Innovazione e diritto: le novità della settimana

Podcast

Anna Pouliou, Chief Privacy Officer di Mars, parla del passato e del futuro della data protection

In questo episodio di Diritto al Digitale, Anna Pouliou, Chief Privacy Officer di Mars, discute con Giulio Coraggio del suo avvincente viaggio nella compliance privacy. I due affrontano le sfide della privacy che deve affrontare in Mars ed esplorano il panorama in evoluzione della protezione dei dati di fronte alla minaccia sempre presente della cybersecurity e alle possibilità illimitate offerte dall’intelligenza artificiale. L’episodio del podcast è disponibile qui.

I nuovi procedimenti di decadenza e nullità dei marchi in Italia

In Italia, le azioni di decadenza e di nullità dei marchi sono state finora decise esclusivamente da giudici specializzati in procedimenti civili. A partire dal 29 dicembre 2022, le azioni possono essere depositate presso l'Ufficio Italiano Brevetti e Marchi, a seguito dell'attuazione delle modifiche al Codice della Proprietà Industriale. Questo nuovo percorso alternativo consente alle parti interessate di scegliere tra il procedimento civile e quello amministrativo, diminuendo il carico di lavoro dei tribunali specializzati e riducendo la durata e i costi delle azioni. Ginevra Righini, Roberto Valenti, Gualtiero Dragotti ed Elena Varese ne hanno discusso il 2 febbraio 2023 in un webinar la cui registrazione è disponibile qui.

Data protection & cybersecurity

Privacy by design: requisiti e casi d’uso del nuovo standard ISO 31700

L’International Organization for Standardization (ISO) ha adottato il nuovo standard ISO 31700 che delinea i principi di privacy by design nel trattamento dei dati personali collegati alla gestione di un prodotto o servizio di consumo.

L’ISO ha adottato il 31 gennaio 2023 il nuovo standard ISO 31700, composto da una lista di 27 requisiti operativi (31700-1) e da 3 casi pratici della normativa (31700-2) dove viene mostrato come svolgere un adeguamento ai nuovi processi introdotti.

• Standard ISO 31700 e GDPR sul principio di privacy by design: qual è il rapporto?

Il GDPR prevede, all’articolo 25, la protezione dei dati “fin dalla progettazione e protezione per impostazione predefinita”, richiedendo al titolare del trattamento di predisporre idonee misure tecniche e organizzative per garantire il trattamento dei dati personali solo nei limiti di quanto necessario al raggiungimento delle finalità per cui vengono trattati.

Quest’approccio proattivo, che mira a prevenire prima di dover agire in modo correttivo in seguito, riguarda una molteplicità di aspetti del trattamento, come la quantità dei dati raccolti, la portata del trattamento, la conservazione e l’accessibilità agli stessi da parte degli interessati. Introducendo nel GDPR il principio di privacy by design, i legislatori europei hanno esplicitato l’output desiderato, ossia che le misure adottate in compliance con l’articolo 25 debbano garantire che, “per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.

Sono molti però i dubbi che i consumatori finali hanno rispetto a come esercitare i propri diritti in ambito di privacy by design ai sensi del GDPR, come incerte rimangono le azioni che in concreto i produttori di beni e servizi devono adottare per integrare il rispetto della privacy fin dalla fase di progettazione. Lo standard ISO 31700 ha l’obiettivo di integrare e supportare quando già riportato nel GDPR, identificando requisiti e casi d’uso di applicazione per aiutare nell’implementazione del principio di privacy by design. Pur non presentando un collegamento diretto con la normativa europea per la protezione dei dati personali, i punti di contatto tra GDPR e standard ISO 31700 sono numerosi, a partire dalla definizione di dato personale. Nonostante ciò, è bene chiarire che il rispetto dello standard ISO 31700 non garantisce automaticamente la compliance con le previsioni del GDPR e viceversa e diversi rimangono gli elementi di difformità, come il concetto di “interessato” che, nello standard ISO 31700, diventa “consumatore finale” in un’ottica più commerciale che non di tutela di diritti fondamentali. De facto, si tratta di una certificazione disponibile sul mercato che ha il fine di mostrare la conformità di un’azienda alle prescrizioni privacy delle autorità competenti, con l’obiettivo di ingenerare fiducia negli end-users ed ottenere una posizione di vantaggio competitivo rispetto ad altre aziende operanti nello stesso settore di riferimento.

• Struttura e contenuto dello standard ISO 31700 sui principi di privacy by design

Lo standard ISO 31700 si sviluppa attorno ad alcuni pilastri portanti del principio di privacy by design, affrontando questioni pratiche come le modalità concrete per rafforzare i diritti alla privacy degli interessati fin dalla fase della progettazione di beni e servizi, tenendo conto delle preferenze dei consumatori e permettendo loro di esercitare un controllo sui propri dati durante tutto il ciclo di vita del prodotto.

La norma si concentra anche sulla narrativa che le aziende adottano nei confronti dei propri clienti, in particolare fornendo indicazioni su come redigere e mettere a disposizione dei consumatori le informative privacy, come rispondere a richieste o reclami o come affrontare, anche da un punto di vista comunicativo, un caso di violazione dei dati personali (data breach). Lo standard ISO 31700 prosegue poi nell’individuazione dei requisiti che i sistemi organizzativi interni devono presentare per una corretta gestione del rischio, occupandosi di audit interni come di controlli esterni da parte di terzi.

A conclusione dello standard ISO 31700, si trova il pilastro inerente ai controlli sulla privacy per tutta la durata della vita di un prodotto, dall’adozione pratica di questi controlli, alla verifica finale della corretta eliminazione dei dati personali a seguito dello scadere dei termini di conservazione. Per quanto riguarda i casi d’uso, gli esempi forniti riguardano un sito di e-commerce B2C (business-to-consumer), l’offerta di una palestra inerente la raccolta dati delle prestazioni dei propri iscritti e l’invio di questi su un’applicazione per dispositivo mobile ed uno smart lock con relativa mobile app.

• Come cambia la compliance privacy delle aziende dopo l’ISO 31700

Viene consegnato in mano alle aziende uno strumento a carattere internazionale che permette quindi di verificare e certificare la compliance aziendale rispetto al principio di privacy by design durante tutto il ciclo di vita del prodotto, dalla fase di progettazione al fine vita, tenendo conto tanto del consumatore quando dei soggetti che a vario titolo interagiscono con esso. Nonostante il disclaimer iniziale per cui lo standard ISO 31700 “non contiene requisiti specifici per le garanzie e gli impegni in materia di privacy che le organizzazioni possono offrire ai consumatori, né specifica particolari metodologie che un'organizzazione può adottare per progettare e implementare i controlli sulla privacy, né la tecnologia che può essere utilizzata per operare tali controlli”, si tratta comunque di un importante passo verso il supporto ad aziende e soggetti interessati per ideare ed utilizzare prodotti e servizi con consapevolezza e nel rispetto dei diritti personali dei singoli.

Sullo stesso argomento potrebbe interessarvi l’articolo “Ann Cavoukian, creator of privacy by design, on data protection challenges (dirittoaldigitale.com)”.

Lo stop del Garante Privacy a un chatbot alimentato da intelligenza artificiale

Lo scorso 2 febbraio 2023, il Garante Privacy ha ordinato la limitazione provvisioria al trattamento dei dati personali degli utenti italiani di un chatbot di titolarità di una azienda statunitense, alimentato da un sistema di intelligenza artificiale.

Il Garante Privacy è intervenuto dopo aver appreso, da recenti notizie di stampa, di alcune prove condotte sul chatbot che hanno evidenziato concreti rischi per i minori d’età e, più in generale, per le persone in stato di fragilità emotiva, oltre a violazioni del Regolamento 679/2016 (il GDPR), ivi incluso il principio di trasparenza.

• Esiti dell’istruttoria del Garante sul chatbot e i suoi rischi privacy

Il chatbot, accessibile tramite mobile app, è dotato di una interfaccia scritta e vocale, basata su un sistema di intelligenza artificiale, atta a generare un “amico virtuale” per l’utente, che quest’ultimo può decidere di configurare come amico, partner romantico o mentor.

L’istruttoria del Garante ha portato alla luce le seguenti criticità e rischi per gli utenti, in particolare minorenni e persone fragili:

1. Limiti di età non chiari: secondo la privacy policy, il fornitore del servizio dichiara di non raccogliere consapevolmente dati personali di minori di età inferiore ai 13 anni ed incoraggia i genitori e i tutori legali a monitorare l’utilizzo di Internet da parte dei propri figli; invece, nei due principali app store, l’applicazione viene classificata come idonea a persone maggiori di 17 anni, mentre, nei termini di servizio pubblicati nel sito web dello sviluppatore viene indicato un divieto di utilizzo per i minori di 13 anni e l’esigenza che i minori di 18 anni siano previamente autorizzati da un genitore o da un tutore;
2. Assenza di filtri e procedure di age control efficaci: è stata accertata l’assenza di filtri per i minori di età e di meccanismi di interdizione o blocco anche a fronte di dichiarazioni dell’utente che esplicitino la sua minore età e la proposizione di “risposte” da parte del chatbot inappropriate per i minori e, più in generale, a tutti i soggetti più fragili, mentre, durante la fase di creazione di un account, la piattaforma non prevede alcuna procedura di verifica e controllo dell’età dell’utente, poiché il sistema chiede solamente nome, e-mail e genere;
3. Non conformità della privacy policy del chatbot al GDPR: tale documento non presenta gli elementi essenziali del trattamento con particolare riguardo all’utilizzo dei dati personali dei minori. Di conseguenza, il Garante ha ravvisato l’impossibilità di individuare la base giuridica delle varie operazioni di trattamento effettuate dal chatbot.

• Le misure adottate dal Garante e considerazioni utili per le aziende

Alla luce delle carenze e criticità riscontrate, il Garante Privacy ha ritenuto che il trattamento effettuato per il tramite del chatbot in relazione ai dati personali degli utenti, in particolare di quelli minori, si ponga in violazione degli artt. 5, 6, 8, 9 e 25 del GDPR che stabiliscono rispettivamente i principi e le condizioni di liceità del trattamento, anche in relazione a minori e categorie particolari di dati personali.

Di conseguenza, il Garante ha imposto la limitazione provvisoria del trattamento al titolare, in relazione a tutti gli utenti stabiliti nel territorio nazionale a causa dell’assenza di qualsivoglia meccanismo di verifica dell’età degli utenti.

La decisione di rilievo perché non è possibile escludere che l’approccio del Garante in merito ai meccanismi di verifica dell’età possa estendersi anche ad altri sistemi di verifica dell'età, mettendoli in discussione. Le aziende dovranno continuare a cercare un punto di equilibrio tra la verifica dell'età e la protezione dei dati personali, considerando le implicazioni sulla privacy della raccolta di tali dati: ciò sarà possibile prendendo in considerazione altre modalità di age verification che comportino una raccolta e trattamento più limitati. Inoltre, le aziende dovranno prestare una attenzione crescente quando decidono di ricorrere a sistemi di intelligenza artificiale, alla luce del recente attivismo da parte del Garante Privacy su tale tema.

Sempre sullo stesso argomento, può interessarvi “Il Consiglio UE adotta la proposta di AI Act sull’intelligenza artificiale”.

Intellectual Property

La vendita di NFT raffiguranti le MetaBirkins costituisce una violazione dei diritti di proprietà intellettuale del brand

La controversia sulla violazione dei diritti di proprietà intellettuale relativi ad NFT raffiguranti MetaBirkins sembra giunta alla fine con la decisione del tribunale di New York.

Dopo l’ordinanza del Tribunale di Roma nel famoso caso promosso dalla Juventus, si aggiunge ora un altro importante tassello nel quadro che compone la tutela dei diritti di proprietà intellettuale in relazione agli asset digitali costituiti dagli NFT. La decisione in questione pone una fine – almeno per ora – alla controversia sorta l’anno scorso negli Stati Uniti tra una celebre casa di moda francese e un artista che aveva offerto in vendita su vari marketplace una collezione di 100 NFT "MetaBirkins" raffiguranti diverse versioni dell’omonima borsa considerata uno dei prodotti iconici del brand.

In particolare, la società ha rivendicato la violazione dei suoi diritti di marchio per aver utilizzato il famoso marchio denominativo "Birkin" e il relativo trade dress sulla forma del prodotto senza il suo consenso, aggiungendo semplicemente il prefisso generico ʻmeta’, riferito al mondo virtuale in cui vengono scambiati beni digitali come gli NFT. A ciò si aggiungeva il fatto che l’artista avesse registrato anche il dominio MetaBirkins.com e alcuni profili social media con lo stesso nome, che creavano ulteriore rischio di confusione con la celebre maison.

L’artista si era difeso sostenendo che le sue creazioni fossero protette dalla libertà di espressione artistica tutelata dal Primo Emendamento della Costituzione americana, trattandosi di un’operazione volta a denunciare la crudeltà sugli animali e l’uso di pellicce e pellami nel settore della moda. Il caso ha infatti catturato l’attenzione ed è stato attentamente monitorato da giuristi, artisti e aziende di tutto il mondo perché richiedeva al tribunale americano di stabilire il confine tra tutela dei diritti esclusivi attribuiti al titolare di un marchio da un lato e libertà di espressione artistica dall’altro, con specifico riferimento al settore degli asset digitali.

Come molti si aspettavano, e come anche noi avevamo pronosticato nel nostro precedente articolo, la giuria e la U.S. District Court for the Southern District of New York hanno esteso al mondo digitale degli NFT i principi di diritto della proprietà intellettuale comunemente applicati nel mondo reale, concludendo che lo scopo prettamente commerciale legato alla vendita degli NFT in questione (da cui pare che l’artista abbia guadagnato circa 1 milione di dollari) prevalesse sulla libertà artistica e non potesse dunque escludere la violazione dei diritti del brand. A questo proposito, non è stata infatti ritenuta pertinente l’analogia proposta da parte convenuta tra gli NFT MetaBirkin e le opere di Andy Warhol in cui sono stati rielaborati gli iconici barattoli delle zuppe Campbell.

Altresì irrilevante è stato ritenuto il fatto che al momento dell’instaurazione della controversia, la società attrice non avesse ancora depositato i marchi azionati nella classe 9 per i beni digitali. Sotto questo profilo, il Tribunale ha stabilito da un lato che le domande depositate dalla società di moda nelle more del giudizio dimostrassero il suo interesse ad operare nel settore degli NFT e dall’altro che in ogni caso i segni azionati godessero della tutela extra-merceologica attribuita ai marchi che godono di rinomanza, quali sono sicuramente quelli dell’attrice su una delle borse più famose al mondo.

Pertanto, con la decisione del 14 febbraio 2023, la corte americana si è pronunciata integralmente a favore del brand, condannando l’artista al risarcimento di 110.000 $ per la contraffazione dei marchi e 23.000 $ per cybersquatting. Tuttavia, l’artista ha già annunciato che la guerra non è finita e ci aspettiamo quindi che non mancheranno altri colpi di scena!

Su un simile argomento può essere interessante l’articolo: “Il tribunale di Roma si pronuncia sulla violazione di marchi per la vendita di NFT raffiguranti un calciatore”.

Fintech

La tokenizzazione di bond su blockchain per 60 milioni di euro

Una rilevante azienda tedesca ha portato a termine una operazione di tokenizzazione di un bond su blockchain, confermando il trend relativo all’espansione del fenomeno di tokenizzazione di asset finanziari, nonostante il quadro regolamentare in materia (europeo e nazionale) sia in continua evoluzione.

Ai sensi della legge tedesca entrata in vigore nel 2021 (Electronic Security Act), è stato possibile tokenizzare un prestito obligazionario annuale su blockchain dal volume di 60 milioni di euro. La tokenizzazione di un bond su blockchain, grazie alla natura di tale tecnologia, comporta una serie di vantaggi rispetto ai sistemi finanziari tradizionali. In particolare, la rimozione della circolazione di documenti cartacei garantiti dalla notarizzazione delle informazioni nonché la rimozione degli intermediari preposti agli attuali sistemi di compensazione. Inoltre, l’offerta diretta agli investitori, determina il superamento della necessaria funzione di intermediazione tipicamente assolta dalle banche.

Al fine di poter procedere alla tokenizzazione di bond su blockchain, la società si è attenuta alle disposizioni previste dalla legislazione nazionale in materia, in particolare l’Electronic Security Act, che ammette la tokenizzazione di bond attraverso un c.d. “crypto register”. Al pari del legislatore europeo, anche il legislatore tedesco chiarisce di attenersi a un generale principio di neutralità tecnologica, distinguendo (i) le obbligazioni al portatore che vengono convertite in formato elettronico mediante la registrazione in un registro centralizzato; e (ii) la tokenizzazione delle stesse mediante l’impiego della tecnologia a registri distribuiti (DLT) come, ad esempio, la blockchain. Pertanto, non viene favorità l’una o l’altra tecnologia, nemmeno con riferimento alle diverse species di DLT, rimandendo principale l’obbiettivo di ricorrere alla forma elettronica per l’emissione di tali bond.

Con l’entrata in vigore del Regolamento 2022/858 (c.d. DLT Regime Pilot) si renderà necessario un coordinamento con la normativa nazionale, dal momento che il DLT Regime Pilot riguarda solamente le vendite sul mercato secondario. Nel caso della Germania, ad esempio, l’Electronic Security Act disciplina la parte relativa alla emissione primaria di tali bond che, all’epoca della sua entrata in vigore, come peraltro precisato dall’autorità regolatoria nazionale (Bundesanstalt für Finanzdienstleistungsaufsicht - BaFin), non avrebbe consentito la gestione della tokenizzazione di bond su blockchain all’interno delle infrastrutture di trading.

Per quanto riguarda l’Italia, si rende necessario soffermarsi sul coordinamento con il DLT Regime Pilot sotto almeno due aspetti:

• in forza degli obblighi informativi tutt’ora vigenti, sarà necessario rafforzare l’obbligo informativo in favore dell’investitore rispetto ai rischi e alla componente tecnologica della blockchain? Infatti, una informativa eccessivamente analitica e dettagliata, per quanto esaustiva, potrebbe essere correttamente compresa soltanto da un numero limitato di investitori con competenze tecniche specifiche; e
• se si considera la tokenizzazione di asset finanziari su blockchain nella fase di emissione come (i) una nuova forma di documentazione, circolazione e legittimazione dei titoli azionari rispetto alla forma cartolare o scritturale attualmente prevista dall’articolo 83-bis del Testo Unico della Finanza (TUF); nonché (ii) una forma diversa da quella dematerializzata presso un depositario centrale, come stabilito dal Regolamento (UE) n. 909/2014 (CSDR), allora il DLT Regime Pilot disciplina soltanto le infrastrutture di mercato rendendosi necessario un intervento normativo specifico che, al pari della Germania per la tokenizzazione di bond, riconosca gli strumenti finanziari digitali sia per la fase di emissione sia per la loro negoziazione.

Su un simile argomento può essere interessante l’articolo: “Il Regolamento UE 2022/858 potrebbe ridurre il rischio di cyberattacco legato a blockchain bridge nell’ambito DeFi”

Technology Media & Telecommunications

AGCom adotta il Testo Unico di revisione e semplificazione degli indicatori di qualità del servizio mobile

Con comunicato stampa del 13 febbraio 2023, l’AGCom ha annunciato l’adozione, con la Delibera 23/23/CONS, del “Testo unico di revisione e semplificazione degli indicatori di qualità” del servizio mobile, al fine di allineare la relativa disciplina alle nuove tecnologie nonché alle nuove previsioni contenute nel Codice delle comunicazioni elettroniche, così come modificato dal d.lgs. n. 207/2021 con il quale è stata recepita in Italia la Direttiva 2018/1972 che istituisce il Codice europeo delle Comunicazioni elettroniche.

L’adozione della Delibera 23/23/CONS segue la consultazione pubblica che l’AGCom ha avviato con la Delibera 251/22/CONS “inerente a disposizioni in materia di qualità e carte dei servizi di comunicazioni mobili e personali”.

La disciplina relativa agli indicatori di qualità (c.d. Key Performance Indicators – KPI) è contenuta principalmente nella Delibera 179/03/CSP, con la quale è stata approvata la direttiva generale in materia di qualità e carte dei servizi di telecomunicazioni. Come si apprende dal comunicato stampa dell’AGCom, la Delibera 23/23/CONS “razionalizza ed unifica l’intera disciplina sui criteri relativi alla qualità e alle carte dei servizi di comunicazioni mobili e personali che gli operatori sono tenuti a rispettare”.

In particolare, il nuovo provvedimento riduce il numero di indicatori di qualità, eliminando quelli tecnologicamente superati in considerazione dell’introduzione di nuove tecnologie, e modifica i KPI vigenti, tenendo in considerazione la crescente diffusione delle reti mobili 5G.

Le altre misure previste dalla Delibera “mirano a fornire agli utenti finali accesso ad informazioni complete, comparabili e di facile consultazione”. Gli operatori saranno in particolare tenuti:

1. a pubblicare sul proprio sito web e rendere disponibile all’utente, prima della conclusione del contratto, un prospetto che riporti, tra le altre, le informazioni relative a copertura, velocità massima stimata e velocità pubblicizzata, per ciascuna offerta commerciale inclusiva di accesso a Internet;
2. utilizzare i KPI stabiliti dall’Autorità al fine di realizzare report semestrali ed annuali riguardanti – tra gli altri – gli indicatori riguardanti la percentuale di reclami da parte degli utenti, la percentuale di fatture correttamente contestate dagli utenti, il tempo di attivazione dei servizi;
3. utilizzare gli indicatori previsti dalla Delibera per fissare annualmente gli obiettivi per la qualità dei servizi di comunicazione mobili;
4. inviare all’AGCom, per ogni periodo di rilevazione di 6 e 12 mesi, un resoconto sui risultati effettivamente raggiunti con riferimento ai singoli KPI;
5. pubblicare sul proprio sito web, entro gli stessi termini, report contenenti il resoconto della misurazione dei KPI;
6. comunicare annualmente agli utenti gli obiettivi prefissati ed i risultati raggiunti.

Su un simile argomento può essere interessante l’articolo: “AGCom avvia la consultazione pubblica per la definizione del servizio di accesso adeguato a Internet a banda larga”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Emanuele Gambula, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Nicola Landolfi, Giacomo Lusardi, Noemi Mauro, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.