Innovation Law Insights

Podcast

Clausole tipo per l’AI procurement: come le clausole UE aggiornate aiutano a gestire il rischio compliance

La Commissione Europea ha appena pubblicato una versione aggiornata delle Model Contractual Clauses for AI Procurement, ma cosa significa effettivamente per la tua azienda? In questo episodio di Diritto al Digitale, Giulio Coraggio approfondisce come queste clausole mirano a semplificare la conformità con l'AI Act, ridurre l'incertezza giuridica e ridefinire il modo in cui gli attori pubblici e privati negoziano i contratti relativi all'IA. Che tu sia un acquirente, un fornitore o un consulente legale in ambito AI, questa è la tua guida essenziale per trasformare la regolamentazione in un'opportunità. Puoi ascoltare l'episodio su Apple Podcasts, Google Podcasts, Spotify, Audible.

 

Data Protection & Cybersecurity

Feedback preliminare dell'EDPB e dell'EDPS sulla proposta di semplificazione dell'obbligo di tenuta del registro dei trattamenti

Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno pubblicato una lettera congiunta in risposta alla proposta della Commissione Europea volta a semplificare gli obblighi di tenuta del registro delle attività di trattamento ai sensi dell'articolo 30 del GDPR.

La proposta, facente parte del quarto pacchetto legislativo Omnibus, mira ad alleggerire gli oneri di conformità per alcune categorie di organizzazioni, cercando al contempo di mantenere le tutele fondamentali in materia di privacy.

Il progetto della Commissione propone di estendere la deroga esistente ai sensi dell'articolo 30, paragrafo 5, del GDPR. Attualmente, tale deroga esenta le organizzazioni con meno di 250 dipendenti dall'obbligo di tenuta di un registro delle attività di trattamento, a meno che non sussistano specifiche condizioni legate al rischio. Le modifiche proposte estenderebbero tale esenzione alle “piccole imprese a media capitalizzazione” (SMC) e alle organizzazioni senza scopo di lucro con meno di 500 dipendenti. Inoltre, la revisione proposta modificherebbe l'articolo 30, paragrafo 5, del GDPR per prevedere che la deroga non si applichi se il trattamento è “possa presentare un rischio elevato” anziché “possa presentare un rischio”, innalzando così la soglia di rischio.

La proposta elimina inoltre alcune limitazioni attuali, come l'eccezione per il trattamento occasionale. Infine, un considerando della proposta chiarirebbe che il trattamento di categorie particolari di dati personali per adempiere a un obbligo di legge in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (in conformità all'articolo 9, paragrafo 2, lettera b), del GDPR) non sarebbe soggetto all'obbligo di conservare un registro delle attività di trattamento.

L'EDPB e l'EDPS hanno espresso un sostegno preliminare alla esposta semplificazione, riconoscendone il potenziale di ridurre gli oneri di conformità senza compromettere la protezione dei dati personali. Tuttavia, hanno sottolineato l'importanza di un'analisi empirica per valutarne l'impatto reale. In particolare, hanno esortato la Commissione a fornire dati sul numero di organizzazioni che beneficerebbero della riforma e a valutare in che modo tali modifiche potrebbero influire sulla protezione dei dati nel suo complesso.

Si sottolinea in particolare che le autorità di controllo hanno accolto con favore il mantenimento dell'obbligo di tenuta del registro per le attività di trattamento ad alto rischio, osservando che anche le organizzazioni di piccole dimensioni possono svolgere tali operazioni. Hanno inoltre richiamato l'attenzione sulle linee guida esistenti, in particolare quelle del gruppo di lavoro articolo 29 sulle valutazioni d'impatto sulla protezione dei dati (DPIA), che forniscono utili indicazioni in relazione a quando il trattamento può essere considerato ad alto rischio.

Nonostante il loro sostegno preliminare, l'EDPB e l'EDPS hanno sottolineato che la semplificazione dell'onere di tenuta del registro non deve compromettere i diritti fondamentali degli interessati. Hanno in particolare ribadito la necessità di mantenere un approccio basato sul rischio e hanno specificato che la pubblicazione del testo legislativo definitivo sarà seguita da un processo di consultazione formale.

Dovremo attendere il testo legislativo ufficiale per confermare la semplificazione degli obblighi di tenuta del registro dei trattamenti. Tuttavia, è evidente che le modifiche proposte potrebbero alleggerire in modo significativo gli oneri di conformità per molte piccole imprese sulle quali attualmente gravano i complessi requisiti imposti dall'articolo 30 del GDPR.

Su un argomento simile può essere d'interesse l'articolo "Il Garante Privacy ha sanzionato un’azienda per violazioni nelle sue pratiche di telemarketing"

Autrice: Roxana Smeria

Protezione dei dati: sanzione record per violazioni nei trasferimenti extra-UE

Il 2 maggio 2025, la Data Protection Commission (DPC) irlandese ha annunciato una sanzione da 530 milioni di euro nei confronti di una primaria piattaforma digitale operante a livello globale per gravi violazioni del Regolamento generale sulla protezione dei dati (GDPR), connesse al trasferimento illecito di dati personali di utenti europei verso la Cina e a una significativa carenza di trasparenza nelle informative rese agli interessati.

Le violazioni accertate

L’indagine, avviata nel settembre 2021, ha rilevato due principali irregolarità:

• Trasferimenti di dati personali verso la Cina senza adeguate garanzie di un livello di protezione equivalente a quello previsto nell’Unione europea, in violazione dell’art. 46(1) del GDPR.
• Informazioni insufficienti fornite agli utenti in merito ai Paesi destinatari dei dati e alle modalità del trattamento, in violazione dell’art. 13(1)(f) del GDPR.

Tali violazioni hanno comportato sanzioni per:

• 485 milioni di euro per i trasferimenti non conformi, e
• 45 milioni di euro per le carenze nella trasparenza dell’informativa privacy per un ammontare complessivo di 530 milioni di euro.

Contesto e motivazioni della decisione

La società coinvolta aveva inizialmente dichiarato di non conservare dati degli utenti europei su server situati in Cina. Tuttavia, nell’aprile 2025 ha ammesso che alcune informazioni erano state effettivamente archiviate su server cinesi, contraddicendo quanto comunicato in precedenza all’autorità di controllo.

Secondo la DPC, inoltre, non è stata condotta un’adeguata valutazione del livello di protezione offerto dalla normativa e dalle prassi cinesi in relazione ai dati personali ivi trattati, né sono state adottate misure supplementari sufficienti a garantire una tutela equivalente a quella assicurata dal GDPR.

Nel corso dell’istruttoria, la documentazione fornita dalla stessa azienda ha messo in luce come alcune disposizioni del quadro giuridico cinese, in particolare le leggi su controspionaggio, antiterrorismo, cybersicurezza e intelligence, si discostino significativamente dagli standard europei, ostacolando la possibilità di assicurare un livello di protezione essenzialmente equivalente.

Misure correttive e tempistiche

La DPC ha ordinato alla società di:

• Adeguarsi alle disposizioni del GDPR entro sei mesi, pena la sospensione dei trasferimenti di dati verso la Cina, ed
• interrompere immediatamente ogni trasferimento non conforme.

La decisione si inserisce in un contesto già complesso per l’azienda, già oggetto in passato di sanzioni da parte di autorità europee per violazioni in materia di protezione dei dati personali.

Reazioni e prospettive

La società ha annunciato l’intenzione di impugnare la decisione, sottolineando i potenziali impatti su aziende e settori che operano su scala globale, e ha espresso preoccupazione per possibili ripercussioni sulla competitività europea.

Nel frattempo, per rafforzare la fiducia delle istituzioni europee, l’azienda ha avviato un ambizioso piano di investimento infrastrutturale, volto alla localizzazione del trattamento dati in Europa. Tuttavia, secondo le autorità garanti, persistono criticità in termini di trasparenza e conformità normativa.

Conclusione

Questa sanzione rappresenta la terza più elevata mai comminata sotto il GDPR. Il caso conferma il crescente rigore delle autorità europee nell’affrontare i trasferimenti di dati verso Paesi terzi non sicuri evidenziando l’importanza, per tutte le organizzazioni che operano a livello internazionale, di adottare una governance robusta e conforme in materia di data transfer.

Su un argomento simile può essere d’interesse l’articolo "Telemarketing: il Garante Privacy sanziona nuovamente una società di telecomunicazioni".

Autore: Gabriele Cattaneo

 

Intellectual Property

Striscia orizzontale su fusoliera: il TUE conferma il rifiuto della domanda di marchio per mancanza di distintività

Con una recente sentenza, il Tribunale dell’Unione Europea (TUE) ha confermato la decisione di rifiuto della Commissione di ricorso (BoA) di una registrazione di marchio di posizione avente ad oggetto una striscia rossa orizzontale, posizionata sulla fusoliera di un aereo di colore argento, ritenendola priva di carattere distintivo ai sensi dell’articolo 7, paragrafo 1, lettera b) del RMUE, in relazione ai servizi di trasporto aereo mediante aerei privati e servizi contenuti nella classe 39.

Un marchio di posizione è un marchio costituito dalla modalità specifica di posizionamento o apposizione dello stesso sui prodotti. I criteri di esame applicabili sono però identici a quelli applicati all'esame dei marchi figurativi e tridimensionali. Al contempo, il TUE ha però evidenziato che, poiché i consumatori non associano abitualmente l’aspetto di un prodotto alla sua origine commerciale, "their distinctiveness may be more difficult to establish".

Il Tribunale evidenzia altresì che un segno eccessivamente semplice o privo di caratteristiche facilmente e immediatamente memorizzabili non è, di per sé, in grado di trasmettere un messaggio che il consumatore possa ricordare. Nel caso in esame, una linea rossa su una fusoliera argentata è priva di carattere distintivo e non può fungere da indicatore di origine commerciale per i servizi in questione. Il colore rosso è comunemente usato a scopo decorativo o per attirare l’attenzione, mentre l’argento è troppo simile al bianco, colore tradizionalmente impiegato nel settore aeronautico. Considerato nel suo insieme, il marchio richiesto risulta privo di capacità distintiva intrinseca.

La sentenza è rilevante, inoltre, perché il TUE ribadisce che, sebbene il pubblico specializzato di riferimento possa dimostrare un livello di attenzione più elevato, i criteri per valutare il carattere distintivo rimangono invariati e si concentrano sulla capacità del segno di permettere ai consumatori di distinguere l’origine commerciale dei servizi.

Infine, contrariamente a quanto sostenuto dal richiedente, il TUE osserva che "the GC finds that the EUIPO is required to examine absolute grounds for refusal of its own motion, and it is the applicant’s responsibility to provide sufficient evidence if it is going to challenge a refusal of registration".

Sulla base di queste motivazioni, il TUE ha confermato il rifiuto.

Su un argomento simile può essere d'interesse l'articolo " Sandali Oran di Hermès: il marchio salvato dalla decadenza nell’UE "

Autrice: Tamara D’Angeli 

 

Gaming & Gambling

Obblighi NIS 2 in materia di gioco d'azzardo: cosa cambia per gli operatori e i fornitori

Gli operatori di gioco d'azzardo e i loro fornitori devono ottemperare agli obblighi NIS 2, che impongono severi requisiti di sicurezza informatica in tutta l'Unione Europea.

La Direttiva NIS 2 (Direttiva (UE) 2022/2555) mira a migliorare la resilienza della sicurezza informatica di diversi settori, compreso quello del gioco d'azzardo, stabilendo un livello comune di sicurezza informatica elevato in tutta l'UE.

Applicabilità della NIS 2 al settore del gioco d'azzardo

La direttiva NIS 2 si applica alle entità classificate come “essenziali” o “importanti” in base al loro settore, alle loro dimensioni e al loro impatto sulle attività sociali ed economiche. Sebbene il gioco d'azzardo non sia esplicitamente elencato tra i settori critici, gli operatori di gioco d'azzardo e i loro fornitori possono rientrare nell'ambito di applicazione della NIS 2 se soddisfano determinati criteri:

• Fornitori di servizi digitali: piattaforme di gioco d'azzardo online che offrono servizi come mercati online o funzionalità di social networking e
• Fornitori di servizi gestiti: fornitori che forniscono servizi IT, tra cui cloud computing, data center o soluzioni di sicurezza informatica agli operatori di gioco d'azzardo.

Prima di tutto, è fondamentale che gli operatori di gioco d'azzardo e i loro fornitori associati valutino le loro operazioni in base ai criteri della NIS 2 per determinarne l'applicabilità e comprendere i loro obblighi ai sensi della NIS 2.

Attuazione in Italia: Decreto Legislativo n. 138/2024

L'Italia ha recepito la direttiva NIS 2 nella normativa nazionale attraverso il D. Lgs. n. 138, in vigore dal 18 ottobre 2024. Questo decreto amplia l'ambito di applicazione degli obblighi in materia di sicurezza informatica e introduce scadenze specifiche per la conformità.

Scadenze principali:

• 1 gennaio - 28 febbraio 2025: i soggetti identificati ai sensi dell'articolo 3 erano tenuti a registrarsi sul portale italiano designato, fornendo i dati specificati.
• 31 marzo 2025: l'Agenzia nazionale per la sicurezza informatica (ACN) ha compilato un elenco dei soggetti interessati.
• 15 aprile 2025: l'ACN ha comunicato ai soggetti interessati l'inserimento, il mantenimento o la cancellazione dall'elenco.

I soggetti che saranno interessati entro il 31 dicembre 2025 beneficiano di periodi di transizione supplementari:

• Entro 9 mesi: conformità agli obblighi di segnalazione degli incidenti.
• Entro 18 mesi: conformità alle disposizioni in materia di formazione, governance e gestione dei rischi in materia di sicurezza informatica.

È possibile leggere questo articolo che fornisce una descrizione dettagliata delle scadenze e degli obblighi in Italia: NIS 2 in Italia – Scadenze e adempimenti

L'approccio di Malta alla NIS 2 – Legal Notice 71 del 2025

Malta è il paese in cui hanno sede diversi operatori di gioco d'azzardo. Il paese ha recepito la Direttiva NIS 2 nella normativa nazionale attraverso la Legal Notice 71 del 2025, nota come “Measures for a High Common Level of Cybersecurity Across the European Union (Malta) Order, 2025”, pubblicata l'8 marzo 2025. Questo quadro sostituisce il precedente regime NIS 1 e introduce obblighi di sicurezza informatica più severi, requisiti di segnalazione e meccanismi di applicazione per i soggetti considerati “essenziali” o “importanti”.

Aspetti chiave:

• Meccanismo di autoregistrazione: i soggetti devono registrarsi attraverso un meccanismo nazionale di autoregistrazione istituito dal Dipartimento per la protezione delle infrastrutture critiche (CIPD).
• Autorità competenti: il CIPD funge da autorità di regolamentazione primaria per la sicurezza informatica, supervisionando la conformità, conducendo audit di sicurezza e applicando sanzioni in caso di non conformità. Il Computer Security Incident Response Team (CSIRT) di Malta svolge un ruolo centrale nel coordinamento delle risposte alla sicurezza informatica e nell'agevolazione dei processi coordinati di divulgazione delle vulnerabilità.
• Divulgazione coordinata delle vulnerabilità (CVD): un quadro dedicato incoraggia la segnalazione di potenziali vulnerabilità nei prodotti, processi o servizi ICT alle entità competenti, con il CSIRT che funge da coordinatore nazionale per tali divulgazioni.

È possibile leggere il seguente articolo sull'argomento “Gli operatori di gioco d'azzardo devono occuparsi dell'attuazione della NIS 2 a Malta”.

Obblighi essenziali ai sensi della NIS 2

Le entità soggette alla NIS 2 devono rispettare una serie di obblighi in materia di sicurezza informatica:

• Gestione dei rischi di sicurezza informatica: attuare misure tecniche e organizzative adeguate per gestire i rischi di sicurezza informatica, tra cui l'analisi dei rischi, la gestione degli incidenti, la continuità operativa e la sicurezza della catena di approvvigionamento.
• Segnalazione degli incidenti: segnalare gli incidenti significativi all'autorità nazionale competente o al Computer Security Incident Response Team (CSIRT) entro 24 ore dalla loro scoperta, seguiti da una relazione dettagliata entro 72 ore e da una relazione finale entro un mese.
• Governance e responsabilità: gli organi di gestione sono responsabili dell'approvazione e della supervisione delle misure di sicurezza informatica. Devono seguire una formazione regolare e possono essere ritenuti responsabili in caso di non conformità.
• Sicurezza della catena di approvvigionamento: valutare e gestire i rischi associati ai fornitori e ai prestatori di servizi, garantendo che anche questi ultimi soddisfino gli standard di sicurezza informatica.
• Registrazione e fornitura di informazioni: fornire le informazioni necessarie alle autorità nazionali, compresi i dettagli sui servizi, le informazioni di contatto e i rappresentanti designati.
• Sanzioni per la non conformità: la mancata conformità può comportare sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo totale a livello mondiale, a seconda di quale sia l'importo più elevato. Ulteriori sanzioni variano a seconda del paese di attuazione. A questo proposito, potete leggere l'articolo NIS 2 – Responsabilità personale degli amministratori per mancata conformità: un messaggio di avvertimento

Il ruolo di DLA Piper nel facilitare la conformità

DLA Piper offre un supporto completo agli operatori del gioco d'azzardo e ai loro fornitori per affrontare la conformità alla NIS2:

• Valutazione dell'ambito di applicazione e dell'applicabilità: vi aiutiamo a determinare se la vostra organizzazione rientra nell'ambito di applicazione della NIS2, tenendo conto di fattori quali le dimensioni, il settore e i servizi forniti.
• Assistenza per la registrazione: il nostro team vi guida attraverso il processo di registrazione presso le autorità nazionali competenti, garantendo la presentazione tempestiva e completa dei documenti.
• Sviluppo di un quadro di riferimento per la sicurezza informatica: aiutiamo a progettare e implementare misure di sicurezza informatica robuste e su misura per le esigenze della vostra organizzazione, in linea con i requisiti della NIS2.
• Pianificazione della risposta agli incidenti: assistiamo nello sviluppo di efficaci piani di risposta agli incidenti, garantendo reazioni rapide e conformi agli incidenti di sicurezza informatica.
• Formazione e sensibilizzazione: forniamo programmi di formazione per il management e il personale al fine di promuovere una cultura di consapevolezza e conformità in materia di sicurezza informatica.
• Consulenza legale: i nostri esperti offrono consulenza legale continua per orientarsi nel panorama normativo in evoluzione, garantendo la conformità continua.

L'attuazione della direttiva NIS 2 segna un cambiamento significativo nel panorama della sicurezza informatica per gli operatori di gioco d'azzardo e i loro fornitori. Con obblighi rigorosi e scadenze strette, è fondamentale comprendere e rispettare gli obblighi della NIS 2. DLA Piper è pronta ad assistervi nell'affrontare questo complesso panorama normativo, garantendo che la vostra organizzazione rimanga conforme e robusta.

Non esitate a contattarci se desiderate saperne di più. Inoltre, non perdetevi la Guida alle leggi sul gioco d'azzardo nel mondo di DLA Piper.

Autore: Giulio Coraggio

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Noemi Canova,Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra, Enila Elezi. 

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.