Innovation Law Insights

Rivista

Diritto Intelligente – Volume 2

Nel corso del 2024, il panorama giuridico che circonda l'intelligenza artificiale si sta evolvendo a un ritmo senza precedenti. Con le tematiche della privacy in primo piano, l'integrazione degli strumenti di IA generativa presenta sia opportunità che sfide significative. La domanda è se ci stiamo avvicinando a un punto cruciale per una regolamentazione più severa. I quadri normativi sulla privacy, come il GDPR, sono sottoposti a pressioni per evolversi con lo sviluppo delle tecnologie di IA e le normative globali dovranno adattarsi rapidamente.

Approfondisci questi e altri temi nel nostro numero 2 QUI.

 

Podcast

Il futuro delle start up italiane negli Stati Uniti con Fabrizio Capobianco

Dopo aver trascorso 23 anni di trasformazioni nella Silicon Valley – dove ha fondato diverse aziende di successo alimentate da un eccezionale talento ingegneristico italiano – Fabrizio Capobianco è tornato alle sue radici in Valtellina, Italia. Lì ha lanciato The Liquid Factory, un hub innovativo dedicato a coltivare i talenti dietro le prossime startup unicorno italiane. In questo avvincente episodio del podcast Diritto al Digitale, si siede con Giulio Coraggio di DLA Piper per condividere il suo straordinario viaggio, svelare la missione visionaria della Liquid Factory e discutere di ciò che serve alle startup italiane per prosperare sulla scena globale. Puoi ascoltare QUI.

 

Data Protection & Cybersecurity

La CGUE ha stabilito che le Autorità privacy non sono obbligate a imporre multe per ogni violazione del GDPR

Con una decisione storica, la Corte di Giustizia dell'Unione Europea (CGUE) ha chiarito che le Autorità per la protezione dei dati non sono obbligate a imporre misure correttive o multe pecuniarie in ogni caso di violazione del Regolamento generale sulla protezione dei dati (GDPR). Questa sentenza ha implicazioni significative per l'applicazione delle leggi sulla protezione dei dati in tutta Europa, in particolare per quanto riguarda i data breach derivanti da attacchi informatici.

Tradizionalmente, le Autorità per la protezione dei dati si sono spesso orientate verso un regime di responsabilità oggettiva nell'affrontare i data breach. Si presume implicitamente che il verificarsi di una violazione indichi automaticamente l'inadeguatezza delle misure di sicurezza adottate dal titolare del trattamento. Tuttavia, questo approccio potrebbe non essere sempre corretto o riflettere le complesse realtà della sicurezza informatica. È ampiamente riconosciuto che nessun software è del tutto esente da bug o vulnerabilità. Molti attacchi informatici hanno successo non per negligenza, ma perché i criminali informatici possiedono competenze eccezionali e utilizzano metodi sofisticati per sfruttare anche le più piccole debolezze.

Inoltre, un numero sostanziale di data breach è attribuibile all'errore umano, che può essere inevitabile nonostante una solida formazione e protocolli di sicurezza. Gli esseri umani sono fallibili e anche i dipendenti più diligenti possono commettere errori che portano all'esposizione involontaria dei dati. In tali contesti, l'imposizione di sanzioni severe alle organizzazioni potrebbe non affrontare efficacemente le cause alla radice o contribuire a una maggiore protezione dei dati.

La decisione della CGUE riconosce queste sfumature e lascia alle Autorità per la protezione dei dati la facoltà di valutare ogni singolo caso. Se un titolare del trattamento dei dati ha adottato in modo proattivo le misure necessarie per porre rimedio alla violazione e garantire la piena conformità al GDPR, le Autorità possono scegliere di non intraprendere ulteriori azioni punitive. Questo approccio incoraggia le organizzazioni a concentrarsi sul rimedio e sul miglioramento continuo delle loro misure di protezione dei dati, piuttosto che operare sotto la costante minaccia di multe.

Questa sentenza potrebbe segnare un cambiamento nel modo in cui le Autorità europee applicano le leggi sulla protezione dei dati. Grazie alla discrezionalità di cui godono, le Autorità per la protezione dei dati possono prendere in considerazione fattori quali l'intento dell'organizzazione, l'efficacia delle misure di sicurezza e la risposta alla violazione. Ciò favorisce una strategia di applicazione più equilibrata, in grado di soppesare le circostanze di ciascuna violazione.

Tuttavia, questo sviluppo solleva anche importanti interrogativi. La discrezionalità concessa alle Autorità porterà a incoerenze nell'applicazione delle norme nelle diverse giurisdizioni dell'UE? Come faranno le Autorità a garantire che questa discrezionalità non si traduca in una clemenza che potrebbe compromettere gli obiettivi del GDPR? Le organizzazioni e gli esperti legali seguiranno da vicino l'applicazione pratica di questa discrezionalità.

In conclusione, la decisione della CGUE riflette la comprensione della natura complessa e in evoluzione delle minacce alla sicurezza informatica. Riconosce che, sebbene l'adesione al GDPR sia fondamentale, le misure punitive non sono sempre la risposta più appropriata a ogni violazione. L'attenzione potrebbe spostarsi verso l'incoraggiamento delle organizzazioni ad adottare strategie proattive ed efficaci di protezione dei dati, enfatizzando il rimedio e la prevenzione rispetto alla punizione.

Resta da vedere se questa sentenza porterà a un cambiamento significativo nelle pratiche di applicazione. Le organizzazioni dovrebbero continuare a dare priorità a misure forti di protezione dei dati e tenersi informate sugli sviluppi legali in questo settore. La decisione offre l'opportunità di un approccio più sfumato alla protezione dei dati, bilanciando la necessità di una sicurezza rigorosa con le sfide pratiche che i responsabili del trattamento dei dati devono affrontare nell'era digitale.

Assisteremo a un cambiamento nel modo in cui le Autorità europee applicano le leggi sulla protezione dei dati? Questa decisione potrebbe segnare l'inizio di un panorama applicativo più flessibile e sensibile al contesto, ma solo il tempo ci dirà come le Autorità per la protezione dei dati eserciteranno la loro nuova discrezionalità.

Su un argomento simile può essere d'interesse l'articolo "La CGUE chiarisce che un data breach non presuppone l’inadeguatezza delle misure tecniche privacy"

Autore: Giulio Coraggio

La Direttiva NIS2 implementata in Italia: il decreto legislativo 138/2024

Come abbiamo già discusso qui, lo scorso febbraio, il Parlamento italiano ha delegato al Governo la attuazione della (ormai famosa) Direttiva NIS2. Benché la Legge di Delegazione prevedeva che il Governo dovesse adottare il decreto legislativo di recepimento della Direttiva entro il termine di quattro mesi antecedenti a quello indicato nella rilevante direttiva quindi, entro metà giugno 2024, l’approvazione in Consiglio dei Ministri è avvenuta però solo ad inizio agosto. Abbiamo poi atteso ottobre per la tanto attesa pubblicazione del decreto legislativo 4 settembre 2024, n. 138 in Gazzetta Ufficiale.

Il testo del Decreto Legislativo è sostanzialmente in linea con il testo della Direttiva. Ci sono però alcune differenze, le principali sotto riportate.

1. Ambito di applicazione

La prima differenza rispetto alla Direttiva è l'ambito di applicazione del Decreto Legislativo. Come già evidenziato, l'ambito di applicazione della direttiva è subordinato alla presenza congiunta di tre criteri differenti:

• Un requisito dimensionale ove la società si qualifichi come media o grande impresa ai sensi dell’articolo 2 alla raccomandazione 2003/361/CE; e
• Un requisito territoriale ove la società fornisca i propri servizi o svolga la propria attività all’interno dell’UE;
• Un criterio settoriale, ove la rilevante società fornisca i propri servizi o svolga attività in uno o più settori economici indicati negli allegati negli allegati alla Direttiva.

Rispetto a questo ultimo punto però il Decreto Legislativo ampia leggermente l'ambito di applicazione prevedendo che, tra i settori a cui risulta applicabile la nuova normativa devono essere considerati anche:

1. Le pubbliche amministrazioni individuate sulla base di un criterio di gradualità, dell'evoluzione del grado di esposizione al rischio della PA, della probabilità che si verifichino incidenti e della loro gravità; nonché
2. Indipendentemente dalle dimensioni (i) i soggetti che forniscono servizi di trasporto pubblico locale, (ii) gli istituti di istruzione che svolgono attività di ricerca, (iii) i soggetti che svolgono attività di interesse culturale, (iv) le società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175 (Testo unico in materia di società a partecipazione pubblica).

2. Termini per la conformità

Nonostante la Direttiva NIS2 sia applicabile a partire dal prossimo 17 ottobre 2024, in realtà gli obblighi di conformità applicabili alle società che rientrano nell'ambito di applicazione sono ampiamenti dilatati con l'adozione del Decreto Legislativo.

Come si evince dal Decreto, infatti, la prima attività effettivamente richiesta alle aziende è quella di valutare l'applicabilità del Decreto Legislativo alla propria operatività. Benché questo sembri scontato, in realtà, tale valutazione non è sempre pacifica in considerazione delle sottocategorie, spesso molto ampie, di cui ai settori richiamati dalla Direttiva NIS2. Sino alla fine dell'anno è quindi richiesto alle aziende di effettuare una analisi puntuale per comprendere se i propri servizi rientrano nell'ambito di applicazione del Decreto Legislativo, tenendo in considerazione i settori rilevanti ma anche i criteri dimensionali e territoriali sopra richiamati.

Ai sensi dell'articolo 6 del Decreto Legislativo, è solo a partire dal 1 gennaio (fino a fine febbraio, fatto salvo il caso di alcune società la cui registrazione è necessario entro il 17 gennaio 2025) che le società che ritengono di rientrare nell'ambito di applicazione del Decreto Legislativo dovranno registrarsi su un apposito portale in corso di adozione da parte di ACN fornendo una serie di informazioni rilevanti quali, la ragione sociale, l’indirizzo ed i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono della società, la designazione di un punto di contatto, indicando il ruolo presso il soggetto, i pertinenti settori, sottosettori e tipologie di soggetto di cui agli allegati al Decreto Legislativo.

A seguire, ACN avrà tempo sino al 31 marzo 2025 per analizzare le società registrate nella piattaforma e stilare l'elenco dei soggetti essenziali ed importanti a cui verrà poi comunicazione l'inserimento nella relativa lista entro il 15 aprile 2025.

A questi tempi se ne aggiungono altri rilevanti:

• gli obblighi di notifica degli incidenti informatici è dilatato sino a 9 nove mesi dalla ricezione della comunicazione circa l'appartenenza alle liste di applicabilità del Decreto Legislativo (quindi indicativamente a gennaio 2026)
• gli obblighi degli organi di amministrazione e direttivi e gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatici è dilatato sino a 18 mesi dalla comunicazione di cui sopra (quindi indicativamente ottobre 2026).

Questo significa che non vi è nulla da fare nel frattempo? A nostro avviso no. Rimane centrale la necessità di verificare, entro la fine dell'anno, se le rilevanti società entrano nell'ambito di applicazione della NIS. A questo segue la necessità di un assessment rispetto ai propri sistemi informatici, il che richiede tempo ed analisi dettagliate anche rispetto alla propria governance interna. L'esempio del GDPR è stato sicuramente utile: benché i tempi fossero ampi (ben due anni dall'entrata in vigore del Regolamento sino alla sua effettiva applicabilità) le aziende hanno avuto bisogno di ampi margini di tempo per adottare tutte le misure necessarie e per permettere di adottare un sistema di compliance interno in linea con le esigenze aziendali.

3. Le autorità competenti

Con riferimento alle autorità competenti spicca certamente l'Agenzia per la cybersicurezza nazionale. ACN è chiamata a (i) sovrintendere all’implementazione e all’attuazione del Decreto (ii) predispone i provvedimenti necessari a darne attuazione (iii) svolge le funzioni e le attività di regolamentazione, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti; ed (iv) individua i soggetti essenziali e i soggetti importanti, (v) partecipa al Gruppo di cooperazione NIS ed altre attività a livello di UE.

Per dare attuazione al Decreto a livello settoriale sono però individuate anche altre Autorità di settore NIS che supportano ACN. In particolare, sono designati:

1. la Presidenza del Consiglio dei ministri per il settore gestione dei servizi TIC, il settore dello spazio, delle PA e le società in house e le società partecipate o a controllo pubblico,
2. il Ministero dell’economia e delle finanze, per i settori bancario e delle infrastrutture dei mercati finanziari,
3. il Ministero delle imprese e del made in Italy per il settore delle infrastrutture digitali, il settore dei servizi postali e di corriere, il settore della fabbricazione, produzione e distribuzione di sostanze chimiche nonché i sottosettori della fabbricazione di computer e prodotti di elettronica e ottica, della fabbricazione di apparecchiature elettriche e della fabbricazione di macchinari e apparecchiature non classificati altrove (n.c.a.), i sottosettori della fabbricazione di autoveicoli, rimorchi e semirimorchi, e della fabbricazione di altri mezzi di trasporto, i fornitori di servizi digitali
4. il Ministero dell’agricoltura, della sovranità alimentare e delle foreste per il settore produzione, trasformazione e distribuzione di alimenti,
5. il Ministero dell’ambiente e della sicurezza energetica per il settore energia, il settore fornitura e distribuzione di acqua potabile, il settore acque reflue, il settore gestione dei rifiuti
6. il Ministero delle infrastrutture e dei trasporti per il settore trasporti, i soggetti che forniscono servizi di trasporto pubblico locale
7. il Ministero dell’università e della ricerca per il settore ricerca e per gli istituti di istruzione che svolgono attività di ricerca
8. il Ministero della cultura per i soggetti che svolgono attività di interesse culturale
9. il Ministero della salute per il settore sanitario, il sottosettore fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro.

4. Le sanzioni

La mancata conformità con gli obblighi sopra richiamati può comportare importanti sanzioni per gli operatori. In particolare, a seguito della segnalazione della mancanza di conformità da parte di ACN, potranno essere emanate dalle autorità competenti delle sanzioni amministrative fino ad EUR10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.

Onde evitare le sanzioni sopra richiamate le società devono analizzare quanto prima la applicabilità della Direttiva NIS2 alla loro realtà, anche in considerazione degli obblighi di comunicazione applicabili e, a seguire mappare attentamente la loro struttura cyber sia dal punto di vista tecnico che dal punto di vista della compliance al fine di adottare le misure necessarie non appena possibile.

Negli stessi giorni è stata anche pubblicata la Direttiva CER che completa il quadro di compliance cyber introdotto dalla Direttiva NIS2, per saperne di più può essere d'interesse l'articolo "Il recepimento della Direttiva CER"

Autrice: Giulia Zappaterra

 

Legal Design

Legal Design Tricks: Piccoli suggerimenti per utilizzare il legal design nelle vostre attività quotidiane

Trick #2: Come utilizzare il Legal Design nella tua attività?

Adotta il (Legal) Design Thinking!

Il Legal Design unisce i principi del Design Thinking con il diritto per rendere le informazioni legali più semplici, chiare e accessibili per gli utenti.

Perché il Design Thinking?

Il Design Thinking è una metodologia per la risoluzione dei problemi con un approccio "antropocentrico". Punta, infatti, a sviluppare soluzioni innovative grazie alla conoscenza delle esigenze delle persone, cercando di migliorarne l'esperienza, stimolando la creatività e favorendo la collaborazione tra discipline diverse.

Come applicare il Design Thinking?

Il Design Thinking è un processo costituito da cinque fasi:

1. Empatizzare con gli utenti
2. Definire il problema
3. Generare idee
4. Prototipare
5. Testare l'idea

Fatti le domande giuste!

Nel tuo lavoro quotidiano, chiediti sempre:

• Chi è il destinatario e di cosa ha bisogno?
• Cosa voglio ottenere?
• Quali vincoli devo considerare?
• Come posso semplificare le informazioni e il linguaggio?
• Come posso raccogliere feedback dai miei destinatari/utenti?

Lo sapevi?

Il Legal Design non è un'unica soluzione definitiva. È un ciclo continuo di ideazione, progettazione, test, feedback e miglioramento della propria idea per soddisfare i bisogni in continua evoluzione degli utenti.

Le nostre infografiche vi guideranno attraverso questi concetti con visualizzazioni accattivanti e informazioni pratiche. Sono disponibili QUI.

Continua a seguirci per leggere il Trick #3 e scoprire come "empatizzare" con i tuoi utenti!

Autrice: Deborah Paracchini

 

Intellectual Property

SHEIN nel mirino di AGCM per pubblicità ingannevole sulla sostenibilità dei capi

L’Autorità Garante della Concorrenza e del Mercato (AGCM) ha avviato un'istruttoria nei confronti di Infinite Styles Services CO. Limited, che gestisce il sito web italiano di Shein, per la possibile ingannevolezza di alcune affermazioni sulla sostenibilità del brand (c.d. greenwashing) riportate nelle sezioni “#SHEINTHEKNOW”, “evoluSHEIN” e “Responsabilità sociale” del sito del famoso colosso cinese dell'ultra fast fashion.

Negli ultimi anni Shein si è spesso trovata al centro di accese polemiche per svariate ragioni. L'azienda è stata accusata di impiegare sostanze chimiche dannose nei suoi prodotti venduti in Europa, suscitando serie preoccupazioni per la salute dei consumatori. Inoltre, il suo modello di produzione di massa, che consente di vendere i capi a prezzi irrisori, contribuirebbe a una significativa generazione di rifiuti tessili, alimentando preoccupazioni ambientali. Inoltre, Shein è tristemente nota per le miserabili condizioni di lavoro dei suoi dipendenti, costretti ad affrontare turni estenuanti, ricevendo compensi inadeguati.

Oggi, invece, sul proprio sito web, Shein sostiene di essere impegnata nella sostenibilità. Secondo AGCM, invece, a fronte della crescente sensibilità dei consumatori per l’impatto delle loro scelte di consumo sull’ambiente, Shein starebbe cercando di veicolare un’immagine di sostenibilità produttiva e commerciale dei propri capi d’abbigliamento attraverso asserzioni ambientali generiche, vaghe, confuse e/o fuorvianti in tema di “circolarità” e di qualità dei prodotti e del loro consumo responsabile.

In particolare, Shein dichiara che la propria collezione di abbigliamento "evoluSHEIN" è sostenibile, e ciò, secondo AGCM, induce in errore i consumatori riguardo alla quantità utilizzata di fibre “green”, omettendo anche di informarli sulla non ulteriore riciclabilità dei capi d’abbigliamento. Inoltre, secondo AGCM, Shein enfatizza in maniera generica il proprio impegno "green" anche nell’ambito del processo di decarbonizzazione delle proprie attività, mentre gli obiettivi indicati sul sito web risultano contraddetti dal consistente incremento delle emissioni di gas serra indicato nei rapporti sulla sostenibilità di Shein per il 2022 e il 2023.

L'istruttoria dell'AGCM arriva in un contesto di crescente attenzione per la sostenibilità, amplificata dall’introduzione della nuova Direttiva "Green Claims" (UE 2024/825), entrata in vigore lo scorso 26 marzo. Questa normativa, che diventerà pienamente applicabile dal 27 settembre 2026, mira a contrastare il greenwashing e promuovere una transizione ecologica trasparente. Le aziende saranno tenute a rispettare standard più rigorosi per le affermazioni ambientali, garantendo così una comunicazione più chiara e responsabile verso i consumatori.

Su un argomento simile può essere d’interesse l’articolo Regolamento Europeo 2024/178: verso la sostenibilità e tracciabilità dei prodotti.

Autrice: Carolina Battistella

 

Technology Media and Telecommunication

Embedded insurance, tra normativa e innovazione digitale

Il quadro normativo attuale

L'Insurance Distribution Directive (IDD)

Per "embedded insurance" si intende l’offerta di servizi assicurativi abbinati a prodotti o servizi non assicurativi. Ciò si traduce, di solito, nella distribuzione di prodotti assicurativi attraverso canali non assicurativi: i prodotti assicurativi sono incorporati da operatori non assicurativi nei loro prodotti e servizi. In questo modo le compagnie sono in grado di massimizzare la loro penetrazione di mercato e le altre imprese di completare la propria offerta con la componente assicurativa.

Fino all'entrata in vigore della Direttiva (UE) 2016/97 ("IDD") e al suo recepimento nell'ordinamento nazionale, non esisteva una regolamentazione specifica per queste pratiche, seppur già diffuse sul mercato e oggetto di attenzione da parte dell'IVASS.

L'embedded insurance veniva attuato tramite partnership costituite da diversi tipi di schemi contrattuali tra imprese non assicurative e compagnie assicurative, con alcuni limiti. Anzitutto, erano soltanto le grandi compagnie ad avere la capacità di attuare progetti di questo genere. Inoltre, nella maggior parte dei casi i prodotti assicurativi non erano davvero inseriti in un'offerta complessa e in un unico customer journey per il cliente: gli accordi tra le parti prevedevano il mero obbligo per l'operatore non assicurativo di dare ai propri clienti la possibilità di sottoscrivere una polizza assicurativa standardizzata, a propria scelta e discrezione, dopo l'acquisto principale di un prodotto o servizio. Si avevano, quindi, rapporti contrattuali separati e con obblighi e prestazioni ben distinti tra il cliente, da un lato, e la compagnia assicurativa e il fornitore di servizi o prodotti, dall'altro. Ciò rendeva anche la compagnia assicurativa facilmente sostituibile nello schema, a meno che l'accordo di partnership non vincolasse l'impresa non assicurativa con clausole di esclusiva o comunque impegni a lungo termine. Il tutto si traduceva anche in condivisione e sfruttamento dei dati assenti o inefficaci.

Tornando alla normativa, come noto l'IDD disciplina le attività di "distribuzione assicurativa" che, in quanto tali, possono essere svolte solo da soggetti debitamente autorizzati, sottoposti al controllo delle Autorità di vigilanza.

Comprendere quali attività ricadano nel perimetro applicativo della IDD e quali, invece, ne siano escluse - e possano, quindi, essere svolte liberamente da qualunque player del mercato - è cruciale nel contesto dell'embedded insurance, dove compagnie ed intermediari operano a stretto contatto con partner commerciali spesso estranei al mondo assicurativo.

Si pensi, ad esempio, a polizze viaggio abbinate a biglietti aerei, a polizze danni accessorie a prodotti di elettronica o alle assicurazioni a tutela del credito abbinate alle carte di credito. Sebbene questi "pacchetti" possano apparire semplici, nascondono in realtà modelli distributivi spesso complessi. La loro realizzazione prevede, infatti, l’interazione tra molteplici soggetti, come fornitori di servizi o piattaforme digitali, che, con ogni probabilità, non possiedono una licenza assicurativa.

In tale contesto, diviene quindi essenziale comprendere cosa si intenda per "distribuzione assicurativa".

La definizione di distribuzione assicurativa fornita dall'IDD è piuttosto ampia. Questa ricomprende, infatti, qualsiasi attività di consulenza o proposta o altra attività preparatoria alla conclusione di contratti assicurativi, assistenza nella gestione di tali contratti ovvero supporto in caso di sinistri.

Al contrario, non costituisce attività di intermediazione assicurativa la mera fornitura di informazioni su potenziali assicurati o prodotti assicurativi, purché non siano intraprese ulteriori azioni che agevolino nella stipula della polizza.

La Connected Contracts Exemption

Degna di attenzione è, inoltre, la "Connected Contracts Exemption". Gli intermediari assicurativi a titolo accessorio possono avvalersi di questa esenzione, evitando l'applicazione della IDD e, quindi, in sostanza, distribuire prodotti assicurativi senza essere iscritti al RUI, a patto che: (i) offrano assicurazioni complementari al diverso bene o servizio offerto ed (ii) il premio non superi i 600 euro annui o i 200 euro per polizze abbinate a servizi di durata inferiore a tre mesi.

Se non ricorrono tali condizioni, la licenza assicurativa diventa necessaria, a meno che il distributore limiti la sua attività a una mera segnalazione del prodotto assicurativo che, però, in tal caso, verrebbe probabilmente acquistato in un momento successivo, come accadeva nel "vecchio" modello di embedded insurance.

Obblighi in materia di vendita abbinata

A prescindere da quale sia il modello distributivo adottato, in tutti i casi in cui il prodotto assicurativo è accessorio ad un altro prodotto (o viceversa), devono osservarsi alcune disposizioni.

L'art. 24 della IDD (nonché dall'art. 120 quinquies del CAP) prevede, in buona sostanza, specifici obblighi di trasparenza nell'ipotesi di vendita abbinata, con l'obiettivo di garantire chiarezza e libertà di scelta ai consumatori.

In particolare, è richiesto ai distributori di informare i clienti sulla possibilità di acquistare separatamente le diverse componenti di un pacchetto ovvero fornire una descrizione dettagliata delle singole componenti e dei relativi costi.

Nuovi modelli di embedded insurance

La combinazione di una normativa specifica sulla vendita abbinata e l'evoluzione delle tecnologie digitali, tra cloud, algoritmi e una maggiore capacità generale di sfruttare i dati, stanno portando allo sviluppo di nuovi modelli di embedded insurance. Essi unificano tutte le interazioni del cliente in un unico articolato flusso e a differenza del vecchio modello, che offriva opportunità soprattutto alle grandi compagnie, si rivolgono a operatori di tutte le dimensioni.

Nuovi modelli che devono riflettersi nei contratti tra gli stakeholder coinvolti almeno in termini di integrazione informatica dei rispettivi sistemi, accesso e controllo dei dati, obblighi delle parti in base al loro ruolo in materia di protezione dei dati personali, governance del progetto e responsabilità, gestione del rapporto con i clienti, conformità normativa, responsabilità, KPI per monitorare il successo del progetto, ma anche cessazione della partnership e relative conseguenze. Infine, grazie all'elaborazione dei dati e agli algoritmi, le compagnie possono offrire soluzioni assicurative altamente personalizzate, in linea con le esigenze uniche di ciascun cliente.

Tuttavia, per poter massimizzare i vantaggi derivanti dai nuovi modelli di embedded insurance il quadro normativo e di mercato non è ancora completo. La condivisione dei dati rimane basata sulle iniziative degli attori dell'ecosistema assicurativo e sui contratti tra di loro: compagnie assicurative, broker, fornitori di tecnologia e abilitatori. Non esiste ancora un regime obbligatorio per la condivisione dei dati nel settore assicurativo. E questo è proprio l'obiettivo del nuovo regolamento europeo FIDA (Financial Information Data Access) proposto dalla Commissione Europea, che dovrebbe diventare applicabile a partire dal 2027.

Su un simile argomento, potrebbe interessarti: La Commissione UE presenta un nuovo pacchetto di norme su open finance e pagamenti digitali e Open Insurance: gli scenari per il 2023 e le principali strategie legali

Autori: Giacomo Lusardi e Valentina Grande

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Noemi Canova, Gabriele Cattaneo, Noemi Canova,Gabriele Cattaneo, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.