Innovation Law Insights

Artificial Intelligence

Scraping di dati e AI generativa: il controverso orientamento dell'Autorità olandese per la protezione dei dati personali

L'Autorità olandese per la protezione dei dati ha fornito linee guida particolarmente rilevanti per le aziende che sfruttano lo scraping dei dati per addestrare sistemi di intelligenza artificiale (AI) generativa. Ecco i punti chiave:

1. Interesse legittimo: Questa è probabilmente l'unica base giuridica per lo scraping dei dati, anche se i dati sono disponibili al pubblico e prontamente rimossi dopo la raccolta. La sfida è stabilire se gli individui hanno attualmente una legittima aspettativa che i loro dati siano oggetto di scraping dall'AI e come assicurarsi che ciò avvenga;

2. Considerazioni sul nuovo trattamento: Lo scraping dei dati non è una finalità compatibile con un'ulteriore raccolta e trattamento dei dati; si applica solo a una nuova attività di trattamento - Questa posizione è piuttosto rigida e incoerente con il primo punto. Al trattamento dei dati esistenti deve essere applicata una base giuridica diversa, il che potrebbe tradursi in un'opzione non praticabile;

3. Interessi commerciali e non commerciali: Gli interessi puramente commerciali non giustificano l'uso del legittimo interesse come base giuridica. Se lo scraping avviene per scopi non commerciali, come la prevenzione delle frodi o il miglioramento della sicurezza, può essere consentito - le aziende trattano i dati personali per scopi commerciali, e non potrebbe essere altrimenti. Possiamo dimostrare che tali interessi sono bilanciati con quelli degli interessati che potrebbero trarne beneficio e questo dovrebbe essere sufficiente;

4. Implicazioni etiche: Prima di effettuare lo scraping, le aziende devono considerare i potenziali danni e se gli individui hanno una ragionevole aspettativa che i loro dati vengano utilizzati in questo modo - La soglia per soddisfare lo standard di ragionevole aspettativa deve essere chiaramente stabilita. L'utilizzo di soluzioni di legal design potrebbe consentire un livello più elevato di trasparenza e aumentare le argomentazioni a sostegno dell'esistenza di tali aspettative;

5. Trasparenza e gestione dei dati: Le aziende devono essere trasparenti sulle loro attività di trattamento dei dati e impegnarsi a cancellarli, pseudonimizzarli o renderli anonimi il prima possibile - La documentazione del processo di sviluppo del sistema di AI e la dimostrazione della sua conformità al quadro normativo sono fondamentali. Richiedono una collaborazione tra i dipartimenti IT e legale delle aziende, che auspichiamo di vedere sempre più spesso nelle organizzazioni aziendali;

6. Categorie particolari di dati: Quando si tratta di categorie particolari di dati, è fondamentale considerare se l'individuo ha attivamente reso pubblici i dati 📌 Mi chiedo se il quadro normativo sia sufficientemente maturo per consentire il data scraping di categorie particolari di dati.

Qual è la vostra opinione sul parere dell'Autorità olandese per la protezione dei dati in merito allo scraping dei dati da parte dei sistemi di AI? L'AI è il futuro, ma richiede un'adeguata tutela legale e processi documentati per proteggere gli interessi delle aziende e consentirne uno sfruttamento pienamente conforme.

Autore: Giulio Coraggio

 

Data Protection & Cybersecurity

L'interpretazione dei dati relativi alla salute in base al GDPR secondo l'Avvocato generale della CGUE

La Corte di giustizia dell'Unione europea (CGUE) ha recentemente pubblicato le conclusioni dell'Avvocato generale Szpunar nella causa C-21/23 sull'interpretazione della definizione di dati relativi alla salute ai sensi del GDPR.

Il caso riguardava una piattaforma di vendita online che offriva medicinali la cui vendita è riservata ai farmacisti ma che non sono soggetti a prescrizione medica. In questo contesto, la seconda questione posta alla CGUE riguardava la possibilità che i dati dei clienti trasmessi durante l'acquisto di medicinali senza prescrizione su una piattaforma online rientrassero nella categoria dei dati relativi alla salute ai sensi della normativa UE sulla protezione dei dati.

L'analisi dell'Avvocato generale sui dati relativi alla salute ai sensi del GDPR

Per rispondere a questa domanda, l'Avvocato generale inizia la sua analisi facendo riferimento agli articoli 4, paragrafo 15, e 9 del GDPR e alla giurisprudenza in materia. Al centro dell'argomentazione dell'Avvocato generale vi è l'assunto che i dati che consentono di trarre conclusioni sullo stato di salute di un individuo dovrebbero essere classificati come dati relativi alla salute. Tuttavia, nel contesto degli acquisti online di farmaci senza prescrizione medica, si rileva un certo grado di complessità in più. Sebbene l'atto di ordinare tali prodotti online comporti intrinsecamente il trattamento di dati che possono rivelare informazioni relative alla salute, non si può concludere con sicurezza che l'acquirente sia l'utilizzatore finale del farmaco.

Infatti, l'Avvocato generale sottolinea la possibilità che gli ordini online possano essere effettuati da individui per conto di altri, senza un collegamento diretto tra l'identità dell'acquirente e l'utilizzatore finale del farmaco. In assenza di una prescrizione medica o di un'identificazione esplicita dell'utente finale, qualsiasi deduzione sullo stato di salute dell'interessato diventa, nella migliore delle ipotesi, speculativa.

Di conseguenza, l'Avvocato generale conclude che i dati trattati nell'ambito dell'acquisto online di medicinali la cui vendita è riservata ai farmacisti ma che non sono soggetti a prescrizione medica non rientrano in modo netto nella categoria dei dati relativi alla salute.

Inoltre, l'estensione dell'ambito di applicazione dei dati relativi alla salute per includere tali dati provenienti da acquisti online potrebbe paradossalmente portare a maggiori rischi per la privacy. I requisiti rigorosi del GDPR per il trattamento dei dati sensibili, che richiedono il consenso esplicito, potrebbero inavvertitamente spingere gli acquirenti a rivelare l'identità dell'utente finale, risultando così in una maggiore diffusione di dati relativi alla salute.

Qual è l'impatto del parere?

In conclusione, il parere dell'Avvocato generale fornisce indicazioni preziose sull'interpretazione delle disposizioni del GDPR nel panorama in costante evoluzione dei servizi sanitari online.

L’Avvocato generale evidenzia la necessità di considerare attentamente l'interpretazione dei dati relativi alla salute caso per caso, tenendo presente che dovrebbe esserci un certo grado di certezza sulle inferenze che si possono trarre sullo stato di salute dell’interessato. Inoltre, l'Avvocato generale sottolinea le potenziali implicazioni di un ampliamento della portata della definizione di dati relativi alla salute, che potrebbe portare all'identificazione dell'effettivo utente finale a cui si riferisce l'ordine online.

Autrice: Roxana Smeria

 

Vittima di un attacco ransomware sanzionata dal Garante privacy

Con tre recenti provvedimenti [10002324, 10002533, 10002287] il Garante Privacy ha sanzionato la Regione Lazio, LAZIOcrea e l’ASL Roma 3 dopo l’attacco ransomware subito nell’estate del 2021 che ha causato un blocco del sistema sanitario regionale e disagi prolungati addirittura per alcuni mesi.

L’attacco ransomware subito dalla Regione Lazio

L'estate del 2021 è stata segnata da un grave incidente di sicurezza informatica che ha colpito il sistema sanitario della Regione Lazio, con conseguenze dirette sulla disponibilità di servizi essenziali e sulla gestione dei dati sanitari di milioni di cittadini. Nella notte tra il 31 luglio e il 1° agosto, infatti, un attacco ransomware ha seriamente compromesso i sistemi, causando un blocco significativo delle operazioni sanitarie quotidiane.

Questo episodio ha suscitato una risposta decisa dall'Autorità Garante per la protezione dei dati personali, che ha imposto sanzioni per un totale di 401.000 euro a diverse entità responsabili.

La Dinamica del Cyber-attacco

Il malware, introdotto tramite il laptop di un dipendente, ha paralizzato numerosi servizi essenziali: dalla gestione delle prenotazioni mediche al ritiro dei referti, passando per la registrazione delle vaccinazioni. Il blocco è durato da un minimo di 48 ore fino ad arrivare a diversi mesi, per alcune funzionalità, mettendo in evidenza, secondo quanto ritenuto dal Garante, significative lacune nella sicurezza informatica gestita dalla LAZIOcrea, società che si occupa dei sistemi informativi regionali, e dalla stessa Regione Lazio.

Violazioni e Sanzioni

Il Garante Privacy, attraverso approfondite indagini e ispezioni, ha rilevato che sia LAZIOcrea sia la Regione Lazio hanno commesso gravi violazioni della normativa sulla privacy. Queste violazioni derivavano principalmente dall'uso di sistemi non aggiornati e dalla mancanza di adeguate misure di sicurezza per prevenire e rilevare tempestivamente le violazioni dei dati personali.

In risposta, il Garante per la protezione dei dati personali ha emesso sanzioni pecuniarie per un totale di 401.000 euro, distribuite come segue:

• 271.000 euro a LAZIOcrea per mancate misure preventive e reattive adeguate;
• 120.000 euro alla Regione Lazio, che, in qualità di titolare del trattamento, avrebbe dovuto esercitare una vigilanza più efficace su LAZIOcrea. Questa mancanza ha portato a una risposta inadeguata durante l'attacco, con LAZIOcrea che ha deciso di spegnere tutti i sistemi senza sapere quali fossero compromessi o come contenere la diffusione del malware. Questo ha aggravato l'impatto dell'attacco, prolungando l'indisponibilità dei servizi sanitari essenziali; e
• 10.000 euro alla ASL Roma 3, per non aver notificato il data breach nel contesto della crisi.

Riflessioni Finali

Con le sanzioni imposte, il Garante ha confermato la sua posizione sull'importanza di una gestione proattiva e responsabile dei sistemi informativi, in particolare quando si tratta di dati sensibili come quelli sanitari.

Autore: Matteo Antonelli

 

Intellectual Property

L’intersezione tra i social media e la normativa su disegni e modelli

Il rapporto tra social media e diritto della proprietà intellettuale è stato di recente oggetto di dibattito a seguito di una sentenza del Tribunale dell’Unione Europea che ha suscitato interesse in tutto il settore della moda, evidenziando non solo l’importanza ed influenza delle celebrità nelle controversie su design e modelli, ma soprattutto il ruolo fondamentale del tempismo in suddette controversie.

È ormai prassi comune per le aziende sfruttare il potere promozionale delle celebrità e degli influencer sui social media. Queste collaborazioni spesso prevedono che le celebrità contribuiscano al processo di progettazione di prodotti specifici o addirittura assumano ruoli nella direzione creativa di un marchio.

La controversia in questione evidenzia l'influenza dei social media sul diritto di design e modelli e vede come protagonisti Rihanna, icona nel mondo della musica, del makup e della moda, e un'azienda leader mondiale nel settore dell'abbigliamento sportivo. I post di Rihanna su Instagram si sono infatti rivelati fatali per il Design Comunitario Registrato n. 3320555-0002 della nota azienda.

(noto anche come "disegno o modello comunitario contestato").

Riassumendo i fatti antecedenti alla sentenza: il 26 luglio 2016 l'azienda di abbigliamento sportivo aveva presentato una domanda di registrazione di un disegno o modello comunitario per una scarpa da ginnastica rientrante nella classe 02-04 dell'Accordo di Locarno. La Handelsmaatschappij J. Van Hilst BV l’aveva contestata, chiedendo contestualmente all'EUIPO una dichiarazione di nullità basata sull'articolo 25, paragrafo 1, lettera b), del regolamento n. 6/2002. Alla domanda venivano allegati dei post pubblicati sulla pagina Instagram di Rihanna datati 16 e 17 dicembre 2014, che la ritraggono con scarpe simili.

Il 19 marzo 2021, la Divisione di invalidità accoglieva la domanda, concedendo la dichiarazione di nullità. La nota azienda di abbigliamento sportivo ha quindi deciso di presentare appello contro questa decisione il 21 aprile 2021. Il Tribunale per giungere ad una decisione ha suddiviso l'analisi della questione in due parti, corrispondenti ai motivi di ricorso. In primo luogo, ha affrontato la questione relativa all'irricevibilità della domanda di dichiarazione di nullità. In secondo luogo, ha affrontato la violazione dell'articolo 7, paragrafo 1, del Regolamento 6/2002.

Sebbene apparentemente semplice, questo caso solleva interessanti interrogativi.

Uno di questi riguarda la portata della divulgazione richiesta per invalidare un DCR. Il tribunale ha sostenuto la necessità che si proceda ad una divulgazione completa del design negli ambienti specializzati del settore, allineandosi quindi con la giurisprudenza esistente. Tale giurisprudenza richiede infatti che il confronto tra l’impressione complessiva prodotta dal Design Comunitario Registrato e i disegni precedenti, ai sensi dell’articolo 6(1) del Regolamento, debba essere effettuato alla luce dell’aspetto complessivo di ciascuno di tali disegni e modelli. Non è consentito prendere le singole caratteristiche di diversi disegni e modelli, combinarle e confrontare tale combinazione con il design contestato. Spetta quindi al richiedente identificare e riprodurre con precisione e integralmente il disegno o modello asseritamente anteriore per dimostrare che il disegno o modello contestato non può essere validamente registrato.

Dato che il disegno o modello anteriore deve essere stato divulgato nella sua interezza, la questione successiva è se il Tribunale fosse giustificato a formulare ipotesi sull'aspetto delle parti non visibili del disegno o modello anteriore. Nella stessa decisione, il Tribunale ha infatti affermato che la divulgazione di un disegno o modello anteriore non può essere provata per mezzo di ipotesi. Non vi sarebbero ragioni, dunque, per escludere l’applicabilità di questo principio anche alla divulgazione di parti del disegno o modello precedente. (cfr. CGUE, Easy Sanitary Solutions/Group Nivelles e EUIPO, cause C-361/15 P e C-405/15 P, par. 65). Il tribunale, tuttavia, nel caso di specie ha ipotizzato che la parte non visibile della scarpa sinistra potesse condividere le stesse caratteristiche delle parti visibili della stessa, sull’assunto che, solitamente, le singole scarpe sono prodotte in modo tale da costituire un paio di scarpe uniformi. Sebbene una tale presunzione sia ragionevole, condividerla potrebbe comportare un’inversione dell’onere della prova, mentre, come già ripetuto, spetta al ricorrente identificare e riprodurre esattamente ed integralmente il disegno o modello precedente.

Infine, si pone la questione se il Tribunale fosse legittimato a fare una constatazione di fatto ipotizzando l'aspetto del retro della scarpa sinistra senza fare riferimento alle conclusioni della commissione di ricorso.

Lo scopo di un ricorso al Tribunale è quello di controllare la legittimità delle decisioni della commissione di ricorso. Tale controllo deve essere effettuato sulla base del contesto di fatto e di diritto della controversia così come è stata portata dinanzi alla commissione di ricorso (cfr. ad esempio, T-724/17, par. 21). Né le parti né il Tribunale possono andare oltre questo contesto di fatto e di diritto (T-36/17, paragrafo 18). Pertanto, siccome la commissione di ricorso non ha stabilito quale fosse l'aspetto del retro della scarpa sinistra (nemmeno facendo una supposizione), sembrerebbe contrario al principio sopra menzionato concedere alla corte la possibilità di procedere a tale constatazione per la prima volta.

Da un punto di vista pratico, questo caso sottolinea l'importanza di depositare tempestivamente i disegni e modelli e di vigilare sulle sponsorizzazioni delle celebrità sui social media. Evidenzia inoltre l'evoluzione del panorama del diritto dei disegni e modelli in risposta alle sfide dell'era digitale.

Si ritiene dunque che la recente controversia possa essere è un campanello d'allarme per i brand che si muovono nel regno dell’influencer marketing e dei social media e dell'innovazione digitale. Infatti, mentre il post di Rihanna su Instagram ridisegna il panorama del diritto di disegni e modelli, questa controversia suggerisce ai brand di operare con lungimiranza e vigilanza per prosperare nell'era digitale.

Autrice: Maria Vittoria Pessina

 

Technology Media and Telecommunication

Le ultime modifiche al Codice del Consumo in tema di contratti conclusi telefonicamente e contratti di servizio a tacito rinnovo

La Legge 30 dicembre 2023 n. 214 (Legge annuale per il mercato e la concorrenza 2022) ha apportato due rilevanti modifiche al Codice del Consumo (Legge 6 settembre 2005, n. 206) che incidono sui contratti stipulati per telefono e sul rinnovo tacito dei contratti di servizio.

Il comma 6 dell’Art. 51 statuisce quanto segue “Quando un contratto a distanza deve essere concluso per telefono, il professionista deve confermare l’offerta al consumatore, il quale è vincolato solo dopo aver firmato l’offerta o dopo averla accettata per iscritto; in tali casi il documento informatico può essere sottoscritto con firma elettronica ai sensi dell’articolo 21 del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni. Dette conferme possono essere effettuate, se il consumatore acconsente, anche su un supporto durevole. In ogni caso il consenso non è valido se il consumatore non ha preliminarmente confermato la ricezione del documento contenente tutte le condizioni contrattuali, trasmesse su supporto cartaceo o altro supporto durevole disponibile e accessibile”.

Nonostante il principio di libertà della forma del contratto, ricavabile dall’Art. 1325 n. 4 del Codice Civile, la disposizione chiarisce che, ove sia utilizzato lo strumento telefonico, il contratto deve essere redatto per iscritto. La conversazione telefonica è utile soltanto per l’ottenimento del consenso del consumatore con riguardo ad un’offerta, che deve essere poi confermata tramite l’invio di una copia cartacea firmata dal consumatore o una dichiarazione scritta di accettazione. Tale conferma può avvenire su un supporto durevole, quale lo scambio di mail con documenti digitalizzati. Con l’aggiunta dell’ultimo periodo si rafforza la tutela in favore del consumatore poiché non si potrà considerare valido il suo consenso all’effettuazione delle conferme su supporto durevole finché questi non abbia confermato di aver ricevuto il documento contrattuale: la sottoscrizione, in altre parole, non sarà più l’unica condizione per la validità del contratto, dal momento che il professionista sarà tenuto anche ad acquisire la conferma, da parte del consumatore, di avvenuta recezione del documento contenente tutte le condizioni contrattuali.

Dopo l’Articolo 65, è stato aggiunto l’Art. 65-bis: “Nei contratti di servizi stipulati a tempo determinato con clausola di rinnovo automatico, il professionista, trenta giorni prima della scadenza del contratto, è tenuto ad avvisare il consumatore della data entro cui può inviare formale disdetta. La comunicazione di cui al primo periodo è inviata per iscritto, tramite sms o altra modalità telematica indicata dal consumatore, e la sua mancanza consente al consumatore, sino alla successiva scadenza del contratto, di recedere in qualsiasi momento senza spese”.

Anche questa disposizione è volta al rafforzamento della tutela del consumatore. La norma si pone come integrazione all’obbligo in capo al professionista di informare il consumatore sulla durata del contratto e sull’eventuale rinnovo automatico prima della sua sottoscrizione. Il legislatore prevede che, anche per l’avviso riguardante la disdetta, sia utilizzata la forma scritta e dunque il consumatore potrà, a sua scelta, decidere di effettuare la comunicazione via mail, via sms o in un’altra modalità telematica.

Autrice: Alessandra Faranda

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Matteo Antonelli, Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Alessandra Faranda, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Miriam Romeo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.