Innovazione e diritto: le novità della settimana

Data Protection & Cybersecurity

Regolamento DORA: le ESA lanciano una consultazione sulle prime norme tecniche

Le Autorità di vigilanza europee (congiuntamente le ESA) hanno lanciato una consultazione sulle prime norme tecniche di regolamentazione e di attuazione relative al Regolamento DORA.

L’entrata in vigore del Regolamento DORA rappresenta una svolta per la cybersecurity nel settore finanziario ed assicurativo ed il processo per conformarsi alle sue molteplici disposizioni richiede diverse attività. Il Regolamento Dora però non è esaustivo nel suo complesso e necessita l’adozione di standard tecnici regolatori specifici la cui redazione è affidata alle autorità europee di vigilanza.

Nello specifico l’European Supervisory Authority (ESA), l’European Banking Authority (EBA), l’European Securities and Markets Authority (ESMA) nonché l’European Insurance and Occupational Pensions Authority (EIOPA) sono chiamate a definire idonei standard tecnici che possano fornire delucidazioni circa le indicazioni operative sugli specifici requisiti introdotti dal Regolamento DORA. Molti di tali requisiti dovranno essere identificati entro un periodo di 12/18 mesi (a seconda dei casi) lasciando quindi alle rilevanti società la possibilità di implementare le misure identificate nei successivi mesi in ogni caso entro gennaio 2025. 

In tale ottica, negli scorsi giorni, le ESA hanno avviato una consultazione pubblica sul primo gruppo di norme tecniche di regolamentazione (RTS) e delle norme tecniche di attuazione (ITS). Questi standard tecnici mirano a garantire un quadro giuridico coerente e armonizzato nelle aree della gestione del rischio ICT, della segnalazione di incidenti gravi legati alle ICT e della gestione del rischio ICT di terzi.

Ma vediamo con più dettaglio che obblighi introducono questi primi set di norme tecniche sul Regolamento DORA.

• RTS sul quadro di gestione del rischio ICT (articolo 15 del Regolamento DORA) e RTS sul quadro semplificato di gestione del rischio ICT (articolo 16 (3) del Regolamento DORA).

Data la stretta connessione tra l’art. 15 e l’art. 16 del DORA, che disciplinano entrambi alcuni aspetti del quadro di gestione del rischio ICT, i due set di standard tecnici sono stati raggruppati in un unico testo per garantire una trattazione completa e coerente del tema.

Questo primo gruppo di standard stabilisce infatti definisce in maniera più approfondita: (i) le politiche di sicurezza ICT, procedure, protocolli e strumenti (inclusi i requisiti per: governance, gestione dei rischi ICT, gestione dei beni ICT, crittografia e crittografia, sicurezza delle operazioni ICT, sicurezza di rete, gestione dei progetti ICT e dei cambiamenti, sicurezza fisica, sensibilizzazione e formazione sulla sicurezza ICT e delle informazioni); (ii) componenti di controllo sulla gestione degli accessi e le politiche sulle risorse umane; (iii) meccanismi di rilevamento e risposta agli incidenti correlati all'ICT, (iv) componenti della gestione della continuità operativa ICT, (v) contenuto e formato della relazione sulla revisione del quadro di gestione dei rischi ICT.

I requisiti stabiliti nelle RTS si integrano con i requisiti già definiti nel quadro di gestione dei rischi ICT previsto da DORA e devono quindi essere letti congiuntamente agli articoli 5-16 del DORA che trattano la stessa materia.

Rispetto al quadro semplificato di gestione dei rischi ICT, che troverebbe applicazione alle entità finanziarie più piccole o meno interconnesse, le RTS integrano i requisiti stabiliti nell'art. 16 di DORA precisando gli aspetti relativi a (i) elementi di sistemi, protocolli e strumenti per ridurre al minimo l'impatto del rischio ICT, (ii) gestione della continuità operativa ICT e (iii) relazione sulla revisione del quadro di gestione dei rischi ICT.

• RTS sui criteri per la classificazione degli incidenti ITC (articolo 18 (3) del Regolamento DORA)

Il secondo gruppo di standard tecnici specificano requisiti armonizzati per la classificazione degli incidenti ICT da parte delle entità finanziarie. In particolare, gli RTS definiscono l'approccio di classificazione e le soglie di rilevanza per identificare gli incidenti ICT significativi, per i quali scatta quindi l’obbligo di segnalazione alle autorità competenti, e i criteri e le soglie da adottare nella classificazione delle minacce informatiche significative. Individuano inoltre i criteri che le autorità competenti dovrebbero adottare per valutare la rilevanza degli incidenti ICT significativi nei confronti delle autorità competenti negli altri Stati membri e i dettagli delle informazioni da condividere con esse.

• ITS per stabilire i modelli per il registro delle informazioni (art. 28(9) del Regolamento DORA)

Il terzo set di norme di attuazione (ITS) individua alcuni modelli armonizzati che le entità finanziarie dovrebbero adottare per redigere il registro delle informazioni sugli accordi contrattuali conclusi con i fornitori di servizi ICT a livello individuale, consolidato e sub-consolidato (ai sensi dell’articolo 28(3 DORA)).

I modelli sono stati ideati tenendo conto della triplice finalità che ha il registro delle informazioni, ossia: (i) essere un elemento strutturale del quadro di gestione dei rischi ICT delle entità finanziarie; (ii) consentire la supervisione efficace delle entità finanziarie; (iii) consentire all’ESA di vigilare sulla contrattualizzazione di fornitori di servizi ICT ritenuti critici a livello dell'UE.

Per semplificare l'impostazione dei registri da parte delle entità finanziarie, la bozza degli ITS contiene due diversi set di modelli per i registri a livello di singola entità e a livello sub-consolidato e consolidato.

• RTS per le policy sui servizi ITC forniti da fornitori terzi (articolo 28 (10) del Regolamento DORA

Infine, questo quarto gruppo di RTS si focalizza sulle fasi del ciclo di vita relativo alla gestione degli accordi conclusi con le terze parti ICT. Nello specifico, le norme tecniche definiscono il contenuto delle policy sull'utilizzo dei servizi ICT che supportano funzioni critiche o importanti, dettagliando i seguenti aspetti: (i) la fase pre-contrattuale (ovvero la pianificazione degli accordi contrattuali, compresa la valutazione del rischio, la due diligence e il processo di approvazione di nuovi o significativi cambiamenti a tali accordi contrattuali di terze parti); (ii) l'implementazione, il monitoraggio e la gestione degli accordi contrattuali per l'uso dei servizi ICT che supportano funzioni critiche o importanti; (iii) la strategia di uscita e i processi di terminazione. Gli standard sono stati sviluppati facendo leva sull'esperienza con gli accordi di outsourcing della gestione.

La consultazione pubblica sul primo lotto degli standard tecnici è aperta fino all'11 settembre 2023. Sulla base dei risultati delle consultazioni gli standard tecnici verranno finalizzati e presentati alla Commissione Europea entro il 17 gennaio 2024 in modo da permettere l’adozione in tempo per l’applicazione del Regolamento DORA a partire dal 17 gennaio 2025.

Rimane però ancora un secondo lotto di standard tecnici che dovrebbero essere pubblicati ai fini della consultazione pubblica entro il dicembre 2023. Questo riduce di molto il tempo per la finalizzazione dei documenti e quindi per la successiva adozione.

Resta inteso che gli standard tecnici sopra descritti devono sempre essere letti congiuntamente al Regolamento DORA. Abbiamo descritto le molteplici novità di tale Regolamento nell’articolo “In vigore il Regolamento DORA: nuovi obblighi di cybersecurity per banche, assicurazioni e finanziarie”.

 

Intellectual Property

Diritto d’autore e contenuti online: l’AGCOM predispone le misure per reclami e controversie

L’AGCOM ha adottato all’unanimità le linee guida relative ai reclami predisposti dai prestatori di servizi di condivisione di contenuti online in relazione ai contenuti rimossi per violazione del diritto d’autore e il regolamento concernente la risoluzione delle controversie tra prestatori e utenti.

A seguito di una consultazione pubblica, l'Autorità per le garanzie nelle comunicazioni (“AGCOM” o “Autorità”) ha approvato, con delibera n. 115/23/CONS che dà esecuzione all’art. 102-decies della Legge sul diritto d’autore (Legge n. 633/1941), le linee guida (Allegato A) relative ai meccanismi di reclamo che devono essere predisposti dai prestatori di servizi di condivisione di contenuti online per permettere agli utenti di contestare le decisioni di disabilitazione e rimozione di contenuti segnalati come violazioni di diritto d’autore (le “Linee Guida”). Con la stessa delibera, è stato adottato anche il regolamento (Allegato B) concernente la risoluzione delle controversie tra prestatori di servizi di condivisione di contenuti online e utenti (il “Regolamento”).

L’AGCOM ha, inoltre, pubblicato il modello di istanza per la presentazione del ricorso per la risoluzione delle controversie tra utenti e prestatori innanzi all’Autorità ai sensi del Regolamento. In particolare, possono avviare la procedura di risoluzione delle controversie gli utenti che abbiano già esperito il meccanismo di reclamo per la contestazione della decisione di disabilitazione dell’accesso o di rimozione di specifiche opere o di altri materiali da questi caricati di cui all’art. 102-decies, comma 2, della legge sul diritto d’autore.

La delibera in esame rappresenta il secondo provvedimento dopo il regolamento sull’equo compenso di cui alla delibera n. 3/23/CONS adottato dall’AGCOM in attuazione della Direttiva (UE) 2019/790 sul diritto d’autore e sui diritti connessi (la “Direttiva”).

Con il recepimento della Direttiva, sono stati introdotti nella LEGGE SUL DIRITTO D’AUTORE gli artt. 102-sexies – 102-decies, i quali dettano specifiche previsioni applicabili ai prestatori di servizi di condivisione di contenuti online concernenti le modalità di verifica delle richieste di disabilitazione o rimozione dei contenuti condivisi online sottoposte dai titolari dei diritti.

In particolare, l’art. 102-decies, comma 2, della legge sul diritto d'autore ha affidato all’Autorità il compito di adottare apposite linee guida finalizzate a dettare i criteri affinché i meccanismi di reclamo predisposti dai prestatori siano ispirati ai principi di celerità ed efficacia. Secondo tale disposizione, le richieste di rimozione dei contenuti devono essere soggette a verifica umana e immediata comunicazione deve essere data agli utenti circa la disabilitazione o rimozione dei contenuti.

In linea con ciò, le Linee Guida individuano i criteri e i principi generali cui i prestatori di servizi di condivisione di contenuti online devono uniformarsi affinché siano messi a disposizione dei propri utenti meccanismi di reclamo celeri ed efficaci contro la rimozione o la disabilitazione di contenuti per violazione del diritto d’autore. Nel corso della procedura di reclamo, che si deve svolgere con modalità chiare e trasparenti, l’utente deve poter contestare la decisione assunta dalla piattaforma in merito alla rimozione e disabilitazione dei contenuti. La piattaforma deve comunicare le ragioni per cui ha agito, specificando altresì i motivi e le ragioni addotte dai titolari dei diritti o da altri soggetti legittimati alla richiesta.

Ai sensi dell’art. 102-decies, comma 4, della legge sul diritto d’autore, l’Autorità è competente a decidere sui ricorsi degli utenti aventi a oggetto la decisione adottata dalla piattaforma nell’ambito del meccanismo di reclamo di cui all’art. 102-decies, comma 2, della legge sul diritto d’autore.

Non rientrano nell’ambito di applicazione del Regolamento i ricorsi avverso le decisioni sul reclamo adottate da soggetti che, ai sensi dell’art. 102-sexies, comma 2, della legge sul diritto d’autore, non rientrano nella definizione di “prestatore di servizi di condivisione di contenuti online”, ovverosia i soggetti che danno accesso alle enciclopedie online senza scopo di lucro, ai repertori didattici o scientifici senza scopo di lucro, nonché le piattaforme di sviluppo e di condivisione di software open source, i fornitori di servizi di comunicazione elettronica, i prestatori di mercati online, di servizi cloud da impresa a impresa e di servizi cloud che consentono agli utenti di caricare contenuti per uso personale, salvo che il mercato online o il servizio cloud consenta di condividere opere protette dal diritto d'autore tra più utenti.

A seguito del reclamo, l’utente può quindi impugnare la decisione adottata dalla piattaforma davanti all’AGCOM, che deciderà sulla fondatezza della decisione assunta dal prestatore di servizi di condivisione di contenuti online secondo quanto disposto dal Regolamento.

Tra le altre cose, il Regolamento ha previsto un periodo di deposito del ricorso entro 90 giorni (i) dalla data di comunicazione della decisione sul reclamo da parte del prestatore o (ii) decorso il termine ultimo per l’assunzione della decisione stessa, come indicato nelle condizioni generali di servizio del prestatore.

Il ricorso deve essere presentato utilizzando e compilando in ogni sua parte, a pena di irricevibilità, il modello di istanza di cui sopra specificando determinate informazioni, tra cui l’eventuale procura speciale conferita con atto pubblico o con scrittura privata autenticata e il contenuto caricato dall’utente oggetto della decisione di reclamo.

In ogni caso, è fatta salva la possibilità per gli utenti di ricorrere all’autorità giudiziaria per contestare la decisione assunta dal prestatore di servizi di condivisione online, che tuttavia esclude l’opportunità di avviare il procedimento davanti all’AGCOM.

Su un simile argomento potrebbe interessarti: “Regolamento AGCOM su equo compenso per gli editori sulle pubblicazioni giornalistiche online”.

La Cassazione tutela i marchi celebri di due note case di moda

Con la recente sentenza n. 21640 del 19 maggio 2023, la Cassazione Penale, Sez. V ha rafforzato la tutela di due marchi celebri nel settore della moda estendendo la protezione anche ad ambiti merceologici estranei all'interesse dei brand, qualora dall'imitazione di tali marchi sorga il rischio di ingannare i consumatori e quindi di ledere la fede pubblica.

La decisione ha coinvolte due note case di moda e i rispettivi marchi caratterizzati l'uno dall’accostamento dei colori verde-rosso-verde e l'altro dal famoso motivo "check". In particolare, i Giudici di Legittimità hanno evidenziato come "la tutela penale di marchi celebri deve essere estesa a settori merceologici completamente estranei all’interesse del brand ogniqualvolta si rischi, secondo il giudizio del consumatore medio, la confondibilità dell’attribuzione del prodotto riproduttivo del marchio, del disegno o del modello originali e forti perché ampiamente notori".

La decisione trae origine dal ritrovamento e dal successivo sequestro di vari chilometri di nastro destinato da bomboniere che riproduceva i celebri motivi dei due brand di moda. La Corte di Cassazione, oltre a riconoscere i motivi in questione come marchi celebri, ha inoltre ribadito come la tutela penale dei marchi celebri si estenda a tutte le categorie di prodotto, poiché dalla loro imitazione sorge inevitabilmente il rischio di provocare inganno tra i consumatori e quindi ledere la fede pubblica.

In primo grado, il Tribunale di Massa ha assolto i contraffattori dei marchi celebri poiché, dopo aver sostenuto che i marchi delle due case di moda in questione dovevano essere considerati quali marchi deboli – ai quali è riservata una tutela limitata – ha ritenuto che i nastri sequestrati riproducessero delle trame sufficientemente diverse rispetto a quelle delle maison di moda. Nel giungere a tale conclusione, la Corte ha dato un peso rilevante alle tesi difensive dei contraffattori, secondo cui la società produttrice dei nastri avrebbe vantato un preuso legittimo sul motivo "check" della nota casa di moda inglese, limitatamente al settore delle bomboniere. Peraltro, il Tribunale di Massa non ha dato alcuna rilevanza al fatto che la casa di moda inglese avesse registrato il proprio marchio anche nella versione in bianco e nero, così concludendo che solamente il motivo caratterizzato dai colori rosso, beige e nero potesse godere di un ristretto ambito di tutela quale marchio debole.

Per quanto riguarda il nastro con i colori verde-rosso-verde, notoriamente associato ad una nota casa di moda italiana, il Tribunale di Massa ha sollevato dei dubbi in merito alla possibilità di registrarlo come marchio poiché asseritamente dotato di interesse pubblico, ritenendo tale motivo coincidente con il nastro che sorregge l’onorificenza dei Cavalieri del Lavoro.

Successivamente, la Corte di Appello di Genova, ha invece riconosciuto la indiscussa natura di marchi celebri dei due motivi in questione, attribuendogli dunque una forza distintiva, e ha inoltre accordato tutela al marchio della casa di moda inglese in ogni variante di colore, e ciò in virtù della avvenuta registrazione anche per la versione in bianco e nero.

Quanto al preuso, i giudici della Corte di Appello genovese hanno riconosciuto come la notorietà del marchio "check" della casa di moda inglese, almeno nei suoi colori caratteristici, risalisse circa al 1920, rendendo dunque di fatto illegittimo ogni eventuale preuso da parte dei contraffattori, rispetto alla prima registrazione italiana del marchio risalente al 1986.

Infine, rispetto al nastro recante l'accostamento di colori verde-rosso-verde, i giudici genovesi hanno escluso che i nastri sequestrati alla società contraffattrice potessero essere destinati a rifornire l’ordine dei Cavalieri del Lavoro.

I Giudici di Legittimità hanno dunque confermato nel merito la decisione di appello, respingendo le tesi difensive sostenute in entrambi i ricorsi. La Corte di Cassazione, oltre a riconoscere i marchi delle due case di moda quali marchi celebri, ha inoltre ribadito che la tutela penale dei marchi celebri si estenda ad ogni categoria di prodotto, qualora la sua imitazione rischi di provocare inganno tra i consumatori e quindi ledere la fede pubblica. Nella sentenza la Corte sottolinea inoltre l'irrilevanza del presunto preuso di un segno riproducente il motivo "check" nel settore delle bomboniere, ritenendo che tale preuso sia comunque anticipato dalla notorietà del segno della casa di moda inglese, oltre a non essere stato provato.

In altre parole, ciò che rileva per la Cassazione è "la capacità del disegno, della forma o del modello ornamentale di rappresentare un "segno distintivo", la cui contraffazione pone in pericolo il bene della fede pubblica".

Su un simile argomento può interessarvi l’articolo “La tutela rafforzata garantita ai marchi rinomati”.

 

Technology, Media and Telecommunications

Legal Design: pubblicate le ISO sul plain language

Dopo una lunga attesa, sono state finalmente pubblicate le norme ISO sul c.d. “plain language”, che definiscono con chiarezza i principi base per poter definire un testo “leggibile”.

Innanzitutto, è bene definire cosa sono le linee guida ISO. Si tratta generalmente di un insieme di documenti tecnici sviluppati dall'Organizzazione internazionale per la normazione (International Organization for Standardization, ISO) che forniscono orientamenti e raccomandazioni su specifici settori o argomenti. In particolare, per quanto attiene al nuovo standard ISO sul plain language, questo ha lo scopo di definire con chiarezza i quattro principi base per cui in testo può essere ritenuto “comprensibile” da un utente.

• Ma cos’è il plain language?

Il “Plain language” si traduce letteralmente come "linguaggio semplice" o "linguaggio chiaro", e si tratta dello stile di scrittura che mira a comunicare in modo chiaro, diretto e comprensibile al pubblico generale. Utilizzando parole semplici, frasi brevi e struttura logica, il plain language rende i testi accessibili a un pubblico più ampio, compresi coloro che non hanno una formazione specifica (o giuridica, nel caso di testi legali). I testi legali, come contratti, leggi e regolamenti, sono notoriamente noti per essere densi, complessi e difficili da comprendere. Questa complessità crea un divario tra coloro che hanno competenze legali e coloro che non le hanno, rendendo i documenti legali, come i contratti, o altri documenti legali, incomprensibili per molti utenti.

Ecco perché il plain language assume un ruolo cruciale. Quando i testi legali sono scritti in modo chiaro, gli utenti possono comprendere i loro diritti e doveri in modo più diretto. Il plain language elimina infatti l'ambiguità e il gergo tecnico, sostituendoli con parole e concetti comprensibili da tutti.

• Lo standard ISO sul plain language

Le linee guida ISO sul plain language mirano a fornire uno standard (certificabile) su quando un testo può definirsi leggibile e comprensibile. Di seguito, i principali punti affrontati all’interno dello standard:

1. Definizione di “plain language”: le linee guida ISO forniscono una chiara definizione di “plain language” come uno stile di comunicazione che si concentra sulla semplicità, la chiarezza e l'efficacia;
2. Applicabilità: le norme enfatizzano che il linguaggio semplice dovrebbe essere utilizzato nel maggior numero di documenti possibile, inclusi testi legali, tecnici e informativi. Che si tratti di contratti, manuali utente o avvisi pubblici, il linguaggio semplice può avere un effetto significativo nella comprensione del testo.
3. I quattro principi: vengono stabiliti un insieme di principi guida per assistere nella creazione di contenuti chiari e concisi. Questi principi includono l'uso di linguaggio semplice, la strutturazione logica delle informazioni e l'utilizzo di adeguate rappresentazioni visive. Adottando questi principi, le organizzazioni possono migliorare l'accessibilità e l'usabilità delle loro comunicazioni. In particolare, vengono definiti con chiarezza i 4 principi base, per cui il lettore deve:

• ricevere ciò che gli serve (relevant);
• trovarlo (findable);
• capirlo (understandable); e
• poterlo usare (usable).

4. Collaborazione internazionale: le norme ISO sono state sviluppate attraverso uno sforzo collaborativo che coinvolge esperti provenienti da tutto il mondo. Questa prospettiva internazionale garantisce che le linee guida siano applicabili in contesti culturali e linguistici diversi, favorendo una comunicazione inclusiva e accessibile a livello globale;
5. Vantaggi per le organizzazioni: implementare un linguaggio semplice può portare numerosi vantaggi alle organizzazioni. Migliora la soddisfazione dei clienti riducendo la confusione e promuovendo la trasparenza. Inoltre, una comunicazione chiara può migliorare la conformità normativa, mitigare i rischi legali e contribuire alla reputazione complessiva del brand;
6. Vantaggi per gli utenti: un linguaggio semplice conferisce maggior potere agli individui, consentendo loro di comprendere facilmente informazioni particolarmente tecniche. Li aiuta a prendere decisioni informate, a interagire con contenuti legali e tecnici e ad accedere a servizi essenziali senza ostacoli.

Su un simile argomento può essere interessante l’articolo: La prima sanzione del Garante privacy sui dark pattern: l’importanza del legal design.

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Chiara Fiore, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.