Wireless Access) che, con un incremento di circa 140.000 unità nell’anno in corso, hanno quasi raggiunto 1,9 milioni di linee a marzo 2023.
A fine marzo 2023, le linee broadband complessive ammontavano a 18,6 milioni, risultando in leggera riduzione (quantificabile in 52.000 unità, pari allo 0,3%) su base annua. Tale flessione è causata dal decremento degli accessi in tecnologia DSL, diminuiti di circa 914.000 di unità.
Le dinamiche appena descritte hanno determinato un consistente aumento delle prestazioni in termini di velocità di connessione. Come si legge nel Comunicato Stampa che accompagna la pubblicazione dell’Osservatorio, le linee con velocità pari o superiori ai 30 Mbit/s hanno superato l’83% delle complessive linee broadband; quelle con prestazioni superiori ai 100 Mbit/s sono salite al 69,3% rispetto al 33,3% del marzo 2019.
Si riconferma al contempo il trend in crescita del consumo di dati: il volume complessivo dei dati consumati giornalmente nel primo trimestre del 2023 è aumentato dell’8,8% rispetto al dato registrato a marzo 2022 e del 121% rispetto ai primi tre mesi del 2019. I dati unitari di consumo (ossia il traffico giornaliero registrato in relazione a ciascuna linea broadband) sono aumentati dell’8,9% rispetto al 2022.
Con riferimento al segmento della rete mobile, a fine marzo 2023, l’AGCom riporta che il numero complessivo delle SIM (sia c.d. “human”, ossia “solo voce”, “voce+dati” e “solo dati” che prevedono interazione umana, che M2M, ossia “machine-to-machine”) è stato pari a 107,6 milioni (con un aumento di circa 1,1 milioni su base annua). In particolare, le SIM M2M sono aumentate di oltre 780.000 unità in un anno, mentre, nello stesso arco temporale, l’incremento di quelle human è risultato di poco superiore alle 330.000 unità (per un totale di 78,3 milioni SIM human, per il 13,3% appartenenti alla clientela business e per il restante 86,7% a quella residenziale cosiddetta consumer).
Come descritto dall’AGCom, sono valutabili in circa 56,3 milioni le SIM human che hanno prodotto traffico dati nel corso dei primi tre mesi dell’anno, valore inferiore di circa 360 mila unità al corrispondente valore del 2022. Il relativo consumo medio unitario giornaliero del primo trimestre è stimabile in circa 0,73 GB, in crescita del 25,2% rispetto al 2022.
Su un simile argomento può essere interessante l’articolo “Osservatorio sulle comunicazioni dell’AGCom per il periodo settembre – dicembre 2022”.
Life Sciences
Le implicazioni dell’intelligenza artificiale nel settore dei dispositivi medici
L’intelligenza artificiale sta rivoluzionando il settore dei dispositivi medici, offrendo soluzioni tecnologiche in grado di avere un impatto significativo sullo sviluppo di nuovi prodotti, la cura dei pazienti e l’efficienza e la sostenibilità dei sistemi sanitari nazionali.
- La qualificazione di prodotti integranti software basati su intelligenza artificiale come dispositivi medici
Sotto un profilo regolatorio, i prodotti che contengono software basati sull’AI possono essere considerati dispositivi medici a seconda della specifica destinazione d’uso individuata dal fabbricante. In linea generale, solo i software con una finalità medica – ad esempio utilizzati per la diagnosi, monitoraggio o prevenzione di una malattia – si qualificano come dispositivi medici. Diversamente, i software con una destinazione d’uso “generica” e non medico-diagnostica non ricadono in tale categoria, anche se pensati per essere utilizzati in un contesto sanitario.
Si pensi, ad esempio, ai software che raccolgono, archiviano, memorizzano o trasmettono i dati acquisiti mediante specifiche apparecchiature elettromedicali: tali prodotti creano una banca dati consultabile nell’erogazione di prestazioni sanitarie, ma – in quanto privi di una specifica finalità medica – normalmente non si qualificano come dispositivi medici. La classificazione di un software come dispositivo medico è di particolare importanza in quanto comporta l’applicazione di requisiti specifici al fine di garantire la protezione della salute dei pazienti e degli utenti.
È indubbio che negli ultimi anni il settore dei dispositivi medici abbia visto un aumento esponenziale di prodotti che contengono software di AI. L’utilizzo di tali sistemi e soluzioni permette di migliorare la precisione delle diagnosi e ridurre gli errori umani – identificando patologie in modo più accurato – nonché di offrire soluzioni terapeutiche che possono aumentare le possibilità di guarigione, incidendo positivamente sull’efficacia dei trattamenti. Una migliore efficienza degli strumenti a disposizione si traduce in una riduzione dei tempi di accesso e durata delle cure, con un evidente vantaggio sia per i pazienti che per i sistemi sanitari.
- Esempi di dispositivi medici che sfruttano l’intelligenza artificiale
Numerosi sono gli esempi di dispositivi medici che sfruttano l’AI: dai software in grado di assistere i medici nella diagnosi di una patologia, a quelli che suggeriscono opzioni di trattamento personalizzate sulla base di dati specifici riferiti al paziente, come ad esempio il profilo genetico. Ancora, l’intelligenza artificiale ha trovato numerose applicazioni sia nel campo della radiologia (dove diversi software attualmente sul mercato analizzano i dati delle immagini e rilevano eventuali anomalie) sia nella chirurgia, dove sempre più spesso i chirurghi vengono assistiti da sofisticati dispositivi per effettuare gli interventi più delicati.
Non si pensi, tuttavia, che i dispositivi medici che sfruttano l’AI debbano necessariamente essere dei prodotti complessi e accessibili esclusivamente agli operatori sanitari. Al contrario, diverse soluzioni sono state pensate appositamente per essere messe a disposizione dei pazienti nella gestione quotidiana e nel monitoraggio di numerose patologie. Un valido esempio è costituito dai prodotti destinati ai pazienti con diabete e che sono in grado di monitorare continuamente i livelli di zucchero nel sangue e regolare automaticamente la somministrazione di insulina.
- L’impatto dell’AI Act sui dispositivi medici
Se, come osservato, sotto un profilo regolatorio i software di intelligenza artificiale con finalità mediche sono considerati dispositivi medici, occorre tuttavia menzionare una possibile novità normativa che interesserà l’intero settore. L’Unione Europea sta infatti discutendo la proposta di AI Act che potrebbe avere un grande impatto sui dispositivi medici che contengono software di AI. In base alle previsioni attualmente contenute nella proposta, tali prodotti potrebbero infatti essere soggetti a un duplice regime normativo – quello dei dispositivi medici e quello dei prodotti che contengono AI – con un considerevole aumento degli obblighi regolatori a carico dei soggetti coinvolti nella supply chain.
In conclusione, l’utilizzo dell’intelligenza artificiale nei dispositivi medici comporta già ad oggi il rispetto di specifici requisiti a tutela della salute dei pazienti. Nei prossimi anni, normative di imminente adozione potrebbero aumentare il numero degli adempimenti regolatori applicabili. Il tema è oggetto di grande dibattito all’interno dell’industria, dove numerose voci sottolineano l’importanza di evitare la moltiplicazione degli obblighi a carico dei soggetti coinvolti nella supply chain. Nonostante un quadro normativo in rapida evoluzione e che lascia, ad oggi, adito ad alcune incertezze interpretative, il ricorso a sistemi di AI offre indubbiamente opportunità significative per migliorare la salute dei pazienti e l’efficienza dei sistemi sanitari. Gli sviluppi dell’innovazione tecnologica e del quadro normativo nel settore Life Sciences sono pertanto attesi con grande interesse.
La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Chiara Fiore, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra.
Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.
Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.
Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.
È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.
DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.
Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.