12 dicembre 2023 • 33 minuti di lettura
Innovazione e diritto: le novità della settimana
12 dicembre 2023Webinar
AI Act in arrivo – Come può impattare il Vostro Business?
L’AI Act è stato approvato dai legislatori europei. Per tenervi aggiornati su quanto è stato concordato, mercoledì 13 dicembre, a pochi giorni da questo momento decisivo, i professionisti di Avanade e dello studio legale DLA Piper affronteranno i principali obblighi che saranno introdotti dall’AI Act e come questi obblighi impatteranno le soluzioni di intelligenza artificiale che le aziende stanno già usando o probabilmente adotteranno a breve. Per informazioni e registrazioni: QUI.
Podcast
Web3, Blockchain and Their New Legal Challenges
Web3 and blockchain based solutions are facing new legal challenges by customers and regulators that are covered in this episode of our podcast. You can listen to our podcast QUI.
Artificial Intelligence
L’AI Act è stato approvato, come cambia la disciplina dell’intelligenza artificiale
L’Unione europea ha preso una decisione epocale con la finalizzazione dell’AI Act, la prima normativa che regola la tanto discussa intelligenza artificiale (AI) che promette di rivoluzionare le nostre vite.
Dopo una maratona di tre giorni di negoziazione del trilogo composto dalla Commissione, il Consiglio e il Parlamento europei, durante la notte dell’8 dicembre hanno raggiunto un accordo sul c.d. AI Act che dovrà regolare l’utilizzo dei sistemi di intelligenza artificiale nell’Unione Europea.
Questo risultato non era per per nulla scontato fino a pochi giorni fa dopo che i governi francese, tedesco e anche italiano avevano richiesto di sostituire l’AI Act con l’adozione di un mero codice di condotta in modo da diminuire gli obblighi regolatori sulle aziende europee per consentirgli di competere meglio nel panorama internazionale. I legislatori europei non hanno condiviso questo approccio ritenendo (a mio giudizio, giustamente) che una normativa bilanciata avrebbe invece obbligato anche le aziende straniere a conformarsi con l’AI Act, creando un contesto più equilibrato che avrebbe consentito una concorrenza più equa.
In linea con questo obiettivo, la definizione di sistemi di intelligenza artificiale nell’AI Act si allinea a criteri riconosciuti a livello internazionale, seguendo le linee guida dell’OCSE, dandone ampia portata poiché l’intelligenza artificiale potrebbe impattare ogni settore, escludendo dalla sua applicazione, solo l’uso dell’AI in settori che richiedono una normativa speciale come quelle militari e di difesa, oltre all’uso non professionale.
Il regolamento introdotto dall’AI Act prevede un sistema di classificazione per i sistemi di IA quali i c.d. foundation model e l’intelligenza artificiale di uso generale. Ci riferiamo a sistemi come GPT-4 che sono il motore del popolare Chat-GPT e sono qualificati tali perché possono eseguire una moltitudine di compiti diversi a seconda di come i loro algoritmi sono “allenati”. Si parla di allenamento dell’algoritmo perché, a differenza di altre tecnologie, l’AI generativa non ha un database, ma una c.d. rete neurale che ha appreso le informazioni e le collega quando gli viene richiesto di generare un risultato, secondo modalità che spesso neanche i programmatori più esperti riescono a comprendere. Nella regolamentazione di questa tecnologia viene adottato un approccio a più livelli. Da un lato, ci sono norme di trasparenza valide per tutti i modelli di AI, e dall’altro, un esame approfondito per i sistemi che comportano rischi significativi per la salute pubblica, la sicurezza e i diritti fondamentali, nonché per i valori ambientali e democratici. Per questi ultimi, si stabiliscono standard misurati sulla base della loro capacità computazionale e altre metriche rilevanti, con la possibilità di aggiornamenti futuri.
L’AI Act pone un forte accento sui diritti e sulla trasparenza, rendendo obbligatorie le valutazioni di impatto sul rischio per i sistemi di AI ad alto rischio e imponendo l’adesione a standard tecnici e alla normativa sul diritto d’autore con anche l’obbligo di registrazione in un database europeo. Questa previsione potrebbe far sorgere notevoli contenziosi perché i titolari dei diritti sui materiali usati da sistemi di AI potrebbero contestarne l’utilizzo.
In termini di governance e conformità, l’AI Act istituisce un AI Office europeo per il monitoraggio dei modelli di AI più complessi, e prevede la creazione di un panel scientifico e di un forum consultivo per integrare le prospettive dei diversi attori coinvolti. Questo assicura che la regolamentazione sia sempre informata e aggiornata rispetto alle evoluzioni del settore. Ma un argomento di notevole discussione riguarderà le competenze attribuite alle autorità locali e quali saranno le autorità nazionali. Come accaduto con il GDPR, le autorità locali non vorranno rinunciare ai loro poteri. L’AI Office dovrebbe ridurre il rischio di approcci incoerenti nell’UE tra le autorità locali, ma frizioni politiche tra le diverse autorità locali non sono da escludere.
L’AI Act stabilisce ovviamente anche un sistema di sanzioni che, come accaduto per numerose normative europee recenti, è basato sul fatturato globale delle aziende, introducendo sanzioni che possono variare da un minimo di 35 milioni di euro o il 7% del fatturato globale, fino a un massimo di 7,5 milioni di euro o l’1,5% del fatturato, a seconda della natura della violazione. Sono previste eccezioni per le realtà imprenditoriali più piccole, con sanzioni limitate per le PMI e le startup. Anche sulle sanzioni si è quindi cercato di raggiungere un bilanciamento tra l’esigenza di regolare l’AI e l’obiettivo di non limitare lo sviluppo di questa tecnologia nell’UE. Per la stessa ragione sono previste soluzioni di c.d. “sandboxing” dove possono essere sperimentate delle soluzioni beneficiando di un regime speciale.
L’applicazione dell’AI Act seguirà una timeline precisa, con un periodo di transizione di 6 mesi per l’introduzione dei divieti, di un anno per i foundation model e i sistemi di AI ad uso generale, e di due anni per il lancio degli altri sistemi di IA, distinti in base al rischio associato.
Il testo dell’AI Act concordato non è ancora disponibile e le informazioni sopra indicate derivano anche da indiscrezioni. Il testo finale sarà pubblicato nella Gazzetta Ufficiale dell’Unione europea a gennaio 2024 e da qual momento i termini sopra indicati incominceranno da decorrere. Tuttavia, non c’è dubbio che, indipendentemente dalla durata del periodo transitorio, nessuna azienda sarà disposta ad adottare soluzioni di AI che non siano conformi all’AI Act che la forzino a dismettere la tecnologia a breve.
Per assistere le aziende nel mettersi in conformità con l’AI Act e le altre normative applicabili ai sistemi di intelligenza artificiale, abbiamo creato PRISCA AI Compliance. Potete vedere il video di presentazione QUI e vi invitiamo a contattarci qualora voleste avere maggiori informazioni al riguardo.
Data Protection & Cybersecurity
L’applicazione delle sanzioni ai sensi del GDPR secondo la Corte di Giustizia europea
Con una recente sentenza, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) si è espressa sulle condizioni alle quali le autorità di controllo nazionali possono imporre una sanzione amministrativa a uno o più titolari del trattamento per una violazione del Regolamento UE 679/2016 (“GDPR” o “Regolamento”). In particolare, secondo la Corte, l’imposizione una sanzione ai sensi dell’articolo 83 del GDPR richiede che vi sia un comportamento illecito da parte del titolare; in altre parole, che la violazione sia stata commessa intenzionalmente o per negligenza. Inoltre, nel caso di un gruppo di imprese, il calcolo della sanzione deve basarsi sul fatturato dell’intero gruppo.
- La vicenda
La vicenda trae origine dall’inoltro di una domanda di pronuncia pregiudiziale alla CGUE, veicolata ai sensi dell’articolo 267 del Trattato sul Funzionamento dell’Unione Europea, da parte di un giudice lituano (nella C-683/21) e un giudice tedesco (nella C-807/21).
I giudici nazionali hanno adito la CGUE affinché questa potesse fornire la propria interpretazione dell’articolo 83 del GDPR, riguardo alle condizioni per l’irrogazione di sanzioni amministrative pecuniarie per la violazione del Regolamento.
In particolare, le contestazioni hanno avuto origine dai seguenti provvedimenti sanzionatori:
- nel caso lituano, il Centro nazionale di Sanità pubblica del Ministero della Sanità contestava una sanzione pecuniaria di importo pari a 12.000 euro inflittagli con riferimento alla creazione di un’applicazione mobile ai fini della registrazione e del controllo dei dati delle persone esposte al Covid-19, realizzata grazie all’assistenza di un’impresa privata; mentre
- nel caso tedesco, una società immobiliare, che detiene indirettamente centinaia di migliaia di unità abitative e unità commerciali, contestava, tra l’altro, una sanzione pecuniaria di più di 14 milioni di euro, inflittale per aver conservato i dati personali dei locatari per un tempo superiore al necessario.
- L’interpretazione fornita dalla CGUE
Di seguito possono essere riassunti i principi di diritto elaborati dalla CGUE rese nelle cause C-683/21 e C-807/21 con riferimento alle modalità di irrogazione delle sanzioni amministrative pecuniarie per la violazione del GDPR:
- è possibile infliggere una sanzione amministrativa pecuniaria per la violazione del GDPR a un titolare del trattamento dei dati solo qualora detta violazione sia stata commessa dolosamente o colposamente. Tale requisito è integrato nel momento in cui il titolare del trattamento non può ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione;
- quando il titolare del trattamento è una persona giuridica, non è necessario che la violazione sia stata commessa da un suo organo amministrativo o che quest’organo ne abbia avuto conoscenza. Al contrario, una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia di quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto;
- l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di titolare del trattamento non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una persona fisica identificata;
- a un titolare del trattamento può essere inflitta una sanzione pecuniaria anche per operazioni effettuate da un sub-fornitore (responsabile o sub-responsabile del trattamento), nei limiti in cui tali operazioni possano essere imputate al titolare del trattamento;
- quando il destinatario della sanzione pecuniaria fa parte di un gruppo di società, il calcolo della sanzione pecuniaria deve basarsi sul fatturato del gruppo intero;
- per quanto concerne il calcolo della sanzione pecuniaria quando il destinatario è o fa parte di un’impresa, l’autorità di controllo deve basarsi sulla nozione di «impresa», propria del diritto della concorrenza dell’Unione Europea, che comprende qualsiasi entità che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento. Pertanto, tale nozione si riferisce a un’unità economica anche qualora, sotto il profilo giuridico, la stessa sia costituita da più persone fisiche o giuridiche;
- l’importo massimo della sanzione pecuniaria dev’essere calcolato sulla base di una percentuale del fatturato annuo mondiale globale dell’esercizio precedente dell’impresa interessata, considerata nel suo insieme.
- Alcune considerazioni per le aziende
Questo provvedimento è particolarmente interessante per le aziende a cui si applica il GDPR poiché chiarisce le condizioni per l’applicazione di eventuali sanzioni amministrative pecuniarie, che potranno essere irrogate ogni qualvolta il titolare del trattamento non possa ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto, o meno, cognizione dell’infrazione.
Su un tema simile potrebbe interessarvi “La Cassazione fissa alcuni importanti principi in tema di sanzioni privacy ai sensi del GDPR”.
Il credit scoring potrebbe essere contrario al GDPR secondo la Corte di Giustizia europea
In una decisione storica del 7 dicembre, la Corte di Giustizia dell’Unione Europea (CGUE) ha emesso sentenze nel caso C-634/21|SCHUFA Holding (Scoring) e nei casi congiunti C-26/22 e C-64/22| SCHUFA Holding (Discharge from remaining debts). La decisione mette in evidenza la complessa relazione tra pratiche digitali, in particolare quelle impiegate dalle agenzie di informazioni creditizie, e i diritti e libertà garantiti dal Regolamento Generale sulla Protezione dei Dati (GDPR).
- Sfida allo Status Quo
Al centro della questione vi sono le pratiche controverse di SCHUFA, un’agenzia privata di informazioni creditizie, sotto esame per la sua metodologia di scoring e per la conservazione prolungata di informazioni legate all’ottenimento di una liberatoria dai debiti residui prese dai registri pubblici. Diversi individui hanno lamentato l’incapacità del commissario per la protezione dei dati competente di agire in difesa dei loro diritti ed hanno dunque deciso di rivolgersi al Tribunale Amministrativo di Wiesbaden, il quale ha poi richiesto alla CGUE di individuare l’ambito di applicazione del GDPR nella questione specifica.
- Analisi dello Scoring
Lo scoring è un processo di valutazione e assegnazione di un punteggio numerico a un individuo o a una entità in base a vari fattori specifici. Nel contesto finanziario, lo scoring del credito è un’applicazione comune. Le agenzie di valutazione del credito utilizzano modelli statistici per analizzare i dati finanziari e comportamentali di una persona, assegnando loro un punteggio di credito. Questo punteggio di credito riflette la probabilità che un individuo o un’azienda onori i propri obblighi finanziari, come il rimborso di prestiti o carte di credito. Maggiori sono il punteggio e la valutazione, maggiori sono le probabilità che il soggetto venga considerato affidabile dal punto di vista finanziario.
Nella decisione della CGUE tale pratica è stata considerata una decisione individuale automatizzata, pratica generalmente vietata dall’articolo 22 del GDPR, che prevede al primo comma il diritto dell’individuo a “non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.”
La corte afferma, infatti, che se i clienti di SCHUFA, come le banche, attribuiscono allo scoring un ruolo decisivo nell’approvazione o meno del credito agli interessati, esso rientra a tutti gli effetti nel divieto previsto dal GDPR. Tuttavia, la sentenza lascia agli organi giudicanti nazionali il compito di valutare se esistono eccezioni, secondo la legge federale tedesca sulla protezione dei dati, in conformità col GDPR.
La CGUE ha anche affrontato il tema della prolungata conservazione dei dati legati all’ottenimento di una liberatoria dai debiti residui, definendo chiaramente come tali pratiche siano in contraddizione con il GDPR quando il periodo di conservazione individuato viene superato. L’importanza di queste informazioni deriva dalla possibilità effettiva delle persone di reintegrarsi nella vita economica e poter accedere nuovamente al credito, la CGUE ha infatti ribadito come l’utilizzo oltre i limiti di tali dati possa danneggiare i diritti e gli interessi degli individui.
Al contrario del periodo di conservazione di sei mesi stabilito dal legislatore tedesco per il registro pubblico delle insolvenze, SCHUFA, secondo il suo codice di condotta, adotta una politica di conservazione di tre anni sui database proprietari. Tuttavia, questo termine di tre anni è stato considerato in violazione del GDPR, in quanto non potrebbe eccedere il termine stabilito per il registro pubblico delle insolvenze, per il quale è previsto un termine di conservazione di 6 mesi.
La CGUE ha chiarito come i diritti dell’interessato devono prevalere allo scadere del periodo di conservazione stabilito dalla legge tedesca per il registro pubblico delle insolvenze. Oltre tale periodo, gli interessati hanno il diritto alla rapida cancellazione degli stessi e le agenzie di credito devono conformarsi prontamente. La sentenza pone sulle corti nazionali il compito di esaminare la liceità della conservazione da parte di SCHUFA di tali dati per i sei mesi, garantendo un delicato equilibrio tra gli interessi dell’agenzia e i diritti degli interessati.
Il panorama digitale è in continua evoluzione e queste sentenze rappresentano una guida per comprendere l’interazione tra algoritmi, pratiche finanziarie e la indispensabile protezione dei diritti degli individui. È anche la prima volta che la CGUE si pronuncia sull’articolo 22 del GDPR, sicuramente una disposizione che sarà al centro dell’attenzione visto il continuo aumentare di applicazioni automatizzate e l’arrivo delle ultime tecnologie di AI per tutte le esigenze.
Sull’attività della Corte in materia di protezione dei dati potrebbe interessarti anche questo articolo: “La CGUE sul diritto di accesso ai dati ai sensi del GDPR”.
Intellectual Property
Protezione uniforme europea a prodotti artigianali e industriali – le nuove indicazioni geografiche
L’entrata in vigore di nuove regole europee sulle indicazioni geografiche per i prodotti artigianali e industriali rappresenta un’importante novità a tutela dei produttori e consumatori dentro e fuori l’Unione Europea.
Il Regolamento (UE) 2023/2411 (il “Regolamento”), entrato in vigore il 16 novembre scorso, apre, infatti, le porte alla protezione in Europa come indicazioni geografiche a prodotti artigianali e industriali realizzati in Europa o in paesi extra-Europei e contribuisce a salvaguardare i prodotti di alta qualità e di tradizioni locali e promuove un turismo sostenibile, rafforzando le economie locali, anche delle zone rurali.
Il Regolamento risponde all’esigenza di una normativa europea che tuteli in modo uniforme i prodotti artigianali e industriali, superando i variegati livelli di protezione sinora previsti in diversi Stati Membri dell’Unione. L’architettura di questo nuovo titolo di proprietà industriale ricalca quella delle indicazioni geografiche protette dei prodotti agro-alimentari, vini e bevande spiritose, il cui legame con il territorio è meno forte rispetto a quello delle denominazioni di origine protette.
- Oggetto di protezione
Il vetro di Murano, il marmo di Carrara, la porcella di Limoges, le posate di Solingen, il tweed del Donegal, i diamanti di Anversa, gli orologi svizzeri, i sigari cubani sono solo alcuni degli esempi di nomi di prodotti artigianali o industriali europei ed extra-europei proteggibili come indicazione geografica, in quanto prodotti realizzati interamente a mano o con l’ausilio di strumenti manuali o digitali, o ancora mediante mezzi meccanici, con il contributo manuale che costituisce una componente importante del prodotto finito oppure ancora prodotti realizzati in modo standardizzato, anche in serie e mediante l’uso di macchine, che soddisfano tre requisiti cumulativi: (i) il prodotto è radicato o è originario di un luogo, una regione o un paese determinato, (ii) a tale origine geografica è essenzialmente attribuibile una data qualità, reputazione o un’altra caratteristica del prodotto e (iii) almeno una delle fasi di produzione ha luogo in tale zona geografica.
Nel 2013 uno studio della Commissione Europea aveva identificato ben 560 prodotti, che potevano beneficiare di protezione, di cui la stragrande maggioranza in Italia, Francia e Germania nell’ambito delle ceramiche, dei tessuti, delle pietre naturali, delle posate, della gioielleria e del vetro, avvalorando la necessità dell’introduzione di questa nuova forma di tutela.
Il Regolamento apre, inoltre, la possibilità per le indicazioni geografiche di paesi terzi di ottenere tutela nell’Unione Europea ed è un’importante opportunità per i produttori di paesi firmatari dell’Atto di Ginevra di proteggere e valorizzare i propri prodotti locali nel mercato europeo.
- Richiedenti
I soggetti che possono presentare la domanda di registrazione del nome del prodotto artigianale o industriale sono le associazioni di produttori o, se ne sussistono i requisiti, un singolo produttore.
In prima istanza la domanda è presentata all’autorità nazionale competente. Ottenuta l’approvazione del disciplinare, del documento unico e della documentazione di accompagnamento e superato il periodo di opposizione, l’autorità nazionale trasmette la domanda all’Ufficio dell’Unione europea per la proprietà intellettuale (EUIPO) per la seconda ed ultima fase di esame.
L’EUIPO è responsabile anche per l’esame delle domande presentate da paesi extra-europei se il prodotto in questione gode di protezione nel Paese di origine.
Nel caso di un prodotto originario di una zona geografica transfrontaliera, vari richiedenti, di diversi Stati membri, di Stati membri e paesi terzi o di paesi terzi, possono presentare domanda congiunta di registrazione di un’indicazione geografica relativa a tale prodotto.
Le domande potranno essere presentate a decorrere dal 1° dicembre 2025 e questo lasso di tempo è necessario per consentire ai produttori di verificare se i propri prodotti soddisfano i requisiti per ottenere il riconoscimento come indicazione geografica e verificare l’esistenza di eventuali marchi ostativi.
- Benefici e tutela
Ottenuta la registrazione, i benefici sono molteplici: i consumatori avranno una garanzia di autenticità dei prodotti artigianali e industriali contrassegnati dal simbolo blu e giallo che riporta le parole “Indicazione Geografica Protetta”, con un impatto economico positivo anche sulle micro, piccole e medie imprese, sull’occupazione, sullo sviluppo e sul turismo nelle regioni rurali e meno sviluppate.
Inoltre, le indicazioni geografiche godranno del medesimo grado elevato di tutela di cui godono le indicazioni geografiche dei prodotti agro-alimentari, vini e bevande spiritose e, quindi, di tutta la giurisprudenza e gli orientamenti che si sono sviluppati avanti il Tribunale dell’Unione Europea, gli uffici marchi e i Tribunali nazionali.
In particolari, questi titoli saranno protetti, (i) da qualsiasi uso commerciale diretto o indiretto dello stesso per prodotti che non sono oggetto di registrazione, qualora questi ultimi siano paragonabili, (ii) da utilizzi che sfruttino, indeboliscano, svigoriscano o danneggino la reputazione dell’indicazione geografica protetta, nonché (iii) da qualsiasi usurpazione, imitazione o evocazione del nome protetto come indicazione geografica e ancora (iv) da qualsiasi altra indicazione falsa o ingannevole relativa alla provenienza, all’origine, alla natura o alle caratteristiche essenziali del prodotto usata sulla confezione o sull’imballaggio, sui materiali pubblicitari, nei documenti o nelle informazioni fornite su interfacce online relative al prodotto, così come l’utilizzo, per il confezionamento del prodotto, di recipienti che possano indurre in errore quanto alla sua origine e, infine, (v) da qualsiasi altra pratica che possa indurre in errore il consumatore quanto alla vera origine del prodotto.
Il Regolamento specifica altresì che la protezione si applica anche a qualsiasi uso di un nome di dominio in violazione dell’indicazione geografica e che l’associazione di produttori o qualsiasi produttore autorizzato a utilizzare l’indicazione geografica protetta ha il diritto di vietare a terzi di introdurre merci nell’Unione, nella normale prassi commerciale, senza la loro immissione in libera pratica, quando tali merci, compreso l’imballaggio, provengono da paesi terzi e sono in violazione dell’indicazione geografica.
Considerati i benefici che il riconoscimento come indicazione geografica protetta comporta e l’ampiezza della tutela, i produttori di prodotti artigianali e industriali non possono che trarre vantaggio dall’ottenimento della tutela come indicazione geografica del nome dei loro prodotti.
Commercial
La CGUE si pronuncia sulla clausola abusiva nei contratti di credito al consumo
Per la CGUE, obbligare il consumatore a pagare costi di credito extrainteressi eccessivi può costituire una clausola abusiva.
Con la sentenza nella causa C-321/22, la Corte di Giustizia dell’Unione europea (CGUE) si è pronunciata sulla potenziale abusività di clausole contrattuali che prevedano costi extrainteressi a carico del consumatore nell’ambito di contratti di credito al consumo.
In particolare, la Corte ha affermato che il carattere abusivo di una clausola relativa a costi extrainteressi di un contratto di mutuo stipulato tra un professionista e un consumatore può essere accertato in considerazione del fatto che tale clausola preveda il pagamento da parte del consumatore di spese o commissioni di importo manifestamente sproporzionato rispetto al servizio fornito in cambio, purché la valutazione del carattere eventualmente abusivo non sia escluso in quanto attinente alla determinazione dell’oggetto del contratto o all’adeguatezza del corrispettivo dei beni e dei servizi, individuati in modo chiaro e comprensibile.
La questione in esame sorge dalla sottoscrizione, da parte di tre cittadini polacchi, di contratti di credito al consumo offerti da professionisti finanziari.
Secondo i suddetti contratti, i tre consumatori avrebbero dovuto pagare – oltre alla somma presa a prestito maggiorata degli interessi – spese e commissioni aggiuntive particolarmente elevate e corrispondenti a diverse decide di punti percentuali rispetto agli importi concessi in prestito (c.d. “costi extrainteressi”).
Ritenendo tali spese e commissioni manifestamente eccessive e irragionevoli, i tre consumatori hanno chiesto al giudice polacco di dichiarare l’inopponibilità nei propri confronti delle clausole in questione (e, dunque, l’abusività delle stesse) in quanto sproporzionate rispetto all’importo prestato e costituenti, di fatto, la principale fonte di reddito del mutuante.
Tramite rinvio pregiudiziale, il giudice polacco ha interpellato la CGUE in merito all’interpretazione della direttiva sulle clausole abusive nei contratti stipulati con i consumatori (Direttiva 93/13/CEE) e, in particolare, in relazione (tra l’altro) alla possibilità di dichiarare le clausole che fissano spese o commissioni dovute a un professionista come abusive per il solo motivo che tali costi extrainteressi siano palesemente eccessivi rispetto alla prestazione del professionista.
Il giudice di rinvio polacco ha precisato che, in generale, è normale che un’impresa di credito cerchi di coprire i suoi costi di gestione nonché i rischi di mancato pagamento e di procurarsi un utile.
Tuttavia, nei procedimenti in oggetto, la remunerazione che il mutuante si sarebbe concesso in un periodo di tempo relativamente breve avrebbe superato tale norma, in quanto sarebbe stata pari a diverse decine di punti percentuali dell’importo prestato, o addirittura vicina a tale importo (i costi extrainteressi avrebbero rappresentato tra il 70% e 90% dell’importo prestato).
Nella sua risposta, la Corte ricorda innanzitutto che una clausola contrattuale che non è stata oggetto di negoziato individuale si considera abusiva se, malgrado il requisito della buona fede, determina un significativo squilibrio dei diritti e degli obblighi delle parti contraenti a danno del consumatore.
Inoltre, secondo costante giurisprudenza, per quanto riguarda l’esame della sussistenza di un significativo squilibrio, esso non può limitarsi a una valutazione economica di natura quantitativa che si basi su un confronto tra il valore complessivo dell’operazione oggetto del contratto e i costi posti a carico del consumatore dalla clausola contrattuale in oggetto.
Un significativo squilibrio può risultare dal mero fatto di un pregiudizio sufficientemente grave alla situazione giuridica in cui il consumatore, quale parte del contratto in questione, viene collocato in forza delle disposizioni nazionali applicabili, sia esso in forma di restrizione al contenuto dei diritti che egli trae da tale contratto o di ostacolo all’esercizio dei medesimi o ancora dell’imposizione di un obbligo ulteriore, non previsto dalla disciplina nazionale.
Da tale giurisprudenza discende che, qualora si accerti che una valutazione economica di natura quantitativa non faccia emergere un significativo squilibrio, il giudice nazionale non possa limitarsi a condurre tale valutazione, ma sia tenuto a esaminare se uno squilibrio risulti da un altro elemento, come una restrizione ad un diritto derivante dal diritto nazionale o un obbligo supplementare non previsto da tale diritto.
Per contro, qualora una valutazione economica di natura quantitativa riveli un significativo squilibrio, quest’ultimo può essere accertato senza che sia necessario esaminare altri elementi.
Secondo la Corte, nel caso di un contratto di credito, tale accertamento può essere effettuato, in particolare, se i servizi forniti come corrispettivo dei costi extrainteressi non rientrino ragionevolmente tra le prestazioni effettuate nell’ambito della conclusione o della gestione di tale contratto, o se gli importi posti a carico del consumatore a titolo di spese di concessione e di gestione del mutuo appaiano manifestamente sproporzionati rispetto all’importo prestato.
Pertanto, nella risposta della CGUE, un significativo squilibrio può derivare dal solo fatto che i costi extrainteressi posti a carico del consumatore siano manifestamente sproporzionati rispetto all’importo concesso in prestito e ai servizi forniti in cambio connessi alla concessione e alla gestione di un credito.
Detto ciò, in linea generale, il carattere abusivo delle clausole può essere valutato solo nel caso in cui esse non mirino a determinare l’oggetto del contratto né l’adeguatezza del corrispettivo dei beni e dei servizi, purché tali elementi siano individuati in modo chiaro e comprensibile (ovverosia, la clausola in oggetto sia intelligibile per il consumatore su un piano grammaticale e il consumatore sia posto in grado di valutare, sulla base di criteri precisi e intelligibili, le conseguenze economiche che gliene derivano).
In particolare, la Corte precisa che – senza che il mutuante sia tenuto a precisare nel contratto la natura di tutti i servizi forniti a fronte delle spese o delle commissioni previste da talune clausole contrattuali – occorre, da un lato, che la natura dei servizi effettivamente forniti possa essere ragionevolmente compresa o dedotta a partire dal contratto considerato nel suo complesso e, dall’altro, che il consumatore sia in grado di verificare che non vi sia sovrapposizione tra le diverse spese o tra i servizi che sono posti a suo carico. Tale esame deve essere effettuato alla luce di tutti gli elementi di fatto pertinenti, tra i quali le clausole del contratto in oggetto, ma anche la pubblicità e l’informazione fornite dal mutuante nell’ambito della negoziazione del contratto.
Ne consegue che, se il giudice nazionale dovesse accertare che le clausole di rilievo non siano formulate in modo chiaro e comprensibile, esse dovrebbero in ogni caso essere oggetto di una valutazione del loro eventuale carattere abusivo, anche qualora detto giudice ritenesse che tali clausole facciano parte dell’oggetto del contratto o che esse siano di fatto contestate con riferimento all’adeguatezza del corrispettivo rispetto ai servizi forniti in cambio.
A titolo esemplificativo, l’assenza di prestazione effettiva del mutuante che possa costituire la contropartita di una commissione prevista in una clausola contrattuale non attiene all’adeguatezza tra l’importo di tale commissione e una qualsivoglia prestazione. Allo stesso modo, una commissione che copra la remunerazione dei servizi connessi all’esame, alla concessione o al trattamento del mutuo o del credito o di altri servizi analoghi inerenti all’attività del mutuante occasionata dalla concessione del mutuo o del credito non può essere considerata come rientrante negli impegni principali risultanti da un contratto di credito.
Alla luce di quanto sopra, spetta quindi al giudice nazionale verificare se determinate clausole contrattuali mirino o meno a definire l’oggetto del contratto o l’adeguatezza del corrispettivo rientrando così nel caso di esclusione di cui all’art. 4(2) della direttiva (art. 34(2) del nostro Codice del Consumo). In caso di risposta affermativa, il giudice nazionale dovrà esaminare se la legislazione nazionale consenta, in quanto normativa che garantisce un livello di tutela più elevato, di procedere all’accertamento della vessatorietà delle clausole stesse.
Su un simile argomento potrebbe interessarti “In arrivo la Direttiva Omnibus in Italia: cosa fare per conformarsi”.
Technology, Media and Telecommunication
Il Consiglio UE adotta il Data Act: nuove disposizioni su accesso equo, utilizzo e condivisione dei dati
Con un recente comunicato stampa, il Consiglio UE ha adottato il nuovo regolamento sui dati, o Data Act, contenente norme armonizzate su accesso equo ai dati, utilizzo, riutilizzo e condivisione dei dati.
Il Data Act si inserisce nel contesto della strategia europea per i dati della Commissione del febbraio 2020, il cui obiettivo è creare un’economia europea basata sui dati solida ed equa. Tale strategia ha previsto l’adozione di due fondamentali iniziative legislative europee: la prima, consolidatasi nel Data Governance Act, avente l’obiettivo di creare i processi e le strutture adeguate per facilitare la condivisione di dati da parte di persone fisiche e giuridiche, incluso nel settore pubblico; la seconda, finalizzata all’adozione del Data Act, volta a chiarire quali soggetti, a determinate condizioni, possono accedere ai dati generati nell’UE, utilizzarli e da essi creare valore. Lo scopo è introdurre nell’UE servizi innovativi e competitivi, in particolar modo per ciò che concerne il settore dell’Internet of Things (IoT).
Attraverso la proliferazione di prodotti connessi ad Internet, le tecnologie hanno trasformato tutti i settori economici. Ciò ha comportato l’aumento del volume e del valore dei dati per i consumatori, per le imprese e per la società. Le istituzioni europee hanno perciò rivolto particolare attenzione alla necessità di garantire l’utilizzo, il riutilizzo e l’interoperabilità di questi dati. A tal proposito, come sottolineato dal Consiglio UE, il Data Act impone ai fabbricanti e ai fornitori di servizi l’obbligo di consentire ai loro utenti, siano essi imprese o privati, di accedere ai dati generati dall’uso dei loro prodotti o servizi (dalle macchine da caffè alle turbine eoliche) e di riutilizzarli. Il Data Act permette agli utenti anche di condividere tali dati con terzi (ad esempio, i proprietari di automobili potrebbero scegliere in futuro di condividere determinati dati del veicolo con un meccanico o con la loro compagnia di assicurazione).
Il Data Act, pertanto, va a definire una normativa armonizzata a livello europeo su:
- la messa a disposizione dei dati di un prodotto connesso e di un servizio collegato all’utente;
- la messa a disposizione dei dati da parte dei titolari ai relativi destinatari;
- la messa a disposizione dei dati da parte dei titolari agli enti pubblici, alla Commissione, alla BCE e agli organismi dell’UE, qualora vi sia una necessità eccezionale, per finalità di pubblico interesse;
- la facilitazione del passaggio dei dati da un servizio di trattamento dei dati ad un altro;
- l’introduzione di misure di tutela e salvaguardia contro l’accesso illecito ai dati non personali;
- l’elaborazione e lo sviluppo di standards di interoperabilità per l’accesso, l’utilizzo ed il trasferimento dei dati.
L’obiettivo principale è garantire che gli utenti di un prodotto connesso o di un servizio collegato nell’UE (da elettrodomestici intelligenti a macchine industriali intelligenti) possano accedere tempestivamente ai dati generati dall’uso di tale prodotto o servizio ed utilizzare i relativi dati, anche condividendoli con terze parti. Detto scopo è ottenibile attraverso l’introduzione di specifici obblighi a carico dei titolari dei dati, che saranno quindi tenuti a mettere i dati a disposizione dei destinatari nell’UE, secondo termini e condizioni equi, ragionevoli e non discriminatori e modalità che garantiscano il rispetto del principio di trasparenza.
Con “prodotto connesso (connected product)” si intende un oggetto che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare i dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o un accesso al dispositivo, e la cui funzione principale non è la memorizzazione, l’elaborazione o la trasmissione di dati per conto di una parte diversa dall’utente. Con “servizio collegato (related service)” si intende, invece, un servizio digitale, diverso da un servizio di comunicazione elettronica, incluso il software, che è collegato al prodotto al momento dell’acquisto, del noleggio o del leasing in modo tale che la sua assenza impedirebbe al prodotto connesso di eseguire una o più delle sue funzioni, o che è successivamente collegato al prodotto dal produttore o da un terzo per aggiungere, aggiornare o adattare le funzioni del prodotto connesso (articolo 2 del Data Act).
Il Data Act introduce varie importanti previsioni. Tra queste rientrano non solo quelle volte a garantire un livello adeguato di protezione dei segreti commerciali e dei diritti di proprietà intellettuale, ma anche misure rilevanti in ambito contrattuale, finalizzate ad impedire l’abuso di squilibri contrattuali che ostacolerebbero l’accesso ai dati ed il loro uso equo. Tra di esse, si possono menzionare misure che hanno lo scopo di:
- consentire ad un consumatore di passare da un fornitore di servizi cloud ad un altro in maniera semplice ed agevole e di essere protetto da trasferimenti illeciti di dati, auspicando la possibilità, per il futuro, di avere a disposizione un servizio post-vendita di determinati dispositivi più efficiente ed economico (Capitolo II del Data Act). Viene inoltre introdotto l’obbligo da parte del venditore/rentor/lessor (il quale potrebbe essere anche il produttore) di un prodotto connesso, e da parte del fornitore di un servizio collegato, di fornire al consumatore informazioni chiare e comprensibili prima della conclusione dei relativi contratti di acquisto, noleggio o leasing di un prodotto connesso, o di fornitura di un servizio collegato;
- prevedere che possa essere concordato, nei rapporti tra imprese, un compenso non discriminatorio e ragionevole per la messa a disposizione dei dati, quando per i titolari dei dati è previsto l’obbligo di mettere i dati a disposizione di un destinatario ai sensi del diritto dell’UE (Capitolo III del Data Act). L’obiettivo è di promuovere investimenti continui nella messa a disposizione dei dati e di evitare oneri eccessivi sull’accesso e sull’uso dei dati che rischierebbero di rendere la condivisione dei dati non più redditizia. In ogni caso, tale compenso non deve essere inteso come un pagamento per i dati stessi;
- proteggere il contraente debole da clausole contrattuali abusive imposte dalla parte che si trova in una posizione negoziale più forte (Capitolo IV del Data Act). In tale caso, si stabilisce che una clausola contrattuale relativa all’accesso e all’utilizzo dei dati, o alla responsabilità e ai rimedi per la violazione o la cessazione degli obblighi relativi ai dati, che sia stata imposta unilateralmente da un’impresa ad un’altra impresa, non sia vincolante per quest’ultima se è abusiva. Il Data Act, a tal proposito, introduce anche un elenco di clausole che sono sempre considerate abusive ed un elenco di clausole che si presumono abusive. Come evidenziato nei Considerando, le clausole elencate come clausole contrattuali abusive nel regolamento sui dati dovrebbero servire come parametro per interpretare la clausola generale di abusività.
Ciò che assume particolare rilevanza nel Data Act è l’esigenza di facilitare il passaggio da un servizio di elaborazione dei dati all’altro, per esempio ricomprendendovi tutte quelle azioni necessarie affinché i clienti di un fornitore di servizi di trattamento dei dati possano, tra l’altro, concludere uno o più nuovi contratti con diversi fornitori di servizi di trattamento dei dati (Capitolo VI del Data Act). Rilevante è anche l’interoperabilità dei dati, che va garantita attraverso il rispetto di determinati requisiti essenziali (Capitolo VIII del Data Act).
Infine, nei mesi successivi all’entrata in vigore del Data Act, la Commissione elaborerà e raccomanderà clausole contrattuali standard non vincolanti sull’accesso e l’utilizzo dei dati, comprese le clausole relative a un compenso ragionevole e alla protezione dei segreti commerciali, e clausole contrattuali standard non vincolanti per i contratti di cloud computing (articolo 41).
Dopo l’adozione formale da parte del Consiglio, il Data Act sarà pubblicato nella Gazzetta ufficiale dell’UE ed entrerà in vigore il ventesimo giorno dopo la pubblicazione. Il Data Act sarà applicabile dopo 20 mesi dalla data di entrata in vigore.
Su un medesimo argomento, potrebbe interessarti anche “Approvato il Data Act, cosa cambia per la tutela dei trade secrets”.
La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Silvia Cerrato, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia Feola, Chiara Fiore, Claudia Galatioto, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Marco Guarna, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Dalila Mentuccia, Deborah Paracchini, Tommaso Ricci, Miriam Romeo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra.
Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.
Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.
Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.
È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.
DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.
Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.