Innovation Law Insights

Artificial Intelligence

L'AI Act è entrato in vigore: la tua azienda è pronta a conformarsi?

L'AI Act è stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea ed è ufficialmente entrato in vigore. La tua azienda è pronta a conformarsi?

Le diverse disposizioni dell'AI Act diventeranno applicabili durante un periodo specifico che puoi trovare nel nostro report disponibile qui. Tuttavia, a causa del rapido scorrere del tempo, nessuna azienda può permettersi di adottare una tecnologia che dovrà essere abbandonata, rinegoziata, e comunque modificata entro pochi mesi.

Di seguito è riportata la metodologia che raccomandiamo di seguire nei prossimi mesi per garantire una conformità:

1. Mappare i sistemi di IA: Identificare tutti i sistemi di IA che la tua azienda utilizza attualmente o pianifica di utilizzare. Il rischio è che la tua attività stia già utilizzando soluzioni di intelligenza artificiale inconsapevolmente e senza considerare le implicazioni legali, ad esempio a causa di iniziative locali di dipartimenti o singoli individui.
2. Creare un framework di governance per l'IA: Stabilire regole interne per l'uso e l'approvazione delle soluzioni di IA. Queste regole dovrebbero tener conto degli obblighi derivanti dall'AI Act, dalle normative sulla protezione dei dati, dalle leggi sulla proprietà intellettuale, dagli standard ISO per le aree non coperte e dalle regole etiche in linea con i principi ESG. Tali regole non dovrebbero soltanto vietare qualsiasi tipo di utilizzo delle soluzioni di IA, altrimenti i dipendenti cercherebbero di aggirarle. Dovrebbero definire il processo di approvazione in modo che i dipendenti siano consapevoli di come le esigenze aziendali debbano essere gestite.
3. Creare materiali per facilitare la comprensione del framework di governance per l'IA internamente e iniziare a formare i tuoi dipendenti: Normalmente accompagniamo la policy con un opuscolo che, in modo breve ed intuitivo, utilizzando anche soluzioni di legal design, riassume i contenuti più importanti del framework di governance. Allo stesso tempo, conduciamo sessioni di formazione per le diverse unità aziendali con un focus specifico sulle soluzioni di IA che influenzano la loro attività. Se i tuoi dipendenti e i dirigenti non sono in grado di comprendere cosa si può e non si può fare con le soluzioni di IA, l'azienda rimarrà a rischio e ogni sforzo sarà privo di significato.
4. Formare un comitato interno per l'IA: Assegnare un team per valutare le soluzioni di IA utilizzando un approccio di compliance by design. Tale team può includere dirigenti di alto livello, ma necessita anche di membri operativi che siano coinvolti nella valutazione della soluzione di intelligenza artificiale, stabiliscano un contatto con le diverse unità aziendali e monitorino la soluzione di IA anche dopo la sua implementazione.
5. Selezionare e dare priorità alle soluzioni di IA: Determinare su quali soluzioni di IA investire e stabilire dei livelli di priorità. Questa attività richiederà una valutazione preliminare ad alto livello dei rischi di conformità e delle implicazioni delle soluzioni identificate dall'azienda. Successivamente, il comitato per l'IA dovrà selezionare le soluzioni su cui l'azienda intende investire, ottenendo anche l'approvazione del budget pertinente.
6. Testare e valutare le soluzioni di IA: Iniziare a valutare le tecnologie di IA selezionate. Questa attività ha implicazioni tecniche e di conformità. Per supportare le aziende in questo compito potenzialmente lungo, abbiamo sviluppato Prisca AI Compliance, una soluzione che consente una valutazione conveniente della conformità delle soluzioni di intelligenza artificiale all'AI Act, alle leggi in materia di protezione dei dati personali, alle leggi sulla proprietà intellettuale e agli standard ISO, generando un rapporto dettagliato utilizzabile per la conformità interna e verso regolatori e terze parti che contestino l'attività dell'azienda. Puoi guardare un video su questo prodotto qui.

Vuoi sapere di più sulla metodologia riportata? Contattaci per discuterne. Nel frattempo, puoi leggere qui alcuni materiali sulle questioni legali più rilevanti relativamente all'AI compliance.

Autore: Giulio Coraggio

AI Act: Quando un sondaggio sui dipendenti diventa una pratica di Intelligenza Artificiale vietata?L'AI Act elenca tra le pratiche vietate di Intelligenza Artificiale l'uso di sistemi di riconoscimento delle emozioni sul posto di lavoro, ma quando un sondaggio sui dipendenti rientra in questa categoria?

Le pratiche di Intelligenza Artificiale vietate in grado di riconoscere le emozioni ai sensi dell'IA Act

L'AI Act è entrato in vigore e la prima scadenza imminente è il 2 febbraio 2025, data in cui le disposizioni sulle pratiche di IA vietate (e le relative sanzioni) diventeranno applicabili. Una delle pratiche di IA vietate di cui si discute maggiormente al momento riguarda

l'uso di sistemi di IA per riconoscere le emozioni di una persona fisica in ambito lavorativo.

Questa ampia disposizione si applica a qualsiasi sistema di IA in grado di riconoscere le emozioni. In effetti, la capacità di riconoscere le emozioni è menzionata anche nel considerando 14 dell'AI Act, dove si stabilisce che "i dati biometrici possono consentire l'autenticazione, l'identificazione o la categorizzazione di persone fisiche e il riconoscimento delle emozioni di persone fisiche".

Tuttavia, la disposizione dell'AI Act è limitata alle pratiche di intelligenza artificiale che utilizzano dati biometrici?

I limiti di conformità di un'indagine sui dipendenti all'AI'Act

Le questioni affrontate sopra sono particolarmente rilevanti per i sondaggi che spesso vengono condotti sui dipendenti per capire il loro livello di soddisfazione, l'umore e le potenziali informazioni sulle loro condizioni mentali. Soprattutto dopo la pandemia, tali sondaggi sono diventati esponenzialmente comuni e vengono eseguiti tramite software in grado di analizzare e aggregare i dati.

Questi sondaggi sollevano notevoli problemi di protezione dei dati e di diritto del lavoro in tutta l'Unione Europea. Ma quando si qualificano come pratiche vietate di IA?

Vedremo come le autorità competenti in materia affronteranno la questione. Svolgere questi sondaggi e consentire ai dipendenti di rispondere alle domande con risposte aperte è rischioso, poiché potrebbero comunicare informazioni che vanno al di là dello scopo del sondaggio. Tuttavia, questo aspetto è più una questione di diritto del lavoro/protezione dei dati.

Infatti, l'uso del termine "riconoscere" da parte del legislatore europeo sembra riferirsi ai casi in cui il sistema di Intelligenza Artificiale rileva alcune informazioni che i dipendenti non sono disposti a condividere, ma che possono essere comprese attraverso le loro risposte. Altrimenti, il legislatore avrebbe usato il termine "comunicare", e un sistema di intelligenza artificiale non sarebbe necessario per conoscere tali informazioni.

Abbiamo visto sondaggi di questo tipo che si basano su parole chiave per comprendere lo stato d'animo della persona intervistata. In tali casi, il sistema va già oltre ciò che il potenziale dipendente vuole comunicare. È probabile che sia necessaria un'analisi caso per caso. Tuttavia, anche in questo caso le emozioni degli individui non vengono dedotte, poiché le parole chiave predeterminate non sono personalizzate per l'individuo specifico.

In definitiva, solo i dati biometrici possono rilevare informazioni uniche per un individuo specifico. Tuttavia, vedremo come l'autorità di regolamentazione dell'UE interpreterà questa disposizione. In ogni caso, dato l'avvicinarsi della scadenza sopra citata, le aziende dovranno iniziare a esaminare le loro pratiche attuali per verificare se qualcuna di esse possa essere qualificata come pratica di Intelligenza Artificiale vietata.

Sul tema dei dati biometrici potrebbe interessarvi anche: Garante prende posizione sul trattamento dei dati biometrici

Autore: Giulio Coraggio

 

Data Protection & Cybersecurity

Il tuo strumento di cybersecurity sta catturando i metadati delle e-mail dei dipendenti in Italia?

La decisione dell'autorità Garante per la Protezione dei Dati Personali sulla conservazione dei metadati delle e-mail potrebbe avere un forte impatto sulla strategia di cybersecurity delle aziende che operano in Italia.

Nel mondo digitale di oggi, l'intersezione tra cybersecurity e protezione dei dati non è mai stata così critica. Con l'aumentare delle minacce informatiche a cui sono sottoposte le aziende, la conservazione dei metadati delle e-mail svolge un ruolo fondamentale nella salvaguardia delle operazioni e nel garantire la conformità. La recente presa di posizione del Garante per la protezione dei dati personali in Italia ha portato l'attenzione sulle sfide da affrontare per bilanciare la conservazione dei metadati delle e-mail con la privacy dei dipendenti. Come possono le aziende orientarsi in queste nuove regole mantenendo al contempo solide misure di cybersecurity e rispettando i requisiti del GDPR?

La Decisione del Garante per la Protezione dei Dati Personali

Il mese scorso, il Garante per la Protezione dei Dati Personali ha fatto notizia limitando il periodo di conservazione dei metadati delle e-mail dei dipendenti.

Inizialmente il periodo di conservazione era stato fissato a 7 giorni, ma successivamente è stato esteso a 21 giorni. L'autorità ha chiarito che questa limitazione non si applica ai metadati presenti nella casella di posta elettronica dei dipendenti, creando una distinzione tra diversi tipi di metadati di posta elettronica. Tuttavia, la questione rimane aperta.

Le implicazioni per la Cybersecurity

Sebbene la decisione sia stata ampiamente discussa in termini di privacy dei dati, l'attenzione si è concentrata meno sulle sue implicazioni per la sicurezza informatica. In un'epoca in cui le minacce informatiche sono pervasive e in continua evoluzione, la capacità di conservare e analizzare i metadati delle e-mail è fondamentale per identificare e mitigare i rischi potenziali.

1. Rilevamento e Prevenzione delle Minacce Informatiche: I metadati delle e-mail, come le informazioni sul mittente e sul destinatario, i timestamp e gli indirizzi IP, possono fornire indicazioni preziose su attività insolite o sospette. La riduzione del periodo di conservazione potrebbe ostacolare la capacità degli strumenti di cybersecurity di rilevare modelli e tendenze che indicano minacce informatiche.
2. Risposta agli Incidenti e Indagini: Quando si verifica un attacco informatico, l'accesso ai metadati storici delle e-mail può essere fondamentale per le indagini forensi. Permette ai team di sicurezza di risalire all'origine dell'attacco, di comprenderne la portata e di sviluppare strategie per prevenire incidenti futuri. Se questi dati venissero eliminati troppo presto, potrebbero compromettere l'efficacia degli sforzi di risposta agli incidenti. Infatti, gli attacchi informatici si verificano spesso a più di 6 mesi dal momento in cui l'attore della minaccia accede al sistema informatico della vittima.
3. Considerazioni sulla Conformità e Aspetti Legali: Molti settori sono soggetti a normative che richiedono la conservazione di alcuni dati per periodi prolungati. Garantire la conformità a queste normative, bilanciando al contempo le preoccupazioni relative alla privacy dei dati, può essere impegnativo. Un solido programma di conformità per la protezione dei dati è necessario per affrontare queste complessità.

Equilibrio tra conservazione dei dati e privacy

Il dibattito sulla conservazione dei metadati delle e-mail in Italia evidenzia la necessità di un approccio equilibrato che tenga conto sia delle esigenze di cybersicurezza che dei diritti alla privacy. Ecco alcune considerazioni chiave:

• Negoziare con i Sindacati: Impegnarsi con i sindacati e i rappresentanti dei dipendenti può aiutare a sviluppare politiche che rispettino la privacy e al tempo stesso affrontino i problemi di sicurezza. La comunicazione trasparente e la collaborazione sono essenziali per raggiungere accordi vantaggiosi per tutte le parti.
• Implementare un Programma di Conformità Strutturato per la Protezione dei Dati: Le aziende devono andare oltre le misure temporanee e stabilire programmi completi di conformità alla protezione dei dati. Ciò include l'esecuzione di una valutazione dell'impatto sulla protezione dei dati, una valutazione dell'interesse legittimo e una politica sull'utilizzo dei metadati delle e-mail. Tuttavia, l'obiettivo più importante è dimostrare che la conservazione dei metadati delle e-mail dei dipendenti non è finalizzata al monitoraggio dei dipendenti ma è essenziale per il funzionamento dell'azienda.
• Valutare le Politiche di Conservazione: È fondamentale rivedere e aggiornare regolarmente le politiche di conservazione dei metadati delle e-mail dei dipendenti in Italia. Le aziende devono valutare la necessità di conservare determinati tipi di metadati e considerare i potenziali rischi e benefici. In effetti, le aziende devono fornire prove rilevanti della necessità di conservare i metadati per un periodo molto più lungo dei 21 giorni indicati dal Garante per la protezione dei dati personali in Italia.

Il Futuro della Conservazione dei Metadati delle E-Mail (non solo per la cybersecurity) in Italia

La recente decisione del Garante per La Protezione dei Dati Personali di limitare la conservazione dei metadati delle e-mail ha aperto importanti discussioni sull'intersezione tra cybersecurity e privacy dei dati. Le aziende devono adottare misure rigorose in materia di protezione dei dati e di diritto del lavoro per giustificare un periodo di conservazione più lungo, altrimenti potrebbero incorrere in pesanti multe previste dal GDPR.

Sul tema dei metadati delle e-mail potrebbe essere interessante consultare: Email e metadati: come applicare le linee guida del Garante Privacy

Autore: Giulio Coraggio

Una panoramica della bozza finale delle norme tecniche di regolamentazione sul subappalto ai sensi di DORA

Il 26 luglio 2024 le Autorità di vigilanza europee hanno pubblicato la bozza finale dei Regulatory Technical Standard (RTS) relativi al subappalto nell'ambito del Digital Operational Resilience Act (DORA). Si tratta di alcune tra le norme tecniche più cruciali legate a DORA e che dovrebbero essere analizzate con attenzione sia dalle entità finanziarie che dai fornitori di servizi ICT.

Le disposizioni di DORA sul subappalto

DORA prevede specifiche disposizioni contrattuali per gli enti finanziari che si avvalgono di fornitori terzi di servizi ICT. Esse includono l'obbligo per i soggetti finanziari di specificare se il subappalto di servizi ICT a supporto di funzioni critiche sia consentito e a quali condizioni. Gli RTS chiariscono ulteriormente le condizioni in cui il subappalto dovrebbe essere autorizzato e forniscono diversi requisiti aggiuntivi che dovrebbero essere tenuti in debita considerazione.

Pubblicata inizialmente nel dicembre 2023, la bozza di RTS è stata sottoposta ad un sostanziale feedback durante il periodo di consultazione e alcune modifiche sono state apportate come risposta alle preoccupazioni degli operatori del settore.

Punti salienti della bozza finale degli RTS relativamente al subappalto

Le principali modifiche apportate dalle Autorità di vigilanza europee a seguito delle consultazioni pubbliche sono le seguenti:

• catena di fornitura: è stata data maggiore attenzione alla catena di fornitura nel suo complesso e alle condizioni che dovrebbero essere applicate a tutti i subappaltatori lungo la catena;
• accordi contrattuali: le disposizioni e gli elementi che dovrebbero essere inclusi negli accordi contrattuali tra gli enti finanziari e il fornitore di servizi ICT sono stati definiti con maggiore dettaglio e possono essere identificati attraverso gli RTS. A questo proposito, un nuovo articolo chiarisce che "Le modifiche agli accordi contrattuali […] rese necessarie per conformarsi al presente regolamento devono essere effettuate tempestivamente e il prima possibile";
• rimedio tempestivo: le Autorità di vigilanza europee hanno sottolineato che non vi sarà alcun periodo transitorio per la conformità agli RTS. Le entità finanziarie dovranno implementare le modifiche necessarie ai loro accordi contrattuali entro la data di entrata in vigore di DORA (17 gennaio 2025).

Una panoramica della struttura degli RTS

La bozza finale degli RTS è strutturata in modo da coprire tre fasi principali di subappalto: (i) precontrattuale (che comporta valutazione del rischio e due diligence); (ii) contrattuale; e (iii) cessazione degli accordi.

• Fase precontrattuale

Gli RTS richiedono che i soggetti finanziari valutino ed identifichino debitamente il profilo di rischio generale e la complessità dei servizi ICT prima di autorizzare il subappalto. Tra i fattori che le entità finanziarie dovrebbero considerare vi sono il tipo e l'ubicazione dei servizi ICT, la lunghezza delle catene di subappalto, il trattamento dei dati, la supervisione normativa e l'impatto delle interruzioni sulla continuità del servizio.

Inoltre, le entità finanziarie sono tenute a valutare il singolo subappaltatore attraverso un processo di due diligence, i cui elementi sono elencati all'articolo 3. Ciò mira a garantire che la responsabilità finale rimanga in capo all'entità finanziaria.

L'attenzione è rivolta anche all'applicazione del Regolamento a livello di gruppo. In particolare, le società madri devono garantire un'applicazione coerente delle condizioni di subappalto in tutte le entità del gruppo per quanto riguarda i servizi ICT a supporto delle funzioni critiche.

• Fase contrattuale

Una volta completate le valutazioni precontrattuali, l'entità finanziaria può autorizzare il subappalto, a condizione che siano soddisfatte le condizioni elencate negli articoli 4, 5 e 6 degli RTS.

In particolare, se il fornitore di servizi ICT non è disposto ad accettare le condizioni stabilite dagli RTS e ad includere gli elementi obbligatori nel suo accordo con l'ente finanziario, quest'ultimo dovrebbe autorizzare il subappalto. Questi elementi includono responsabilità chiare, obblighi di monitoraggio, valutazioni del rischio dei subappaltatori, pianificazione della continuità, standard di sicurezza e diritti di revisione.

Gli RTS, nello specifico, richiedono anche che l'ente finanziario ottenga dal fornitore di servizi ICT il diritto di rivedere e proporre modifiche ai termini e alle condizioni del subappalto (in particolare quando si verificano cambiamenti importanti in questi termini). Inoltre, dovrebbe essere ottenuto il diritto di controllare direttamente il subappaltatore.

Si prevede che questi elementi saranno molto discussi e negoziati tra gli enti finanziari e i fornitori di servizi ICT, anche in considerazione del fatto che le catene di subappalto possono essere molto lunghe e complesse. È quindi essenziale un'attenta e accurata stesura delle clausole.

• Fase di cessazione dell'accordo

L'articolo 7 stabilisce tre ulteriori diritti di risoluzione che l'entità finanziaria dovrebbe ottenere per i propri accordi con i fornitori di servizi ICT.

In particolare, l'entità finanziaria dovrebbe essere in grado di risolvere l'accordo con il fornitore di servizi IC nel caso in cui siano state apportate modifiche sostanziali ai contratti di subappalto nonostante l'obiezione dell'entità finanziaria (o prima della scadenza del relativo preavviso). Inoltre, in linea con DORA, dovrebbe essere concesso un diritto di risoluzione all'ente finanziario in caso di subappalto non autorizzato da parte del fornitore di servizi ICT.

Risposta ai feedback e considerazioni future

Sebbene l'obiettivo degli RTS sia comprensibile, le parti interessate hanno sollevato dubbi sulla praticabilità del monitoraggio e del controllo di intere catene di subappalto, nonché sulla fattibilità dell'obbligo di garantire tutti i diritti previsti dagli RTS nelle trattative con i fornitori di servizi ICT.

Tutte queste perplessità sono ora sotto la lente della Commissione europea, che ha ricevuto gli RTS per la revisione e l'adozione.

In attesa della versione definitiva, si invitano le entità finanziarie a familiarizzare tempestivamente con gli RTS e ad integrare le loro disposizioni nel processo di implementazione di DORA.

Su DORA e sui nuovi obblighi a carico degli enti finanziari, potrebbe interessarvi anche: Il panorama della cybersicurezza in Italia: regolamento DORA

Autori: Edoardo Bardelli, Alessandra Faranda

FAQ dell'EDPB sul Data Privacy Framework relativamente ai trasferimenti di dati personali

L'European Data Protection Board (EDPB) ha pubblicato le faq "EU-US Data Privacy Framework – for European businesses" volte a rispondere alle domande più frequenti in tema di trasferimenti dei dati tra Unione Europea e Stati Uniti.

Cos'è il DPF?

Il Data Privacy Framework (detto anche DPF) è un meccanismo di autocertificazione che consente alle organizzazioni dello Spazio Economico Europeo (SEE) di trasferire dati personali dall'Unione Europea agli Stati Uniti, in maniera conforme a quanto disposto all'art. 45(3) del GDPR. Infatti, il 10 luglio 2023, la Commissione europea ha adottato una nuova decisione di adeguatezza ex art. 45 (3) GDPR per regolare i flussi di dati personali dall’Unione europea verso gli Stati Uniti.

Inserita nel contesto dell’EU-US Data Privacy Framework, questa decisione permette alle organizzazioni certificate statunitensi di scambiare liberamente dati con le aziende europee, agevolando il flusso di informazioni tra due importanti partner commerciali (per un approfondimento, si veda, Le aree grigie della decisione di adeguatezza sul trasferimento dei dati verso gli Stati Uniti). Questo significa che, le organizzazioni europee, se aderiscono al DPF, non sono tenute ad adottare le ulteriori garanzie previste dall'art. 46 del GDPR.

Tuttavia, l'adozione di tale meccanismo aveva lasciato tutta una serie di domande senza un'adeguata risposta. Per tale ragione, la Commissione europea ha pubblicato delle faq che – anche in questo caso – non fornivano tutte le risposte necessarie.

Le FAQ dell'EDPB sul DPF

L'EDPB ha dunque adottato un documento che risponde alle domande più frequenti sul DPF, in particolare:

• Qual è l'ambito di applicazione del DPF? Il DPF è applicabile alle organizzazioni US che sono soggette alla Federal Trade Commission (FTC), oppure al Department of Transportation (DoT). Sono escluse, dunque, le organizzazioni non-profit, le banche, le compagnie assicurative e di telecomunicazione.
• Cosa è necessario fare prima di trasferire dati personali in US? È necessario verificare che l'organizzazione verso cui si intendono esportare i dati sia in possesso di una certificazione attiva e applicabile ai sensi del DPF. Bisogna infatti ricordare che il DPF ha validità solamente annuale, e che è possibile che un'organizzazione decida di ritirarsi volontariamente dal DPF. Se l'organizzazione US non è certificata ai sensi del DPF, sarà necessario applicare le garanzie di cui al Capo V del GDPR (come le SCC).
• Cosa fare nel caso in cui l'organizzazione US sia un titolare del trattamento? In tal caso, sarà necessario assicurarsi che il trasferimento avvenga conformemente alle disposizioni del GDPR, assicurandosi che (i) vi sia una base legale ex art. 6 del GDPR per poterlo fare; (ii) tutti i principi del GDPR (come ad esempio il principio di minimizzazione), siano rispettati; e (iii) i soggetti interessati siano stati debitamente informati.
• fare nel caso in cui l'organizzazione US sia un responsabile del trattamento? In tal caso, sarà necessario concludere un data processing agreement (DPA), ai sensi dell'art. 28 del GDPR, e assicurarsi che anche i sub-processor siano legati dal DPA.

Impatto per le aziende

Nonostante i chiarimenti dell'EDPB, come anche evidenziato dal Board stesso, il DPF non è un meccanismo che copre in modo sicuro e permanente tutti i trasferimenti verso US. Innanzitutto, si ricorda che tale certificazione è solamente temporanea (dura solo un anno) e su base volontaria. In secondo luogo, il suo ambito di applicazione, benché molto esteso, non consente di coprire qualsiasi organizzazione US.

È pertanto altamente raccomandabile effettuare in ogni caso una valutazione del rischio rispetto al trasferimento (TIA) anche verso società che hanno ottenuto la certificazione DPF per evitare di trovarsi impreparati, per esempio, di fronte ad un eventuale (e non così improbabile) Schremes III.

Lo studio DLA Piper ha ideato uno strumento di legal tech per effettuare in maniera più rapida ed efficiente le TIA. Per saperne di più, clicca qui.

Autrice: Enila Elezi

 

Technology Media and Telecommunication

Il BEREC avvia due consultazioni pubbliche per la predisposizione di linee guida sull'accesso alle infrastrutture fisiche interne agli edifici e sul coordinamento delle opere di genio civile

Il 24 luglio 2024, il BEREC (Body of European Regulators for Electronic Communications) ha avviato due consultazioni pubbliche strumentali alla predisposizione di linee guida, rispettivamente, sull'accesso alle infrastrutture interne agli edifici (cd. "in-building physical infrastructure") e sul coordinamento delle opere di genio civile (cd. "coordination of civil works").

L'adozione di tali linee guida da parte del BEREC è prevista dal Regolamento (UE) 2024/1309 recante misure volte a ridurre i costi dell’installazione di reti di comunicazione elettronica Gigabit – cd. Gigabit Infrastructure Act.

In particolare, gli articoli 11(6) e 5(6) del Gigabit Infrastructure Act stabiliscono che entro il 12 novembre 2025, previa consultazione delle parti interessate, degli organismi nazionali competenti per la risoluzione delle controversie e degli altri organismi o agenzie dell’UE competenti nei settori pertinenti, se del caso, e tenendo conto dei principi consolidati e delle diverse situazioni degli Stati membri, il BEREC è tenuto a pubblicare, rispettivamente:

• orientamenti sulle condizioni di accesso alle infrastrutture fisiche interne agli edifici, compresa l’applicazione di condizioni eque e ragionevoli, e sui criteri che gli organismi nazionali competenti per la risoluzione delle controversie dovrebbero seguire nella risoluzione delle controversie; nonché
• orientamenti sull'applicazione dell'articolo 5 del Gigabit Infrastructure Act – avente ad oggetto il "coordinamento delle opere di genio civile" – in particolare per quanto riguarda (a) la ripartizione dei costi legati al coordinamento di opere di genio civile; (b) i criteri che gli organismi nazionali competenti per la risoluzione delle controversie dovrebbero seguire nella risoluzione delle controversie che rientrano nell'ambito di applicazione dell'articolo 5 e (c) i criteri per garantire una capacità sufficiente a soddisfare eventuali future esigenze ragionevoli se il coordinamento delle opere di genio civile è rifiutato per irragionevolezza della richiesta.

Con le due consultazioni pubbliche in commento, in ottemperanza alle previsioni rilevanti del Gigabit Infrastructure Act, il BEREC chiede ai soggetti interessati di fornire il proprio input in merito alle questioni e alle criticità che a loro avviso devono essere trattate nelle linee guida sull'accesso alle infrastrutture interne agli edifici e nelle linee guida sul coordinamento delle opere di genio civile.

I soggetti interessati possono presentare i propri contributi alle due consultazioni pubbliche entro il 20 settembre 2024.

Su un simile argomento può essere interessante l’articolo “Adozione definitiva del Gigabit Infrastructure Act”.

Autori: Massimo D'Andrea, Flaminia Perna, Matilde Losa

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Alessandra Faranda, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.