Innovation Law Insights

Legal Break

Digital Omnibus e addestramento dell’IA: il legittimo interesse ridefinirà le regole?

Nell’ultimo episodio di Legal Break, Giulio Coraggio esamina se la proposta di modifica contenuta nel Digital Omnibus possa ridefinire la base giuridica per l’addestramento dell’intelligenza artificiale in Europa. Il legittimo interesse ai sensi del GDPR potrebbe diventare un fondamento più praticabile per l’addestramento dei sistemi di IA nel quadro dell’AI Act dell’UE? Le implicazioni per sviluppatori e utilizzatori di sistemi di IA sono significative. Guarda l’episodio completo QUI.

 

Privacy and Cybersecurity 

Parere congiunto EDPB ed EDPS sul Digital Omnibus: sostegno alla semplificazione, opposizione alla ridefinizione dei dati personali

Il parere congiunto dell’EDPB e dell’EDPS sul Digital Omnibus sostiene l’obiettivo della Commissione europea di semplificare le norme digitali dell’UE e rafforzare la competitività.

Tuttavia, si oppone fermamente alle modifiche proposte alla definizione di dati personali di cui al GDPR, avvertendo che tali cambiamenti potrebbero restringere l’ambito di applicazione del diritto europeo in materia di protezione dei dati e indebolire i principi consolidati a livello giurisprudenziale. Questa tensione tra semplificazione e cambiamento strutturale è al centro dell’attuale dibattito politico.

Adottato il 10 febbraio 2026 dal Comitato europeo per la protezione dei dati (EDPB) e dal Garante europeo della protezione dei dati (EDPS), il parere è al tempo stesso pragmatico e prudente. Accoglie favorevolmente riforme mirate, ma traccia una linea chiara quando sono in gioco concetti fondamentali.

Cosa sostiene il parere congiunto EDPB-EDPS sul Digital Omnibus

Il parere congiunto dell’EDPB e dell’EDPS sul Digital Omnibus non respinge la riforma. Al contrario, sostiene diverse misure volte a migliorare la chiarezza e ridurre gli oneri non necessari. In particolare, le autorità di controllo supportano:

• gli adeguamenti alle regole di notifica delle violazioni dei dati personali
• i chiarimenti sulle Valutazioni d’Impatto sulla Protezione dei Dati (DPIA)
• le disposizioni che facilitano il trattamento dei dati per la ricerca scientifica
• l’uso lecito dei dati biometrici per la verifica dell’identità
• le iniziative per ridurre la “cookie banner fatigue” nel quadro ePrivacy.

Questi cambiamenti mirano a ottimizzare l’applicazione del quadro normativo digitale e a migliorare l’armonizzazione e la certezza del diritto tra gli Stati membri.

Questo riflette un approccio realistico: la compliance può essere semplificata senza abbassare gli standard di protezione.

Il punto centrale di disaccordo: la ridefinizione dei dati personali

Il vero elemento di frizione evidenziato nel parere congiunto EDPB-EDPS sul Digital Omnibus riguarda la proposta di modifica dell’articolo 4, comma 1, del GDPR.

La Commissione suggerisce di chiarire che un’informazione non dovrebbe essere considerata dato personale per un’entità se tale entità non può ragionevolmente identificare l’individuo interessato, anche se un’altra entità potrebbe farlo. A prima vista, la questione appare tecnica. Tuttavia, per le autorità di controllo si tratta di un cambiamento strutturale.

Secondo il parere congiunto, ridefinire i dati personali in questo modo rischia di restringere l’ambito e di discostarsi dalla giurisprudenza consolidata della Corte di giustizia dell’Unione europea. Il parere critica anche l’idea di definire i dati personali descrivendo ciò che non sono, ritenendo che ciò possa aumentare l’incertezza giuridica.

Inoltre, l’EDPB e l’EDPS si oppongono alla possibilità di conferire alla Commissione il potere, tramite atti di esecuzione, di stabilire quando i dati pseudonimizzati cessano di essere dati personali. Una decisione di questo tipo incide direttamente sull’ambito di applicazione del diritto europeo in materia di protezione dei dati. Non si tratta di una questione redazionale minore, ma dell’accesso stesso al GDPR.

Perché questo dibattito è importante per la pseudonimizzazione e l’IA

Il parere congiunto EDPB-EDPS sul Digital Omnibus arriva in un momento delicato. L’EDPB sta aggiornando le linee guida sulla pseudonimizzazione, mentre le imprese devono gestire l’interazione tra GDPR, Data Act e regolamentazione sull’intelligenza artificiale.

Se i dati personali diventano più dipendenti dal contesto dell’entità che li tratta, emergono diverse questioni pratiche:

• l’applicazione transfrontaliera resterà coerente?
• le autorità di controllo potrebbero interpretare diversamente l’identificabilità?
• come gestiranno le organizzazioni i conflitti tra obblighi GDPR e requisiti di condivisione dei dati previsti dal Data Act?
• l’anonimizzazione diventerà più flessibile o più incerta?

Il parere congiunto solleva inoltre preoccupazioni riguardo a:

• il legittimo interesse come base giuridica per l’addestramento dei modelli di IA
• le garanzie relative alle decisioni automatizzate
• il trattamento incidentale di categorie particolari di dati
• la frammentazione tra GDPR e strumenti ePrivacy

La questione, quindi, non è teorica. Incide direttamente sull’innovazione, sulla progettazione della compliance e sulla coerenza dell’enforcement.

Semplificazione contro cambiamento strutturale

Il Digital Omnibus della Commissione mira a modernizzare e semplificare la regolamentazione digitale europea. L’obiettivo è comprensibile: le imprese hanno bisogno di prevedibilità e coerenza. Tuttavia, il parere congiunto EDPB-EDPS sul Digital Omnibus evidenzia una distinzione cruciale: semplificare le procedure non equivale a ridefinire i concetti giuridici fondamentali.

La definizione di dato personale determina quando il GDPR si applica. Modificarla significa cambiare l’ambito di applicazione dell’intero quadro normativo. Si tratta di una scelta strategica. Una definizione più contestuale potrebbe offrire maggiore flessibilità, ma anche introdurre frammentazione se diversi attori valutano in modo differente l’identificabilità. La domanda diventa quindi chiara: l’Europa può modernizzare il proprio quadro normativo digitale preservando al tempo stesso un concetto stabile e uniforme di dato personale?

Implicazioni più ampie

Il parere congiunto EDPB-EDPS sul Digital Omnibus segnala sostegno alla competitività e all’innovazione, insistendo al contempo sulla necessità di mantenere la fiducia e un elevato livello di tutela dei diritti fondamentali. La fiducia resta il fondamento della governance europea dei dati.

Se la semplificazione riduce la burocrazia preservando la certezza del diritto, rafforza il sistema. Se invece ridefinizioni strutturali creano zone grigie, potrebbero generare nuove forme di incertezza. I prossimi negoziati legislativi determineranno se l’Omnibus resterà un esercizio di ottimizzazione tecnica o diventerà una ricalibrazione più profonda dell’architettura europea della protezione dei dati. In ogni caso, il dibattito sul parere congiunto EDPB-EDPS sul Digital Omnibus rappresenta un momento cruciale nell’evoluzione del GDPR.

Autore: Giulio Coraggio

 

La Corte di giustizia dell’Unione europea chiarisce l’impugnabilità delle decisioni vincolanti dell’EDPB ai sensi del GDPR

La sentenza pronunciata dalla Corte di giustizia dell’Unione europea (CGUE) il 10 febbraio 2026 nella causa WhatsApp Ireland contro European Data Protection Board (C-97/23 P) rappresenta uno sviluppo significativo nel contenzioso europeo in materia di protezione dei dati. In particolare, la CGUE ha affrontato una questione sistemica relativa all’effettività e all’impugnabilità delle decisioni vincolanti adottate dal Comitato europeo per la protezione dei dati (EDPB) nell’ambito del meccanismo di cooperazione previsto dal GDPR. Riconoscendo che alcune decisioni dell’EDPB costituiscono atti impugnabili ai sensi dell’articolo 263 TFUE, la Corte ha rafforzato le garanzie procedurali per le imprese coinvolte in procedimenti transnazionali ai sensi del GDPR.

Il caso

La controversia trae origine da reclami presentati alla Data Protection Commission irlandese riguardanti la conformità di WhatsApp agli obblighi di trasparenza e informazione previsti dal GDPR, che hanno portato l’autorità irlandese, nel dicembre 2018, ad avviare un’indagine d’ufficio sulle pratiche di trattamento dei dati della società.

A seguito dell’indagine e in conformità con il meccanismo di cooperazione del GDPR, l’autorità di controllo irlandese ha trasmesso, nel dicembre 2020, un progetto di decisione alle altre autorità di controllo interessate. Sono emersi disaccordi su aspetti fondamentali del progetto, tra cui l’interpretazione di alcune disposizioni del GDPR e le misure correttive da adottare. Non essendo stato possibile raggiungere un consenso, la questione è stata deferita all’EDPB ai sensi dell’articolo 65 GDPR.

L’EDPB ha quindi adottato la Decisione vincolante 1/2021, risolvendo la controversia tra le autorità nazionali. In tale decisione, l'EDPB ha accertato violazioni di alcune disposizioni del GDPR e ha richiesto all’autorità irlandese di modificare le misure correttive previste, inclusa l’entità delle sanzioni amministrative da erogare. Sulla base di tale determinazione vincolante, l’autorità irlandese ha adottato la decisione finale, imponendo a WhatsApp sanzioni per un totale di 225 milioni di euro.

WhatsApp ha quindi cercato di impugnare direttamente la decisione dell’EDPB dinanzi ai giudici dell’Unione europea, proponendo un ricorso di annullamento davanti al Tribunale dell’UE.

Le decisioni giudiziarie

Con ordinanza del 7 dicembre 2022, il Tribunale ha dichiarato il ricorso irricevibile, ritenendo che la decisione vincolante dell’EDPB non costituisse un atto impugnabile ai sensi dell’articolo 263 TFUE, in quanto espressivo di una fase intermedia del procedimento amministrativo. Secondo il Tribunale, solo la decisione finale dell’autorità di controllo irlandese risultava produttiva di effetti giuridici nei confronti di WhatsApp, che avrebbe potuto quindi ottenere tutela giurisdizionale dinanzi ai giudici nazionali impugnando tale decisione.

In sede di impugnazione, la CGUE ha adottato un approccio nettamente diverso, ponendo particolare enfasi sugli effetti giuridici e sulla natura vincolante delle decisioni dell’EDPB adottate nell’ambito della risoluzione delle controversie, e riconoscendo che tali decisioni costituiscono atti impugnabili dinanzi ai giudici dell’Unione.

Il ragionamento della Corte si fonda sulla natura vincolante delle decisioni dell’EDPB nei confronti delle autorità di controllo nazionali. Tali decisioni risolvono definitivamente le questioni sottoposte e vincolano le autorità nazionali senza lasciare loro alcun margine di discrezionalità in merito all’accertamento delle violazioni o alle misure correttive da adottare.

Vincolando le autorità nazionali, le decisioni dell’EDPB finiscono dunque per incidere direttamente sulle imprese interessate, poiché – sebbene la misura di enforcement finale nei confronti dell'impresa sia formalmente adottata dall’autorità nazionale – il suo fondamento legale è determinato dall’interpretazione e dalle conclusioni dell’EDPB. Di conseguenza, le decisioni dell’EDPB non costituiscono un atto intermedio, ma un atto pienamente impugnabile.

La CGUE ha pertanto annullato l’ordinanza del Tribunale e rinviato la causa a quest’ultimo per l’esame nel merito, comprese le conclusioni relative alle presunte violazioni del GDPR.

Conclusioni

La sentenza fornisce un chiarimento importante su una questione ampiamente dibattuta sin dall’entrata in vigore del GDPR ed è destinata ad avere rilevanti implicazioni pratiche significative. Confermando l’impugnabilità delle decisioni vincolanti dell’EDPB, la CGUE rafforza la tutela giurisdizionale delle imprese soggette a procedimenti di enforcement transfrontalieri, garantendo che le aziende possano contestare non solo le decisioni nazionali delle autorità di protezione dei dati, ma anche le determinazioni dell’EDPB che ne costituiscono il fondamento giuridico.

La futura sentenza del Tribunale nel merito determinerà le implicazioni sostanziali del caso. In ogni caso, la CGUE ha già fornito un chiarimento procedurale fondamentale: le decisioni vincolanti dell’EDPB non sono semplici misure interne di coordinamento, ma atti idonei a incidere direttamente sulle imprese e come tali pienamente impugnabili.

Autore: Federico Toscani

 

Intellectual Property

Fondo PMI 2026: incentivi europei a sostegno della tutela della proprietà intellettuale

L’Ufficio dell’Unione Europea per la Proprietà Intellettuale (EUIPO), con il supporto della Commissione Europea e in coordinamento con gli uffici nazionali di proprietà intellettuale, ha aperto l’edizione 2026 del Fondo PMI (SME Fund), il programma europeo dedicato alle piccole e medie imprese.

L’iniziativa è rivolta alle PMI con sede nell’Unione Europea e ha l’obiettivo di agevolarle nell’accesso agli strumenti di tutela e gestione della proprietà intellettuale, riconosciuta sempre più come un fattore strategico per la competitività e la crescita aziendale. Il Fondo interviene attraverso un sistema di voucher che consente alle imprese beneficiarie di recuperare una parte rilevante delle spese sostenute in ambito IP.

Per il 2026, le misure di sostegno previste sono articolate nei seguenti voucher:

• Voucher IP Scan: rimborso fino al 90% dei costi relativi ai servizi di pre-diagnosi della proprietà intellettuale, finalizzati a individuare le esigenze della PMI in materia di IP, nonché alle attività di supporto per la tutela e l’enforcement dei diritti;
• Voucher marchi e disegni: rimborso fino al 75% delle tasse di deposito e registrazione di marchi e disegni a livello nazionale, regionale ed europeo;
• Voucher brevetti: rimborso fino al 75% delle tasse ufficiali connesse alle procedure di brevettazione;
• Voucher varietà vegetali: rimborso del 75% delle spese sostenute per la protezione delle privative comunitarie relative alle varietà vegetali.

Le domande di accesso al Fondo PMI 2026 possono essere presentate dal 2 febbraio 2026 al 4 dicembre 2026. Le risorse disponibili sono limitate e, in caso di esaurimento anticipato dei fondi, il bando potrà essere chiuso prima della scadenza prevista.

Il bando 2026 si inserisce in un percorso ormai consolidato. Dall’introduzione del Fondo PMI nel 2021, 100.000 piccole e medie imprese europee hanno già beneficiato delle agevolazioni, con un totale di circa 68 milioni di euro erogati sotto forma di sovvenzioni. Solo nel 2025, il programma ha sostenuto oltre 33.000 PMI, per un ammontare complessivo di rimborsi pari a circa 29 milioni di euro.

Un ulteriore elemento di rilievo è rappresentato dal profilo delle imprese beneficiarie: circa l’80% delle PMI richiedenti si avvicina per la prima volta alla tutela della proprietà intellettuale. Questo dato evidenzia come il Fondo PMI svolga un ruolo chiave non solo sul piano finanziario, ma anche nella diffusione della cultura della protezione dell’innovazione all’interno del tessuto imprenditoriale europeo.

In conclusione, il Fondo PMI 2026 rappresenta un’occasione concreta per le piccole e medie imprese europee di valorizzare e proteggere i propri asset immateriali. Le PMI interessate sono invitate a verificare le modalità di presentazione delle domande, tenendo presente che le risorse sono limitate. Per maggiori dettagli, aggiornamenti ufficiali o supporto nella presentazione delle domande, è consigliabile consultare il sito del Fondo PMI dell’EUIPO o contattare un professionista specializzato in proprietà intellettuale.

Autrice: Tamara D'Angeli

 

Limitazione del brevetto, sistema front – loaded, nuove produzioni e deduzioni

Con decisione del 29 dicembre 2025, la Corte d'Appello dell'UPC si è pronunciata sui confini entro i quali possono essere introdotte nuove allegazioni e nuove prove in presenza di una domanda di limitazione del brevetto.

La controversia trae origine da un'azione di nullità promossa innanzi alla Divisione Centrale di Parigi in cui la parte convenuta aveva chiesto in via principale il rigetto delle domande avversarie e, in subordine, aveva formulato, per il tramite di auxiliary requests, una domanda di limitazione del brevetto.

In applicazione della Rule 43.3 RoP, che impone alla controparte di prendere posizione sulle modifiche proposte dal titolare, l'attrice aveva depositato una memoria di replica (cd. Defence to the application to amend the patent), corredandola di ulteriori allegazioni e nuovi mezzi di prova diretti a sostenere la nullità della privativa. I giudici di prime cure, ritenuto il brevetto privo di altezza inventiva, ne avevano dichiarato la nullità.

Appellata la decisione parigina, la titolare del brevetto ha appuntato le proprie censure prevalentemente sull'inammissibilità delle allegazioni e delle prove introdotte dall'attore in replica alla domanda di limitazione. In particolare, secondo l'appellante i togati parigini avrebbero interpretato in modo non corretto il principio della “front-loaded procedure”, consentendo l'ingresso di elementi che avrebbero dovuto essere dedotti dall'attore con atto introduttivo.

La Corte d’Appello, ribadito che la memoria di replica alla domanda di limitazione della privativa non può trasformarsi in un'occasione per introdurre nuovi motivi di nullità, ha evidenziato la necessità di operare una distinzione tra i motivi, i fatti e le prove dedotti in relazione al brevetto come concesso e quelli specificamente inerenti alla versione limitata.

Nel delineare questo perimetro, la Corte ha ribadito i principi generali che governano il procedimento avanti all'UPC. Come noto, il sistema è strutturato in modo da imporre alle parti di esporre i fatti in maniera completa e tempestiva, come chiaramente indicato nel Preambolo delle Rules of Procedure. Ciò nondimeno, la Corte ha osservato come tale principio non debba essere applicato in modo rigido e avulso dal contesto concreto della controversia. Così, richiamata la giurisprudenza del caso Orthoapnea (UPC_CoA_456/2024), i giudici di Lussemburgo hanno ricordato che specifiche nuove argomentazioni possono ben essere ammesse quando le circostanze del caso lo giustificano.

Dunque, purché nel rispetto dei principi di proporzionalità, di equità e del contraddittorio, nel caso della Defence to the Application to amend the patent è possibile introdurre nuovi fatti o nuove prove in replica alle argomentazioni del titolare del brevetto. Ciò vale, in particolare, quando tali elementi siano funzionali a corroborare una tesi già dedotta, ad esempio in materia di conoscenze generali dell’esperto del ramo, oppure a confutare prove prodotte dalla controparte su quel medesimo punto.

Prendendo le mosse da tali considerazioni, la Corte d'Appello nel merito ha confermato la decisione di primo grado, rigettando nuovamente le auxiliary requests proposte per limitare la privativa. Come osservato dai togati di Lussemburgo, infatti, la possibilità di integrare il quadro fattuale e probatorio in risposta alla domanda di limitazione del brevetto non deve compromettere la struttura cd. front-loaded del procedimento. Al contrario, ne rappresenta un correttivo funzionale, idoneo a garantire una decisione fondata sul rispetto del contraddittorio e su un'istruttoria bilanciata.

Autrice: Laura Gastaldi

 

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, e consultare il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.