Abstract_Lights_P_0152

12 settembre 202416 minuti di lettura

Innovation Law Insights

12 settembre 2024
Rivista

Diritto Intelligente – Volume 1

Siamo entusiasti di annunciare il lancio di “Diritto Intelligente”, un'innovativa rivista mensile sulle leggi, i casi e i pareri dell'UE relativi all'intelligenza artificiale (in inglese) del dipartimento italiano di Intellectual Property & Technology di DLA Piper.

Ogni mese vi proporremo le analisi giuridiche più approfondite e all'avanguardia sull'intelligenza artificiale. Il volume 1 è disponibile QUI.

 

Podcast

Dentro l’AI Act: Le negoziazioni e le principali sfide future con Laura Caroli

In questa puntata di “Diritto al Digitale”, Giulio Coraggio, Location Head del gruppo IPT italiano presso lo studio legale DLA Piper, intervista Laura Caroli, negoziatrice chiave dell’AI Act, che ci conduce attraverso l’intricato viaggio della prima legislazione sull’intelligenza artificiale, dalle prime bozze alla versione finale. È possibile ascoltare QUI.

 

Artificial Intelligence

Le prime firme alla convenzione quadro sull'Intelligenza Artificiale: verso un quadro giuridico globale?

Il 5 settembre 2024, a Vilnius, la convenzione quadro sull'intelligenza artificiale (Convenzione), il primo trattato internazionale giuridicamente vincolante in materia di Intelligenza Artificiale (IA), ha raccolto le prime firme.

La Convenzione impone agli stati firmatari di adottare misure legislative, amministrative o di altra natura che regolino l'intero ciclo di vita dei sistemi di IA. L'obiettivo principale è di promuovere l'innovazione tecnologica tutelando allo stesso tempo i diritti umani e i principi democratici (e.g. integrità dei processi democratici, Stato di diritto, indipendenza giudiziaria e accesso alla giustizia).

Principi generali

In linea con il Regolamento (UE) 2024/1689 (AI Act), la Convenzione adotta un approccio basato sul rischio, prevedendo una serie di principi che devono guidare lo sviluppo e l'utilizzo dei sistemi di IA, la cui concreta applicazione varia al mutare del livello di rischio associato allo specifico sistema. Tuttavia, mentre l'AI Act regola specifici modelli, sistemi o pratiche di IA, la Convenzione si concentra sulle singole attività facenti parte del ciclo di vita dei sistemi aventi un potenziale di rischio, anche a prescindere dal rischio che il sistema presenta nel suo complesso. Tali principi si applicano sia nel caso in cui l'IA sia stata sviluppata da un soggetto pubblico sia nel caso in cui sia stata sviluppata da un soggetto privato. Tra i suddetti principi cardine figurano:

  • Trasparenza e supervisione
  • Accountability e responsabilità
  • Uguaglianza e non discriminazione
  • Tutela della privacy e protezione dei dati personali
  • Affidabilità e accuratezza

Obblighi specifici

La Convenzione delinea altresì taluni obblighi più specifici a carico degli stati firmatari, tra cui:

  • Garanzia di rimedi giurisdizionali efficaci nel caso in cui l'IA causi un danno
  • Garanzia di informazioni esaustive alle autorità pubbliche e ai soggetti coinvolti circa l'utilizzo e il funzionamento dei sistemi di IA
  • Adozione di misure per l'identificazione, la valutazione, la prevenzione e la mitigazione dei rischi posti dai sistemi di IA
  • Ricorso alla discussione pubblica o a consultazione multistakeholder per le questioni importanti relative all'IA
  • Promozione di un'adeguata cultura sull'IA e sull'utilizzo responsabile degli strumenti digitali tra la popolazione
  • Introduzione di sistemi di controllo efficaci per monitorare l'applicazione della Convenzione (e.g. autorità indipendenti di controllo)

La Conferenza delle Parti

Infine, l'art. 23 della Convenzione prevede l'istituzione della c.d. "Conferenza delle Parti" (Conferenza), organo collegiale composto da rappresentanti degli stati firmatari. La Conferenza ha lo scopo – inter alia – di facilitare l'applicazione e l'implementazione della Convenzione, valutare possibili modifiche o aggiunte alla stessa, risolvere eventuali problematiche interpretative, nonché facilitare la composizione amichevole di eventuali controversie relative all'applicazione della Convenzione. Inoltre, è previsto l'obbligo a carico di ogni parte firmataria della Convenzione di far pervenire alla Conferenza, con cadenza periodica, un report delineante le attività poste in essere per dare attuazione alla Convenzione. In generale, la Conferenza costituisce il principale strumento attraverso cui attuare la cooperazione internazionale, principio centrale della Convenzione.

Conclusioni

La Convenzione costituisce un passo importante verso la creazione di un quadro giuridico globale per l'IA, stimolando e promuovendone un utilizzo sicuro anche al di fuori dei confini europei. L'AI Act, in quanto prima normativa di rilievo sul tema, svolgerà un ruolo centrale in tale attività di implementazione, ed è lecito aspettarsi che molte previsioni saranno basate su quest'ultimo. Resta ora da vedere come gli stati daranno concretezza a questi principi, con l'auspicio che sempre più Paesi aderiscano alla Convenzione, contribuendo così a un'IA sicura ed affidabile sul piano globale.

Su un argomento simile può essere di interesse l'articolo "Pubblicata la bozza di impegni del Patto AI che anticipa la conformità all’Intelligenza Artificiale".

Autore: Federico Toscani

 

Data Protection & Cybersecurity

L'Autorità per la Protezione dei Dati olandese multa Clearview AI per trattamento illecito di dati biometrici

L'Autorità per la Protezione dei Dati olandese (Autorità privacy olandese) ha imposto una sanzione di 30,5 milioni di euro a Clearview AI per diverse violazioni del GDPR.

Questa decisione è in linea con azioni simili intraprese da altre autorità europee per la protezione dei dati, tra cui il Garante privacy italiano.

Contesto

Clearview AI è un'azienda che fornisce servizi di riconoscimento facciale, principalmente a enti di intelligence e agenzie investigative. L'azienda gestisce un vasto database contenente oltre 30 miliardi di immagini facciali, acquisite attraverso lo scraping di contenuti pubblicamente disponibili su internet. Queste immagini vengono poi elaborate in codici biometrici univoci senza la conoscenza o il consenso delle persone ritratte.

Violazioni

L'indagine condotta dall'Autorità privacy olandese ha rivelato diverse significative violazioni della normativa privacy:

  • Interesse legittimo: Clearview AI ha sostenuto di trattare i dati personali in base a un interesse legittimo. Tuttavia, l'Autorità privacy olandese ha rilevato che Clearview AI non ha giustificato adeguatamente l'interesse legittimo protetto dalla legge il quale non risultava nemmeno specifico. Inoltre, l'Autorità olandese ha concluso che il trattamento dei dati da parte di Clearview non rispettava il principio di necessarietà e che i diritti e gli interessi fondamentali degli interessati prevalevano sugli interessi commerciali di Clearview.
  • Trattamento di dati biometrici: l'Autorità privacy olandese ha rilevato che Clearview AI stava trattando dati biometrici di individui situati nei Paesi Bassi senza una valida base giuridica ai sensi dell'articolo 9 comma 2 del GDPR. L'unica possibile eccezione applicabile prevista dall'articolo 9 riguarderebbe i dati resi manifestamente pubblici dall'interessato. Tuttavia, secondo l'Autorità privacy olandese, il semplice fatto che i dati siano reperibili online non implica che gli individui intendessero rendere pubblicamente accessibili tutti i loro dati, né che abbiano fornito un consenso chiaro e esplicito.
  • Trasparenza: Clearview AI è stata ritenuta carente nel fornire informazioni chiare e complete agli interessati riguardo al trattamento dei loro dati personali. Questo include la mancata comunicazione della base giuridica per il trattamento, i periodi di conservazione e le categorie di destinatari dei dati. L'Autorità olandese ha evidenziato che i soggetti dei dati non erano stati adeguatamente informati su come le loro foto (inclusi i metadati) potessero essere utilizzate a fini di riconoscimento facciale. Il ricorso di Clearview a un'informativa sulla privacy sul loro sito web è stato considerato insufficiente, in quanto non notificava attivamente agli individui la raccolta e l'uso dei loro dati.

Infine, l'indagine ha anche rivelato che Clearview AI non ha facilitato i diritti dei soggetti dei dati di accedere ai propri dati personali e non ha designato un rappresentante all'interno dell'UE.

L'Autorità olandese ha inoltre emesso un avvertimento contro l'uso dei servizi di Clearview AI, affermando che tale uso è proibito. L'Autorità ha osservato che Clearview AI non ha cessato le sue pratiche illecite nemmeno dopo l'inizio dell'indagine. Se Clearview continuerà a violare le normative sulla protezione dei dati, potrebbe incorrere in ulteriori sanzioni fino a 5,1 milioni di euro.

Conclusioni

Questa decisione dell'Autorità privacy olandese è in linea con le azioni intraprese da altre autorità europee. Sentenze simili sono state emesse dal Garante italiano, dall'Autorità francese per la protezione dei dati, dall'ICO e dall'Autorità ellenica per la protezione dei dati. Ciò riflette una tendenza più ampia tra le Autorità europee a esaminare attentamente i servizi che coinvolgono l'IA e la loro conformità agli standard del GDPR. C'è una crescente attenzione a garantire che tali servizi aderiscano ai principi chiave del GDPR, in particolare riguardo alla trasparenza, alla base legale per il trattamento, alle pratiche di conservazione dei dati e alla minimizzazione dei dati.

Su un argomento simile può essere di interesse l'articolo "Il Garante Privacy sanziona Clearview AI per 20 milioni di euro per monitoraggio biometrico sul territorio italiano".

Autrice: Roxana Smeria

 

Intellectual Property

Nuova domanda di pronuncia pregiudiziale alla CGUE: Quando un marchio è ingannevole?

In un caso riguardante il marchio Fauré Le Page, la Cour de Cassation francese ha chiesto alla Corte di Giustizia dell'Unione Europea (CGUE) di pronunciarsi sul concetto di ingannevolezza dei marchi (causa C-412/24). Il caso riguarda la questione se un marchio che include un riferimento a una data, che suggerisce falsamente una lunga storia e una reputazione consolidata del marchio, possa essere considerato ingannevole anche se non trae in inganno sui prodotti o servizi stessi.

Il contesto

La controversia è iniziata quando Goyard ST-Honoré ha chiesto la cancellazione dei marchi FAURÉ LE PAGE PARIS 1717, sostenendo che l'elemento “1717” nel marchio implicava falsamente che l'azienda fosse in attività da quell'anno, mentre in realtà l'attuale proprietario esisteva solo dal 2009. La Corte d'Appello di

Parigi si è espressa in tal senso, stabilendo che i marchi erano nulli in quanto la data “1717” poteva indurre il pubblico a credere che Fauré Le Page Paris avesse una storia di lunga data, risalente al XVIII secolo. Questa sentenza è stata significativa perché ha introdotto l'idea che l'ingannevolezza di un marchio possa estendersi oltre la natura, la qualità o l'origine geografica dei prodotti o dei servizi, fino a includere le caratteristiche dell'azienda stessa.

Fauré Le Page Paris ha presentato ricorso alla Cour de Cassation, sostenendo che la Direttiva sui marchi dovrebbe applicarsi solo ai marchi che ingannano i consumatori sui prodotti e servizi offerti, non sulla storia o sulla reputazione dell'azienda. Infatti, ai sensi dell'articolo 20, lettera b), la direttiva sui marchi può essere revocata se, dopo la data di registrazione, a seguito dell'uso fatto dal suo titolare o con il suo consenso, è suscettibile di indurre in errore il pubblico, in particolare per quanto riguarda la natura, la qualità o l'origine geografica di tali prodotti o servizi.

Tuttavia, la Corte di Cassazione ha ritenuto che un marchio possa essere ingannevole se trasmette false informazioni sull'età o sull'affidabilità dell'azienda, inducendo i consumatori ad attribuire ai prodotti un prestigio o una qualità immeritati.

Di conseguenza, la Corte di Cassazione ha sottoposto alla CGUE due questioni principali: se l'inclusione di una data fantasiosa in un marchio, che inganna i consumatori sull'età e l'esperienza dell'azienda, possa essere considerata ingannevole ai sensi della Direttiva sui marchi e, in caso affermativo, se tale ingannevolezza debba riguardare specificamente i prodotti e i servizi o possa estendersi alle caratteristiche dell'azienda.

In ogni caso, la domanda che sorge spontanea è: se l'origine geografica dei prodotti e dei servizi è considerata una caratteristica dei prodotti o dei servizi, allora perché non la data di stabilimento del produttore dei prodotti o dei servizi? Entrambe sono proprietà non tangibili, ma possono avere un impatto importante sulla qualità (percepita) dei beni e dei servizi e sulle decisioni di acquisto dei consumatori.

Questo caso sottolinea le complessità che circondano il concetto di ingannevolezza nel diritto dei marchi, e soprattutto invita a vigilare sulle aziende che rilanciano vecchi marchi registrando marchi composti da una vecchia data, quando l'avviamento non è stato trasferito. L'imminente decisione della CGUE potrebbe avere implicazioni significative sul trattamento dei marchi con riferimenti storici nell'Unione Europea.

Su un argomento simile può essere di interesse l'articolo "Marchio decettivo e irrilevanza della registrazione identica anteriore dello stesso marchio".

Autrice: Maria Vittoria Pessina

Verso una nuova era di trasparenza: la proposta del Copied Act statunitense per la tutela dei contenuti generati dall'intelligenza artificiale (AI)

Negli Stati Uniti, tre senatori – Maria Cantwell, presidente della Commissione del Commercio del Senato, Marsha Blackburn e Martin Heinrich – hanno presentato il 11 luglio 2024 una proposta di legge denominata Copied Act (Content Origin Protection and Integrity from Edited and Deepfaked Media Act). Questo disegno di legge ha l'obiettivo di regolamentare l'uso dei contenuti generati dall'intelligenza artificiale (AI) e proteggere il diritto d’autore, promuovendo trasparenza e tracciabilità per i contenuti sintetici, ovvero quelli generati o modificati da algoritmi, compresi quelli basati su AI.

Il Congresso degli Stati Uniti, con questa proposta di legge, riconosce una serie di criticità legate all’uso dell’intelligenza artificiale:

  • Mancanza di visibilità su come funzionano i sistemi di AI.
  • Scarsa trasparenza riguardo ai dati utilizzati per addestrare tali sistemi.
  • Assenza di standard e pratiche condivise per lo sviluppo e l'implementazione dell'AI.

Il Copied Act definisce l’intelligenza artificiale in linea con quanto stabilito dal National AI Initiative Act del 2020. Inoltre, introduce il concetto di "contenuto sintetico", riferendosi a informazioni – come immagini, video, audio e testi – generate interamente da algoritmi. Con "contenuto coperto", la legge si riferisce a qualsiasi rappresentazione digitale protetta dal diritto d’autore, come descritto nella Sezione 102 del Titolo 17 del Codice degli Stati Uniti.

La legge affida a tre importanti agenzie governative – il National Institute of Standards and Technology (NIST), l'U.S. Patent and Trademark Office (USPTO) e l'U.S. Copyright Office (USCO) – il compito di sviluppare linee guida per standard basati sul consenso. Questi standard dovranno garantire la tracciabilità e la trasparenza dei contenuti sintetici, attraverso misure specifiche come:

  • Obbligo di identificare chiaramente l'origine dei contenuti generati o modificati dall'intelligenza artificiale tramite l’applicazione di un watermark.
  • Richiesta a creatori e utilizzatori di tecnologie AI di permettere l'inserimento di informazioni sulla provenienza dei contenuti.
  • Implementazione delle misure entro due anni dall'entrata in vigore della legge.
  • Divieto di rimuovere, alterare o disabilitare le informazioni sull'origine dei contenuti sintetici, salvo eccezioni specifiche come la ricerca o la sicurezza.
  • Maggiore controllo e trasparenza nell'uso dei contenuti generati con AI.

Inoltre, il Copied Act vieta l'uso di opere protette da copyright per addestrare sistemi AI o per creare nuovi contenuti sintetici senza il consenso esplicito e informato dei titolari dei diritti d’autore. Questo approccio garantirebbe agli autori non solo la consapevolezza dell'uso dei propri lavori, ma anche il diritto di stabilire le condizioni di tale utilizzo, compreso il compenso.

Il Copied Act assegna alla Federal Trade Commission (FTC) il potere di far rispettare le disposizioni del disegno di legge, in base alle normative già previste dal Federal Trade Commission Act. Anche i Procuratori Generali degli Stati avranno la facoltà di intraprendere azioni legali per far rispettare i divieti sanciti dalla legge.

Un altro tema cruciale del Copied Act è la regolamentazione dei deepfake, contenuti video o audio manipolati attraverso l’AI per creare rappresentazioni ingannevoli. La legge prevede che il NIST, in collaborazione con USPTO e USCO, promuova campagne di sensibilizzazione per informare il pubblico sui rischi e le sfide legate ai contenuti manipolati dall'intelligenza artificiale.

Questo tema trova riscontro anche in Europa, dove il Regolamento sull'AI, entrato in vigore il 1° agosto 2024, impone l'obbligo di segnalare chiaramente quando un contenuto è stato creato o modificato tramite AI. Tale obbligo di trasparenza è pensato per proteggere la libertà di espressione in contesti creativi e satirici, senza compromettere i diritti d’autore.

Con il Copied Act, gli Stati Uniti si stanno allineando alla tendenza globale di regolamentare l'intelligenza artificiale, cercando di proteggere sia i creatori di contenuti che i consumatori. Dopo l'esperienza normativa europea, questa legge rappresenta un passo importante per garantire un uso responsabile, trasparente e sicuro dell'AI, soprattutto in un contesto in cui i contenuti digitali e le loro alterazioni diventano sempre più sofisticati.

Su un simile argomento può essere interessante l'articolo "AI e Stati Uniti: tra roadmap dell’innovazione e nuove proposte legislative".

Autrice: Rebecca Rossi

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia FeolaLaura Gastaldi, Vincenzo GiuffréNicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico ToscaniGiulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su Transfer, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

Competenze correlate

TechnologyLife SciencesMedia, Sport and EntertainmentConsumer Goods, Food and RetailIntellectual Property