Abstract_Lights_P_0152

6 giugno 202415 minuti di lettura

Innovation Law Insights

6 giugno 2024
Artificial Intelligence

Il Garante Privacy ha emanato linee guida per prevenire il Web Scraping da parte dell’intelligenza artificiale

Il Garante per la protezione dei dati personali ha recentemente pubblicato una nota informativa con indicazioni dettagliate su come difendere i dati personali pubblicati online da soggetti pubblici e privati dal web scraping nell’ambito del training dei sistemi di intelligenza artificiale (“AI”).

Si tratta di indicazioni di natura orientativa e non obbligatoria, che possono rappresentare un utile benchmark per i titolari del trattamento che desiderano proteggere meglio le informazioni personali pubblicate online. Il documento riflette i contributi ottenuti dall’Autorità durante un’indagine conoscitiva iniziata lo scorso dicembre e contiene indicazioni preliminari in attesa che il Garante si pronunci su varie istruttorie in corso rispetto a sistemi di AI.

Definizione di Web Scraping e identificazione del fenomeno

Il Garante per la protezione dei dati ha definito il web scraping come l’attività di raccolta massiva e indiscriminata di dati, inclusi quelli personali, mediante tecniche di web crawling. Questa pratica implica non solo la raccolta, ma anche la memorizzazione e la conservazione dei dati raccolti dai bot, per utilizzi successivi, come l’addestramento di sistemi di intelligenza artificiale generativa. Il documento rilasciato dal Garante fornisce un’analisi dettagliata del fenomeno, evidenziando che una quota significativa del traffico Internet è generata da bot e che i dati raccolti sono spesso utilizzati per addestrare modelli di AI.

Le misure suggerite dal Garante

Per contrastare questo fenomeno, il Garante ha suggerito diverse misure:

  • Creazione di Aree Riservate: limitando l’accesso ai dati solo agli utenti registrati, si riduce la disponibilità pubblica dei dati e il rischio di scraping, nel rispetto del principio di minimizzazione del GDPR, evitando la duplicazione non necessaria dei dati.
  • Clausole nei Termini di Servizio: includere un divieto esplicito di utilizzo delle tecniche di scraping nei Termini di Servizio può servire da deterrente legale, consentendo azioni giudiziarie in caso di violazioni.
  • Monitoraggio del Traffico di Rete: analizzare le richieste HTTP per identificare flussi di dati anomali e implementare contromisure come il Rate Limiting può prevenire accessi non autorizzati.
  • Interventi sui Bot: l’uso di CAPTCHA e l’aggiornamento periodico del markup HTML possono ostacolare l’attività dei bot, così come l’incorporazione dei dati in oggetti multimediali complica la loro estrazione.
  • Utilizzo del file robots.txt: sebbene basato sul rispetto volontario da parte dei bot, questo file può indicare di non indicizzare o raccogliere certi dati.

Tuttavia, è fondamentale riconoscere che nessuna di queste misure può garantire una protezione completa contro il web scraping. Pertanto, devono essere considerate come strumenti precauzionali che i titolari del trattamento devono valutare e adottare in base al principio di accountability, per prevenire utilizzi non autorizzati di dati personali da parte di terzi.

Precedenti e cosa aspettarsi in futuro

Non è la prima volta che un’autorità per la protezione dei dati prende una posizione con riferimento al web scraping. Il 1° maggio 2024, l’Autorità olandese per la protezione dei dati ha pubblicato linee guida simili, chiarendo che il data scraping comprende non solo la raccolta automatizzata di informazioni dalle pagine web, ma anche la raccolta di domande e lamentele dei clienti, o il monitoraggio dei messaggi online per la gestione della reputazione. L’autorità olandese sottolinea la necessità di conformare questa pratica al GDPR, provvedendo a varificare volta per volta di avere una adeguata base giuridica per il trattamento di ciascuna categoria di dati personali oggetto di scraping.

L’intelligenza artificiale generativa offre enormi benefici, ma l’addestramento di questi sistemi richiede un’enorme quantità di dati, spesso raccolti tramite web scraping. È cruciale che i gestori di siti web adottino misure appropriate per proteggere i dati personali, equilibrando la necessità di innovazione con la tutela della privacy degli individui.

Sebbene l’implementazione di misure come il captcha sia raccomandata per difendere i dati personali sulle piattaforme online, è importante riconoscere che tali soluzioni potrebbero non essere sempre efficaci. I moderni bot di intelligenza artificiale, per esempio, sono ora capaci di superare facilmente i sistemi captcha, evidenziando la necessità di adottare strategie di sicurezza più sofisticate e multilivello.

Di fronte a queste sfide, è essenziale che le aziende non si affidino unicamente su soluzioni standardizzate come il captcha, ma esplorino approcci più avanzati e personalizzati per la protezione dei dati. Questo può includere l’uso combinato di analisi comportamentale della navigazione, autenticazione a più fattori e monitoraggio continuo delle attività sospette, per creare un ambiente più sicuro e resistente agli attacchi più sofisticati.

La nota qui in esame tiene in considerazione le risultanze dell’indagine avviata dal Garante a fine novembre, per saperne di più puoi leggere l’articolo “Indagine del Garante privacy sull’uso del web scraping per l’addestramento dei sistemi di Intelligenza Artificiale”.

Autore: Tommaso Ricci

 

Data Protection & Cybersecurity

Recenti provvedimenti sanzionatori del Garante Privacy in ambito telemarketing per telefonate senza consenso e attivazione di contratti non richiesti

Con due recenti provvedimenti, il Garante per la protezione dei dati personali ha irrogato due sanzioni, di 100.000 euro ciascuna, nei confronti di un gestore che opera nel settore dei contratti di fornitura di luce e gas per trattamento illecito di dati personali e un call center per la realizzazione di campagne di telemarketing in violazione della normativa applicabile al trattamento dei dati personali.

Le pratiche sotto la lente d’ingrandimento del Garante si sostanziano in reiterate comunicazioni commerciali in assenza di consenso degli interessati o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni.

Nel primo provvedimento, il Garante ha avviato delle ispezioni a seguito di numerose segnalazioni e due reclami da parte di utenti che lamentavano la ricezione di telefonate indesiderate e l’attivazione di contratti energetici non richiesti. Dalle indagini dell’Autorità è emerso che le telefonate venivano effettuate senza il consenso degli interessati, spesso indirizzate a utenti iscritti nel Registro pubblico delle opposizioni (Rpo).

Inoltre, dalle indagini, era emerso come le liste di contatti erano ottenute dal call center tramite società terze e la rete di agenti o procacciatori. In aggiunta, da una verifica a campione, è stato rilevato che nell’arco di una settimana il call center aveva contattato illecitamente ben 106 utenti, che avevano poi concluso un contratto di fornitura di energia.

Considerata la gravità delle violazioni, il Garante ha:

  • inflitto al call center una sanzione amministrativa pecuniaria di 100.000 euro; e
  • ordinato l’adozione di misure tecniche, organizzative e di controllo per garantire che il trattamento dei dati personali degli utenti rispetti la normativa privacy lungo tutta la filiera.

Sulla stessa scia, il Garante ha emanato un secondo provvedimento nei confronti di un call center per la realizzazione di campagne di telemarketing in violazione della normativa applicabile al trattamento dei dati personali. A tal proposito, l’Autorità ha irrogato una sanzione amministrativa di 100.000 euro a un secondo gestore energetico per violazioni simili. Anche in questo caso, le telefonate venivano effettuate senza il consenso degli interessati e utilizzando numeri di utenti iscritti nel Registro pubblico delle opposizioni.

Alcune considerazioni per le aziende

Questi provvedimenti sono particolarmente interessanti per le aziende a cui si applica il GDPR e che intendono trattare dati personali per finalità di marketing poiché sottolinea l’importanza dell’implementazione delle necessarie misure di accountability, specie quando si intende ricorrere a mezzi “invasivi” di promozione commerciale quali appunto il telemarketing.

Pertanto, quando queste intendono procedere con questi trattamenti, sarà necessario individuare la correttamente la base giuridica applicabile al trattamento e rispettare le preferenze espresse dagli utenti iscritti nel Registro Pubblico delle Opposizioni oltre che adottare misure tecniche, organizzative e di controllo per garantire che il trattamento dei dati personali degli utenti rispetti la normativa privacy lungo tutta la filiera.

Infatti, il Garante è particolarmente attento a queste tipologie di trattamento perché considerate particolarmente invasive e sono numerosi i provvedimenti sanzionatori irrogati. Di recente, l’Autorità ha inflitto a una nota società energetica una sanzione record di 79 milioni di euro per gravi carenze nei trattamenti dei dati personali di numerosi utenti, realizzati a fini di telemarketing. Si tratta della sanzione più alta irrogata in Italia. Su questo tema potrebbe interessarvi quindi il seguente articolo “Telemarketing: sanzione di 79 milioni di euro a nota società energetica”.

Autrice: Giorgia Carneri

 

Intellectual Property

Brevetti, risorse genetiche e conoscenze tradizionali: adottato un nuovo Trattato WIPO

Il 24 maggio 2024, gli Stati membri dell’Organizzazione Mondiale della Proprietà Intellettuale (WIPO) hanno adottato il nuovo Trattato sulla proprietà intellettuale, le risorse genetiche e le conoscenze tradizionali associate alle risorse genetiche.

Si tratta di un traguardo raggiunto dopo più di venti anni di discussioni e negoziati, commentato così da Daren Tang, Direttore Generale della WIPO: “Today we made history in many ways. This is not just the first new WIPO Treaty in over a decade but also the first one that deals with genetic resources and traditional knowledge held by Indigenous Peoples as well as local communities. Through this, we are showing that the IP system can continue to incentivize innovation while evolving in a more inclusive way, responding to the needs of all countries and their communities”.

Il Trattato affronta il delicato bilanciamento tra brevetti, risorse genetiche e conoscenze tradizionali, prevedendo disposizioni volte a tutelare gli interessi e il patrimonio conoscitivo delle popolazioni indigene e delle comunità locali e promuovendo al contempo l’efficienza, la trasparenza e la qualità del sistema brevettuale.

Di particolare rilievo è l’articolo 3 del Trattato, che introduce un obbligo di divulgazione in capo a coloro che depositano una domanda di brevetto rivendicante un’invenzione basata su risorse genetiche o conoscenze tradizionali ad esse associate. Ciò, al fine di contenere il rischio che un titolo di privativa venga concesso con riguardo a trovati in realtà privi del requisito di novità o attività inventiva.

In particolare, se un’invenzione rivendicata in una domanda di brevetto è basata su risorse genetiche, ogni Paese contraente dovrà imporre ai richiedenti di rivelare il Paese di origine o la fonte delle risorse genetiche; qualora, invece, l’invenzione rivendicata sia basata su conoscenze tradizionali associate alle risorse genetiche, ogni Paese contraente dovrà imporre ai richiedenti di nominare la popolazione indigena o la comunità locale che ha fornito le conoscenze tradizionali associate alle risorse genetiche, o, laddove queste non siano note, la fonte delle conoscenze tradizionali.

A mente dell’articolo 5 del Trattato, i Paesi contraenti dovranno inoltre prevedere misure adeguate, efficaci e proporzionate al fine di prevenire o sanzionare l’inosservanza degli obblighi di divulgazione; esse non potranno però in ogni caso consistere nella revoca del brevetto o in un provvedimento che ne limiti gli effetti.

Il Trattato, i cui obblighi non saranno retroattivi, entrerà in vigore tre mesi dopo il deposito degli strumenti di ratifica o adesione da parte di quindici Paesi.

Su un argomento simile può essere d’interesse l’articolo “La prima udienza pubblica davanti al Tribunale Unificato dei Brevetti”.

Autore: Massimiliano Tiberio

 

Life Sciences

Il Consiglio dell’UE approva il regolamento sulle sostanze di origine umana

Il 27 maggio 2024, il Consiglio dell’Unione Europea ha approvato il Regolamento sui parametri di qualità e sicurezza per le sostanze di origine umana destinate all’applicazione sugli esseri umani (Regolamento SoHO). Il Regolamento SoHO, abrogando le Direttive 2002/98/CE e 2004/23/CE, delinea un nuovo quadro normativo volto a garantire una maggiore sicurezza, qualità ed etica nell’utilizzo di tali sostanze nell’Unione Europea.

I. Contenuto e obiettivi del Regolamento SoHO

Il Regolamento SoHO - che sarà applicabile dal 2027 - mira a garantire la massima sicurezza e qualità lungo l’intera catena di approvvigionamento e utilizzo delle sostanze di origine umana. Una delle innovazioni più rilevanti è l’inclusione di disposizioni specifiche per i bambini nati mediante procreazione medicalmente assistita, estendendo così la protezione a un gruppo non contemplato in modo esplicito dalle normative precedenti. Inoltre, stabilisce standard più rigidi per tutte le sostanze di origine umana, incluso il microbiota intestinale e il latte materno umano, ampliando così la sua portata per riflettere gli sviluppi scientifici e tecnologici più recenti. Le fasi che vanno dalla registrazione e controllo dei donatori alla raccolta, processazione e applicazione sul paziente sono dettagliatamente definite, assicurando una gestione rigorosa delle sostanze di origine umana.

Gli obiettivi principali del Regolamento SoHO includono:

  1. Garantire che le sostanze di origine umana siano prodotte, manipolate e utilizzate nel rispetto dei più elevati standard di sicurezza e qualità, riducendo al minimo il rischio per la salute umana e l’ambiente; 
  2. Promuovere pratiche etiche nell’utilizzo di tali sostanze, rispettando i diritti umani, la dignità e la privacy dei donatori, e garantendo una distribuzione equa e accessibile;
  3. Potenziare i sistemi di tracciabilità e rintracciabilità delle sostanze di origine umana lungo l’intera catena di approvvigionamento, dalla donazione alla destinazione finale;
  4. Armonizzare le normative nazionali per garantire un approccio uniforme alla gestione delle sostanze di origine umana e facilitare il libero scambio all’interno del mercato unico europeo. A tal fine, si prevede la designazione di un’autorità nazionale per le sostanze di origine umana e la creazione di una piattaforma digitale, la quale servirà per la raccolta di informazioni, semplificazione delle procedure di reportistica e aumento della trasparenza.

Il Regolamento SoHO, tra le altre cose, istituisce un sistema di allerta rapida per affrontare tempestivamente incidenti o gravi reazioni che potrebbero mettere a rischio donatori o riceventi. Gli Stati membri saranno tenuti a monitorare l’adeguatezza dell’approvvigionamento di sostanze di origine umana nei loro paesi e a sviluppare piani nazionali di emergenza al fine di fronteggiare eventuali situazioni di carenza critica.

Infine, il Regolamento SoHO reitera il principio delle donazioni volontarie e non remunerate. Tuttavia, concede agli Stati membri la possibilità di compensare i donatori viventi, seguendo criteri trasparenti e definiti. È importante sottolineare che tali condizioni devono essere attentamente regolate attraverso la legislazione nazionale di ciascuno Stato membro.

II. Iter di approvazione ed entrata in vigore

La Commissione europea ha presentato la proposta di Regolamento SoHO il 19 luglio 2022, avviando così i negoziati tra Parlamento e Consiglio, i quali hanno raggiunto un accordo politico il 14 dicembre 2023. Il Parlamento europeo ha ufficialmente approvato il Regolamento SoHO il 24 aprile 2024. Una volta firmato dal

Consiglio e dal Parlamento, entrerà in vigore dopo 20 giorni dalla pubblicazione nella Gazzetta Ufficiale dell’UE e sarà applicabile a partire dalla metà del 2027, fatta eccezione per alcune disposizioni che entreranno in vigore l’anno successivo.

L’approvazione del Regolamento SoHO rappresenta un importante passo avanti nella regolamentazione delle sostanze di origine umana nell’UE, promuovendo la sicurezza, l’efficacia e l’etica nell’utilizzo di queste sostanze e garantendo un’armonizzazione normativa più efficace e un accesso equo alle terapie per tutti i cittadini europei.

Nello stesso giorno il Parlamento ha approvato il Regolamento per lo Spazio Europeo dei Dati Sanitari, per saperne di più puoi leggere “Il Parlamento europeo approva il Regolamento per lo Spazio Europeo dei Dati Sanitari”.

Autrice: Nadia Feola

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Matteo Antonelli, Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Alessandra Faranda, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Miriam Romeo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su Transfer, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

Competenze correlate

Consumer Goods, Food and RetailMedia, Sport and EntertainmentLife SciencesTechnologyIntellectual Property