Abstract_Lights_P_0152

25 ottobre 202432 minuti di lettura

Innovation Law Insights

25 ottobre 2024
Podcast

Lo status del mercato globale del gioco d'azzardo online con Marco Trucco di Videoslots

In questo episodio del podcast “Diritto al Digitale”, Giulio Coraggio siede con Marco Trucco, Chief Marketing Officer di VideoSlots, per esplorare il panorama in evoluzione dell'industria del gioco d'azzardo online. Potete ascoltare qui.

 

Artificial Intelligence

La vostra organizzazione ha implementato un modello di governance dell'AI?

È diventato sempre più chiaro che l'intersezione tra intelligenza artificiale (IA) e governance è fondamentale per le organizzazioni che vogliono sfruttare la potenza dell'IA e allo stesso tempo mitigare i rischi associati.

La rapida evoluzione dell'IA, unita a quadri normativi rigorosi come l'AI Act, rende necessario un approccio strutturato e completo alla governance dell'IA.

1. Strategia e principi fondamentali dell'IA

Una governance efficace dell'IA inizia con una strategia chiaramente definita dalla dirigenza. Questo approccio dall'alto verso il basso assicura che l'uso dell'IA sia in linea con la visione più ampia dell'azienda, concentrandosi su principi fondamentali come l'uso etico, la fiducia e la conformità agli standard normativi. I team legali e di gestione del rischio sono poi incaricati di sviluppare politiche, controlli e quadri per rendere operativa questa strategia.

2. Parti interessate e comitati interni all'intelligenza artificiale

Per attuare la governance dell'intelligenza artificiale a livello tattico, le organizzazioni devono istituire comitati di governance dell'intelligenza artificiale dedicati. Questi comitati, spesso composti da esperti legali, informatici, di compliance, di dati e di cybersecurity, dovrebbero essere responsabili della supervisione dei rischi legati all'IA. Riportando all'alta direzione, questo organismo svolge un ruolo cruciale nell'approvazione delle politiche, nella gestione dei fornitori e nell'integrazione dell'IA nelle strutture di rischio esistenti. Al momento, questa soluzione è preferibile alla nomina di un unico responsabile dell'IA, che potrebbe non avere tutte le competenze necessarie per affrontare la compliance dell'intelligenza artificiale.

3. Identificare i casi d'uso ai sensi delle norme UE

Un aspetto fondamentale della governance dell'IA è l'identificazione dei casi d'uso dell'IA che rientrano nel controllo normativo. Data l'ampiezza delle definizioni legali contenute nell'AI Act, anche sistemi apparentemente benigni potrebbero essere classificati come IA. Le organizzazioni devono valutare attentamente i loro sistemi di IA, soprattutto quelli che attraversano le frontiere, in quanto potrebbero ancora rientrare nel campo di applicazione delle normative UE.

4. Identificazione e categorizzazione del rischio

Una volta mappati i casi d'uso dell'IA, le organizzazioni devono classificarli in base ai livelli di rischio: IA vietata, ad alto rischio o generica. Un approccio proattivo è essenziale, poiché i rischi potrebbero andare dal danno alla reputazione all'esposizione legale, in particolare in contesti come le risorse umane e i controlli del credito, che l'AI Act potrebbe considerare ad alto rischio.

5. Implementazione dei controlli

Per ogni caso d'uso identificato, è necessario mettere in atto dei controlli per mitigare i rischi. Questi potrebbero includere la supervisione umana, la valutazione dei pregiudizi e solide misure tecniche per proteggere i sistemi. I sistemi di IA ad alto rischio devono essere conformi ai requisiti di legge e le organizzazioni dovrebbero anche concentrarsi sulle protezioni dei fornitori attraverso i contratti per garantire la conformità in generale.

Infine, data la natura in continua evoluzione dell'IA e della legge, i processi di governance devono essere costantemente aggiornati. I comitati devono rimanere informati sugli sviluppi legali e tecnologici, assicurando che i sistemi approvati in precedenza rimangano conformi anche quando si evolvono. Le organizzazioni che investono in una solida governance dell'IA sono in grado di trarre il massimo vantaggio dalle capacità dell'IA, con un ritorno misurabile sugli investimenti.

Per le organizzazioni che intendono integrare l'IA nelle loro attività, un approccio proattivo alla governance non è più facoltativo, è essenziale. Comprendendo e implementando un solido quadro di governance, le aziende possono mitigare i rischi e posizionarsi in modo da beneficiare appieno delle opportunità offerte dall'IA.

Sull'argomento, è possibile leggere il numero di ottobre della nostra rivista giuridica sull'IA disponibile qui e la presentazione del nostro strumento di conformità all'IA disponibile qui.

Inoltre, può essere d'interesse il podcast "Governance dell’AI, etica e privacy con Giorgia Vulcano di Anheuser-Busch InBev"

Autore: Giulio Coraggio

 

Data Protection & Cybersecurity

AI e privacy: il punto di vista delle autorità sulla protezione dei dati su bambini e AI e AI affidabile

Dal 9 all'11 ottobre 2024 si è svolta a Roma la quarta edizione della Tavola rotonda delle autorità sulla protezione dei dati del G7. Tra i temi principali discussi, l'intelligenza artificiale (AI) e il suo impatto sulla privacy, in particolare in relazione alla creazione di sistemi di AI affidabili e alla protezione dei minori nel contesto delle tecnologie di AI.

La tavola rotonda, ospitata dal Garante italiano, ha visto la partecipazione di autorità di regolamentazione della privacy provenienti da Canada, Francia, Germania, Giappone, Regno Unito e Stati Uniti, nonché di rappresentanti del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo della protezione dei dati (EDPS). Uno dei temi principali della tavola rotonda è stata l'intelligenza artificiale, di cui riportiamo di seguito i punti principali.

AI affidabile

Uno dei temi centrali dell'evento è stato l'AI affidabile. Le autorità di protezione dei dati hanno pubblicato una dichiarazione sull'affidabilità dell'AI, in cui riconoscono che le tecnologie dell'AI si stanno diffondendo in tutti i settori della società, presentando molteplici opportunità. Tuttavia, queste stesse tecnologie pongono anche sfide significative, soprattutto in termini di privacy, protezione dei dati e altri diritti fondamentali.

Nella loro dichiarazione sull'AI affidabile, le autorità di protezione dei dati hanno espresso preoccupazione per i potenziali rischi posti dall'AI, soprattutto nei casi in cui vengono trattati dati personali. Hanno osservato che molti sistemi di AI, compresi quelli che utilizzano modelli generativi di AI, dipendono da grandi quantità di dati, che possono portare a rischi quali stereotipi, pregiudizi e discriminazioni, anche se non utilizzano direttamente dati personali. Questi problemi possono, a loro volta, influenzare tendenze sociali più ampie, in particolare sotto forma di deep fake o disinformazione.

Le autorità privacy hanno inoltre sottolineato che è fondamentale incorporare i principi di protezione dei dati nei sistemi di AI fin dall'inizio, applicando così il principio di privacy by design. Ciò significa che le tecnologie di AI devono essere costruite tenendo conto delle considerazioni sulla protezione dei dati, garantendo la salvaguardia della privacy in ogni fase dello sviluppo e dell'utilizzo.

AI e bambini

Un altro tema importante della Tavola rotonda è stato la protezione dei bambini nell'era digitale, in particolare in relazione agli strumenti basati sull'AI. Le autorità privacy hanno pubblicato una dichiarazione sull'AI e i bambini in cui riconoscono che, sebbene l'AI offra notevoli opportunità per i bambini e i giovani, queste tecnologie possono anche esporli a rischi maggiori a causa del loro stadio di sviluppo e della loro limitata comprensione della privacy digitale.

Sono state identificate diverse questioni chiave relative all'IA e ai bambini:

  • Processo decisionale basato sull'IAI: la complessità e la mancanza di trasparenza dei sistemi di AI possono rendere difficile per i bambini e i loro assistenti capire come vengono prese le decisioni, soprattutto quando queste hanno implicazioni significative. Senza un'adeguata trasparenza, c'è il rischio di discriminazioni o pregiudizi non intenzionali, soprattutto quando i bambini sono coinvolti in processi decisionali basati sull'AI.
  • Manipolazione e inganno: Gli strumenti di AI possono essere utilizzati per influenzare gli utenti, spingendoli a prendere decisioni che potrebbero non essere nel loro interesse. Questo può essere particolarmente pericoloso per i bambini, che possono avere difficoltà a riconoscere i contenuti manipolativi. Le tecnologie basate sull'IA, come i compagni virtuali o i giocattoli, potrebbero indurre i bambini a creare legami emotivi con le macchine, inducendoli potenzialmente a condividere informazioni sensibili o a prendere decisioni che li espongono a rischi. Esempi specifici sono:
    • AI nei giocattoli e nei compagni di AI: i bambini potrebbero sviluppare legami emotivi con giocattoli o compagni online potenziati dall'AI, rendendoli più vulnerabili e portandoli a rivelare informazioni personali sensibili o a essere manipolati in altro modo;
    • Deep fake: i giovani sono particolarmente a rischio di essere presi di mira da contenuti deep fake, che possono includere immagini inappropriate o addirittura dannose di loro stessi.
  • Formazione dei modelli di Ai: I modelli di AI spesso richiedono grandi serie di dati per funzionare efficacemente. L'uso di dati personali di bambini per addestrare questi modelli, anche quando i dati vengono estrapolati da fonti disponibili al pubblico, solleva preoccupazioni circa le violazioni della privacy e i danni a lungo termine.

Alla luce di questi rischi, le autorità di protezione dei dati hanno formulato una serie di raccomandazioni per mitigare i potenziali danni ai bambini e garantire che i sistemi di IA rispettino i loro diritti:

  • Le tecnologie di AI dovrebbero essere guidate dal principio della “privacy by design”;
  • i sistemi di AI devono includere meccanismi per prevenire la dipendenza, la manipolazione e la discriminazione online, soprattutto quando questi sistemi possono interessare i bambini;
  • i bambini devono essere protetti dallo sfruttamento commerciale dannoso attraverso l'AI;
  • i modelli di AI che interessano i bambini devono dare priorità al loro interesse, sia in termini di raccolta ed elaborazione dei dati, sia nei risultati del sistema;
  • delle valutazioni d'impatto sulla protezione dei dati (DPIA) devono essere condotte per valutare i rischi associati ai sistemi di AI che coinvolgono i bambini.
  • I modelli di AI devono rispettare il principio di trasparenza e fornire risultati spiegabili, consentendo ai giovani utenti e a chi se ne prende cura di prendere decisioni informate sull'uso dei loro dati.

Conclusioni

Non sorprende che le autorità privacy di tutto il mondo si stiano concentrando sempre più sull'intelligenza artificiale, date le profonde implicazioni che essa ha per la privacy. La tavola rotonda del G7 ha rafforzato il legame tra l'intelligenza artificiale e la privacy, sottolineando che con il rapido avanzamento delle tecnologie dell'intelligenza artificiale e la loro profonda integrazione nel tessuto della vita quotidiana, la necessità di dare priorità alle salvaguardie della privacy diventa sempre più urgente. Le aziende che sviluppano strumenti di AI dovrebbero quindi incorporare i principi della privacy e della protezione dei dati nel cuore dello sviluppo dell'AI, al fine di garantire un uso etico, trasparente ed equo di queste tecnologie nella società.

Su un argomento simile può essere d'interesse l'articolo "Le prime firme alla convenzione quadro sull’Intelligenza Artificiale: verso un quadro giuridico globale?"

Autrice: Roxana Smeria

Il meccanismo dello sportello unico nella Direttiva NIS 2: guida per le imprese all' identificazione dello stabilimento principale

Tra i principali adempimenti richiesti dalla NIS 2 vi è la ormai prossima registrazione sull'apposito portale reso disponibile dall'Agenzia per la Cybersicurezza Nazionale (ACN) con le informazioni specificate all'interno del Decreto Legislativo no. 138/2024, tra le quali – per alcune categorie di fornitori di servizi digitali – potrebbe rendersi necessaria l'indicazione del c.d. "stabilimento principale". In questo articolo prenderemo in considerazione cosa debba intendersi per stabilimento principale per quanto riguarda i fornitori di servizi digitali che operano anche al di fuori del territorio nazionale, i quali potrebbero essere destinatari del meccanismo dello sportello unico ("one-stop-shop"), volto a semplificare l'individuazione della corretta giurisdizione applicabile alle imprese.

"One-stop-shop" nella Direttiva NIS 2

Tra i temi più rilevanti della Direttiva NIS 2 vi è il meccanismo dello sportello unico, pensato per semplificare la gestione della compliance per le imprese che operano anche al di fuori del territorio nazionale. Questo meccanismo prevede che tali imprese siano sottoposte alla giurisdizione esclusiva dell'autorità competente dello Stato Membro in cui forniscono i loro servizi o, per specifiche categorie che vedremo di seguito, presso il quale hanno il loro "stabilimento principale".

Chi può beneficiare dello sportello unico

In base all'articolo 5 del Decreto Legislativo no.138/2024, il meccanismo si applica a specifiche categorie di fornitori di servizi digitali caratterizzati dalla natura transfrontaliera dei loro servizi, tra cui:
  • fornitori di reti pubbliche di comunicazione elettronica o i fornitori di servizi di comunicazione elettronica accessibili al pubblico, che sono considerati sotto la giurisdizione dello Stato Membro nel quale forniscono i loro servizi;
  • gli enti della pubblica amministrazione, che sono sottoposti alla giurisdizione dello Stato Membro che li ha istituiti;
  • fornitori di servizi di sistema dei nomi di dominio DNS, registri dei nomi di dominio di primo livello, i soggetti che forniscono servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online o di piattaforme di servizi di social network, che sono invece sottoposti alla giurisdizione dello Stato Membro in cui hanno lo stabilimento principale nell'Unione.

Pertanto, se la vostra impresa rientra in questa ultima categoria, diventa fondamentale identificare correttamente il vostro stabilimento principale all'interno dell'Unione.

Come identificare lo stabilimento principale?

NIS 2 prevede modalità diverse per determinare lo stabilimento principale, per esso dovendosi considerare nell'Unione:

  • quello dello Stato Membro nel quale sono prevalentemente adottate le decisioni relative alle misure di gestione del rischio per la sicurezza informatica;
  • se non è possibile determinare lo Stato Membro in cui sono adottate le suddette decisioni o se le stesse non sono adottate nell'Unione, lo stabilimento principale è considerato quello collocato nello Stato Membro in cui sono effettuate le operazioni di sicurezza informatica;
  • ove anche ciò non sia possibile, quello dello Stato Membro in cui il soggetto interessato ha lo stabilimento con il maggior numero di dipendenti nell'Unione europea.

Inoltre, per quanto riguarda i soggetti di cui sopra non stabiliti nel territorio dell'Unione, ma che offrono servizi all'interno dello stesso, questi sono tenuti a designare un rappresentante nell'Unione, che è stabilito in uno degli Stati membri in cui sono offerti i predetti servizi e che sarà sottoposto alla relativa giurisdizione.

Sfide nell'individuazione dello stabilimento principale

Molte imprese possono incontrare difficoltà nel definire con certezza il proprio stabilimento principale secondo i criteri appena descritti, specie quando le decisioni in materia di cybersecurity sono decentralizzate e distribuite tra diverse sedi nell'UE.

In attesa di chiarimenti specifici da parte delle autorità nazionali competenti, considerando che il meccanismo dello sportello unico nell'ambito dei servizi digitali è presente anche in altri strumenti normativi dell'UE (come il GDPR e il DSA), è ragionevole prendere in considerazione gli sviluppi del concetto di stabilimento principale nell'ambito della protezione dei dati. A tal proposito, può essere utile fare riferimento alle linee guida del Comitato europeo per la protezione dei dati (EDPB) "sulla nozione di stabilimento principale" nel contesto del GDPR.

Secondo l'EDPB, lo stabilimento principale dovrebbe essere il luogo in cui vengono prese le decisioni riguardanti le finalità e i mezzi del trattamento dei dati, con il potere di farle implementare. Traslando questo concetto al contesto NIS 2, lo stabilimento principale sarebbe quindi lo Stato Membro dove vengono prese e attuate le decisioni strategiche sulla gestione del rischio informatico.

In ogni caso, qualora la verifica secondo i criteri di cui sopra non dovesse essere possibile, sarà sempre possibile applicare il criterio, più facilmente determinabile, del numero di dipendenti. In questo scenario, lo stabilimento principale sarà lo Stato Membro in cui si ha il maggior numero di dipendenti nell'UE.

Conclusioni

La Direttiva NIS 2 è ancora in fase di recepimento in diversi Paesi dell'Unione, creando un panorama normativo che può generare incertezze per le imprese operanti a livello europeo o transfrontaliero. Il meccanismo dello sportello unico rappresenta, pertanto, un'opportunità per le imprese di semplificare gli obblighi di conformità, ma per poterne beneficiare è richiesta un'attenta analisi e preparazione.

Per ulteriori informazioni su come la Direttiva NIS 2 potrebbe influire sulla vostra impresa potrebbe essere di interesse l'articolo "La Direttiva NIS 2 è implementata in Italia: il decreto legislativo 138/2024".

Autore: Gabriele Cattaneo

 

Intellectual Property

Il nuovo "design package" dell'Unione Europea sulla protezione dei disegni e modelli industriali: evoluzione e sfide per l'industria del design.

Il 10 ottobre 2024 segna un momento storico per l'industria del design europea: il Consiglio dell'Unione Europea ha approvato due atti legislativi chiave nel quadro del "design package", una riforma che porta la protezione giuridica dei disegni e modelli industriali verso nuove frontiere. Questa evoluzione normativa, attesa da tempo, è stata proposta dalla Commissione Europea nel 2022, in risposta a un settore in continua trasformazione, accelerato da tecnologie emergenti come l'intelligenza artificiale, la stampa 3D e il metaverso. L'obiettivo principale? Modernizzare il quadro regolatorio e adattarlo alle sfide del presente e del futuro.

Il design non è solo un'espressione estetica, ma una risorsa economica strategica per l'Europa. Le industrie ad alta intensità di design rappresentano infatti il 16% del PIL dell'UE e il 14% dell'occupazione totale, dimostrando quanto sia cruciale proteggere e incentivare la creatività e l'innovazione. Un sistema efficace di protezione dei disegni e modelli non solo tutela le imprese, ma contribuisce alla competitività globale dell'Unione Europea, specialmente in un contesto sempre più digitalizzato.

Il pacchetto legislativo comprende due strumenti giuridici chiave:

  • una direttiva sulla protezione giuridica dei disegni e modelli (rifusione della direttiva 98/71/CE)
  • un regolamento che modifica il regolamento (CE) n. 6/2002 del Consiglio su disegni e modelli comunitari e abroga il regolamento (CE) n. 2246/2002 della Commissione.

Queste nuove disposizioni non si limitano a una semplice revisione della normativa esistente: si tratta di una trasformazione radicale volta a rendere il sistema più accessibile, flessibile e allineato con le nuove tecnologie.

Tra gli obiettivi principali vi sono:

  • semplificare il processo di registrazione, rendendolo meno costoso e più armonizzato a livello europeo;
  • adattare la protezione dei disegni alle innovazioni digitali, come i design virtuali nel metaverso e la stampa 3D, offrendo agli utenti strumenti adeguati per difendere i propri diritti;
  • garantire coerenza con il sistema dei marchi, permettendo ai titolari di design registrati di prevenire l'importazione di prodotti che violano i loro diritti.

Le principali novità introdotte:

  • Definizione estesa di "design" e "prodotto": Il concetto di design ora include non solo l'aspetto esteriore di un prodotto, ma anche il movimento, la transizione e altre forme di animazione. Inoltre, il termine "prodotto" si estende a beni sia fisici che virtuali, come le interfacce grafiche o i negozi nel metaverso, aprendo la strada a una protezione più ampia e versatile.
    • Protezione contro la stampa 3D: Una delle sfide più complesse del presente è la riproduzione non
  • autorizzata attraverso la stampa 3D. La nuova normativa chiarisce che la violazione dei diritti di design non riguarda solo la produzione fisica di un prodotto, ma anche il download, la copia, la condivisione e distribuzione di file digitali che ne permettono la riproduzione.
  • La "clausola di riparazione": In un'ottica di promozione della concorrenza e del diritto alla riparazione, i componenti di un prodotto complesso – come le automobili – non godranno più di protezione, se utilizzati esclusivamente per riparare e ripristinare l'aspetto originale del prodotto. Questa misura favorisce una maggiore libertà per i consumatori e per il mercato dei ricambi.
  • Assenza del requisito di visibilità: Il nuovo pacchetto legislativo elimina il requisito di visibilità del design durante l'uso del prodotto per ottenere la protezione. L’unica condizione è che il design sia chiaramente rappresentato al momento della registrazione, anche con tecniche innovative come immagini 3D o video. È inoltre possibile proteggere più prodotti con un’unica domanda, semplificando ulteriormente il processo.
  • Protezione contro le merci contraffatte in transito nell'UE: Il titolare di un disegno registrato nell'UE potrà impedire a terzi di introdurre prodotti da paesi extra-UE anche se non destinati alla vendita nel mercato europeo.
  • Procedure di invalidità amministrativa: Gli Stati membri potranno prevedere una procedura amministrativa per la dichiarazione di nullità di un design registrato presso gli uffici nazionali, simile a quella già esistente per i marchi nazionali.
  • Tutela del patrimonio culturale: Gli Stati membri avranno la facoltà di rifiutare la registrazione di disegni che riproducono elementi del patrimonio culturale nazionale, come abiti tradizionali o motivi artistici regionali, tutelando così l'identità culturale.

Dopo l'approvazione del Consiglio, si attende ora la firma formale del Presidente del Parlamento europeo e del Presidente del Consiglio per la pubblicazione del pacchetto nella Gazzetta ufficiale dell'Unione Europea. La direttiva entrerà in vigore 20 giorni dopo la pubblicazione, e gli Stati membri avranno 36 mesi per adottare le misure necessarie a recepirla nel diritto nazionale.

Il regolamento, invece, entrerà in vigore anch'esso 20 giorni dopo la pubblicazione e sarà direttamente applicabile negli Stati membri dopo un periodo di 4 mesi.

La modernizzazione della normativa europea sui disegni e modelli industriali rappresenta un passo fondamentale per garantire un contesto giuridico chiaro e armonizzato, capace di sostenere l'innovazione e la competitività delle imprese. La semplificazione delle procedure e la possibilità di una protezione più accessibile per le aziende sono aspetti cruciali per mantenere l'Europa all'avanguardia nel panorama internazionale del design.

Su un simile argomento può essere interessante l'articolo "Il design generativo creato dall’AI e la sua protezione ai sensi della normativa sui disegni e modelli".

Autrice: Rebecca Rossi

L’opt-out al training dell'AI con materiale protetto dal diritto d'autore non è illimitato

Il Tribunale di Amburgo ha posto dei limiti all’opt-out da parte dei titolari dei diritti d’autore all’uso dei contenuti per il training dell’intelligenza artificiale ("AI").

Con una decisione del 27 settembre 2024, il Tribunale distrettuale di Amburgo ha emesso una sentenza significativa riguardante il diritto d'autore e l'uso dell'AI, in un caso che ha visto contrapposti Robert Kneschke, un fotografo professionista, e l'organizzazione no-profit LAION (Large-scale Artificial Intelligence Open Network). Kneschke ha accusato LAION di violazione del diritto d'autore, sostenendo che l'organizzazione avesse riprodotto senza autorizzazione una sua fotografia per creare un dataset destinato all'addestramento di sistemi di AI generativa.

Il caso relativo all’uso di contenuti protetti dal diritto d’autore per il training dell’AI

LAION ha sviluppato un dataset open-access per il training di sistemi AI, che raccoglie quasi sei miliardi di hyperlink a immagini accessibili online, accompagnati dalle rispettive descrizioni testuali. Per realizzare il dataset, LAION ha scaricato le immagini dagli archivi online e ha utilizzato un software per verificare che le descrizioni presenti nel dataset di origine corrispondessero al relativo contenuto visivo. Le immagini non conformi alle descrizioni sono state scartate, mentre quelle che corrispondevano al testo, sono state incluse nel dataset insieme ai relativi metadati come l’URL e la descrizione. Per svolgere tale analisi e verificare la corrispondenza testo-immagine, LAION ha dovuto temporaneamente memorizzare le immagini.

La contestazione del fotografo Robert Kneschke è nata dal fatto che LAION avrebbe violato il suo diritto d'autore utilizzando senza autorizzazione una fotografia da lui scattata per la creazione di un dataset destinato all'addestramento di sistemi di AI. L'immagine in questione è stata analizzata da LAION, che l'ha poi inserita nel proprio dataset. Il file della fotografia è stato scaricato dal sito web di un'agenzia fotografica con cui Kneschke collaborava, ed era contraddistinto dal watermark dell'agenzia. Inoltre, i termini di servizio del sito web dell'agenzia recitano espressamente che "l'utente non può utilizzare programmi automatici, applet, bot o simili per accedere al sito web o a qualsiasi contenuto in esso presente per qualsiasi scopo, compresi, a titolo puramente esemplificativo, il download di contenuti, l'indicizzazione, lo scraping o la memorizzazione nella cache di qualsiasi contenuto del sito web".

Kneschke ha dunque presentato ricorso contro LAION denunciando una violazione del proprio diritto d'autore, sostenendo che l'organizzazione no-profit avesse riprodotto la sua fotografia senza autorizzazione durante il processo di creazione del dataset. In particolare, secondo il fotografo, questa riproduzione non rientra nelle eccezioni previste dagli articoli 44a, 44b e 60d della legge sul diritto d'autore tedesca ("UrhG").

LAION, invece, si è difesa sostenendo che la propria condotta rientrasse nel perimetro dell'eccezione di text and data mining ("TDM") per scopi di ricerca scientifica, come previsto dall'articolo 60d UrhG. Ha inoltre dichiarato che l'uso dell'immagine contestata è stato solo temporaneo, in quanto questa è eliminata subito dopo l'analisi, e non conservata in modo permanente. Infine, LAION ha precisato che il dataset creato non contiene le riproduzioni grafiche delle fotografie, ma solamente i link alle immagini disponibili online, sostenendo così di non aver violato il diritto d'autore del fotografo.

La decisione del tribunale di Amburgo sull'uso dell’AI per finalità di training

Il Tribunale distrettuale di Amburgo ha respinto il ricorso del fotografo Kneschke e ha accolto le difese di LAION, stabilendo che la riproduzione delle immagini a scopo di analisi del contenuto e della relativa descrizione testuale deve essere distinta dall'uso per l'addestramento dei sistemi di AI. Secondo il Tribunale tedesco, la creazione da parte di LAION del dataset gratuito rientra nell'eccezione di TDM per scopi di ricerca scientifica di cui all'articolo 3 della Direttiva Copyright e all'articolo 60d dell'UrhG.

La text and data mining exception per scopi di ricerca scientifica

La Corte ha ritenuto che la riproduzione di un'immagine per la creazione di un dataset come base per l'addestramento di sistemi di AI rientri nella eccezione di text and data mining ("TDM") per scopi di ricerca scientifica. In particolare, è stato osservato che “la ricerca scientifica si riferisce generalmente al perseguimento metodico-sistematico di nuove conoscenze. […] La ricerca scientifica non presuppone un successivo successo della ricerca. Di conseguenza la creazione di un dataset che può essere la base per l'addestramento di sistemi di AI, può ritenersi effettuata per scopi di ricerca scientifica".

A conferma dell'assenza di scopo commerciale, la Corte tedesca ha inoltre rilevato che il dataset è stato reso liberamente e gratuitamente disponibile al pubblico. E, il fatto che il dataset possa essere utilizzato anche da società con scopo di lucro per l'addestramento o l'ulteriore sviluppo dei loro sistemi di AI è irrilevante ai fini della qualificazione del tipo di attività svolta da LAION, perché anche la ricerca svolta da società con scopo di lucro è pur sempre attività di ricerca, utile per raggiungere nuove conoscenze. Il Tribunale di Amburgo ha inoltre chiarito che l'esistenza di eventuali rapporti tra LAION e altre società con fini commerciali attive nel settore dell'AI non implica che tali aziende esercitino un'influenza determinante sulle attività di LAION. Peraltro, ha precisato la Corte, non è stato dimostrato che LAION abbia fornito un accesso privilegiato ai risultati della sua ricerca a queste aziende, circostanze che (invece) avrebbe ostacolato la possibilità di invocare l'eccezione di cui all'articolo 60d dell'UrhG.

Il meccanismo di "opt-out" all’uso dei dati per il training dell’AI

La Corte ha basato la sua decisione principalmente sull'articolo 60b dell'UrhG, ritenendo che l'attività di LAION rientri nell'eccezione di text and data mining (TDM) per scopi scientifici. Di conseguenza, si è limitata a trattare la questione dell'opt-out in un obiter dictum. Sul punto, il Tribunale ha affermato che l'esercizio dell'opt-out attraverso un linguaggio semplice, come lettere in chiaro, è sufficiente per permettere ai titolari dei diritti di esprimere la loro riserva. Inoltre, ha stabilito che non è necessario che l'opt-out sia formulato in un formato machine-readable, come i file robots.txt, poiché le tecnologie attuali, comprese quelle basate sull'intelligenza artificiale, dovrebbero essere in grado di interpretare il linguaggio umano. Pertanto, è sufficiente che la riserva sia espressa in un formato "machine understandable" (ovvero, comprensibile dai sistemi di AI). Tuttavia, la Corte ha chiarito che questa non è una regola generale e ogni caso deve essere valutato in base al progresso tecnico del momento.

Questa apertura introduce nuove sfide per le imprese nel settore dell'AI: se l'opt-out formulato con un linguaggio naturale è considerato "machine readable", i sistemi di AI dovranno essere in grado di elaborare testi scritti in un linguaggio umano per identificare tali riserve.

L’uso temporaneo delle immagini per finalità di training

Quanto alla difesa di LAION, secondo cui le immagini sarebbero state utilizzate solo "temporaneamente", il Tribunale di Amburgo ha rigettato tale argomentazione, ritenendo che la riproduzione effettuata dalla convenuta non potesse essere considerata "transitoria" o "accessoria". Infatti, i file immagine sono stati scaricati e analizzati in modo consapevole e intenzionale, indicando così che il processo di download non fosse semplicemente un passaggio accessorio del processo di analisi, ma piuttosto un atto di acquisizione consapevole e controllato da LAION. Pertanto, il Tribunale ha escluso che LAION potesse avvalersi dell'eccezione di cui all'articolo 44b dell'UrhG nel caso in esame.

Quale sarebbe stato l’esito della controversia in Italia?

Se il caso in oggetto fosse stato deciso in Italia, la decisione probabilmente non sarebbe stata diversa da quella adottata dal Tribunale distrettuale di Amburgo. Infatti, l'art. 70-ter della legge italiana sul diritto d'autore, in attuazione dell'art. 3 della Direttiva Copyright, consente l’estrazione di testo e dati per scopi di ricerca scientifica. La norma stabilisce che gli enti di ricerca includono università, istituti e altre entità con finalità di ricerca. Questa nozione non richiede che la ricerca scientifica costituisca l’unico obiettivo “statutario” dell’ente, ma è sufficiente che sia quello principale: ed è perciò compatibile con lo svolgimento di attività imprenditoriali a latere di quella di ricerca scientifica. L'art. 70-ter stabilisce che un ente non può essere considerato "organismo di ricerca" se è soggetto a un'influenza determinante da parte di imprese commerciali che garantisca loro un accesso preferenziale ai risultati della ricerca. Tale influenza è compatibile con la qualifica di organismo di ricerca per una società controllata, purché l'accesso privilegiato ai risultati della ricerca sia escluso. Pertanto, secondo la normativa italiana, anche società commerciali possono qualificarsi come enti di ricerca, purché rispettino i requisiti previsti dall'art. 70-ter.

Alla luce di quanto sopra, si ritiene che un Tribunale italiano avrebbe considerato l’attività di LAION conforme alla normativa sul diritto d'autore, dato che è orientata alla ricerca scientifica e non persegue fini commerciali.

Conclusioni

La decisione del Tribunale di Amburgo risulta essere ben motivata e riflette la complessità di trovare un equilibrio tra i diritti di proprietà intellettuale e l'avanzamento della tecnologia AI. La Corte ha valutato in modo approfondito l'applicabilità delle varie eccezioni al diritto d'autore, schierandosi infine a favore degli interessi della ricerca scientifica. Questa sentenza mette in evidenza le sfide che il diritto d'autore tradizionale deve affrontare nell'era dell'AI, in cui la raccolta e l'analisi massiccia dei dati sono essenziali per lo sviluppo tecnologico.

La decisione lascia tuttavia alcune domande senza risposta, in particolare riguardo all'adeguatezza dell'opt-out per i contenuti online e a come l'esercizio della riserva dovrebbe essere trattato nel contesto del data mining per l'AI.

Su un argomento simile può essere di interesse l'articolo "Il training dell’AI con brani musicali: le principali etichette discografiche stanno facendo causa a start-up di AI generativa"

Autrice: Carolina Battistella

La Corte di Giustizia dell'Unione Europea ha reso una decisione fondamentale in materia di "meat sounding"

Il 4 ottobre 2024 la Corte di Giustizia dell'Unione Europea (la "CGUE") ha deciso la causa C-438/23 in materia di "meat sounding", vertente sulla liceità dell'impiego di denominazioni solitamente collegate a prodotti animali (pensiamo a burger, salsiccia, bistecca) per designare, commercializzare o promuovere alimenti realizzati con proteine vegetali o, comunque, diverse da proteine animali e sulla legittimità degli atti normativi nazionali che vietino il ricorso a tali denominazioni.

Da tempo, infatti, la Corte di Giustizia era stata investita di due questioni pregiudiziali da parte del Consiglio di Stato francese, che era stato chiamato a pronunciarsi sulla legittimità di una disposizione di legge che vietava l'uso di nomi che richiamano la carne o preparazioni o tagli di carne con riferimento ad alimenti vegetariani e/o vegani.

Le domande di pronuncia pregiudiziale presentate dal Conseil d'Etat erano le seguenti:

  • Se le disposizioni dell’articolo 7 del regolamento (UE) n. 1169/2011 (il "Regolamento"), che prescrivono di fornire ai consumatori informazioni che non li inducano in errore relativamente all’identità, alla natura e alle qualità degli alimenti, debbano essere interpretate come espressamente armonizzanti (ai sensi e ai fini dell’applicazione dell’articolo 38, paragrafo 1 del Regolamento) la materia dell’utilizzo di denominazioni di prodotti di origine animale provenienti dai settori della macelleria, della salumeria e della pescheria per descrivere, commercializzare o promuovere alimenti contenenti proteine vegetali, idonee ad indurre in errore il consumatore, in tal modo impedendo a uno Stato membro di intervenire in materia tramite l’adozione di misure nazionali che disciplinino o vietino l’utilizzo di tali denominazioni;
  • Se le disposizioni dell’articolo 17 del Regolamento— che prevedono che la denominazione con cui l’alimento è identificato sia, in assenza di una denominazione legale, la sua denominazione usuale o una denominazione descrittiva — in combinato disposto con le disposizioni del suo allegato VI, parte A, paragrafo 4, debbano essere interpretate come espressamente armonizzanti, ai sensi e ai fini dell’applicazione dell’articolo 38, paragrafo 1 del Regolamento, la materia del contenuto e dell’utilizzo delle denominazioni, diverse dalle denominazioni legali, che designano alimenti di origine animale per descrivere, commercializzare o promuovere alimenti contenenti proteine vegetali, anche in caso di totale sostituzione di ingredienti di origine vegetale a tutti gli ingredienti di origine animale che compongono un prodotto alimentare, in tal modo impedendo a uno Stato membro di intervenire in tale materia tramite l’adozione di misure che disciplinino o vietino l’utilizzo di tali denominazioni.

La Corte di Giustizia dell'Unione europea ha concluso, dopo aver ripercorso la portata e l'ambito applicativo del Regolamento, che le previsioni del Regolamento stesso armonizzano la protezione dei consumatori contro il rischio di essere indotti in errore dall'uso di denominazioni, diverse dalle denominazioni legali, costituite da termini provenienti dai settori della macelleria, gastronomia e della pescheria per descrivere, commercializzare o promuovere alimenti contenenti proteine vegetali e non di origine animale. Di conseguenza, le previsioni del Regolamento ostano a che uno Stato membro dell'Unione adotti misure nazionali che disciplinino o vietino l'uso di tali denominazioni per i prodotti indicati e oggetto di causa.

Inoltre, la CGUE ha altresì affermato che l'armonizzazione derivante dalle disposizioni del Regolamento osta a che uno Stato membro possa adottare una previsione nazionale che fissi un livello minimo di proteine vegetali al di sotto delle quali sarebbe autorizzato l'uso di denominazioni costituite da termini collegati ai settori della macelleria o pescheria per designare, commercializzare o promuovere prodotti alimentari contenenti delle proteine vegetali.

Alla luce di quanto sopra, si può quindi affermare che, all'interno dell'Unione, non è possibile vietare l'uso di nomi che richiamano la carne, sue lavorazioni o particolari tagli, salvo che tali denominazioni non costituiscano oggetto di denominazioni legali già esistenti e protette ai sensi del diritto dell'Unione.

La Corte di Giustizia, mediante la propria pronuncia, ha quindi chiarito che sono illegittime, perché non rispettose del diritto dell'Unione, tutte le normative nazionali eventualmente introdotte per proibire l'uso dei termini tradizionalmente impiegati per prodotti di origine animale per contraddistinguere o promuovere alimenti che non contengano proteine animali.

Su un simile argomento può essere d'interesse l'articolo " Il Tribunale UE dichiara la decadenza del marchio “Big Mac” per i prodotti a base di pollo"

Autore: Federico Maria Di Vizio

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Noemi Canova, Gabriele Cattaneo, Noemi CanovaGabriele Cattaneo, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Nadia FeolaLaura Gastaldi, Vincenzo GiuffréNicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Federico ToscaniGiulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su Transfer, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

Competenze correlate

TechnologyLife SciencesConsumer Goods, Food and RetailMedia, Sport and EntertainmentIntellectual Property