Abstract_Lights_P_0152

6 marzo 202515 minuti di lettura

Innovazione e diritto: le novità della settimana

6 marzo 2025
Podcast

200 miliardi di sfide: IA, deregolamentazione e futuro dell’Europa

La Commissione Europea annuncia un maxi-fondo per l’intelligenza artificiale mentre la politica statunitense spinge per la deregolamentazione e Mario Draghi mette in guardia dal rischio di una burocrazia soffocante. In questa nuova puntata di Diritto al Digitale, Giulio Coraggio di DLA Piper ci svela come l’Europa possa bilanciare la voglia di innovare con l’imperativo di tutelare i diritti fondamentali in un momento in cui la trasformazione digitale corre più veloce delle regole. L’UE sarà in grado di cogliere questa opportunità senza essere frenata dalla propria burocrazia? Potete ascoltare l’episodio QUI.

 

Artificial Intelligence

L'EIOPA lancia una consultazione pubblica sulla AI governance e sulla gestione del rischio AI nel settore assicurativo

L'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) ha lanciato una consultazione pubblica sul suo parere in merito alla governance e alla gestione del rischio dell'intelligenza artificiale (IA) nel settore assicurativo. La consultazione pubblica è aperta fino al 12 maggio 2025 e offre alle parti interessate l'opportunità di contribuire a definire le aspettative normative e regolamentari in questo ambito in rapidissima evoluzione.

Contesto e base giuridica

Il parere dell'EIOPA si basa sul suo mandato ai sensi del Regolamento (UE) n. 1094/2010, che mira a promuovere una cultura di vigilanza armonizzata in tutta l'Unione europea. È inoltre coerente con la Direttiva (UE) 2016/97 (Direttiva sulla distribuzione assicurativa), la Direttiva 2009/138/CE (Direttiva Solvibilità II) e il Regolamento (UE) 2022/2554 (Digital Operational Resilience Act - DORA). Il parere fornisce indicazioni sulla governance dell'IA e integra l'AI Act (Regolamento (UE) 2024/1689), che stabilisce un approccio basato sul rischio alla regolamentazione dell'IA in tutti i settori.

Ambito e obiettivi

L'IA viene sempre più integrata nella catena del valore assicurativo, offrendo vantaggi quali una migliore valutazione del rischio, la gestione automatizzata dei sinistri e l'individuazione delle frodi. Tuttavia, l'IA presenta anche dei rischi, tra cui bias, mancanza di accountability e problemi di governance.

L'AI Act classifica come ad alto rischio alcune applicazioni dell'AI nel settore assicurativo, in particolare quelle relative alla valutazione del rischio e alla determinazione dei prezzi nelle assicurazioni vita e sanitarie. Questi sistemi sono soggetti a rigorosi requisiti di governance e di gestione del rischio. Tuttavia, il parere dell'EIOPA si concentra sulle applicazioni dell'IA nel settore assicurativo che non sono classificate come ad alto rischio o proibite dalla legge sull'IA e mira a chiarire come la legislazione assicurativa esistente si applichi ad esse.

Principi chiave per la governance dell'IA e la gestione del rischio

Il parere dell'EIOPA adotta un approccio basato sui principi, al fine di garantire la coerenza con le normative settoriali esistenti. Esso delinea otto aree chiave di governance e gestione del rischio:

Approccio basato sul rischio e proporzionalità:

  • Gli assicuratori devono valutare i rischi associati ai casi di utilizzo dell'IA e implementare misure di governance proporzionate.
  • Occorre considerare criteri quali la sensibilità dei dati, il livello di automazione e l'impatto potenziale sui consumatori.

Sistema di gestione del rischio:

  • I sistemi di IA devono essere integrati nel più ampio quadro di governance dell'assicuratore.
  • Le politiche devono riguardare l'equità, la governance dei dati, la trasparenza e la sicurezza informatica.

Correttezza ed etica:

  • I sistemi di intelligenza artificiale devono evitare pregiudizi e discriminazioni.
  • Le pratiche di IA incentrate sul consumatore (consumer-centric) dovrebbero essere integrate in tutta la catena del valore assicurativo.
  • Le decisioni guidate dall'intelligenza artificiale che hanno un impatto sui clienti devono essere spiegabili e contestabili.

Governance dei dati:

  • I dati utilizzati nei sistemi di IA devono essere accurati, completi e rappresentativi.
  • Le tecniche di attenuazione delle distorsioni devono essere applicate agli insiemi di dati di formazione e operativi.

Trasparenza e spiegabilità:

  • I clienti devono essere informati quando interagiscono con l'IA.
  • Le decisioni prese dall'IA devono essere comprensibili e, se necessario, integrate da una supervisione umana.

Supervisione umana:

  • I sistemi di IA dovrebbero essere soggetti alla supervisione e all'intervento umano, ove opportuno.
  • I quadri di responsabilità devono definire i ruoli del senior management, dei team di compliance e dei responsabili della protezione dei dati.

Documentazione e tenuta dei registri:

  • Gli assicuratori devono conservare una chiara documentazione dei sistemi di IA, compresi i dati di formazione, le metodologie e i razionali decisionali.
  • Una documentazione adeguata garantisce la trasparenza, facilita gli audit e supporta la conformità normativa.

Accuratezza, robustezza e sicurezza informatica:

  • I sistemi di IA devono essere progettati per mantenere elevati livelli di accuratezza e affidabilità durante il loro ciclo di vita.
  • È necessario adottare misure di cybersicurezza adeguate per salvaguardare i sistemi di IA da violazioni dei dati, attacchi avversari e manipolazioni.

Prossime tappe e coinvolgimento dell'industria

L'EIOPA invita le parti interessate, incluse le imprese assicurative, le autorità di regolamentazione e le organizzazioni dei consumatori, a fornire un feedback attraverso la piattaforma EU Survey entro il 12 maggio 2025. A seguito della consultazione, l'EIOPA valuterà i contributi ricevuti, affinerà il proprio parere e pubblicherà una versione finale che incorpori le prospettive delle parti interessate. Inoltre, l'EIOPA intende monitorare le tendenze di adozione dell'IA nel settore assicurativo e valutare la convergenza normativa tra gli Stati membri dell'UE.

Su un simile argomento, potrebbe interessarti: L'assicurabilità del rischio da IA: il punto di vista di un broker.

Autore: Giacomo Lusardi

 

Data Protection & Cybersecurity

Telemarketing: il Garante Privacy sanziona nuovamente una società di telecomunicazioni

il Garante per la protezione dei dati personali, ("Garante") ha inflitto nuovamente una sanzione pecuniaria a una società di telecomunicazioni per violazioni del GDPR nelle sue pratiche di telemarketing.

Punti principali

L'indagine è scaturita a seguito di reclami da parte di più utenti che hanno ricevuto chiamate promozionali senza il loro consenso. Le evidenze hanno rivelato molteplici violazioni del GDPR e del Codice Privacy, in particolare per quanto riguarda le pratiche di telemarketing e l'inadeguatezza delle misure di sicurezza. Le questioni principali includevano:

  • Comunicazioni promozionali non autorizzate: è stato riscontrato che l'azienda aveva intrapreso attività di telemarketing senza aver ottenuto il valido consenso delle persone contattate. Alcuni di questi contatti sono stati effettuati utilizzando elenchi di dati acquistati, con riferimento a tali elenchi l'azienda non ha verificato adeguatamente se tali persone avessero fornito il consenso esplicito. Inoltre, alcuni consensi erano scaduti o erano stati ritirati, ma l'azienda non ha aggiornato i propri registri di conseguenza, con il risultato di un trattamento dei dati continuato oltre il periodo di conservazione prefissato.
  • Mancanza di adeguate misure di sicurezza e di processi di risposta agli incidenti: un incidente di sicurezza si è verificato quando un cliente ha inavvertitamente avuto accesso ai dati personali di un altro individuo attraverso il portale online dell'azienda. Questa violazione è stata ricondotta a controlli di autenticazione insufficienti, evidenziando carenze nei protocolli di sicurezza dell'azienda. L'incidente ha rivelato debolezze sistemiche nei meccanismi di verifica degli utenti dell'azienda, che avrebbero potuto portare ad un accesso non autorizzato alle informazioni sensibili dei clienti su larga scala. Nonostante il chiaro rischio per le persone dovuto alla violazione della sicurezza, la società non ha prontamente informato il Garante, come richiesto dall'articolo 33 del GDPR. Secondo quanto previsto dal GDPR, difatti, le aziende devono segnalare una violazione dei dati entro 72 ore, a meno che non sia improbabile che comporti un rischio per le persone. In questo caso, la mancata notifica ha suggerito una svista nei processi interni di risposta agli incidenti dell'azienda e una sottovalutazione del potenziale impatto della violazione sulla privacy dei clienti.

La sanzione

A seguito di queste violazioni, il Garante ha imposto una sanzione pecuniaria di 347.520 euro. Oltre alla sanzione pecuniaria, alla società è stato richiesto di attuare misure correttive, tra cui la revisione delle pratiche di gestione del consenso, il miglioramento dell'infrastruttura di sicurezza dei dati e una maggiore trasparenza nelle attività di marketing.

Conclusioni

Questo caso evidenzia ancora una volta come le pratiche di telemarketing siano soggette a un attento esame da parte del Garante. In effetti, la maggior parte delle multe più elevate inflitte dal Garante in materia di GDPR riguardano violazioni della privacy legate a pratiche di telemarketing. L'esecuzione di pratiche di telemarketing richiede solide misure tecniche e organizzative rafforzate da procedure interne e da un monitoraggio delle terze parti coinvolte nella fornitura dei servizi.

Su un argomento simile può essere d'interesse l'articolo "Il Garante Privacy ha sanzionato un’azienda per violazioni nelle sue pratiche di telemarketing".

Autrice: Roxana Smeria

 

Intellectual Property

Birkenstock perde in Germania la battaglia sul diritto d'autore

Negli ultimi anni, Birkenstock ha avviato una complessa battaglia legale per difendere i suoi celebri sandali e impedire la diffusione di imitazioni. Per questo motivo, l'azienda tedesca si è rivolta più volte alla Corte Federale di Giustizia tedesca, il tribunale di ultima istanza civile e penale in Germania, chiedendo tutela contro alcune aziende concorrenti – tra cui Tchibo (Germania), Bestseller (Danimarca) e Shoes.com (Stati Uniti) – accusate di copiare quattro dei suoi modelli più iconici: Arizona, Gizeh, Madrid e Boston Clog.

L’argomentazione chiave di Birkenstock? I suoi sandali non sarebbero semplici oggetti di design, ma vere e proprie opere di "arte applicata", meritevoli della tutela del diritto d’autore. Tuttavia, la questione ha dato origine a interpretazioni contrastanti, e la giurisprudenza si è divisa: mentre alcune corti hanno riconosciuto il valore artistico dei sandali Birkenstock, altre hanno negato questa qualificazione.

Dopo un lungo iter giudiziario, la Corte Federale di Giustizia tedesca ha messo un punto fermo respingendo il ricorso di Birkenstock, e stabilendo che i suoi sandali non possono beneficiare della protezione del diritto d’autore in quanto non costituiscono opere d’arte, ma oggetti di design. A sostegno della propria decisione, la Corte ha precisato che "Per la protezione del diritto d’autore di un’opera d’arte applicata, come per tutti gli altri tipi di lavoro, il livello di progettazione non deve essere troppo basso", mentre "La creazione puramente tecnica che utilizza elementi di design formale non è idonea alla protezione del copyright. Piuttosto, per la protezione del copyright, deve essere raggiunto un livello di design che riveli l’individualità".

La distinzione tra opera d’arte e design industriale è cruciale. Secondo la giurisprudenza tedesca, un’opera d’arte è caratterizzata da una creatività autonoma, indipendente dalla sua funzione pratica e commerciale. Il design, al contrario, è finalizzato a un uso concreto e alla produzione su larga scala, elementi che ne riducono la possibilità di beneficiare della protezione del diritto d’autore. Inoltre, secondo la normativa tedesca, mentre il diritto d’autore protegge le opere artistiche per 70 anni dopo la morte dell’autore, il design gode di una tutela più breve, fino a massimo 25 anni.

Se la tesi di Birkenstock fosse stata accolta, l’azienda avrebbe potuto estendere significativamente la protezione sui suoi sandali, ottenendo una tutela equiparabile a quella delle opere artistiche, e beneficiando dunque di un periodo di protezione più lungo.

Il verdetto della Corte tedesca si allinea ad altre decisioni in materia di diritto d'autore e design. In passato, alcuni oggetti di design, come un modello di Porsche e alcune lampade Bauhaus, hanno ottenuto la protezione del diritto d’autore. Tuttavia, nel caso dei sandali Birkenstock, la Corte ha ritenuto che non vi fosse un livello di originalità sufficiente per giustificare un simile riconoscimento.

Nonostante la sconfitta in Germania, la battaglia legale di Birkenstock non è finita. L’azienda ha già annunciato l’intenzione di portare il caso in Italia, Francia e Olanda, dove le normative sul diritto d’autore potrebbero offrire maggiori possibilità di tutela. Inoltre, non è escluso un ricorso alla Corte di Giustizia dell’Unione Europea, nella speranza di ottenere una protezione su scala comunitaria.

Su un argomento simile può essere d'interesse l'articolo "Sandali Oran di Hermès: il marchio salvato dalla decadenza nell’UE"

Autrice: Carolina Battistella

 

Food and Beverages

Proroga dell'obbligo di indicazione dell'origine in etichetta: pubblicato il nuovo decreto interministeriale

Il 12 febbraio 2025 è stato pubblicato in Gazzetta Ufficiale il decreto interministeriale 23 dicembre 2024 (il "Decreto") che proroga i regimi sperimentali sull'indicazione dell'origine delle materie prime in etichetta per alcuni prodotti alimentari fino al 31 dicembre 2025.

Il Decreto si inserisce nel contesto giuridico delineato dal Regolamento (UE) n. 1169/2011, che stabilisce le disposizioni relative alla fornitura di informazioni sugli alimenti ai consumatori, inclusa l'indicazione del paese d'origine o del luogo di provenienza dell'ingrediente primario utilizzato nella preparazione degli alimenti.

In attesa di un quadro normativo a livello europeo che preveda disposizioni più stringenti rispetto alla indicazione della provenienza di alcune materie prime sulle etichette di prodotti alimentari, e considerato che da tempo la Commissione Europea sta valutando la revisione del Regolamento UE 1169/2011, l'Italia ha deciso di prorogare anche per tutto il 2025 il regime sperimentale dell'indicazione dell'origine per alcuni prodotti alimentari già introdotto da diversi anni, al fine di mantenere un sistema di tutela efficace per i consumatori e per le imprese italiane. Ciò anche per valorizzare il Made in Italy agroalimentare, che rappresenta una risorsa importante per l’economia nazionale.

Inoltre, come sostenuto da diversi esperti, il Decreto risponde anche all'esigenza di garantire maggiore trasparenza ai consumatori, permettendo loro di compiere scelte più consapevoli, e dovrebbe contribuire a difendere le filiere agroalimentari italiane, spesso minacciate dalla concorrenza di prodotti a provenienza incerta.

L'art. 1 del Decreto specifica i prodotti soggetti all'obbligo di indicazione dell'origine in etichetta, comprendendo:

  1. il riso come definito dalla legge 18 marzo 1958, n. 325 (di cui al codice doganale 1006);
  2. le paste alimentari di grano duro di cui al decreto del Presidente della Repubblica 9 febbraio 2001, n. 187, ad eccezione delle paste di cui agli articoli 9 e 12 del medesimo decreto del Presidente della Repubblica;
  3. i derivati del pomodoro di cui all'art. 24 della legge 28 luglio 2016, n. 154;
  4. i sughi e salse preparate a base di pomodoro (di cui al codice doganale 21032000), ottenuti mescolando uno o più dei derivati di cui al punto c) con altri prodotti di origine vegetale o animale, il cui peso netto totale è costituito per almeno il 50% dai derivati di cui al punto c);
  5. tutti i tipi di latte ed i prodotti lattiero-caseari di cui all'allegato 1 del decreto ministeriale 9 dicembre 2016, preimballati ai sensi dell'art. 2, del regolamento (UE) n. 1169/2011, destinati al consumo umano;
  6. le carni di ungulati domestici della specie suine macinate, separate meccanicamente, preparazioni di carni suine e prodotti a base di carne suina.

Nello specifico, il Decreto proroga fino al 31 dicembre 2025 l'efficacia dei regimi sperimentali previsti da precedenti decreti, tra cui:

  • il decreto del Ministro delle politiche agricole alimentari e forestali e del Ministro dello sviluppo economico 26 luglio 2017, recante «Indicazione dell'origine in etichetta del grano duro per paste di semola di grano duro»;
  • il decreto del Ministro delle politiche agricole alimentari e forestali e del Ministro dello sviluppo economico 26 luglio 2017, recante «Indicazione dell'origine, in etichetta, del riso»;
  • il decreto del Ministro delle politiche agricole alimentari e forestali e del Ministro dello sviluppo economico 16 novembre 2017, recante «Indicazione dell'origine in etichetta del pomodoro»;
  • il decreto del Ministro delle politiche agricole alimentari e forestali, di concerto con il Ministro dello sviluppo economico e con il Ministro della salute del 6 agosto 2020, recante «Disposizioni per l'indicazione obbligatoria del luogo di provenienza nell'etichetta delle carni suine trasformate»;
  • il decreto del Ministro delle politiche agricole alimentari e forestali e del Ministro dello sviluppo economico del 9 dicembre 2016, recante «Indicazione dell'origine in etichetta della materia prima per il latte e i prodotti lattieri caseari, in attuazione del regolamento (UE) n. 1169/2011, relativo alla fornitura di informazioni sugli alimenti ai consumatori.

Su un argomento simile può essere d’interesse l’articolo: "Sono in arrivo le modifiche alle famose "Breakfast Directives"

Autrice: Federico Maria Di Vizio

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo BardelliCarolina BattistellaCarlotta BusaniGiorgia Carneri, Noemi Canova, Maria Rita CormaciCamila CrisciCristina CriscuoliTamara D’AngeliChiara D’OnofrioFederico Maria Di VizioNadia FeolaLaura GastaldiVincenzo GiuffréNicola LandolfiGiacomo LusardiValentina MazzaLara MastrangeloMaria Chiara MeneghettiDeborah ParacchiniMaria Vittoria PessinaTommaso RicciRebecca RossiRoxana SmeriaMassimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena VareseAlessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su "Transfer", il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

Competenze correlate

TechnologyMedia, Sport and EntertainmentConsumer Goods, Food and RetailLife SciencesIntellectual Property