Abstract_Lights_P_0152

30 agosto 202332 minuti di lettura

Innovazione e diritto: le novità della settimana

Podcast

Gian Luca Comandini sul ruolo degli NFT, della blockchain e dell’innovazione

Ripubblichiamo il podcast con Gian Luca Membro del Task Force del MISE sulla blockchain, discute con Tommaso Ricci e Vincenzo Giuffrè di DLA Piper del ruolo degli NFT e del futuro dell’innovazione. L’episodio è disponibile qui.

 

Technology Media & Telecommunications

Digital Services Act: In vigore gli Obblighi per le Grandi Piattaforme Online

Sono in vigore gli obblighi previsti dal Digital Services Act (DSA) per le grandi piattaforme online, i 17 Very Large Online Platforms (VLOPs) e i 2 Very Large Online Search Engines (VLOSEs), designate dalla Commissione europea.

A norma del Digital Services Act (DSA), la Commissione europea (CE) ha designato 17 piattaforme online di dimensioni molto grandi (VLOPs) e 2 motori di ricerca online di dimensioni molto grandi (VLOSEs), ovverosia con un numero medio mensile di destinatari attivi del servizio nell’UE pari o superiore a 45 milioni. Le piattaforme sono state designate dalla CE sulla base dei dati utente che le stesse erano tenute a pubblicare entro il 17 febbraio 2023 (elenco completo delle piattaforme designate disponibile qui).

Le società designate hanno avuto 4 mesi di tempo, che scadono oggi 25 agosto 2023, per conformarsi a tutti i nuovi obblighi stabiliti dal DSA. Tali obblighi mirano a conferire autonomia e responsabilità e a proteggere gli utenti online, compresi i minori, imponendo ai servizi designati di valutare e attenuare i propri rischi sistemici e di predisporre solidi strumenti di moderazione dei contenuti.

Relativamente ai termini e condizioni del servizio, i fornitori di VLOPs e VLOPEs dovranno ora fornire ai destinatari una sintesi concisa delle condizioni generali, di facile accesso e leggibile meccanicamente, compresi le misure correttive e i mezzi di ricorso disponibili, in un linguaggio chiaro e privo di ambiguità. Le condizioni generali dovranno essere pubblicate in tutte le lingue ufficiali degli Stati Membri in cui gli stessi offrono i loro servizi.

In termini di valutazione del rischio, tali fornitori dovranno, individuare, analizzare e valutare con diligenza gli eventuali rischi sistemici nell’UE derivanti dalla progettazione o dal funzionamento del loro servizio e relativi sistemi, compresi i sistemi algoritmici, o dall’uso dei loro servizi. Tra i rischi sistemici da attenuare sono ricompresi, per esempio, (i) la diffusione di contenuti illegali, (ii) eventuali effetti negativi, attuali o prevedibili, per l’esercizio dei diritti fondamentali, tra cui la libertà di espressione e di informazione, inclusi la libertà e il pluralismo dei media, e la non discriminazione, (iii) i rischi specifici relativi alla violenza di genere, alla protezione della salute pubblica e della persona, fisica e mentale, compresi i minori.

Nello svolgimento delle valutazioni, i fornitori dovranno altresì analizzare se e in che modo i rischi siano influenzati dalla manipolazione intenzionale del loro servizio, anche mediante l’uso non autentico e lo sfruttamento automatizzato del servizio, nonché l’amplificazione e la diffusione potenzialmente rapida e ampia di contenuti illegali e di informazione incompatibili con le condizioni generali.

Ove opportuno, ai sensi del DSA, le misure di attenuazione dei rischi potranno includere, tra le altre, (i) l’adeguamento delle procedure di moderazione dei contenuti, compresa la velocità e la qualità del trattamento delle segnalazioni concernenti tipi specifici di contenuti illegali (es. incitamento illegale all’odio, violenza online) e, se del caso, la rapida rimozione del contenuti oggetto della notifica o la disabilitazione dell’accesso agli stessi, nonché l’adeguamento di tutti i processi decisionali pertinenti e delle risorse dedicate alla moderazione dei contenuti, (ii) l’adozione di misure di sensibilizzazione e l’adattamento della loro interfaccia online al fine di dare ai destinatari del servizio maggiori informazioni, (iii) il ricorso a un contrassegno ben visibile per fare in modo che un elemento di un’informazione (es. immagine, contenuto audio o video) generati o manipolati, che assomigli notevolmente a persone, oggetti, luoghi o altre entità o eventi esistenti e che a una persona appaia falsamente autentico o veritiero, sia distinguibile quando è presentato sulle loro interfacce online, congiuntamente alla fornitura di una funzionalità di facile utilizzo che consenta ai destinatari del servizio di indicare tale informazione.

Per quanto riguarda i minori, i fornitori di piattaforme online accessibili ai minori (i) dovranno adottare misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori sul loro servizio, (ii) non potranno più presentare sulla loro interfaccia pubblicità basata sulla profilazione dei minori, (iii) dovranno effettuare valutazioni dei rischi specifiche per i loro servizi e proporzionate ai rischi sistemici, compreso qualsiasi effetto negativo in relazione alla protezione della salute dei minori e alle gravi conseguenze per il loro benessere fisico e mentale, e (iv) dovranno adottare misure di attenuazione ragionevoli, proporzionate ed efficaci, adattate ai rischi sistemici specifici individuati, tra cui, ove opportuno, adottare misure mirate per tutelare i diritti dei minori, compresi strumenti di verifica dell’età e di controllo parentale, o strumenti volti ad aiutare i minori a segnalare abusi od ottenere sostegno.

I fornitori di VLOPs e VLOPEs dovranno altresì sottoporsi, a proprie spese e almeno 1 volta all’anno, a revisioni indipendenti volti a valutarne la conformità agli obblighi disposti dal DSA in materia di dovere di diligenza per un ambiente online trasparente e sicuro e agli impegni assunti a norma dei codici di condotta, anche per la pubblicità online, e dei protocolli di crisi elaborati. Tali revisioni includono l’accesso, da parte delle organizzazioni incaricate, a tutti i dati e ai locali pertinenti e la risposta a eventuali domande rivolte.

In termini di maggiore potere concesso agli utenti, i fornitori di piattaforme online VLOPs e VLOPEs che utilizzano sistemi di raccomandazione dovranno assicurare almeno un’opzione per ciascuno dei loro sistemi non basata sulla profilazione. Inoltre, coloro che presentano pubblicità sulle proprie interfacce online saranno tenuti a compilare e rendere accessibile al pubblico un registrocontenente come minimo le informazioni indicate nel DSA, tra cui (i) il contenuto della pubblicità, (ii) la persona per conto della quale viene presentata la pubblicità e quella che l’ha pagata, se diversa, (iii) un’indicazione volta a precisare se la pubblicità fosse destinata a essere presentata a uno o più gruppi specifici di destinatari e, in tal caso, i principali parametri utilizzati a tal fine, inclusi quelli utilizzati per escludere uno o più di tali gruppi, (iv) le comunicazioni commerciali. I suddetti fornitori dovranno impegnarsi affinché il registro non contenga dati personali dei destinatari del servizio ai quali la pubblicità è stata o avrebbe potuto essere presentata.

In aggiunta, i fornitori di VLOPs e VLOPEs dovranno fornire al coordinatore dei servizi digitali del luogo di stabilimento o alla CE, su loro richiesta motivata ed entro un termine ragionevole, l’accesso ai dati necessari per monitorare e valutare la conformità al DSA tramite interfacce appropriate (es. banche dati online, API).

Su richiesta motivata del coordinatore, i fornitori dovranno altresì fornire l’accesso ai dati accessibili al pubblico ai ricercatori abilitati allo scopo di condurre ricerche che contribuiscano al rilevamento, all’individuazione e alla comprensione dei rischi sistemici nell’UE, nonché per la valutazione dell’adeguatezza, dell’efficienza e degli impatti delle misure di attenuazione dei rischi (qui l’invito della CE a presentare contributi sulle disposizioni previste dal DSA in relazione all’accesso dei ricercatori ai dati).

Ancora, una funzione di controllo della conformità indipendente dalle loro funzioni operative e composta da uno o più responsabili della conformità, compreso il capo della funzione di controllo della conformità, dovrà essere istituita dai fornitori e dovrà disporre di autorità, status e risorse sufficienti, nonché dell’accesso all’organo di gestione del fornitore della piattaforma per monitorarne la conformità al DSA.

L’osservanza del DSA sarà garantita da un’architettura di vigilanza paneuropea. Sebbene l’autorità competente per la vigilanza delle piattaforme e dei motori di ricerca designati sia la CE, quest’ultima collaborerà con i coordinatori dei servizi digitali nel quadro di vigilanza istituito dal DSA. Tali autorità nazionali, responsabili anche della vigilanza sulle piattaforme e sui motori di ricerca più piccoli, dovranno essere istituite dagli Stati membri dell’UE entro il 17 febbraio 2024. Entro la stessa data tutte le altre piattaforme dovranno conformarsi agli obblighi previsti dal DSA e fornire ai propri utenti la tutela e le garanzie previste da quest’ultimo.

Per garantire il rispetto del DSA, la CE sta inoltre rafforzando le proprie competenze multidisciplinari interne ed esterne e ha recentemente istituito il Centro europeo per la trasparenza algoritmica (ECAT), che la coadiuverà valutando se il funzionamento dei sistemi algoritmici sia in linea con gli obblighi di gestione dei rischi. La CE sta inoltre istituendo un ecosistema di applicazione digitale che riunisce le competenze di tutti i settori pertinenti.

Su un simile argomento potrebbe interessarti questo articolo “Pubblicato il Digital Services Act (“DSA”): novità sul regime di responsabilità degli ISPs”.

 

Data Protection & Cybersecurity

Il web scraping sotto la lente dei Garanti: esplorando il fenomeno tra opportunità e rischi per la privacy

Nel panorama sempre più complesso della protezione dei dati personali, prosegue con determinazione la lotta dei Garanti privacy contro il fenomeno del web scraping illegale. Negli ultimi giorni, alcuni Garanti da tutto il mondo hanno reso pubblica una lettera aperta rivolta in particolare alle piattaforme social, evidenziando i rischi che questa pratica comporta in tema di privacy. In Italia, il Garante per la Protezione dei Dati Personali ha recentemente emesso un provvedimento sanzionatorio significativo in materia.

Il termine web scraping (o web harvesting) fa riferimento alla pratica di ricerca ed estrazione di dati dal web, con l'obiettivo di organizzarli in formati facilmente utilizzabile. Il web scraping viene comunemente realizzato in maniera automatizzata, tramite l’impiego di bot o script che navigando attraverso le pagine web, recuperano i dati di interesse organizzandoli in tabelle o banche dati.

Questa pratica ha guadagnato una grande popolarità negli ultimi anni: costituisce infatti una risorsa essenziale per raccogliere e catalogare grandi quantità di informazioni.

In ambito aziendale, il web scraping si dimostra particolarmente utile nel rilevare tendenze emergenti all'interno del mercato. La raccolta di dati riguardanti nuovi prodotti, servizi o trend consente alle aziende di adattare le loro strategie in modo tempestivo, sfruttando al meglio le opportunità che si presentano e orientando le scelte di business. Nel campo dei media e del giornalismo, questa pratica è impiegata per raccogliere e monitorare notizie da diverse fonti. Questo consente agli analisti dei media di rilevare news ed eventi in tempo reale, contribuendo a una copertura informativa più accurata e tempestiva. Infine, in ambito accademico la raccolta di dati da fonti online è ormai essenziale per orientare molte ricerche scientifiche.

Sebbene il web scraping non sia vietato per legge e, anzi, rappresenti una risorsa di notevole rilevanza, l'attenzione si sposta sui rischi emergenti quando questa pratica coinvolge dati personali degli utenti, con conseguenti implicazioni per la privacy e la sicurezza. Particolare rilevanza ha il tema nel caso dei social media che costituiscono uno dei principali serbatoi di dati personali, dati che gli utenti condividono volontariamente. Nonostante le piattaforme di social networking stabiliscano spesso nei loro Termini e Condizioni il divieto di attività di web scraping, ciò non impedisce del tutto comportamenti abusivi e illeciti.

  • I rischi del web scraping: la lettera aperta dei Garanti

    • Il 24 agosto scorso, le Autorità garanti per la protezione dei dati hanno unito le loro voci in una lettera aperta indirizzata in particolare ai principali social network. La comunicazione affronta in modo diretto i rischi per la privacy derivanti dal “rastrellamento” dei dati all'interno dei social media e di altri siti web accessibili pubblicamente. Le autorità hanno sottolineato un concetto chiave: nonostante le informazioni personali siano considerate "pubblicamente disponibili", "pubblicamente accessibili" o "di natura pubblica" su Internet, esse restano comunque soggette alle leggi vigenti in materia di protezione dei dati, indipendentemente dalla scelta degli utenti di renderle accessibili al pubblico.

    Nella lettera, i Garanti hanno spiegato che l’utilizzo di questa pratica espone gli utenti a numerosi pericoli, tra questi i principali sono:

    • Attacchi informatici mirati: ad esempio, le informazioni di identità e di contatto possono essere pubblicate sui "forum di hacking" o utilizzate da malintenzionati in attività di social engineering targhettizzato o di phishing;
    • Furto d'identità: i dati raccolti possono essere utilizzati per presentare richieste fraudolente di prestiti o carte di credito o per impersonare una persona creando falsi account sui social media;
    • Monitoraggio, profilazione e sorveglianza: i dati possono essere utilizzati per alimentare database di riconoscimento facciale e fornire accesso non autorizzato a servizi delle autorità;
    • Scopi politici o di raccolta di informazioni non autorizzati: i dati possono essere utilizzati da governi stranieri o agenzie di intelligence per scopi non autorizzati;
    • Marketing diretto o spam indesiderato: i dati possono includere informazioni di contatto che possono essere utilizzati per attività di marketing indesiderate.

    In una prospettiva più ampia, il controllo sulle proprie informazioni personali sfugge agli individui quando queste vengono catturate a loro insaputa. Rimane sempre in generale il rischio che tali dati vengano aggregati e/o combinati con altre informazioni personali e utilizzarli per scopi inaspettati. Questo processo potrebbe minare la fiducia degli individui nei confronti dei social media e di altre piattaforme web, generando potenzialmente effetti negativi nell'ambito dell'economia digitale.

    La lettera aperta in questione richiama all'azione, evidenziando la necessità di interventi concreti. In tale contesto, spetta alle piattaforme social e ad altri siti web assicurare la tutela delle informazioni personali dalle attività di data scraping non autorizzato. Considerando l'evoluzione costante delle tecniche di estrazione di valore da dati accessibili al pubblico, la sicurezza dei dati diviene una responsabilità dinamica che richiede continua vigilanza. I Garanti hanno infine esortato le piattaforme web ad incrementare i controlli tecnici e ad adottare procedure multi-livello per mitigare i rischi legati a questa pratica.

  • Il recente Provvedimento del Garante Privacy italiano

    • Con Provvedimento del 17 maggio 2023, l’Autorità Garante per la Protezione dei Dati Personali ha sanzionato il titolare di un sito web che rendeva disponibile un database di numeri telefonici e indirizzi di oltre 26 milioni di utenti ottenuti “rastrellando” il web.

    Il Garante si è attivato a seguito della segnalazione di numerosi utenti che lamentavano la pubblicazione non autorizzata dei loro dati personali online. In alcuni casi la pubblicazione avrebbe riguardato anche dati personali di soggetti che avevano particolari esigenze di riservatezza per motivi connessi all’attività lavorativa svolta, la cui diffusione dei recapiti personali avrebbe costituito un importante fattore di rischio per l’incolumità dei soggetti in questione e delle loro famiglie.

    Dalle indagini del Garante è emerso che parte dei dati contenuti nell’archivio del sito erano estrapolati da uno spider che effettuava quotidianamente la scansione di migliaia di siti web.

    Come ha ribadito il Garante, in questa occasione, la raccolta di dati personali liberamente disponibili in Internet mediante tecniche di web scraping costituisce un trattamento di dati personali: alla luce delle norme in tema di protezione dei dati europee, tale attività deve trovare legittimazione in una delle basi giuridiche previste dall’art. 6 GDPR. La costituzione di elenchi telefonici, tra l’altro, è consentita in Italia solo se questi sono estratti dal Data Base Unico che contiene i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

    Nel caso di specie, i dati personali erano stati acquisiti e trattati senza alcun consenso degli interessati e senza che fosse invocabile alcuna altra base giuridica. Per questa e per altre irregolarità riscontrate, il Garante ha condannato il proprietario del sito per illecito trattamento dei dati personali, comminandogli una sanzione pari a 60.000 euro.

    L’Autorità Garante ha più volte avuto modo di affrontare il tema del web scraping illegale in passato. In un importante caso risalente a febbraio 2022, la società Clearview AI è stata condannata al pagamento di 20 milioni di euro. Tra le violazioni contestate figurava anche il web scraping.

    In conclusione, sebbene il web scraping abbia il potenziale per offrire vantaggi significativi in diversi contesti, l'estrazione di dati personali dai social media presenta rischi notevoli per la privacy, la sicurezza e la legalità. È fondamentale che gli sviluppatori, le aziende e gli individui esaminino attentamente le implicazioni etiche e legali prima di intraprendere attività di web scraping soprattutto quando queste riguardano dati personali.

    Sull’argomento può essere di interesse il seguente articolo: “Il Garante sanziona Clearview AI per 20milioni per monitoraggio biometrico”.

 

Dati sintetici e intelligenza artificiale: risorsa o minaccia per la privacy?

Lo sfruttamento di enormi quantità di dati personali per l’addestramento dei sistemi di intelligenza artificiale genera numerose minacce per la privacy delle persone, è opinione di molti che l’utilizzo di dati sintetici potrebbe costituire una importante risorsa per proteggere la privacy degli individui.

  • I dati sintetici come strumento di minimizzazione

    • Come evidenziato dal Comitato Consultivo della Convenzione sulla Protezione delle Persone rispetto al Trattamento Automatizzato di Dati a Carattere Personale (Convenzione 108), un’innovazione responsabile nel settore dell’AI necessita di un approccio incentrato sulla prevenzione e attenuazione dei potenziali rischi del trattamento dei dati personali.

    L’uso di dati sintetici può rappresentare una soluzione atta a minimizzare la quantità di dati personali trattati dalle applicazioni di intelligenza artificiale, evitare la riconducibilità delle informazioni ai soggetti a cui si riferiscono (garantendo l’irreversibilità della de-identificazione) e superare gli ostacoli all’evoluzione tecnologica posti dalla normativa sulla protezione dei dati personali.

    I dati sintetici – così definiti perché ottenuti tramite un processo di sintetizzazione – sono informazioni fittizie, ricavate partendo da dati reali, grazie ad algoritmi di machine learning di tipo generativo. L’algoritmo è addestrato per riprodurre le caratteristiche e la struttura dei dati originali, consentendo in tal modo di ottenere risultati accurati in chiave statistica.

    Il processo di sintetizzazione – che può essere attuato tramite diverse tecniche – prende le mosse da un dataset reale, che può includere informazioni di qualsiasi genere (comprese le immagini), per ottenere un insieme di dati artificiali che riflettono le caratteristiche del dataset originario. Questo processo permette di riprodurre le caratteristiche e la struttura delle informazioni di partenza, senza che sia necessario riprodurre o risalire agli elementi identificativi di quelli di partenza (i.e., rivelare alcun dato personale).

  • I dati sintetici permettono di superare i limiti dell’anonimizzazione

    • Queste caratteristiche rappresentano un importante progresso rispetto alla possibilità di sfruttare dati personali perché permettono di superare gli inconvenienti connessi all’utilizzo di dati anonimizzati. Come noto, la normativa sulla tutela dei dati personali non trova applicazione ai dati anonimizzati poiché non rientrano nella nozione di “dati personali”.

    Tuttavia, perché possa parlarsi davvero di dati anonimizzati, è necessario che sia impossibile risalire all’identità dell’individuo a cui si riferiscono. Tale circostanza rappresenta un freno all’utilizzo delle informazioni, sia perché il progresso tecnologico ha reso molto difficoltoso garantire l’assoluta irreversibilità dei dati ottenuti, sia perché la sottrazione di ogni elemento identificativo per garantire la piena anonimizzazione comporta spesso la riduzione dell’utilità dei dati così ottenuti.

    Simili problematiche possono superarsi proprio grazie al processo di sintetizzazione descritto.

    Inoltre, il fatto che i dati sintetici – come i dati anonimi – non siano qualificabili come “dati personali”, rende inapplicabile al loro utilizzo la normativa sulla tutela di tali dati, che prevede molti ostacoli allo sfruttamento delle informazioni. L’AI Act equipara i dati sintetici e quelli anonimizzati quando, all’art. 54, disciplina le condizioni di utilizzo dei dati personali per lo sviluppo nello spazio di sperimentazione normativa per l’intelligenza artificiale.

    Quanto precede spiega le ragioni per cui l’utilizzo di dati sintetici sia sempre più frequente nel settore dell’apprendimento automatico i cui algoritmi hanno bisogno di un’enorme quantità di dati per essere “addestrati”.

  • I rischi per la privacy derivanti dall’utilizzo di dati sintetici

    • Nessun rischio allora per la privacy? Purtroppo, non è così.

    Sebbene abbiano natura artificiale, i dati sintetici vengono ottenuti partendo da informazioni reali, che devono dunque essere trattate nel rispetto della normativa sulla protezione dei dati personali.

    In primo luogo, questo deve essere tenuto presente nella fase della raccolta delle informazioni da utilizzare nel processo di sintetizzazione. Il rispetto delle disposizioni normative a tutela dei dati personali deve essere assicurato quando si selezionano o si ottengono le informazioni che l’algoritmo dovrà sintetizzare. In particolare, è necessario garantire che gli individui siano debitamente informati delle finalità del trattamento dei rispettivi dati, abbiano la possibilità di mantenere un controllo sul loro utilizzo e tale utilizzo sia fondato su un’adeguata base giuridica.

    Ciò è particolarmente importante se si considera che, a norma dell’art. 2-decies del Codice Privacy (D.lgs. n. 196/2003 ss.mm.), i dati personali trattati in violazione della disciplina sul trattamento dei dati personali non possono essere utilizzati.

    Inoltre, occorre definire adeguati criteri per verificare che l’algoritmo di sintetizzazione non sia viziato da carenze nella rielaborazione del dataset originario, tali da permettere di risalire all’identità degli interessati.

    È necessario che siano adottate le misure atte ad evitare la possibilità di risalire ai dati originari. Secondo l’EDPS, è necessario eseguire un “privacy assurance assessment” per valutare in che misura gli interessati potrebbero essere reidentificati e quali informazioni verrebbero rivelate su di loro in tal caso.

    D’altra parte, dovrebbero essere adottate le cautele opportune per garantire un utilizzo trasparente dei dati sintetici, evitando il rischio di distorsioni potenzialmente molto dannose (si pensi di furto d’identità o alla tecnica del “deep fake”, che consente di creare contenuti multimediali sintetici che possono generare effetti distorsivi sull’opinione pubblica).

    Infine, è necessario scongiurare il rischio di discriminazione che potrebbe derivare dall’uso di dati sintetici che non siano adeguatamente rappresentativi dei fenomeni cui si rivolgono. La qualità dei dati sintetici è strettamente correlata con quella delle informazioni originali e del modello di generazione dei dati. I dati sintetici possono riflettere i bias presenti nel dataset di partenza. Tale rischio è acuito dalla difficoltà di verificare gli output dell’algoritmo, soprattutto quando si ha a che fare con dataset particolarmente complessi.

    Le riflessioni che precedono evidenziano come i dati sintetici – al pari di molte altre novità introdotte dall’AI – possano rappresentare uno strumento utilissimo, del cui impiego potrebbe beneficiare l’intera società. È però necessario che il loro utilizzo sia controllato e avvenga nel rispetto della normativa vigente, in particolare quella a tutela dei dati personali. Anche in quest’ottica, si auspica che l’AI Act fornisca risposte chiare e sia in grado di assicurare un uso responsabile della tecnologia in discussione.

    Su un simile argomento, può essere interessante l’articolo: “I dati sintetici sui problemi IP e privacy dell'intelligenza artificiale.

 
Intellectual Property

Entra in vigore la Legge n. 93/2023 sul contrasto alla pirateria online

L’ 8 agosto 2023 è entrata in vigore la Legge n. 93/2023 sulla distribuzione illecita di contenuti protetti dal diritto d'autore attraverso le reti di comunicazione elettronica.

Le disposizioni introdotte dalla Legge 93/2023 sono volte a proteggere la proprietà intellettuale e tutte le figure ad essa collegate, come aziende, scrittori, artisti e creativi. Il testo mira ad incentivare una maggiore responsabilità tra gli intermediari e gli utenti online, garantendo al contempo i diritti legati alla riservatezza delle comunicazioni e sostenendo la libertà di esprimersi e di informare.

Inoltre, il nuovo pacchetto legislativo si basa su "principi fondamentali" stabiliti negli articoli 41 e 42 della Costituzione, nell'articolo 17 della Carta dei diritti fondamentali dell'Unione europea e nella Convenzione di Parigi, relativa alla protezione e alla promozione della varietà delle espressioni culturali. Difatti, si enfatizza l'importanza della tutela della proprietà intellettuale per l'innovazione e la creatività e si sottolinea la necessità di sostenere le creazioni italiane, anche economicamente, e di responsabilizzare gli intermediari online contro la contraffazione.

  • Il contesto e il motivo dell’intervento

    • Per comprendere meglio il contesto, è importante sottolineare che le attività criminali legate alla pirateria hanno un impatto economico notevole, causando perdite per circa 1,7 miliardi di euro in termini di fatturato nell'industria audiovisiva. Secondo l'indagine del 2022, realizzata da IPSOS per FAPAV (Federazione per la Tutela delle Industrie dei Contenuti Audiovisivi e Multimediali), i numeri sulla pirateria digitale, in particolare nel campo audiovisivo e sportivo, sono preoccupanti. Infatti, i dati mostrano che il 42% della popolazione adulta ha avuto a che fare con contenuti piratati come film, serie e eventi sportivi in diretta.

    Il sondaggio di Ipsos mostra anche che la pirateria digitale rappresenta il principale canale di accesso a contenuti illeciti. Pertanto, la strategia più efficace per combatterla sembra essere il blocco dei siti pirata.

  • Intervento del legislatore

    • Di fronte a questo scenario, il legislatore ha introdotto misure ancora più severe contro la pirateria online.

    In particolare, l'art. 2 amplia i poteri dell’Autorità per le Garanzie nelle Comunicazioni (AGCOM), che mediante un provvedimento può bloccare l'accesso a contenuti illegali, estendendo il blocco anche a futuri domini o indirizzi IP correlati. Tale provvedimento è adottato in risposta a una richiesta presentata dal detentore del diritto, dal licenziatario, da un'entità di raccolta a cui il titolare ha dato mandato, o da una figura riconosciuta come "segnalatore attendibile", come definito ai sensi dell'articolo 22, paragrafo 2, del Digital Service Act (DSA).

    A seguito dell'emanazione dell'ordine di disabilitazione, quest’ultimo è tempestivamente notificato dall’Autorità ai fornitori di servizi internet, ai gestori di motori di ricerca e a coloro che facilitano l'accesso ai siti o servizi illegali. Chi gestisce tali siti è obbligato ad attuare le direttive dell'Autorità al più presto, e comunque entro 30 minuti dalla ricezione della notifica. Successivamente, l'Autorità inoltra un elenco delle disabilitazioni alla Procura della Repubblica del Tribunale di Roma. Quando richiesto dall’Autorità, gli enti soggetti a queste misure riferiscono anche alla Procura le azioni eseguite in seguito agli ordini e condividono tutte le informazioni utili a identificare chi ha divulgato il contenuto illecitamente.

    Più in generale, l'art. 3 introduce misure più rigide contro la pirateria legata al cinema, all'audiovisivo e all'editoria, prendendo di mira esplicitamente il “camrecording” - la registrazione non autorizzata nelle sale cinematografiche - che viene ora riconosciuto come reato. Questa fattispecie riguarda chi effettua registrazioni su supporti digitali, sia audio che video, di opere cinematografiche, audiovisive o editoriali, o chi ne fa una riproduzione o comunicazione illecita. Ad oggi, la sanzione pecuniaria prevista per questo tipo di illecito è pari a 5.000 euro, rispetto ai precedenti 1.032 euro.

    In conclusione, il nuovo quadro legislativo mira a bilanciare un'azione di contrasto efficace con l'investimento nella cultura della legalità, in sinergia con le nuove misure europee. Queste direttive si integrano perfettamente con le nuove normative europee, introdotte dal DSA, volte a garantire la rettitudine dei nuovi intermediari digitali.

    Su un simile argomento, può essere interessante l’articolo: “Prodotti contraffatti e pirateria online: il nuovo report EUIPO“.

 
Intellectual Property

Marchi registrati e la complessità delle convivenze sul mercato: analisi e consigli per un approccio informato

Nel contesto giuridico delle controversie legate ai marchi registrati, la divisione d'opposizione dell’EUIPO ha recentemente portato alla luce una questione cruciale: l'interpretazione dell'esistenza di più marchi registrati e la loro rilevanza nell'ambito del mercato (opposizione B003147339). La dicotomia tra la registrazione formale e l'effettivo utilizzo sul mercato rivela la complessità dell'analisi che deve essere condotta per giungere a conclusioni valide in tali contesti.

La divisione d'opposizione, nel suo ragionamento, pone l'attenzione sul fatto che la mera esistenza di marchi registrati non costituisce, di per sé, un elemento determinante. Questa considerazione non riflette necessariamente le dinamiche in atto all'interno di un mercato. In altre parole, non è possibile dedurre con certezza che tutti i marchi in questione siano stati effettivamente utilizzati, basandosi solamente sui dati presenti nei registri.

Inoltre, va presa in considerazione la possibilità di accordi tra le imprese. La situazione non è sempre lineare: la coesistenza di marchi simili può risultare dall'effetto di accordi di coesistenza stipulati tra le parti coinvolte. Questi accordi possono derivare da ragioni diverse, tra cui circostanze di fatto o di diritto verificatesi in passato, oppure da intese che riconoscono diritti anteriori tra le parti. Questa dimensione apre ulteriormente l'ambito delle analisi, richiedendo un'approfondita considerazione dei contesti specifici.

Tuttavia, è importante sottolineare che la valutazione della convivenza di marchi simili deve essere affrontata caso per caso. Non esiste una formula standard o una linea guida universale che possa essere applicata a tutte le situazioni. Ogni situazione richiede un esame approfondito delle circostanze, delle prove presentate e dei fattori che giustificano la coesistenza dei marchi.

Per i titolari di marchi e le imprese interessate, è essenziale adottare un approccio diligente e informato nell'ambito dei marchi registrati. Ecco alcuni consigli che possono risultare utili:

  • Ricerca approfondita: prima di registrare un marchio o intraprendere azioni legali relative ai marchi, è fondamentale condurre ricerche approfondite. Questo può aiutare a valutare la presenza di marchi simili e a comprendere meglio il panorama competitivo.
  • Evidenze tangibili: nel contesto legale, è cruciale presentare prove concrete che dimostrino l'effettivo utilizzo del marchio sul mercato. Questo può rafforzare le affermazioni e aumentare le possibilità di successo in caso di controversie.
  • Considerazione delle circostanze: ogni situazione è unica. Valutare attentamente le circostanze specifiche e i fattori che giustificano la convivenza dei marchi può contribuire a prendere decisioni informate.
  • Flessibilità e adattamento: l'ambiente commerciale è in continua evoluzione. I titolari di marchi dovrebbero essere pronti a essere flessibili e adattarsi alle mutevoli dinamiche del mercato.

In conclusione, la questione dell'analisi dei marchi registrati e della loro convivenza è un'area giuridica complessa che richiede un approccio ponderato. La mera registrazione non rappresenta necessariamente la realtà del mercato, e la coesistenza dei marchi può derivare da diverse ragioni, spesso legate ad accordi tra le parti coinvolte. Tuttavia, la valutazione di tali questioni deve essere condotta con attenzione e basata su prove solide. Quanto asserito dalla divisione d'opposizione riflette la necessità di una valutazione caso per caso e sottolinea che solo argomentazioni ben fondate possono giustificare pretese legate ai marchi registrati nell'ambito giuridico. Con una comprensione approfondita delle leggi, delle normative e delle dinamiche commerciali, i titolari di marchi possono navigare con successo in questo complesso panorama legale.

Su di un simile argomento, il seguente articolo può essere di rilievo: “L'importanza dell'uso effettivo di un marchio per la proteggibilità”.

 
Life Sciences

Le implicazioni dell’intelligenza nel settore dei dispositivi medici

L’AI sta rivoluzionando il settore Life Sciences, offrendo soluzioni tecnologiche in grado di avere un impatto significativo sul settore dei dispositivi medici, in particolare sullo sviluppo di nuovi prodotti, la cura dei pazienti e l’efficienza e la sostenibilità dei sistemi sanitari nazionali.

  • La qualificazione di prodotti integranti software basati su AI come dispositivi medici

    • Sotto un profilo regolatorio, i prodotti che contengono software basati sull’AI possono essere considerati dispositivi medici a seconda della specifica destinazione d’uso individuata dal fabbricante. In linea generale, solo i software con una finalità medica– ad esempio utilizzati per la diagnosi, monitoraggio o prevenzione di una malattia – si qualificano come dispositivi medici. Diversamente, i software con una destinazione d’uso “generica” e non medico-diagnostica non ricadono in tale categoria, anche se pensati per essere utilizzati in un contesto sanitario.

    Si pensi, ad esempio, ai software che raccolgono, archiviano, memorizzano o trasmettono i dati acquisiti mediante specifiche apparecchiature elettromedicali: tali prodotti creano una banca dati consultabile nell’erogazione di prestazioni sanitarie, ma – in quanto privi di una specifica finalità medica – normalmente non si qualificano come dispositivi medici. La classificazione di un software come dispositivo medico è di particolare importanza in quanto comporta l’applicazione di requisiti specifici al fine di garantire la protezione della salute dei pazienti e degli utenti.

    È indubbio che negli ultimi anni il settore dei dispositivi medici abbia visto un aumento esponenziale di prodotti che contengono software di AI. L’utilizzo di tali sistemi e soluzioni permette di migliorare la precisione delle diagnosi e ridurre gli errori umani – identificando patologie in modo più accurato – nonché di offrire soluzioni terapeutiche che possono aumentare le possibilità di guarigione, incidendo positivamente sull’efficacia dei trattamenti. Una migliore efficienza degli strumenti a disposizione si traduce in una riduzione dei tempi di accesso e durata delle cure, con un evidente vantaggio sia per i pazienti che per i sistemi sanitari.

  • Esempi di dispositivi medici che sfruttano l’AI

    • Numerosi sono gli esempi di dispositivi medici che sfruttano l’AI: dai software in grado di assistere i medici nella diagnosi di una patologia, a quelli che suggeriscono opzioni di trattamento personalizzate sulla base di dati specifici riferiti al paziente, come ad esempio il profilo genetico. Ancora, l’AI ha trovato numerose applicazioni sia nel campo della radiologia (dove diversi software attualmente sul mercato analizzano i dati delle immagini e rilevano eventuali anomalie) sia nella chirurgia, dove sempre più spesso i chirurghi vengono assistiti da sofisticati dispositivi per effettuare gli interventi più delicati.

    Non si pensi, tuttavia, che i dispositivi medici che sfruttano l’AI debbano necessariamente essere dei prodotti complessi e accessibili esclusivamente agli operatori sanitari. Al contrario, diverse soluzioni sono state pensate appositamente per essere messe a disposizione dei pazienti nella gestione quotidiana e nel monitoraggio di numerose patologie. Un valido esempio è costituito dai prodotti destinati ai pazienti con diabete e che sono in grado di monitorare continuamente i livelli di zucchero nel sangue e regolare automaticamente la somministrazione di insulina.

  • L’impatto dell’AI Act sui dispositivi medici

    • Se, come osservato, sotto un profilo regolatorio i software di AI con finalità mediche sono considerati dispositivi medici, occorre tuttavia menzionare una possibile novità normativa che interesserà l’intero settore. L’Unione Europea sta infatti discutendo la proposta di AI Act che potrebbe avere un grande impatto sui dispositivi medici che contengono software di AI. In base alle previsioni attualmente contenute nella proposta, tali prodotti potrebbero infatti essere soggetti a un duplice regime normativo – quello dei dispositivi medici e quello dei prodotti che contengono AI – con un considerevole aumento degli obblighi regolatori a carico dei soggetti coinvolti nella supply chain.

    In conclusione, l’utilizzo dell’AI nei dispositivi medici comporta già ad oggi il rispetto di specifici requisiti a tutela della salute dei pazienti. Nei prossimi anni, normative di imminente adozione potrebbero aumentare il numero degli adempimenti regolatori applicabili. Il tema è oggetto di grande dibattito all’interno dell’industria, dove numerose voci sottolineano l’importanza di evitare la moltiplicazione degli obblighi a carico dei soggetti coinvolti nella supply chain. Nonostante un quadro normativo in rapida evoluzione e che lascia, ad oggi, adito ad alcune incertezze interpretative, il ricorso a sistemi di AI offre indubbiamente opportunità significative per migliorare la salute dei pazienti e l’efficienza dei sistemi sanitari. Gli sviluppi dell’innovazione tecnologica e del quadro normativo nel settore Life Sciences sono pertanto attesi con grande interesse.

    Sull’argomento può essere di interesse il seguente articolo: “Cosa prevede l'accordo sull'AI Act del Parlamento europeo”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Chiara Fiore, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

Competenze correlate

TechnologyLife SciencesConsumer Goods, Food and RetailIntellectual Property