Innovation Law Insights

Podcast

Come affrontare il cyber rischio nell'era dell'intelligenza artificiale

Il rischio informatico, accentuato dall'avanzamento dell'intelligenza artificiale e dai conflitti in Ucraina e Israele, si intensifica durante le festività natalizie, quando le aziende sono tipicamente meno protette. Per approfondire questo tema, abbiamo parlato con Ron Plesco, partner di DLA Piper e rinomato leader del settore. Potete ascoltare il podcast qui.

 

Artificial Intelligence

AI Act: Valutazione di Impatto sui Diritti Fondamentali (FRIA)

Le recenti negoziazioni tra Commissione europea, Consiglio e Parlamento sull'AI Act hanno portato all'introduzione di un nuovo adempimento: la Valutazione dell'Impatto sui Diritti Fondamentali, o Fundamental Rights Impact Assessment (FRIA).

Dopo tre giorni di negoziati intensi la Commissione Europea, il Consiglio dell'Unione Europea e il Parlamento Europeo, lo scorso 8 dicembre 2023, hanno raggiunto l'accordo politico sul testo del Regolamento Europeo sull'Intelligenza Artificiale (meglio noto come EU AI Act). Tra gli emendamenti aggiunti al testo inizialmente proposto dalla Commissione è stato introdotto, al ricorrere di determinate circostanze, l'obbligo di svolgere una valutazione di impatto sui diritti fondamentali. Di seguito analizzeremo le fonti esistenti per scoprire chi sono i soggetti tenuti a svolgere questa valutazione e cosa dovrebbe includere.

Il Regolamento sull'AI mira ad introdurre un quadro legislativo innovativo con un approccio comprensivo e basato sul rischio per proteggere la sicurezza e i diritti fondamentali delle persone che interagiscono con i sistemi di AI, estendendo il suo impatto anche oltre i confini dell'UE. Le recenti modifiche proposte al Regolamento durante le negoziazioni mirano, tra l'altro, a stabilire regole rigorose per i sistemi di AI ad alto rischio, prevedendo requisiti di sicurezza, trasparenza e accountability a tutela di coloro che sono influenzati da queste tecnologie avanzate. Anche se il testo ufficiale non è ancora stato divulgato, l'entrata in vigore del Regolamento è imminente. Prima della sua pubblicazione ufficiale nella Gazzetta dell'Unione europea il testo subirà revisioni tecniche, giuridiche e linguistiche nei prossimi mesi, tenendo conto dell'accordo politico raggiunto sul merito. Nell'attesa del testo definitivo la Commissione Europea ha aggiornato le proprie FAQ sull'AI Act, rivelando alcuni contenuti chiave che saranno introdotti nel testo finale. Significativamente, le recenti negoziazioni hanno portato all'introduzione, su proposta del Parlamento, di un nuovo adempimento: la Valutazione dell'Impatto sui Diritti Fondamentali, o Fundamental Rights Impact Assessment (FRIA).

Posizione del Consiglio: sistemi di gestione del rischio con focus sui diritti fondamentali

Nella versione dell'AI Act proposta il 6 dicembre 2022 dal Consiglio dell'UE, è stata introdotta per la prima volta all'articolo 9, comma 2, lettera a, una specificazione in merito al sistema di gestione del rischio inizialmente proposto dalla Commissione UE.

Il Consiglio aveva difatti previsto che i fornitori di sistemi di AI ad alto rischio dovessero implementare un sistema di gestione del rischio che, alla luce dello scopo del sistema di AI ad alto rischio, contenesse una fase di identificazione e analisi dei rischi noti, possibili e prevedibili con conseguenze sulla salute, sulla sicurezza e sui diritti fondamentali degli individui. Sebbene la versione proposta dal Consiglio non prevedesse specificamente un obbligo di svolgere un FRIA, tuttavia includeva già un riferimento alla gestione del rischio dell'AI focalizzata sui diritti fondamentali, tuttavia circoscritta ai rischi specifici ragionevolmente mitigabili o eliminabili attraverso lo sviluppo o la progettazione del sistema di intelligenza artificiale ad alto rischio, o la fornitura di informazioni tecniche adeguate. Questa posizione è stata successivamente estesa ed articolata dal Parlamento.

Posizione del Parlamento: introduzione del FRIA

Il 14 giugno 2023, il Parlamento europeo ha approvato la propria proposta dell’AI Act. Questa versione mantiene il sistema di gestione di rischio previsto all’articolo 9, che si concentra sull’identificazione e l’analisi dei rischi e introduce, all’articolo 29, il nuovo obbligo per gli implementatori (deployer) di sistemi di AI ad alto rischio (cioè chi si occupa di portare a termine l’implementazione del sistema di AI), di condurre una valutazione di impatto sui diritti fondamentali. Questa valutazione mira a calcolare gli effetti che un sistema di AI può avere sui diritti fondamentali delle persone potenzialmente impattate dal sistema. Secondo il Parlamento l’implementatore sarebbe il soggetto più adeguato per condurre tale valutazione in quanto ha una conoscenza più dettagliata e approfondita dell’utilizzo specifico del sistema di AI ad alto rischio e una capacità di identificare i rischi più rilevanti che potrebbero non essere stati previsti durante la fase di sviluppo del sistema.

L’Articolo 29a dell’AI Act nella versione del Parlamento stabilisce stringenti protocolli per l’integrazione responsabile di sistemi di AI ad alto rischio, ponendo particolare attenzione al rispetto dei diritti fondamentali:

• prima di implementare tali sistemi, gli attori responsabili devono condurre una valutazione d’impatto completa, delineando chiaramente il fine d’uso, l’ambito temporale e geografico, e le categorie di individui coinvolte;
• deve inoltre esserne verificata la conformità con la legislazione nazionale ed europea in materia di diritti fondamentali. Inoltre, la valutazione deve anticipare e gestire i rischi, considerando gli impatti prevedibili sui diritti fondamentali, i possibili danni alle persone emarginate o ai gruppi vulnerabili, e gli effetti negativi sull’ambiente;
• un piano dettagliato per mitigare i danni e gli impatti negativi deve essere elaborato e reso pubblico, sottolineando la necessità di responsabilità e trasparenza;

Inoltre se durante l’uso del sistema si rilevano cambiamenti significativi del sistema, l’implementatore è tenuto a condurre una nuova valutazione d’impatto. La collaborazione con le autorità nazionali, organizzazioni di pari opportunità, agenzie di tutela dei consumatori e altri portatori d’interesse viene considerata essenziale durante il processo di valutazione. Per promuovere la trasparenza, viene infine richiesta la pubblicazione di una sintesi dei risultati della valutazione.

Posizione del Trilogo: gli elementi essenziali del FRIA

L'accordo raggiunto durante la sessione di trilogo del 6-8 dicembre 2023 dai colegislatori europei amplia la decisione iniziale includendo l'obbligo di condurre una valutazione d'impatto sui diritti fondamentali per alcuni soggetti che impiegano sistemi di AI ad alto rischio. Quest'obbligo si applica agli enti di diritto pubblico o agli operatori privati che forniscono servizi pubblici, nonché agli operatori che forniscono sistemi ad alto rischio. Questi soggetti sono tenuti a eseguire una valutazione dell'impatto sui diritti fondamentali e a riferirne i risultati all'autorità nazionale.

L’obiettivo di questa valutazione comprende diversi elementi chiave:

• Descrizione del processo di implementazione: La valutazione deve includere una descrizione dettagliata del processo in cui verrà utilizzato il sistema di AI ad alto rischio
• Tempo di utilizzo e frequenza: Le organizzazione devono specificare la durata e la frequenza dell’utilizzo predisposto per il sistema di AI ad alto rischio.
• Categorie di persone o gruppi interessati: La valutazione deve identificare le categorie di persone fisiche e gruppi che potrebbero essere interessati dall'uso del sistema di AI nel contesto specifico.
• Rischi specifici di danno: è obbligatorio descrivere i rischi specifici di danno che possono avere un impatto sulle categorie di persone o gruppi identificati.
• Misure di supervisione umana: I responsabili dell'implementazione devono descrivere in dettaglio l'attuazione di misure di supervisione umana per monitorare il sistema di AI.
• Misure di rimedio alla concretizzazione del rischio: Le entità devono delineare le misure da adottare nel caso in cui i rischi identificati si concretizzino.

È importante notare che se l'implementatore ha già adempiuto a questi obblighi attraverso una valutazione d'impatto sulla protezione dei dati, la valutazione d'impatto sui diritti fondamentali deve essere condotta insieme a quella sulla protezione dei dati. Questo approccio integrato garantisce una valutazione approfondita delle implicazioni dell'impiego di sistemi di AI ad alto rischio, dando priorità alla protezione dei diritti fondamentali e alla sicurezza dei dati.

Si rileva infine che l’obbligo di condurre il FRIA è stato introdotto anche relativamente alla nuova categoria di GPAI con rischio sistemico. Anche noti come modelli GPAI ad alto impatto, tali modelli sono stati individuati durante le ultime negoziazioni che hanno delimitato un regime di regolamentazione più stringente per i modelli di GPAI caratterizzati da un addestramento particolarmente intenso, infatti per stabilire quale modello rientra in questa categoria è stata usata l’unita di misura che individua la potenza dei computer. Tale decisione nasce dal fatto che vi è spesso una diretta corrispondenza tra la potenza utilizzata nell’addestramento e dunque anche la mole di dati appresi e le capacità del modello finale. Il limite stabilito a 10^25 FLOPs, oggi includerebbe solamente il top-tier dei modelli di AI come GPT-4 e probabilmente Gemini di Google. Per questi modelli sono stati individuati requisiti ulteriori da attuare prima dell’implementazione che riguardano: la mitigazione dei rischi, la prontezza di risposta agli incidenti, la cybersicurezza, il livello dei test durante lo sviluppo, la documentazione sull’impatto ambientale e naturalmente la valutazione di impatto sui diritti fondamentali.

Esempi di FRIA

La conduzione di valutazioni d’impatto rappresenta un requisito previsto da vari regolamenti europei, tra cui il GDPR, che all'articolo 35 richiede al responsabile del trattamento di eseguire una valutazione d’impatto sulla protezione dei dati quando il trattamento potrebbe comportare un rischio elevato per i diritti e le libertà delle persone fisiche. Tali valutazioni hanno l'obiettivo generale di prevenire e ridurre potenziali danni, assicurando una protezione proattiva dei diritti e delle libertà individuali e garantendo che le misure di sicurezza siano considerate e integrate efficacemente nei processi di sviluppo.

Non è quindi sorprendente che sia stata esercitata pressione per l'inclusione del FRIA nell'AI Act, al fine di promuovere una gestione etica e responsabile degli impatti dell'intelligenza artificiale.

Il primo documento rilevante che ha promosso l'introduzione del FRIA nell'AI Act è “A Civil Society Statement”, pubblicato il 30 novembre 2021 e firmato da associazioni come Algorithm Watch, AccessNow, Anec e altre formalmente riconosciute come ONG, ma sponsorizzate da enti governativi e aziende private, e dirette da consigli direttivi che annoverano giornalisti, professori, avvocati e rappresentanti di startup. Il documento raccomanda fortemente l'introduzione dell'obbligo per chi impiega sistemi di AI ad alto rischio di condurre una valutazione di impatto sui diritti fondamentali prima di adottare qualsiasi sistema di AI ad alto rischio per qualsiasi utilizzo.

Il secondo documento da considerare è stato pubblicato il 14 luglio 2023 dall'associazione ALLAI, un'organizzazione indipendente con membri del consiglio di amministrazione provenienti da OCSE, Commissione Europea, Consiglio d'Europa ed enti governativi olandesi. Tale documento prende in considerazione il FRIA come introdotto nell'ultima versione dell’AI Act del Parlamento e suggerisce che, oltre alla “non discriminazione” e alla “privacy”, praticamente tutti i diritti fondamentali potrebbero essere colpiti dai sistemi di AI, o in alternativa, molte applicazioni di AI già in uso potrebbero esacerbare e amplificare l'impatto su scala, ampliando la portata a fette più ampie della società. In particolare, i sistemi di AI potrebbero avere un effetto negativo su diritti fondamentali quali:

• Dignità e integrità umana, attraverso il controllo, la manipolazione e l'inganno degli individui;
• Libertà dell'individuo, attraverso la sorveglianza (anche di massa) guidata dall'AI tramite il riconoscimento

  facciale, che può portare al c.d. effetto “Grande Fratello”, o il riconoscimento di microespressioni della nostra personalità tramite la voce, la frequenza cardiaca, la temperatura corporea che potrebbero essere utilizzati per prevedere il comportamento o le emozioni delle persone. Questi sistemi di monitoraggio potrebbero avere un impatto sull'integrità delle persone se adottate in contesti come le scuole, nelle assunzioni e nelle attività delle forze dell'ordine.

• Uguaglianza e solidarietà , attraverso la possibilità di amplificare o perpetuare pregiudizi discriminatori e inaccettabili, quando un sistema di AI basato sui dati è difficile da spiegare e i ragionamenti che hanno determinato un risultato non sono rintracciabili.
• Giustizia, attraverso il perpetuarsi di pregiudizi esistenti in situazioni in cui è in gioco la libertà fisica o la sicurezza personale, come nel caso della polizia predittiva. Inoltre, quando un sistema di AI viene utilizzato per la previsione del rischio di recidiva, può avere esiti distorti che mettono a rischio il diritto alla non discriminazione, determinando ulteriori difficoltà quando il sistema adotta ragionamenti non ripercorribili e di difficile comprensione.
• Democrazia, attraverso i sistemi di raccomandazione che determinano i contenuti mostrati agli utenti sulle piattaforme online, che aumentano la diffusione di deepfakes e disinformazione, che possono deteriorare il livello di veridicità e credibilità dei media e del discorso democratico, in particolare con l'attuale facilità di accesso ai sistemi di AI generativi.
• Stato di diritto, quando l'eventuale mancanza di moderazione nell'uso dei sistemi di AI, con l'obiettivo di aumentare l'efficienza di un'istituzione, determina un'erosione della legittimità procedurale e della fiducia nelle istituzioni e nelle autorità democratiche.
• L'ambiente, attraverso l'intenso consumo di energia richiesto durante le fasi di formazione e di funzionamento della maggior parte dei sistemi di AI, in particolare per la GPAI.

Il documento conclude ricordando che i requisiti per la realizzazione di una FRIA devono riguardare sia i fornitori che gli implementatori, poiché un impatto sui diritti fondamentali potrebbe verificarsi sia nella fase di sviluppo che in quella operativa.

Come prepararsi a gestire lo svolgimento dei FRIA: metodologia multifase

In previsione del testo definitivo, le imprese possono prepararsi in modo adeguato all'entrata in vigore dell'AI Act mediante la raccolta anticipata di informazioni utili per condurre il FRIA, ottimizzando gli sforzi e sfruttando al massimo quanto già mappato durante il processo di DPIA, specialmente nei casi in cui i sistemi di intelligenza artificiale comportano trattamenti potenzialmente rischiosi di dati personali.

Si propone di seguito una metodologia a fasi multiple per la valutazione d'impatto, comprendente elementi chiave per condurre un FRIA:

1. Identificazione del Perimetro:
• Cosa: Identificazione dell'ambito geografico e dell'ecosistema di implementazione del sistema AI
• Come: Descrizione dettagliata del sistema, con particolare attenzione a input, output, procedure di gestione dei dati, accessibilità, spiegabilità e potenziali impatti sui diritti fondamentali.
• Chi: Definizione del contesto operativo, identificazione delle parti interessate, categorie di individui coinvolti, con attenzione ai gruppi vulnerabili.
• Perché: Definizione degli scopi e degli obiettivi del sistema AI in allineamento con gli obiettivi dell'organizzazione.
• Quando: Definizione della durata operativa prevista del sistema, considerando cambiamenti tecnologici, normativi e di mercato.
2. Verifica del Quadro Legale:
• Identificazione dei requisiti normativi applicabili al sistema, inclusi obblighi di non discriminazione, protezione ambientale, standard di salute e sicurezza.
• Verifica della conformità con la legislazione UE e nazionale relativa ai diritti fondamentali.
3. Identificazione dell’Impatto e della Gravità:
• Valutazione della serietà dell’impatto potenziale del sistema sui diritti fondamentali delle categorie coinvolte, con particolare attenzione ai soggetti vulnerabili.
4. Mitigazione dei Rischi:
• Descrizione delle misure per rimuovere o mitigare i rischi identificati, con strategie per affrontare i rischi residui.
5. Monitoraggio dei Rischi e delle Mitigazioni:
• Impostazione di indicatori di rischio, metriche e soglie di sicurezza.
• Supervisione continua dei controlli e delle misure di mitigazione, con una pianificazione di aggiornamenti periodici.

La metodologia di FRIA dovrebbe integrarsi sinergicamente con i processi interni di gestione dei rischi e con la metodologia di DPIA nei casi di applicazione congiunta.

Conclusioni

Lo sviluppo di sistemi di AI richiede in taluni casi investimenti di risorse ingenti distribuite su lunghe finestre temporali. La possibilità di effettuare interventi di mitigazione post sviluppo o post rilascio sul mercato può rivelarsi estremamente costosa o addirittura tecnicamente difficoltosa in certe circostanze (ad. esempio a seguito del completamento del training di un modello di AI) per cui anticipare lo svolgimento di tali valutazioni d’impatto nella fase di progettazione e prototipazione dei sistemi di AI può contribuire significativamente a realizzare o integrare soluzioni di AI che rispettino i diritti fondamentali degli individui e che siano conformi con i requisiti di legge.

Su simile argomento può essere di interesse: “L’AI Act è stato Approvato: Tutto Quello Che Dovete Sapere”.

Cookieless web: verso un mondo senza cookie grazie all’AI?

I cookie rivestono un ruolo fondamentale per le iniziative marketing online ma sembra che questi siano destinati a scomparire, lasciando spazio a modi alternativi per fare pubblicità online, creando un mondo senza cookie grazie all’AI (cookieless web).

Innanzitutto, occorre definire che cosa sono i cookie. I cookie, come definiti dal Garante Privacy nelle Linee Guida sui Cookie (sull’argomento, si veda Siete pronti alle nuove linee guida del Garante privacy sui cookie?), come stringhe di testo che i siti web (c.d. publisher, o prime parti) visitati dall’utente ovvero siti o web server diversi (c.d. terze parti) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” - all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.

E, come anche previsto dal Garante, si suddividono principalmente in tre categorie:

• Cookie tecnici
• Cookie analitici e
• Cookie di profilazione.

Ai sensi dell’art. 122 del Codice Privacy, che implementa l’articolo 5.3 della Direttiva ePrivacy, solamente per queste ultime due categorie è richiesto il consenso dell’utente prima di poterli installare (per i cookie analitici, solo quando questi sono di terze parti), attraverso cookie banner realizzati in maniera user friendly evitando i c.d. dark patterns (sull’argomento, si veda La prima sanzione del Garante privacy sui dark pattern: l’importanza del legal design) ai sensi delle Linee Guida sui Cookie del Garante.

Pertanto, per fini analitici (quando i cookie sono installati da terze parti), o di profilazione, il sito web deve necessariamente raccogliere il consenso degli utenti, altrimenti potranno essere installati unicamente cookie c.d. tecnici necessari per poter navigare sul sito, rendendo dunque i dati degli utenti che non hanno acconsentito inutilizzabili per finalità di analisi per esempio delle campagne marketing, o ancora per finalità di profilazione.

Per tale ragione, alcuni provider come Google, stanno promuovendo modi per utilizzare anche le informazioni ottenute dagli utenti che non hanno acconsentito all’installazione dei cookie, in maniera aggregata, non installando alcun cookie sui dispositivi degli utenti ma solo utilizzando altri tracciatori come i ping (per questo motivo si parla di cookieless world). Attraverso l’AI, e sulla base di poche informazioni, i ping riescono a recuperare informazioni fondamentali sull’efficacia delle campagne digitali nell’attirare lead e aumentare le vendite online anche quando gli utenti non accettano i cookie, attraverso calcoli probabilistici. È chiaro dunque come questi strumenti possano essere molto utili per le aziende, con cui è pertanto possibile circuire il problema di doversi preoccupare di aver acquisito il consenso degli utenti, prima di poter utilizzare tali dati.

Come detto, però, tecnicamente tali informazioni vengono recuperate attraverso i ping che sono strumenti di tracciamento c.d. passivi. Anche tali strumenti, benché non prevedano uno storage nei dispositivi degli utenti, entrano nell’ambito di applicazione delle Linee Guida sui Cookie del Garante, nonché nelle Linee Guida 2/2023 dell’EDPB, e pertanto non sono da considerarsi completamente esenti dalle tematiche in tema di cookie.

Il tema privacy principale in merito all’utilizzo di questi strumenti cookieless, che, si badi bene, al momento non sono ancora stati oggetto di alcuna decisione da parte delle autorità privacy europee (ma potrebbero esserlo) è comprendere fino a che punto i provider riescono a garantire di non poter risalire in alcun modo agli utenti che non hanno acconsentito all’installazione dei cookie.

Per il momento, un mondo senza cookie grazie all’AI sembra possibile, ma la questione rimane aperta, e, sebbene da un lato i ping ben possano rientrare nella definizione di “cookie tecnici”, è anche vero che (i) le posizioni delle autorità privacy europee sul tema dei cookie e degli altri strumenti di tracciamento si è sempre fatta più rigida, e poco flessibile, e (ii) al momento si hanno ancora troppe poche informazioni rispetto a come tecnicamente i provider utilizzano le informazioni ottenute attraverso i ping.

Su un simile argomento può essere di interesse: “Siete pronti alle nuove linee guida del Garante privacy sui cookie?”.

Il piano di lavoro sull’uso dell’intelligenza artificiale nella regolamentazione dei farmaci

Il 18 dicembre 2023, l’European Medicines Agency (EMA) e l’Heads of Medicines Agencies (HMA) hanno pubblicato un piano di lavoro sull’intelligenza artificiale, che definisce una strategia collaborativa e coordinata sull’uso dell’IA nella regolamentazione dei farmaci, fino al 2028, volta a massimizzare i benefici per le parti interessate e gestire adeguatamente i rischi legati all’uso di tale tecnologia.

Il piano di lavoro, preparato nell’ambito del “HMA-EMA Big Data Steering Group”, ha l’obiettivo di garantire che l’European Medicines Regulatory Network rimanga all’avanguardia nell’utilizzo dell’AI nella regolamentazione dei farmaci. Al pari delle aziende farmaceutiche, che sempre più spesso si avvalgono di sistemi di AI per le loro attività di ricerca, sviluppo e monitoraggio dei farmaci, le autorità regolatorie intendono rispondere alle nuove opportunità e sfide del mercato iniziando ad utilizzare e sviluppare strumenti di AI.

In particolare, il piano di lavoro è sviluppato su quattro pilastri:

• Indirizzo, policy e supporto ai prodotti: adozione di azioni mirate al supporto continuo ai prodotti in fase di sviluppo e sullo sviluppo e la valutazione di linee guida appropriate per l’uso dell’AI nel ciclo di vita di un farmaco. Tali azioni sono già in corso, se si considera la consultazione pubblica aperta sull’“AI Reflection Paper”, che terminerà alla fine di dicembre 2023.
• Strumenti e tecnologie di AI: l’obiettivo è quello di individuare dei framework per tutta la rete in relazione all’utilizzo di strumenti di AI, al fine di aumentare l’efficienza, migliorare comprensione ed analisi dei dati e supportare il processo decisionale dell’AI. Il tutto garantendo il pieno rispetto della normativa sulla protezione dei dati.
• Collaborazione e formazione: implementazione di iniziative volte a sviluppare in modo continuativo le capacità e le competenze della rete, dei partner e delle parti interessate, così da assicurare il costante aggiornamento con una tecnologia in continua evoluzione.
• Sperimentazione: viene riconosciuto il ruolo fondamentale della sperimentazione per accelerare l’apprendimento e acquisire nuove conoscenze. Vengono dunque proposte diverse azioni per garantire un approccio strutturato alla sperimentazione su tutta la rete.

Il piano di lavoro verrà aggiornato regolarmente, proprio in considerazione della rapida e continua evoluzione dell’AI. Si precisa inoltre che le autorità regolatorie, i soggetti che sviluppano farmaci, gli accademici, le organizzazioni di pazienti ed altre parti interessate verranno informati e coinvolti durante l’attuazione del piano di lavoro.

Su un simile argomento può essere di interesse: “Le implicazioni dell’AI nel settore dei dispositivi medici”.

 

Intellectual Property

Diritto d’autore nel mondo della musica: Kanye West e l'uso non autorizzato di “Everybody” dei Backstreet Boys nel suo prossimo brano

Dopo l’evento di lancio del joint album “Ventures” di Kanye West e Ty Dolla Sign, tenutosi a Miami lo scorso 12 dicembre 2023, la traccia di apertura ha generato diverse polemiche perché costruita attorno al ritornello della famosissima Everybody dei Backstreet Boys, senza autorizzazione di questi ultimi, i quali, però, non sono gli autori del brano.

Fermo restando che al momento non sono trapelate informazioni complete e attendibili sugli eventuali accordi conclusi dal rapper e che i Backstreet Boys non hanno rilasciato dichiarazioni ufficiali sul tema le conseguenze giuridiche di tale utilizzo sono più complesse di quanto potrebbe apparire a prima vista. Infatti, invece di utilizzare un sample di Everybody, nel nuovo brano il famoso ed orecchiabilissimo ritornello di Everybody è stato ricreato (e ricantato) da Charlie Wilson (che si unisce a West, Ty Dolla Sign e Lil Baby). Si tratta, quindi, di un'interpolazione, termine con cui si indica una nuova registrazione di un segmento di un brano preesistente da parte di un artista diverso da colui/colei che ha reso la performance originale, senza ricorrere all’utilizzo della registrazione originaria.

Al di là dei tecnicismi, l’uso di una tecnica o dell’altra ha importanti conseguenze sotto il profilo legale. Nel caso che ci occupa, infatti, non è stata utilizzata la vecchia registrazione (i. cd. master) dei Backstreet Boys Boys, ma solo il testo e la musica della canzone. Mentre il campionamento avrebbe imposto di ottenere l'autorizzazione sia di autori ed editore sia del titolare dei diritti sulla registrazione, ossia il soggetto che ha assunto “l’iniziativa e la responsabilità della prima fissazione dei suoni provenienti da una interpretazione o esecuzione o di altri suoni o di rappresentazioni di suoni”(art. 78 LDA) e che di norma è la casa discografica, l’interpolazione richiede solamente il permesso di autori ed editore, in quanto non si fa uso della registrazione. Sotto il profilo giuridico, quindi, l’aspetto chiave dell'interpolazione risiede nella relativa semplificazione del processo autorizzativo.

Ora, contrariamente a quel che si potrebbe pensare, Everybody non è stata scritta dalla boy band, ma dall’hit-maker Max Martin e da Denniz Pop. Di conseguenza, le attuali speculazioni sembrano essere prive di una base giuridica concreta, dal momento che i Backstreet Boys sono qualificati come interpreti ed esecutori della canzone, ma non come autori. Ne deriva che i rapper americani non erano legalmente vincolati ad ottenere il permesso da parte dei membri della band sull’utilizzo dell’interpolazione in questione. Semmai, avrebbero dovuto negoziare una licenza solo con Max Martin, gli eredi di Denniz Pop e l’editore. Tuttavia, ad oggi anche su questo punto non sono trapelate notizie ufficiali.

Resta, quindi, da chiedersi, se i Backstreet Boys, in qualità di artisti interpreti ed esecutori potrebbero, in linea teorica, opporsi all’utilizzo del ritornello da parte del rapper. Fermo il fatto che nel caso in esame si applicherà, se del caso, la legge americana (che peraltro non contempla diritti morali), possiamo immaginare cosa potrebbe accadere se la vicenda si fosse svolta in Italia.

Anche in questo caso, le opzioni per i membri della band sarebbero limitate. La Legge sul Diritto d’Autore, infatti riconosce agli artisti interpreti ed esecutori diritti sia patrimoniali che morali. Tuttavia, sotto quest’ultimo profilo, a norma dell’art. 81 L.d.A., l’artista può opporsi alla diffusione, trasmissione o riproduzione della sua recitazione, rappresentazione o esecuzione che possa essere di pregiudizio al suo onore o reputazione. Al di là del fatto che tale norma è particolarmente restrittiva, limitando la protezione solo per la lesione dell’onore o reputazione, e non anche, per esempio, del decoro o del rispetto della integrale stesura della prestazione artistica, nel caso di specie la band non potrebbe comunque azionare tale diritto, atteso che nel contesto dell’interpolazione non vi è alcuna riproduzione della performance. Di conseguenza, l’unica opzione per contestare gli eventuali danni reputazionali derivanti da una associazione dell’immagine della band a quella di Kanye West, che, come noto negli ultimi mesi ha rilasciato diverse dichiarazioni gravi e deliranti, sarebbe un’azione di risarcimento per danno reputazionale e all’immagine, che tuttavia richiederebbe un supporto probatorio difficile da ottenere, considerato che la citazione di canzoni in altre canzoni è ormai una pratica all’ordine del giorno.

Su di un simile argomento, può essere interessante l’articolo “Sampling, interpolation o plagio? Musica che cita musica”.

Sanzione dell'AGCM a Ferragni e Balocco per pratica commerciale scorretta

Negli ultimi giorni, grande attenzione mediatica è stata rivolta al recentissimo provvedimento dell'Autorità Garante della Concorrenza e del Mercato (AGCM) che ha inflitto ingenti sanzioni alle imprese Fenice S.r.l. e TBS Crew S.r.l., titolari dei diritti e dei marchi legati alla personalità dell'influencer Chiara Ferragni, per un ammontare rispettivamente di EUR400 mila e EUR675 mila, e alla Balocco S.p.A., per una somma di EUR420 mila, ritenendo che queste avessero condotto una pratica commerciale scorretta nel promuovere lo scorso anno il “Pandoro Pink Christmas” associato al nome di Chiara Ferragni.

Come ormai noto, tale promozione faceva intendere ai consumatori che il diretto acquisto del pandoro avrebbe contribuito a una donazione a favore dell'Ospedale Regina Margherita di Torino, finalizzata all'acquisto di un nuovo macchinario per le cure terapeutiche dei bambini affetti da Osteosarcoma e Sarcoma di Ewing. Invece, la vera e unica donazione, pari a EUR50 mila, d'accordo tra le parti coinvolte era stata effettuata da Balocco già a maggio 2022.

Come riportato nel comunicato stampa dell'Autorità del 15 dicembre scorso, l'ACGM ha ritenuto che la pratica commerciale scorretta posta in essere dalle menzionate società si fosse articolata nelle seguenti condotte:

• “far credere, nel comunicato stampa di presentazione dell’iniziativa, che acquistando il 'Pandoro Pink Christmas' al prezzo di oltre EUR9, anziché di circa EUR3,70 del pandoro non griffato, i consumatori avrebbero contribuito alla donazione che, in realtà, era già stata fatta dalla sola Balocco, in cifra fissa, a maggio 2022, quindi molti mesi prima del lancio dell’iniziativa, avvenuto a novembre 2022;
• aver diffuso, tramite il cartiglio apposto su ogni singolo pandoro 'griffato' Ferragni, informazioni idonee ad avvalorare la circostanza - non vera - che l’acquisto del prodotto avrebbe contribuito alla donazione pubblicizzata;
• aver pubblicato post e stories sui canali social della signora Ferragni in cui si lasciava intendere che comprando il 'Pandoro Pink Christmas' si poteva contribuire alla donazione e che la Signora Ferragni partecipava direttamente alla donazione, circostanze risultate non rispondenti al vero, nonostante le sue società avessero incassato oltre EUR1 milione.”

In aggiunta, l'Autorità ha attribuito particolare rilevanza al prezzo stesso del pandoro “griffato", venduto al pubblico ad una cifra che equivale approssimativamente a due volte e mezzo il costo del tradizionale Pandoro Balocco. Tale strategia ha evidentemente tratto in inganno i consumatori, consolidando la loro percezione di sostenere una causa benefica attraverso l'acquisto del "Pandoro Pink Christmas”.

Pertanto, secondo l'AGCM le condotte attuate dalle società coinvolte hanno limitato considerevolmente la libertà di scelta dei consumatori facendo leva sulla loro sensibilità verso iniziative benefiche. Così, violando il dovere di diligenza professionale di cui all'art. 20 del D.lgs. n. 206/2005 (Codice del Consumo) e integrando una pratica commerciale scorretta, connotata da elementi di ingannevolezza ai sensi degli articoli 21 e 22 del Codice del Consumo.

Non vi è dubbio che questo provvedimento costituirà d'ora in poi un importantissimo precedente per casi simili, sia rispetto ai parametri che dovranno essere applicati in termini “soglia di ingannevolezza” sia in termini di quantificazione monetaria della sanzione.

Alla luce di questa recente decisione, tutti i soggetti che vorranno svolgere attività di Cause Related Marketing (CRM) – la cui forma più comune è proprio quella del collegamento esplicito tra l'acquisto di beni o servizi e la devoluzione dei ricavi verso una causa o una specifica organizzazione non profit – dovranno prestare ancora più attenzione alle modalità con cui intenderanno promuovere la propria iniziativa.

Anzitutto, ogni azienda che si affaccia al CRM dovrà rendere evidente la natura pubblicitaria del messaggio, evitando confusioni o ambiguità che potrebbero trarre in inganno i consumatori. La pubblicità, infatti, deve essere palese, veritiera e corretta. Ciò significa che le informazioni trasmesse dovranno essere attendibili e tali da non indurre in errore i consumatori e da consentire agli stessi di prendere decisioni consapevoli nella scelta di acquisto di un prodotto o di un servizio. È vietata anche l'omissione di dati rilevanti che potrebbero influenzare tale scelta, come il fatto ad esempio che le donazioni siano a quota fissa e indipendenti dal numero di prodotti venduti. Il consumatore deve sempre essere messo nella posizione di capire esattamente a cosa sta contribuendo.

Proprio nel contesto del CRM, sarà essenziale fornire informazioni dettagliate sul costo del prodotto o del servizio e sulla specifica percentuale devoluta in beneficenza. Questi elementi dovrebbero essere parte integrante delle informazioni fornite agli acquirenti, come previsto dalla legge che richiede la divulgazione delle caratteristiche principali del prodotto e degli impegni del professionista, nonché una chiara spiegazione del processo di vendita (art. 21, co. 1, lettere b) e c) del Codice del Consumo). Solo queste informazioni, infatti, possono "giustificare” il prezzo aggiuntivo che i consumatori sono disposti a pagare per sostenere una causa sociale tramite l'acquisto di prodotti o servizi promossi da una o più aziende.

Si aggiunga anche che i messaggi di comunicazione sociale dovrebbero sempre riportare l’identità dell’autore e del beneficiario della richiesta, nonché l’obiettivo sociale che si intende raggiungere, senza sovrastimare lo specifico o potenziale valore del contributo all’iniziativa.

Infine, i messaggi sociali che l'azienda diffonde dovranno essere concretamente in linea con la propria condotta e attività. In caso contrario, anche i diretti concorrenti potrebbero subire indirettamente dei danni a causa del vantaggio competitivo ottenuto dall'azienda che, proclamandosi responsabile socialmente, attira una parte di consumatori sensibili a tematiche etiche. Come noto, infatti, è considerato sleale ogni comportamento che va contro i principi di correttezza professionale e che potrebbe danneggiare l'azienda altrui e come tale costituire un atto di concorrenza sleale.

Assicurarsi di mantenere una condotta trasparente è la chiave per evitare controversie e costruire relazioni di fiducia nel mercato. Pertanto, il rispetto della normativa illustrata deve essere percepito come un impegno imprescindibile per le aziende che intendono evitare ripercussioni negative sulla propria reputazione e attività.

Come si è visto nel caso in esame, infatti, le pratiche commerciali scorrette, la pubblicità ingannevole e la concorrenza sleale sono attività rischiose che possono portare le aziende ad incorrere in ingenti sanzioni amministrative, oltre che rischi reputazionali.

Ciò che è certo è che in attesa di un intervento legislativo per meglio definire linee guida e best practices relative alle attività di CRM, le aziende dovranno necessariamente seguire le regole generali in materia di pubblicità e tutela del consumatore sopra menzionate.

Su un simile argomento può essere interessante l’articolo “Sanzione dell’AGCM da EUR3,6 milioni di per pratiche commerciali scorrette contro una catena di distribuzione”.

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Silvia Cerrato, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Nadia Feola, Chiara Fiore, Claudia Galatioto, Laura Gastaldi, Vincenzo Giuffré, Marco Guarna, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Dalila Mentuccia, Deborah Paracchini, Tommaso Ricci, Miriam Romeo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui. 

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.