Innovation Law Insights

Legal Break

Digital Omnibus Package: cosa cambia per le aziende?

Come parte della nostra serie di video "Legal Break", trattiamo l’impatto del pacchetto digitale della Commissione europea, grazie a cui le aziende europee potranno ridurre gli oneri amministrativi e concentrarsi maggiormente sull’innovazione, nonché sulla propria espansione. Puoi guardare l’episodio qui.

 

Data Protection & Cybersecurity

Il pacchetto Digital Omnibus e il suo impatto sull’economia dei dati europea

Il termine Digital Omnibus si riferisce a un pacchetto di misure volte a semplificare e razionalizzare una parte significativa dell’acquis digitale dell’UE. L’iniziativa fa parte di una strategia più ampia volta a ridurre gli oneri amministrativi, con l’obiettivo dichiarato di rafforzare la competitività del Mercato Unico e favorire l’innovazione, in particolare nei settori dei dati, della cybersicurezza e dell’intelligenza artificiale.

Il pacchetto si articola in due filoni principali:

COM (2025) 837: un intervento “orizzontale”, che interessa diversi strumenti esistenti (principalmente GDPR, ePrivacy, NIS2 e Data Act);

COM (2025) 836: un intervento “verticale” sull’AI Act, volto principalmente a rendere la sua applicazione più graduale e flessibile nel tempo.

L’architettura alla base del Digital Omnibus va quindi oltre i semplici aggiustamenti tecnici e tende a riorganizzare profondamente il rapporto tra norme, attori economici e diritti fondamentali nello spazio digitale europeo.

Le misure descritte di seguito si basano sulle proposte legislative presentate dalla Commissione Europea (COM(2025) 836 e COM(2025) 837), attualmente in esame da Parlamento Europeo e Consiglio. Il testo finale potrebbe quindi subire modifiche significative prima di un’eventuale adozione.

1. Strumenti giuridici coinvolti

Il Digital Omnibus interessa un insieme rilevante di atti legislativi, tra cui:

• GDPR (Regolamento (UE) 2016/679);
• Direttiva ePrivacy (Direttiva 2002/58/CE);
• Direttiva NIS2 e altri strumenti relativi alla cybersecurity (DORA, CER, eIDAS);
• Data Act, rafforzato attraverso l’incorporazione di strumenti precedenti come il Data Governance Act e il Regolamento sul libero flusso dei dati non personali.

L’obiettivo dichiarato è eliminare sovrapposizioni normative, ridurre gli obblighi di conformità duplicati e fornire maggiore certezza giuridica agli operatori economici, creando così un quadro più coerente e meno frammentato.

2. Principali cambiamenti nel campo della privacy

(i) GDPR

a. Definizione di dati personali

Quadro attuale (Art. 4(1) GDPR)

L’Articolo 4(1) GDPR definisce i dati personali come qualsiasi informazione relativa a una persona fisica identificata o identificabile, considerando identificabile una persona se può essere identificata, direttamente o indirettamente, in particolare mediante un identificatore come nome, numero identificativo, dati sulla posizione, identificatore online o uno o più fattori specifici relativi all’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona.

Nuovo quadro proposto dal Digital Omnibus

La proposta chiarisce che le informazioni non costituiscono dati personali per un determinato titolare del trattamento se quest’ultimo non dispone, e non può ragionevolmente ottenere, i mezzi per identificare l’interessato. La valutazione diventa quindi più soggettiva e incentrata sul titolare, ancorata alle reali capacità di identificazione dell’operatore specifico.

Implicazioni

In contesti come l’addestramento AI, l’analisi di big data e la condivisione di dati industriali o IoT, l’applicazione del GDPR potrebbe restringersi, poiché potrebbe essere argomentato che i dati in questione non costituiscono dati personali per determinati attori.

b. Categorie particolari di dati

Quadro attuale

Ai sensi dell’Art. 6(1)(f) GDPR, il trattamento è lecito se necessario per il perseguimento dei legittimi interessi del titolare o di terzi, purché tali interessi non siano prevalenti sui diritti e le libertà fondamentali dell’interessato. Questa base giuridica è stata storicamente interpretata in modo restrittivo nei casi di profilazione su larga scala o tecnologie emergenti ad alta intensità di dati.

Nuovo quadro proposto dal Digital Omnibus

La proposta introduce una nuova eccezione specifica che consente il trattamento di categorie particolari di dati quando strettamente necessario per rilevare, prevenire o correggere bias nei sistemi AI, a condizione che siano implementate adeguate misure tecniche e organizzative (tra cui minimizzazione dei dati, pseudonimizzazione, divieto di riuso per altri scopi e conservazione limitata).

Implicazioni

L’introduzione di una base giuridica ad hoc per la rilevazione dei bias risponde a un’esigenza concreta di audit e non discriminazione nei sistemi AI, aprendo al contempo uno spazio sensibile per il trattamento di dati altamente protetti.

c. Legittimo interesse per l’addestramento AI

Quadro attuale

Secondo l’Art. 6(1)(f) GDPR, il trattamento è lecito se necessario per il perseguimento dei legittimi interessi del titolare o di terzi, purché tali interessi non prevalgano sui diritti e le libertà fondamentali dell’interessato.

Nuovo quadro proposto dal Digital Omnibus

Il Digital Omnibus riconosce esplicitamente che lo sviluppo, l’addestramento, il test e il miglioramento dei sistemi AI possono costituire un legittimo interesse del titolare, soggetto a un bilanciamento con i diritti degli interessati e all’implementazione di adeguate salvaguardie, incluso un effettivo diritto di opposizione.

Implicazioni

Il riconoscimento esplicito del legittimo interesse per l’addestramento AI rappresenta un cambiamento politico e giuridico significativo, codificando un’attività precedentemente caratterizzata da alta incertezza come potenzialmente valida ai sensi del GDPR.

d. Articolo 22 GDPR (decisioni automatizzate)

Quadro attuale

• L’Articolo 22 riconosce il diritto dell’interessato a non essere sottoposto a decisioni basate unicamente su processi automatizzati, inclusa la profilazione, che producano effetti legali o incidano significativamente su di lui, salvo alcune eccezioni.
• Il concetto di “decisione unicamente automatizzata” ha generato notevole incertezza interpretativa, in particolare riguardo al ruolo e alla profondità del coinvolgimento umano.

Nuovo quadro proposto dal Digital Omnibus

• La proposta chiarisce che una decisione è considerata “unicamente automatizzata” solo se l’intervento umano non può influenzare in modo sostanziale l’esito del processo decisionale.
• Viene introdotto il criterio del “coinvolgimento umano significativo”, volto a distinguere tra controlli formali e valutazioni umane reali.

Implicazioni

Questo chiarimento potrebbe ridurre il rischio che modelli ibridi (umano + algoritmo) ricadano automaticamente nell’Art. 22, facilitando l’uso di sistemi di decisione automatizzata in contesti ad alto volume.

e. Notifiche di violazioni dei dati

Quadro attuale

• In caso di violazione di dati personali, l’Art. 33 GDPR richiede la notifica all’autorità di controllo entro 72 ore, salvo che la violazione non comporti rischi per i diritti e le libertà degli interessati.
• La comunicazione agli interessati è richiesta solo se la violazione può comportare un rischio elevato.

Nuovo quadro proposto dal Digital Omnibus

• La notifica all’autorità di controllo diventa obbligatoria solo nei casi di rischio elevato, allineando la soglia a quella della comunicazione agli interessati.
• Il termine viene esteso a 96 ore e la notifica deve essere inviata tramite un Single EU Entry Point (vedi sezione Cybersecurity).

Implicazioni

La misura ridurrebbe significativamente il numero di notifiche e l’onere amministrativo per organizzazioni e autorità di controllo.

(ii) Direttiva ePrivacy

Per quanto riguarda la Direttiva ePrivacy, il Digital Omnibus propone di superare la distinzione tradizionale tra regole settoriali sulle comunicazioni elettroniche e GDPR in merito all’uso di cookie e tecnologie simili.

Le disposizioni dell’Art. 5(3) della Direttiva 2002/58/CE verrebbero in gran parte integrate nel GDPR, introducendo regole specifiche per il trattamento dei dati generati tramite dispositivi terminali (cookie, SDK, fingerprinting, identificatori di dispositivo).

L’obiettivo è inquadrare tale trattamento in un unico quadro giuridico, riducendo la frammentazione normativa e la sovrapposizione degli obblighi formali. La proposta promuove inoltre l’uso di segnali di consenso e opposizione leggibili da macchine, integrati in browser e sistemi operativi, razionalizzando i meccanismi di raccolta del consenso e riducendo la proliferazione di banner, salvaguardando la riservatezza delle comunicazioni elettroniche.

3. Implicazioni nel campo della cybersecurity

Nel settore della cybersecurity, il Digital Omnibus non modifica i principi sostanziali di protezione delle reti e dei sistemi informativi. Mira invece a risolvere una delle principali criticità operative segnalate da operatori e autorità: la frammentazione e sovrapposizione dei regimi di notifica degli incidenti.

In particolare, la proposta prevede:

• l’istituzione di un Single EU Entry Point, gestito da ENISA, tramite il quale le entità obbligate potranno inviare una singola notifica valida per più framework normativi;
• l’integrazione dei canali di segnalazione previsti da:
• Direttiva NIS2,
• Regolamento DORA,
• GDPR (in caso di violazione dei dati personali),
• Direttiva CER sulle infrastrutture critiche,
• Regolamento eIDAS, secondo il principio “report once, share many”;

• la standardizzazione dei contenuti e dei formati delle notifiche, per ridurre l’incertezza legale e facilitare la valutazione dei rischi da parte delle autorità competenti;
• maggiore cooperazione tra autorità nazionali ed europee, con meccanismi di condivisione delle informazioni più fluidi e interoperabili.

Dal punto di vista pratico, questo sviluppo è rilevante soprattutto per:

• grandi gruppi multinazionali soggetti a più obblighi settoriali;
• operatori di servizi essenziali e fornitori di servizi digitali;
• banche, compagnie assicurative e altri operatori finanziari soggetti a DORA.

Se adottata, la misura comporterebbe una semplificazione procedurale significativa, pur richiedendo alle organizzazioni di rivedere i propri processi interni di risposta agli incidenti.

4. Implicazioni per il Data Act

Il Digital Omnibus rafforza il ruolo del Data Act come pilastro dell’architettura europea dei dati. La proposta prevede l’assorbimento nel Data Act del Data Governance Act (Regolamento (UE) 2022/868), del Regolamento (UE) 2018/1807 sul libero flusso dei dati non personali e della Direttiva Open Data e riutilizzo delle informazioni del settore pubblico (EU 2019/1024), trasformandolo in un quadro di riferimento unico e completo per l’accesso, la condivisione e il riutilizzo di dati personali e non personali.

Vengono introdotti aggiustamenti mirati per rendere più proporzionati gli obblighi di switching cloud, in particolare per PMI e servizi altamente personalizzati, e per rafforzare le salvaguardie contro accessi non autorizzati da paesi terzi.

5. Conclusioni

Il Digital Omnibus rappresenta un primo forte segnale di riallineamento della politica digitale UE verso modelli più semplici e orientati alla competitività. Pur non producendo ancora effetti giuridicamente vincolanti, le organizzazioni sono già chiamate a monitorarne da vicino l’evoluzione.

Autrice: Enila Elezi

 

Artificial Intelligence

Data provenance e tecnologia della difesa: lezioni di information governance da Slush 2025

L’edizione 2025 di Slush, tenutasi il 19 e 20 novembre a Helsinki, ha rappresentato più di una semplice vetrina per l’innovazione: è stata un vero termometro dello stato del settore tecnologico globale e, soprattutto, un segnale di svolta per i professionisti dell’information governance, della cybersecurity e dell’eDiscovery.

Nel momento in cui oltre 13.000 tra founder, investitori e operatori, responsabili, nel complesso, di asset per migliaia di miliardi di dollari, si sono radunati al Messukeskus Convention Centre, è apparso evidente che il paradigma tecnologico è cambiato. La tradizionale separazione tra la crescita aggressiva delle startup e l’approccio prudente alla compliance si è dissolta, dando vita a un ambiente di rischio nuovo, complesso, in cui la velocità dell’innovazione sfida direttamente i presidi consolidati della sicurezza dei dati e dei processi di governance.

Il tema più discusso nei panel ufficiali, ma soprattutto negli incontri più riservati tra investitori, è stata la piena maturità dell’intelligenza artificiale ("IA") generativa. L’entusiasmo visionario degli anni precedenti ha lasciato spazio a un pragmatismo più freddo, centrato sull’implementazione e sulla fiducia. Le domande non riguardavano più se utilizzare l’IA, ma come integrarla in modo affidabile in contesti altamente regolamentati, mentre cresceva l’evidenza di un sentimento diffuso di sfiducia da parte dei consumatori verso i contenuti generati da sistemi automatizzati e della difficoltà delle aziende a trasformare i progetti pilota interni in reali aumenti di produttività. In questo scenario, l’onere per i professionisti dell’information governance diventa particolarmente rilevante: devono garantire la provenienza, la tracciabilità e l’integrità dei dati generati da sistemi che, per loro natura, possono produrre risultati opachi o difficilmente verificabili.

Per le funzioni legali e di compliance, ciò si traduce in un’urgenza concreta: integrare nei sistemi aziendali meccanismi di audit trail capaci di documentare in modo preciso quali porzioni di un testo o di un processo siano state prodotte da un agente IA e quali siano state validate o modificate da un operatore umano. Non predisporre ora questa architettura di tracciabilità significa condannare l’azienda a difficoltà enormi nella gestione dell’eDiscovery, soprattutto quando, e non se, arriveranno le prime cause legali basate su contenuti generati da algoritmi.

Sicurezza e conflitti ibridi: la "velocity trap" dell’ecosistema digitale

Se la maturità dell’IA ha catturato l’attenzione di molti, i presupposti geopolitici sono stati altrettanto rilevanti. L'attuale assetto geopolitico ha reso naturale che Slush 2025 ponesse un’enfasi particolare sulla tecnologia della difesa e sulle soluzioni dual-use. Qui le priorità sono chiare: la sicurezza-by-design non è un obiettivo auspicabile, ma un prerequisito funzionale.

La vivacità del tessuto di startup nel deep tech ha mostrato come la protezione dei dati non possa più limitarsi alla difesa perimetrale. L’attenzione si sposta sulla resilienza delle informazioni e sulla salvaguardia delle infrastrutture critiche. Per i professionisti dell’eDiscovery, la crescente intersezione tra cyberattacchi, incidenti infrastrutturali e campagne di disinformazione implica che i piani di risposta agli incidenti debbano evolversi profondamente. Non si può più considerare un attacco informatico come un semplice furto di dati: è necessario prepararsi a scenari in cui le informazioni operative dell’azienda vengano compromesse, manipolate o utilizzate come arma in una campagna ibrida.

Una conseguenza pratica è la necessità di una collaborazione strutturata tra i team eDiscovery e i Security Operations Center. Integrare intelligence sulle minacce e informazioni sugli attacchi in corso nei flussi di preservazione dei dati può fare la differenza nella capacità di recuperare in modo rapido e forensically sound le informazioni necessarie per la gestione legale o regolatoria.

Regolazione come vincolo di progettazione

L’ecosistema europeo ha aggiunto ulteriori livelli di complessità, soprattutto per via dell’imminente piena operatività del Regolamento (UE) 2024/1689 ("AI Act"). Tra gli investitori e i founder presenti si è osservata una divergenza marcata: alcuni ritengono che il peso regolatorio sia eccessivo e limiti la competitività europea rispetto a Stati Uniti e Cina, mentre altri interpretano la regolazione come una possibile leva strategica per costruire un’IA "affidabile" esportabile globalmente. In entrambi i casi, resta una verità indiscutibile: la compliance non può essere trattata come un accessorio da aggiungere in seguito.

Le startup che operano su sistemi di IA ad alto rischio devono considerare i requisiti dell’AI Act – qualità dei dati, trasparenza, supervisione umana – come elementi fondamentali del prodotto. Ciò significa predisporre una documentazione dettagliata sulla provenienza dei dati utilizzati per l’addestramento, sulle metodologie di pulizia, sulle tecniche di mitigazione dei bias e sui cicli di validazione umana. Solo così sarà possibile rispondere in modo difendibile alle richieste delle autorità regolatorie o a discovery giudiziali.

Per i professionisti dell’eDiscovery, ciò implica aggiornare immediatamente le data map includendo registri dei modelli di IA, dataset utilizzati, parametri di addestramento e log delle verifiche interne. Si tratta a tutti gli effetti di nuove categorie di ESI ad alto rischio, destinate a diventare centrali nelle controversie future.

Il fattore umano e la sfida delle startup

Al di là degli annunci sugli stage principali, Slush ha rivelato anche un volto più umano, fatto di difficoltà operative, selettività degli investitori e necessità di nuove competenze. Un sondaggio diffuso nel 2025 ha confermato che la maggior parte dei founder europei percepisce fundraising e crescita dei ricavi come le sfide principali, in un contesto in cui il capitale diventa sempre più selettivo. Chi riesce a emergere lo fa grazie a un mix di competenza tecnica e capacità di navigare dimensioni legali e di sicurezza sempre più complesse.

L’idea che l’IA sostituirà le professioni della conoscenza sta lasciando spazio alla consapevolezza che l’IA avrà bisogno di professionisti altamente qualificati. Per le figure dell’information governance e dell’eDiscovery, ciò significa un ripensamento del proprio ruolo: non temere l’automazione delle attività più ripetitive, ma acquisire competenze per governare, verificare e contestualizzare i sistemi intelligenti. Svolgere valutazioni su un modello, verificare la qualità dei suoi output, impostare i criteri di utilizzo etico e difendibile: queste diventano le funzioni strategiche del professionista del futuro. Slush 2025 ha messo in luce un ecosistema in rapidissima evoluzione, trainato da innovazione audace ma al tempo stesso vincolato da esigenze sempre più stringenti di sicurezza, affidabilità e trasparenza.

Su un argomento simile: Il futuro delle start up italiane negli USA con Fabrizio Capobianco

Autrice: Dorina Simau

 

Intellectual Property

L’UPC è una "common court" tra gli Stati membri ed è conforme al diritto dell’Unione: la decisione della Corte d'Appello

Con decisione del 6 ottobre, la Corte d'Appello si è pronunciata sul ricorso proposto da un colosso nel settore dello streaming contro i provvedimenti resi dalla Divisione Locale di Monaco nel marzo dello scorso anno, con i quali erano state rigettate le preliminary objections proposte dalla stessa società.

La vicenda trae origine da tre azioni per contraffazione promosse in primo grado da due titolari di brevetti operanti nel settore audiovisivo. Costituitasi in giudizio, la società convenuta aveva sollevato diverse eccezioni preliminari ai sensi della Rule 19.1 RoP, contestando, tra l’altro la competenza territoriale della Divisione di Monaco, la compatibilità tra UPCA e diritto dell’Unione europea e la violazione del diritto ad essere giudicati da un giudice precostituito per legge. Il Tribunale di primo grado aveva dichiarato ammissibile, seppur infondata, la sola eccezione relativa alla competenza, ritenendo che le ipotesi previste dalla Rule 19.1 avessero natura tassativa e precludessero quindi l’esame di preliminary objections non espressamente previste. Innanzi ai giudici di seconde cure, l’appellante ha impugnato i provvedimenti emessi sul punto in primo grado, domandando la loro revoca o, in subordine, il rinvio pregiudiziale alla Corte di Giustizia affinché quest’ultima si pronunciasse sul ruolo dell’UPC nel quadro del diritto dell’Unione europea.

In particolare, il primo motivo d’appello riguarda l'incompatibilità tra UPCA (artt. 31 e 32) e diritto dell’Unione europea (artt. 19 TUE e 267 TFUE), tema che è stato ritenuto dalla Corte d’Appello presupposto imprescindibile per l’esercizio delle funzioni dell’UPC, al punto da ammettere l’esame nel merito della relativa preliminary objection. Secondo l’appellante, la competenza internazionale dell’UPC - che trova fondamento negli articoli 31 UPCA, 71 bis e ter del Regolamento Bruxelles I bis - solleva dubbi di legittimità nell’ambito del diritto dell’Unione europea.

L'art. 71 bis, infatti, definisce l’UPC come “common court” tra gli Stati membri e, in quanto tale, il Tribunale Unificato è equiparato, ai sensi del Regolamento, a un organo giurisdizionale nazionale. Tale qualifica si rivela fondamentale, in quanto consente di mantenere l’equilibrio previsto dagli artt. 19 TUE e 267 TFUE tra Corte di Giustizia – custode dei Trattati – e, per l’appunto, organi giurisdizionali nazionali, i quali possono adirla con rinvio pregiudiziale.

Tuttavia, secondo l’appellante, assimilare l'UPC a un tribunale nazionale sarebbe una mera formalità e non permetterebbe di superare i limiti imposti dal diritto dell’Unione europea. Dunque, l’UPC, istituito con trattato internazionale – ossia l'UPCA – non sarebbe organo di uno Stato membro e minerebbe pertanto il quadro istituzionale volto a garantire l’uniforme applicazione del diritto unionale.

Facendo eco alla giurisprudenza della CGUE, la Corte d’Appello ha tuttavia ribadito che l’UPC è a tutti gli effetti una "common court” a più Stati membri ai sensi dell’art. 71 bis del Regolamento Bruxelles I bis. In quanto tale, il Tribunale Unificato è pertanto legittimato a proporre rinvii pregiudiziali laddove mantenga un collegamento effettivo con gli ordinamenti nazionali e garantisca la cooperazione con la Corte di Giustizia. Ritenendo tali condizioni pienamente soddisfatte nel caso di specie, il Collegio ha escluso la necessità di un rinvio pregiudiziale alla Corte di Giustizia nei termini proposti dall’appellante.

Il secondo motivo d’appello si appunta, invece, sulla violazione del diritto ad essere giudicati da un giudice precostituito per legge, già oggetto – come si è visto - di una preliminary objection innanzi alla Divisione di Monaco. La Corte d’Appello, confermando l'interpretazione dei giudici di primo grado, ha dichiarato l’eccezione inammissibile e comunque infondata. Infatti, secondo l’appellante, la censura si baserebbe, da un lato, sull’incompetenza dell’UPC ai sensi del diritto dell’Unione, dall’altro lato, sulla sostituzione della Divisione Centrale di Londra (prevista in origine dall’UPCA) con quella di Milano. Il Tribunale di secondo grado, ribadita la competenza e la legittimità dell’UPC ai sensi del diritto unionale in virtù delle ragioni già esposte, ha altresì escluso che potesse sussistere la pretesa violazione degli articoli 47 della Carta dei Diritti fondamentali e dell’art. 6 CEDU, precisando che il diritto a un giudice precostituito per legge riguarda l’indipendenza e l’imparzialità del magistrato, non la sua provenienza geografica.

Con questa pronuncia, la Corte d’Appello contribuisce a chiarire la natura dell’UPC come common court pienamente inserita nell’ordinamento giuridico dell’Unione e compatibile con i principi sanciti dai Trattati e rafforza la stabilità del sistema giurisdizionale europeo in materia di brevetti.

Autrice: Laura Gastaldi

Fotografie semplici: il DDL semplificazione estende la durata del diritto esclusivo a 70 anni

Lo scorso 20 novembre ha avuto avvio presso la Camera dei Deputati la discussione sul disegno di legge C. 2655, collegato alla manovra di finanza pubblica e finalizzato alla semplificazione e digitalizzazione dei procedimenti amministrativi. Tra le novità più rilevanti spicca l’articolo 47, che interviene sul regime di tutela delle fotografie “semplici”.

Cosa prevede la riforma?

La proposta, già approvata dal Senato, modifica l’articolo 92 della legge sul diritto d’autore (L. 633/1941), portando da 20 a 70 anni la durata del diritto esclusivo sulle fotografie che non raggiungono la soglia di creatività richiesta per essere considerate “opere fotografiche”. Rientrano in questa categoria “le immagini di persone o di aspetti, elementi o fatti della vita naturale e sociale, ottenute col processo fotografico o con processo analogo, comprese le riproduzioni di opere dell’arte figurativa e i fotogrammi delle pellicole cinematografiche” (art. 87 L. 633/1941).

Perché è una modifica importante?

Finora queste fotografie godevano di una protezione limitata a 20 anni dalla produzione, un termine che spesso scoraggiava investimenti in archivi e collezioni di immagini non creative, pur ampiamente utilizzate in editoria, pubblicità e piattaforme digitali. L’estensione a 70 anni garantisce maggiore certezza giuridica e valore economico per fotografi, agenzie e imprese che operano nel settore.

La riforma affronta anche una disparità storica tra “fotografie semplici” e “opere fotografiche”: queste ultime, considerate opere dell’ingegno, sono già tutelate fino a 70 anni dopo la morte dell’autore e beneficiano dei diritti morali. Le fotografie semplici, invece, restano escluse dai diritti morali, ma vedono rafforzata la protezione economica.

Il contesto normativo e digitale

L’intervento si inserisce in un pacchetto più ampio di misure per la semplificazione e la digitalizzazione. Una riforma sula legge sul diritto d’autore è infatti indicativa del riconoscimento da parte del legislatore dell’’evoluzione del processo di produzione e circolazione delle immagini in un’epoca dominata da social media, e-commerce e contenuti online.

Per professionisti e aziende che operano in fotografia, media e pubblicità, la modifica comporta opportunità di monetizzazione più durature e una tutela più solida contro usi non autorizzati. Restano aperte, tuttavia, questioni di enforcement e coordinamento con altri ordinamenti, soprattutto in ambito europeo, dove le normative possono differire.

Autrice: Noemi Canova

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Gabriele Cattaneo, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Rebecca Rossi, Dorina Simaku, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Italia Società Tra Avvocati S.r.l. (DLA Piper Italia S.T.A.) tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.