Innovation Law Insights

Podcast

IA Generativa e Copyright: La Battaglia Legale tra UE e USA per il Futuro

In questo episodio di Diritto al Digitale, Giulio Coraggio analizza lo storico caso Like Company contro Google Ireland e mette a confronto il rigido quadro normativo dell’UE con l’approccio più flessibile – ma anche più imprevedibile – degli Stati Uniti in materia di copyright e addestramento delle intelligenze artificiali generative. Cosa significherà tutto questo per piattaforme come ChatGPT, Gemini e Claude?
Ascolta l’episodio su Apple Podcasts, Spotify e Audible.

 

Data Protection and Cybersecurity  

Sanzione Privacy in Italia per l'Uso di Chat Private nei Procedimenti Disciplinari sul Lavoro

Il Garante per la Protezione dei Dati Personali ha sanzionato un’azienda per 420.000 euro per violazione delle norme sulla privacy in ambito lavorativo. La decisione riguarda l’utilizzo, da parte del datore di lavoro, di contenuti provenienti da Facebook, WhatsApp e Messenger – tratti da account personali di un dipendente – a fini disciplinari.

Questa pronuncia avrà conseguenze rilevanti per tutti i datori di lavoro operanti in Italia, soprattutto per quelli coinvolti in indagini interne che toccano l’ambito dei social media o delle piattaforme di messaggistica privata.

Il messaggio del Garante è chiaro: anche sul posto di lavoro, la privacy deve essere rispettata e violarla può comportare sanzioni pesanti.

Il Caso: Privato non è Pubblico – Nemmeno al Lavoro

Il caso ha avuto inizio con un reclamo presentato da una dipendente, che ha contestato la legittimità di due provvedimenti disciplinari nei suoi confronti. L’azienda aveva basato le contestazioni su:

• Post pubblicati sul suo profilo Facebook privato;
• Messaggi privati scambiati su Messenger con un terzo;
• Messaggi WhatsApp condivisi con colleghi.

Il contenuto non era stato attivamente monitorato o raccolto dall’azienda, ma era stato spontaneamente inoltrato alla direzione da colleghi o altri soggetti coinvolti. L’azienda sosteneva di non avere avuto alcun “ruolo attivo” nella raccolta dei dati, giustificandone l’uso sulla base del legittimo interesse ai sensi del GDPR.

Tuttavia, secondo il Garante, la ricezione passiva dei dati non esonera l’azienda dagli obblighi di conformità alla normativa privacy.

I Principali Riscontri del Garante

Il Garante ha assunto una posizione netta:

1. Usare contenuti ricevuti equivale a trattare dati personali. Una volta che l’azienda decide di utilizzare quei messaggi o post in un procedimento disciplinare, effettua un trattamento di dati a pieno titolo secondo il GDPR.
2. Un profilo Facebook privato implica un’aspettativa ragionevole di privacy. I contenuti condivisi solo con gli “amici” non possono essere considerati pubblici. L’azienda avrebbe dovuto valutare se l’uso di quei dati rispettasse i diritti della dipendente.
3. Messenger e WhatsApp sono comunicazioni protette. Anche se i contenuti vengono inoltrati da chi partecipa alla conversazione, ciò non autorizza il datore di lavoro a utilizzarli senza una valida base giuridica.

Perché è Fallito l’Argomento del Legittimo Interesse

L’azienda ha provato a basarsi sull’articolo 6, comma 1, lett. f) del GDPR – legittimo interesse – per giustificare il trattamento. Tuttavia, il Garante ha rilevato diverse criticità:

• Non è stato presentato alcun test di bilanciamento documentato;
• L’azienda non ha dimostrato che le finalità disciplinari non potessero essere raggiunte senza ledere la privacy;
• La dipendente non poteva ragionevolmente aspettarsi che le sue comunicazioni private potessero essere usate contro di lei sul lavoro.

Il Garante ha inoltre sottolineato che, in Italia, il trattamento di dati in ambito lavorativo è soggetto non solo al GDPR, ma anche all’articolo 113 del Codice Privacy italiano, che rafforza le tutele per i lavoratori. Tale articolo vieta espressamente l’uso di opinioni personali, convinzioni o informazioni non pertinenti all’idoneità professionale nei procedimenti interni.

L’Impatto Più Ampio per i Datori di Lavoro in Italia

Questa decisione invia un messaggio forte: la privacy sul lavoro non è facoltativa, nemmeno in caso di provvedimenti disciplinari.

I datori di lavoro devono ora:

• Riflettere attentamente prima di usare comunicazioni personali in procedimenti interni, anche se ottenute da terzi;
• Effettuare e documentare un test di bilanciamento dettagliato in caso di invocazione del legittimo interesse;
• Evitare di utilizzare dati da messaggistica privata o social media, a meno che non siano chiaramente rilevanti, proporzionati e legalmente giustificabili;
• Allineare le politiche interne (e.g. policy IT, social media) al GDPR e alla normativa nazionale;
• Rispettare il confine tra condotta lavorativa ed espressione privata, in particolare su piattaforme come WhatsApp o Facebook.

Un Avvertimento Chiaro: Multa da 420.000 € e Sanzione Pubblica

L’azienda è stata ritenuta responsabile di aver violato gli articoli 5, 6 e 88 del GDPR e l’articolo 113 del Codice Privacy. La sanzione di 420.000 euro riflette la gravità delle violazioni.

Inoltre, il Garante ha ordinato la pubblicazione della decisione sul proprio sito, amplificando l’impatto reputazionale del caso.

Questa doppia sanzione – economica e pubblica – deve essere considerata un campanello d’allarme per qualsiasi azienda che operi in Italia o che gestisca dipendenti le cui attività digitali private possano incrociarsi con la compliance aziendale.

Considerazioni Finali

Questo caso è un chiaro segnale: la privacy dei dipendenti sul luogo di lavoro è tutelata, anche quando messaggi e contenuti sociali circolano al di fuori del pubblico originario.

È importante considerare che:

• Un messaggio inoltrato non è una autorizzazione per indagare;
• I post personali – se non chiaramente pubblici – non sono “territorio libero”.
• L’Italia prende molto sul serio la privacy dei lavoratori – e le sanzioni saranno proporzionate.

Se non siete certi che i vostri procedimenti disciplinari interni siano conformi al GDPR e alla normativa nazionale, questo è il momento di rivedere le vostre policy. Perché, nel mondo del lavoro digitale di oggi, le violazioni della privacy non passano inosservate – e non restano impunite.

Su un argomento simile può essere di interesse l'articolo "Il Garante emette la prima sanzione ai sensi del GDPR per violazione della privacy sui metadati delle e-mail dei dipendenti in Italia".

Autore: Giulio Coraggio

 

Le Linee Guida di Enisa sulla conformità alla Direttiva NIS2

Lo scorso 26 giugno, l'Agenzia dell'Unione europea per la cibersicurezza (ENISA) ha pubblicato due linee guida utili alle imprese per garantire la conformità della propria struttura con la Direttiva NIS2. L'obiettivo delle linee guida è quello di aiutare le imprese nel comprendere come i requisiti legali si traducono in attività operative, in particolare in materia di (i) ruoli e competenze per i professionisti all'interno di entità essenziali e importanti, nonché (ii) di misure tecniche volte a garantire la sicurezza e resilienza dei sistemi informatici.

• Linee Guida "Cybersecurity roles and skills for NIS2 Essential and Important Entities"

Come noto, l'articolo 21 della Direttiva NIS 2 stabilisce che i soggetti essenziali e importanti devono adottare misure adeguate di gestione dei rischi legati alla sicurezza informatica. Tali misure non si limitano agli aspetti tecnici volti alla protezione dei sistemi, ma comprendono anche l'adozione di misure organizzative proporzionate, finalizzate a garantire la resilienza e la tutela complessiva degli asset digitali.

Queste misure organizzative presuppongono l'implementazione di un sistema di compliance strutturato che – a partire della mappatura e identificazione dei compiti previsti dalle norme in conformità alla Direttiva NIS2 e alle sue attuazioni a livello nazionale – includa la definizione di ruoli chiari e l'individuazione di professionisti competenti nello svolgimento delle proprie funzioni.

A tal fine, le Linee Guida presentano due casi d'uso specifici, riferiti ad organizzazioni di media dimensione, caratterizzate da alcune limitazioni sia in termini di risorse umane che in termini di budget. Sebbene ogni organizzazione debba strutturare i propri ruoli in base alle esigenze specifiche - che possono variare a seconda degli obblighi normativi e del livello di maturità cyber - gli esempi proposti da ENISA risultano particolarmente utili come base operativa.

Nel primo scenario, ENISA suggerisce innanzitutto di procedere alla nomina di un Cybersecurity Manager (figura che può coincidere con il CISO), con un ruolo strategico nella definizione e attuazione delle policy di sicurezza, nonché nella gestione dei piani di remediation tecnica. In parallelo, viene sottolineata l'importanza di identificare un Cyber Legal, Policy and Compliance Officer, responsabile del supporto nelle attività di compliance societaria in ambito cybersecurity.

Oltre alla identificazione di tali figure chiave, ENISA raccomanda di investire nella formazione mirata di ruoli già esistenti all'interno dell'organizzazione – come i membri del dipartimento IT e gli Amministratori di Sistema – così da rafforzare le competenze trasversali in materia cybersecurity. Infine, viene considerata in modo positivo la possibilità di esternalizzare specifici servizi, quali la risposta agli incidenti informatici, all'intelligence sulle minacce informatiche e alle indagini di informatica forense. In tali casi rimangono comunque salde le responsabilità delle figure interne alla struttura cosicché i fornitori di servizi terzi hanno un ruolo di solo supporto e non di decisione strategica.

Il secondo scenario presentato da ENISA si concentra invece sulla gestione e risposta degli incidenti informatici e sui relativi obblighi di notifica previsti dall'articolo 23 della Direttiva NIS2. In questo contesto, ENISA suggerisce l'adozione di un processo strutturato che coinvolga il CISO, un c.d. Cybersecurity Implementer (tipicamente un amministratore di sistema con competenze specifiche nella gestione degli incidenti informatici) il Cyber Legal, Policy and Compliance Officer, e – se necessario - un fornitore di servizi terzo.

La creazione di un team con ruoli e responsabilità ben definiti, composto da risorse interne ed esterne, consente all’organizzazione di soddisfare gli stringenti requisiti di notifica della Direttiva NIS2, garantendo al contempo un approccio reattivo ed efficace nella gestione degli incidenti. Questa impostazione strutturata e collaborativa rappresenta un passo fondamentale non solo per la compliance normativa, ma anche per il rafforzamento complessivo della postura di sicurezza dell’organizzazione.

Le Linee Guida forniscono poi una mappatura completa dei ruoli, con una descrizione dettagliata delle responsabilità, dei compiti, dei risultati attesi e delle potenziali collaborazioni per ciascun profilo di ruolo, in relazione ai requisiti previsti dalla Direttiva NIS2. Vengono inoltre evidenziati i vantaggi di tale approccio, mostrando come una strutturazione chiara dei ruoli contribuisca a migliorare la trasparenza operativa, l'efficienza dei processi e la pianificazione della forza lavoro.

Pur riconoscendo – come sottolineato dalla stessa ENISA – la necessità di adattare ogni modello organizzativo al contesto specifico dell’organizzazione soggetta alla Direttiva NIS2, queste Linee Guida rappresentano senza dubbio un valido punto di partenza per la definizione di una struttura interna conforme ai rigorosi requisiti normativi applicabili.

• Linee Guida "Technical Implementation Guidance"

La Guida Tecnica ENISA è pensata per supportare i soggetti rientranti nell’ambito di applicazione del regolamento attuativo di esecuzione (UE) 2024/2690 del 17 ottobre 2024 – ovvero i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari -  nell’attuazione dei requisiti tecnici e metodologici delle misure di sicurezza previste dalla Direttiva NIS2.

Oltre a offrire un supporto specifico agli operatori inclusi nel regolamento, la Guida Tecnica fornisce indicazioni dettagliate e operative sulle misure di gestione del rischio richieste dalla Direttiva NIS2, risultando utile anche per un pubblico più ampio di soggetti essenziali ed importanti.

Pubblicata inizialmente in bozza nel gennaio 2025, la versione definitiva non ha introdotto modifiche sostanziali. Un approfondimento delle misure suggerite è disponibile in questo articolo Direttiva NIS2 - guida tecnica ENISA.

La finalizzazione di questo documento rappresenta un ulteriore strumento concreto a disposizione delle organizzazioni per l'attuazione della Direttiva NIS2. Pur essendo rivolta a una categoria specifica di entità, i principi metodologici e i requisiti tecnici delineati costituiscono un solido punto di riferimento per tutte le organizzazioni soggette alla Direttiva NIS2, offrendo un supporto pratico e dettagliato per l'implementazione di un sistema di compliance cyber efficace.

Su un argomento simile può essere di interesse l'articolo "Direttiva NIS2 – dalla norma alla pratica: la bozza di guida tecnica dell’ENISA sul regolamento attuativo come strumento per la compliance"

Autrici: Giulia Zappaterra e Maria Chiara Meneghetti

 

Blockchain and Cryptocurrency

Il doppio no di ESMA: limiti ai modelli broker-dealer e di gestione condivisa dell’order book con soggetti non autorizzati ai sensi di MiCAR.

Con la Q&A n. 2579 pubblicata il 20 giugno 2025 (di seguito, la Q&A), l'Autorità europea degli strumenti finanziari e dei mercati (di seguito, ESMA o Autorità) chiarisce definitivamente l’incompatibilità tra il regime del Regolamento (UE) 2023/1114 sui Mercati per le Cripto-Attività (di seguito, MiCAR) e la condivisione dell'order book tra Prestatori di servizi per le cripto-attività (di seguito, CASP) autorizzati e soggetti terzi extra-UE. Dopo aver già fortemente limitato nel Public Statement del 31 luglio 2024 (di seguito, il Public Statement) l’ammissibilità del modello broker-dealer, in cui si prevede un routing sistematico degli ordini a piattaforme di negoziazione extra-UE di gruppo, l’Autorità ribadisce che ogni soggetto coinvolto nella gestione di un multilateral trading system deve essere previamente autorizzato ai sensi degli articoli 59, 60 e 63 MiCAR.

1. Cos'è un order book e perché è un servizio regolamentato da MiCAR?

Nel lessico dei mercati digitali, il registro degli ordini – comunemente indicato con l’espressione order book – costituisce il sistema mediante il quale una piattaforma di negoziazione aggrega e organizza le proposte di acquisto e di vendita di cripto-attività inoltrate da una pluralità di utenti. La gestione di un registro degli ordini rappresenta, nella prospettiva del legislatore europeo, il fulcro operativo della piattaforma di negoziazione, e come tale qualifica l’attività dell'operatore di una piattaforma di negoziazione come ricompresa nel perimetro regolamentare di MiCAR.

Secondo l’articolo 3, paragrafo 1, n. 18, MiCAR, una piattaforma di negoziazione corrisponde a:

"la gestione di uno o più sistemi multilaterali che consente o facilita l’incontro, all’interno del sistema e in base alle sue regole, di molteplici interessi di terzi per l’acquisto o la vendita di cripto-attività, in modo tale da portare alla conclusione di contratti, scambiando cripto-attività con fondi, o scambiando cripto-attività con altre cripto-attività".

Ne consegue che qualsiasi soggetto giuridico, europeo o extraeuropeo, che partecipi alla gestione di un registro degli ordini rientrante nella nozione di “sistema multilaterale", deve essere autorizzato in qualità di CASP ai sensi di MiCAR.

2. Il chiarimento di ESMA: l’illegittimità della condivisione degli order book con soggetti non autorizzati.

ESMA ha fornito un chiarimento determinante in merito alla pratica di gestione condivisa degli order book da parte di soggetti autorizzati con entità di paesi terzi privi di autorizzazione ai sensi di MiCAR.

La fattispecie considerata da ESMA è quella in cui più piattaforme di negoziazione, comprese quelle extra-UE, aggregano i rispettivi registri degli ordini in un unico flusso operativo, permettendo così l’incontro tra proposte di acquisto e di vendita provenienti dai rispettivi clienti. Si tratta di un modello integrato che crea un unico pool di liquidità gestito da operatori di giurisdizioni diverse ma che, proprio per questa caratteristica, implica la corresponsabilità di ciascun di essi nella gestione del sistema multilaterale e nell’interazione tra i diversi clienti.

Ne consegue, secondo ESMA, che ogni soggetto coinvolto nella gestione del registro degli ordini condiviso deve essere qualificato come prestatore di servizi di cripto-attività ai sensi del Regolamento. In assenza di autorizzazione ex articolo 63, tale partecipazione integra una prestazione abusiva di servizi previsto all’articolo 59.

La Q&A, pur non escludendo in via assoluta che altri modelli di interoperabilità tra order book possano in astratto essere compatibili con MiCAR, lascia intendere che qualsiasi forma di gestione congiunta con soggetti extra-UE non autorizzati sarà presumibilmente considerata illegittima. L’approccio dell’Autorità è quindi improntato a una lettura restrittiva e rigorosa delle norme di accesso al mercato unico dei servizi cripto.

3. Dal Public Statement alla Q&A: le limitazioni al modello broker-dealer come fondamento sistematico del nuovo divieto.

Il divieto di condivisione del registro degli ordini con soggetti non autorizzati non rappresenta un punto di svolta isolato ma si inserisce in un più ampio disegno regolatorio già delineato dall’Autorità con il Public Statement pubblicato poco meno di un anno fa. In tale documento, rivolto alle autorità nazionali competenti, ESMA aveva posto l’attenzione sul rischio che alcuni operatori, formalmente autorizzati come CASP per la mera ricezione e trasmissione di ordini, potessero attingere alla liquidità di mercato da essi gestita nell’ambito di piattaforme di negoziazione site al di fuori dell’UE, eludendo così le più stringenti condizioni previste in Europa per tale servizio.

Il modello preso in esame è quello del cosiddetto intra-group broker-dealer, in cui il CASP europeo riceve ordini dai propri clienti ma li trasmette sistematicamente a entità infragruppo, stabilite in Stati terzi, che fungono da liquidity provider tramite le piattaforme di negoziazione da loro gestite.

Secondo ESMA, questo modello genera due principali categorie di rischi:

• in primo luogo, il conflitto di interessi: l’intermediario che riceve e instrada ordini all’interno del proprio gruppo societario potrebbe essere incentivato a privilegiare canali infragruppo, con scarsa trasparenza e potenziali distorsioni nell'esecuzione.
• In secondo luogo, viene messa in discussione l’effettiva tutela dell’interesse del cliente alla best execution: la scelta del canale di esecuzione potrebbe essere guidata da considerazioni interne, organizzative o economiche, anziché dal principio del miglior risultato possibile per il cliente; il tutto in violazione degli obblighi di diligenza e imparzialità imposti ai CASP.

Proprio alla luce di tale limitazione, i soggetti in procinto di ottenere la licenza MiCAR hanno ritenuto di optare per un modello conforme al Public Statement, ovverosia stabilendo una piattaforma di negoziazione in Europa secondo le regole MiCAR, ma la cui liquidità non veniva alimentata soltanto dal mercato europeo, ma anche da quello extra-Europeo mediante il meccanismo dello shared order book.

In tale cornice, la Q&A costituisce un coerente completamento del Public Statement. Chiarendo che anche la sola condivisione tecnica di un registro degli ordini con soggetti non autorizzati implica la corresponsabilità nella gestione del sistema multilaterale, ESMA consolida una lettura rigorosa e sistemica del perimetro autorizzativo.

L’obiettivo perseguito da ESMA è duplice:

• da un lato, evitare che il mercato unico venga aperto a soggetti che non offrano garanzie equivalenti in termini di vigilanza, trasparenza e tutela degli investitori rispetto a quelle richieste ai CASP autorizzati;
• dall’altro, impedire che fornitori di servizi limitati, in particolare quelli autorizzati alla sola ricezione e trasmissione di ordini, svolgano “indirettamente”, tramite società del gruppo, servizi assimilabili a quelli di gestore di piattaforme di negoziazione, eludendo così le più stringenti condizioni autorizzative e gli obblighi di governance imposti da MiCAR.

4. Una scelta isolazionista? Le logiche implicazioni del divieto ESMA su liquidità ed accesso ai cripto-mercati.

La Q&A segna una svolta interpretativa destinata ad avere impatti strutturali sul funzionamento dei mercati europei per le cripto-attività ed ha sollevato reazioni fortemente critiche da parte dell’industria. Gli stakeholder hanno evidenziato come l’approccio seguito da ESMA rischi di amplificare la frammentazione della liquidità all’interno del mercato europeo, impedendo la formazione di adeguate pool di negoziazione.

L’impatto concreto sul mercato è rilevante. La preclusione di order book condivisi costringe le piattaforme europee a operare su bacini di liquidità limitati, accentuando il rischio di spread più ampi, minore profondità e maggiore volatilità delle cripto-attività. In un contesto in cui la competitività si misura anche sulla capacità di garantire efficienza esecutiva e accesso globale, l'UE rischia di perdere terreno rispetto a giurisdizioni che, pur perseguendo obiettivi regolamentari simili, adottano modelli più aperti e proporzionati.

In conclusione, la scelta dell’Autorità, sebbene ispirata da più che legittime e necessarie finalità di controllo e integrità del mercato, solleva il tema della compatibilità tra un approccio fortemente endogeno e l’aspirazione ad un mercato europeo pienamente integrato e competitivo a livello globale. In assenza di una riflessione più equilibrata sulla portata operativa di concetti chiave come l'innata natura decentralizzata dei CASP, il rischio è che MiCAR, nato per armonizzare e rafforzare, finisca per isolare e irrigidire.

Autori: Andrea Pantaleo e Giulio Napolitano

 

Intellectual Property

Trade secrets: società tech statunitense contro un ex-dipendente per la sottrazione di segreti commerciali

Una società leader nello settore tech ha agito avanti il Tribunale Superiore dello Stato della California per la Contea di Santa Clara in California nei confronti di un ex-dipendente, accusandolo di sottrazione di segreti commerciali e informazioni confidenziali relativi a un visore per la realtà aumentata, attualmente in fase di sviluppo.

Secondo quanto riportato nei documenti depositati dalla società, attiva nello sviluppo di dispositivi digitali, l'ingegnere senior avrebbe copiato migliaia di file riservati, tra cui documentazione tecnica e informazioni confidenziali legate a nuovi prodotti non ancora annunciati pubblicamente. Questa condotta sarebbe in violazione degli impegni assunti dall'ex-dipendente nel proprio contratto di lavoro e nell'accordo sulla riservatezza e sulle disposizioni in materia di proprietà intellettuale (Confidentiality and Intellectual Property Agreement - IPA) fatto firmare dall'attrice.

La normativa US in materia di trade secrets

Secondo la normativa federale statunitense, è considerato segreto commerciale (trade secret) qualsiasi informazione di natura finanziaria, commerciale, scientifica, economica o ingegneristica, quali ad esempio codici, formule, progetti, prototipi o programmi, che abbia valore economico effettivo o potenziale in quanto non nota né facilmente accessibile ad altri soggetti che potrebbero trarne vantaggio economico e competitivo.

Inoltre, per essere tutelate come segreti commerciali, le informazioni devono essere oggetto di misure ragionevoli di protezione e riservatezza, che comprendono anche misure specifiche nei contratti con i dipendenti e collaboratori della società titolare dei segreti commerciali.

L'acquisizione o l'uso improprio di trade secrets è considerato illecito quando avviene tramite mezzi irregolari o fraudolenti, tra cui il furto e l'inadempimento di obblighi di riservatezza.

L'esfiltrazione dei dati aziendali dell'ex-dipendente

L'attrice sostiene che, sulla base di un'indagine forense condotta sul computer di lavoro dell'ingegnere, l'attività di esfiltrazione del materiale aziendale nell'account personale sarebbe iniziata poco prima della fine del rapporto di lavoro. Secondo quanto ricostruito dalla società tech, l'ex-dipendente avrebbe selezionato manualmente centinaia di file oggetto di sottrazione, contenenti segreti commerciali e identificati come confidenziali, li avrebbe spostati, rinominati e caricarti nell'account cloud personale, per poi cancellarli dal computer aziendale, con l'intento di eliminare ogni traccia dell'attività svolta.

Al momento delle dimissioni, l'ingegnere avrebbe dichiarato di voler lasciare l'impiego presso l'azienda leader nel settore dell'elettronica per motivi personali, senza divulgare di aver già accettato una nuova posizione presso una concorrente, attiva anch'essa nello sviluppo di dispositivi di realtà aumentata. Questa omissione avrebbe impedito alla società tech di adottare misure tempestive per limitare l'accesso non autorizzato dell'ex-dipendente a segreti commerciali e informazioni confidenziali.

Le misure adottate dalla società per la protezione dei segreti commerciali

Infatti, l'azienda tech è particolarmente attenta alla tutela dei propri dati aziendali riservati. In particolare, la sottoscrizione dell'IPA costituisce condizione essenziale per l'instaurazione del rapporto di lavoro. Tale accordo impone ai dipendenti l'obbligo di proteggere le informazioni confidenziali della società e di non divulgarle a terzi, obbligo che permane anche dopo la cessazione del rapporto di lavoro. Inoltre, la società eroga regolarmente attività formative specifiche in materia di riservatezza in cui viene ribadita l'assoluta confidenzialità delle informazioni proprietarie aziendali.

Particolare attenzione è riservata ai dipendenti che lasciano la società: al momento della cessazione del rapporto di lavoro, la società adotta misure volte a prevenire la dispersione o l'uso improprio di materiali riservati, richiedendo la restituzione dei dispositivi aziendali assegnati e la cancellazione di eventuali file, documenti o software riservati, di proprietà aziendale o di terzi. Ai dipendenti in uscita viene inoltre fornita una checklist che sottolinea l'obbligo di restituire o distruggere ogni documento contenente segreti commerciali e informazioni confidenziali, al fine di garantire l'adempimento degli obblighi di riservatezza prima della conclusione effettiva del rapporto di lavoro.

Le richieste della società

La nota azienda tech statunitense sostiene che l'ex-dipendente, che ha agito in violazione dei propri obblighi contrattuali e delle procedure aziendali previste per i dipendenti dimissionari, potrebbe utilizzare i dati e i segreti commerciali sottratti per favorire il nuovo datore di lavoro. In particolare, l'azienda concorrente starebbe sviluppando un proprio paio di occhiali AR e informazioni trafugate potrebbero accelerare significativamente il progresso tecnologico del nuovo prodotto.

La società leader nello sviluppo di dispositivi digitali ha chiesto, pertanto, l'intervento del tribunale per ottenere un risarcimento danni ancora non quantificato e ha chiesto che sia ordinato all'ex-dipendete di restituire le informazioni proprietarie, autorizzando l'analisi forense dei dispositivi personali e degli account cloud dell'ex-dipendente, al fine di verificare l'effettiva rimozione di dati sottratti.

La tutela di trade secrets nel settore tech passa anche dai dipendenti

Questo caso conferma la crescente tensione nel settore tecnologico in merito alla protezione dei trade secrets, soprattutto in un momento in cui la concorrenza sull'innovazione nei dispositivi tecnologici si fa sempre più serrata. Conseguentemente, la tutela segreti commerciali e delle informazioni confidenziali rappresenta una priorità strategica per le aziende del settore tecnologico.

Per fronteggiare i rischi connessi alla dispersione o all'uso improprio di tali asset immateriali, le imprese devono adottare misure preventive e organizzative mirate, tra cui la stipula di accordi specifici con i dipendenti volti a disciplinare l'uso e la riservatezza dei dati aziendali e dei segreti commerciali. A ciò si affiancano protocolli rigorosi applicati nella fase di cessazione del rapporto di lavoro, che prevedono la restituzione dei dispositivi aziendali, la cancellazione di dati riservati da qualsiasi supporto nella disponibilità dell'ex-dipendente e l'obbligo formale di non trattenere documentazione proprietaria. Tali strumenti si rivelano essenziali per salvaguardare l'integrità del patrimonio informativo delle società e per mitigare il rischio di esfiltrazione di segreti commerciali e informazioni riservate.

Su un simile argomento può essere di interesse il seguente articolo "Protezione dei segreti commerciali e PMI".

Autrice: Chiara D'Onofrio

 

 

Food and Beverages

Contraffazione Alimentare: EUIPO ed Europol uniscono le forze contro la criminalità organizzata nel settore agroalimentare

Nel giugno 2025, l’Ufficio dell’Unione Europea per la Proprietà Intellettuale (EUIPO) ha lanciato la campagna "What's on Your Table?" per sensibilizzare l'opinione pubblica sul diffuso fenomeno della contraffazione alimentare nell'UE.

Contrariamente alla percezione comune secondo cui la contraffazione riguarderebbe solo la moda e i beni di lusso, il settore agroalimentare è, infatti, sempre più nel mirino delle reti criminali organizzate, con conseguenze rilevanti sia per la salute pubblica sia per l'economia "legale". Secondo i dati EUIPO, il solo settore dei vini e degli alcolici contraffatti ha comportato, tra il 2013 e il 2027, comporta una perdita stimata di 2,289 miliardi di euro nell’Unione Europea, con quasi 5.700 posti di lavoro persi.

Altri dati confermano la rilevanza del fenomeno della contraffazione alimentare: l'operazione OPSON XIII, coordinata congiuntamente da Europol e Interpol nel 2024, ha portato al sequestro di oltre 91 milioni di euro in alimenti e bevande contraffatti o non conformi, tra cui più di 22.000 tonnellate di alimenti e 850.000 litri di bevande, con lo smantellamento di 11 organizzazioni criminali.

Le evidenze contenute nello European Serious and Organised Crime Threat Assessment 2025 (EU‑SOCTA 2025) di Europol confermano, inoltre, il ruolo crescente della criminalità organizzata nella filiera alimentare. I contraffattori adulterano frequentemente i prodotti, falsificano le indicazioni geografiche, manipolano le etichette e dichiarano falsamente l’origine e la composizione. Tra le violazioni più ricorrenti figurano il miele diluito con sciroppo di mais, il pesce etichettato in modo ingannevole e l'olio extravergine d'oliva contraffatto. I prodotti recanti indicazioni geografiche protette risultano particolarmente esposti alla contraffazione, in ragione del loro elevato valore di mercato e della forte fiducia dei consumatori.

Queste condotte illecite sono favorite dalla frammentazione delle catene di fornitura, dal controllo limitato sulla tracciabilità e dal crescente ricorso all'e-commerce e alle spedizioni in piccoli colli. Anche i rischi per la salute pubblica sono significativi: in recenti sequestri, le autorità hanno rinvenuto alimenti contraffatti contenenti metanolo, mercurio, fipronil e altri pesticidi vietati.

La campagna EUIPO è accompagnata da materiali informativi multilingue rivolti ai consumatori e mira a promuovere pratiche di acquisto responsabili, come la verifica dell'origine del prodotto, il controllo dei loghi ufficiali e la diffidenza verso i prezzi troppo bassi. Per le imprese – in particolare quelle operanti sotto denominazioni protette – si tratta di un invito a rafforzare la tutela della proprietà intellettuale, investire in tecnologie di tracciabilità e collaborare con le autorità competenti per prevenire l'abuso della propria reputazione e dei propri diritti.

Per reagire in modo efficace, le aziende del settore alimentare e delle bevande potrebbero attivare sistemi di monitoraggio sistematico dei marchi, svolgere audit delle catene di approvvigionamento (anche online), adottare soluzioni di packaging antimanomissione e istituire procedure chiare per la segnalazione delle violazioni. Partecipare a banche dati e sistemi di allerta rapida a livello UE, nonché instaurare contatti diretti con dogane e forze dell’ordine, può fare la differenza nell'intercettare e fermare le attività illecite prima che raggiungano i consumatori.

Su un argomento simile può essere d'interesse l’articolo "Italian sounding: quanto vale e come trasformarlo in export made in Italy”, pubblicato il report ISMEA 2023".

Autore: Federico Maria Di Vizio

 

Legal design

Legal Design Trick #9: L’architettura dell’informazione – organizza, non improvvisare!

Hai semplificato il linguaggio? Ora è il momento di organizzare i contenuti in modo chiaro, logico… e leggibile!

Perché l’organizzazione conta?

Un contenuto confuso, disordinato o ridondante genera frustrazione nell'utente e ne rallenta la comprensione, aumentando gli errori. Un documento ben strutturato, invece, guida l’utente, lo orienta e lo aiuta a capire e ad agire con sicurezza.

Cos'è l'Information Architecture?

L’architettura dell’informazione è l’arte di organizzare contenuti in modo chiaro e funzionale.
Nei testi giuridici, aiuta a strutturare la comunicazione legale per renderla navigabile, coerente e usabile da chiunque.

Ricorda: Layout chiaro = contenuto leggibile. Ma come fare?

• Usa spazi bianchi per dare respiro al testo
• Inserisci box, icone, elenchi puntati per evidenziare le parti chiave
• Mantieni coerenza grafica (font, margini, colori)
• Usa grassetti e maiuscole con moderazione e solo dove servono

Come strutturare un testo?

Una buona struttura segue una logica gerarchica e sequenziale. Ecco alcuni elementi utili per strutturare coerentemente un testo:

• Prevedi un indice iniziale à orienta subito il lettore
• Utilizza titoli e sottotitoli descrittivi à anticipano il contenuto
• Crea paragrafi brevi e ordinati à una sola idea per blocco
• Inserisci una introduzione e una conclusione à aiutano a contestualizzare e chiudere il discorso

Ristrutturare un documento esistente: da dove partire?

A volte non serve riscrivere da zero un testo per renderlo comprensibile: basta riorganizzarlo! Ma come fare?

1. Analizza cosa funziona e cosa crea confusione
2. Taglia ed elimina ripetizioni e ridondanze
3. Raggruppa le parti affini e riorganizzale secondo logica
4. Aggiungi, se serve, titoli, box, definizioni, guide alla lettura

La stratificazione aiuta a semplificare

La stratificazione delle informazioni (il c.d. information layering) è un principio chiave del Legal Design:

• Presenta prima le informazioni essenziali, poi i dettagli (es. con brevi sezioni introduttive seguite da testi descrittivi più dettagliati)
• Focalizza l’attenzione su ciò che serve all’utente in quel momento (es. ponendo domanda o utilizzando titoli descrittivi accattivanti)
• Usa link interni o riferimenti esterni per approfondimenti (es. rimandi ad allegati, FAQ, informative di dettaglio, glossario finale, ecc.)

Ricorda: È la logica del progressive disclosure usata anche nel design digitale e nella user experience.

Un trucco per iniziare: la tecnica del card sorting

Il card sorting è una tecnica per progettare l'architettura delle informazioni in maniera semplice:

1. Scrivi ogni contenuto/tema su un post-it
2. Chiediti cosa serve sapere prima e cosa dopo
3. Organizza i post-it come fosse un indice

Ricorda: È un ottimo modo per progettare la sequenza logica di un testo, rendendolo chiaro, ordinato e coerente!

Lo sapevi?

Secondo uno studio del guru dell'UX Nielsen Norman Group, gli utenti leggono solo il 20-28% del testo in una pagina digitale.

Organizzare bene l’informazione è, quindi, essenziale per consentire agli utenti di leggere tutto il testo, risparmiando tempo e migliorandone la comprensione!

E ora?

Hai imparato a organizzare i contenuti…

Ma come si scrive un documento visivo davvero coinvolgente?

Nel prossimo episodio di Legal Design Tricks parleremo di visual design nei documenti legali!

Autrice: Deborah Paracchini

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Noemi Canova, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Dorina Simaku, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.