Innovazione e diritto: le novità della settimana

Podcast

Matteo Flora su 3 cose da non fare e 3 cose da fare nella comunicazione su un attacco ransomware

Matteo Flora è un esperto di comunicazione del c.d. stato di crisi quale è da considerarsi un cyber attacco di tipo ransomware. In questo episodio di Diritto al Digitale, Matteo discute con Giulio Coraggio delle tre cose da non fare nella gestione della comunicazione di un ransomware e delle tre cose da fare, fornendo indicazioni utili per tutte le aziende. Il podcast è disponibile qui.

Privacy

Garante privacy: pubblicato il piano ispettivo per il primo semestre 2022

È stato approvato il piano ispettivo del Garante privacy per il primo semestre 2022 che coinvolge principalmente i settori degli smart toys, cookie, app “rubadati”, ma anche siti di incontri, monetizzazione dei dati e database.

Il Garante sulla protezione dei dati personali definisce attraverso il piano ispettivo, le priorità in relazione alle risorse disponibili e individua i criteri dell’azione ispettiva, ricomprendendo anche l’accertamento in loco del personale dell’Ufficio o della Guardia di Finanza, dove occorre effettuare rilevazioni utili al controllo. L’attività ispettiva del Garante, disciplinata dal regolamento 1/2019 della stessa Autorità, prevede che, nel corso dell’attività ispettiva è possibile:

1. Controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
2. richiedere informazioni e spiegazioni;
3. accedere alle banche dati ed agli archivi;
4. acquisire copia delle banche dati e degli archivi su supporto informatico”.

L’attività di ispezione del Garante si concentrerà sui trattamenti che riguardano:

• i “fornitori di database”: continua la lotta al telemarketing che dovrebbe acuirsi con l'approvazione del nuovo Registro delle Opposizioni;
• piattaforme e siti web in ordine alla corretta gestione dei cookies: si tratta di qualcosa di atteso dopo l'entrata in vigore delle nuove linee guida sui cookies e la decisione del Garante austriaco su Google Analytics che dà rilievo anche alla problematica relativa alla necessità di eseguire le valutazioni dei trasferimenti fuori l'EEA (sul punto si veda Il trasferimento di dati personali da Google Analytics agli Stati Uniti è stato contestato dall’autorità privacy austriaca);
• il settore della c.d. videosorveglianza. Si tratta di un argomento sempre caldo su cui il Garante ha di recente pubblicato una scheda informativa che riassume le regole da seguire in caso di sistemi di videosorveglianza installati da persone fisiche in ambito personale o domestico;
• siti di incontri, operatori dell’ambito della c.d. data monetizatione da parte di produttori e distributori di smart toys: in questo caso si tratta di attività molto delicate perché potrebbero coinvolgere soggetti considerati particolarmente deboli;
• l'utilizzo di algoritmi e intelligenza artificiale in ambito pubblico e privato: anche in questo caso, si tratta di un tema che è stato oggetto di alcune recenti decisioni del Garante contro le società di food-delivery, che hanno utilizzato una piattaforma digitale discriminatoria verso i rider (sul punto si veda Sanzione privacy contro una società di food delivery per algoritmi discriminatori verso i rider);
• l'ultilizzo di app e altri applicativi informatici con riferimento all’acquisizione di informazioni e dati personali da parte di app su smartphone e alla verifica sul corretto trattamento dei dati da parte di app diverse da VerificaC19: la pandemia ha fatto sentire alcuni "legittimati" a superare le norme privacy ma il Garante ha sempre avuto una posizione ferma sull'argomento: “Ulteriori accertamenti faranno luce sulla corretta individuazione dei titolari e dei responsabili del trattamento in ambiti pubblici e privati, anche in relazione all’utilizzo di app e altri applicativi spia. Attenzione particolare sarà riservata all’acquisizione di dati personali da parte di app istallate sugli smartphone, e alla verifica del corretto trattamento dei dati da parte di app diverse da Verifica C19.” (ne abbiamo discusso qui: Green pass: il Garante Privacy avvia una indagine sulle app pirata).

Il piano ispettivo è di particolare interesse in quanto dimostra che il Garante non si concentra solamente sulle violazioni alla normativa ma anche, e soprattutto, sul rispetto dei principi di accountability.

Technology, Media and Telecommunications

Digital Services Act (DSA): arriva l’ok del Parlamento Europeo

Il testo della proposta di Regolamento relativo a un mercato unico dei servizi digitali (legge sui servizi digitali o Digital Services Act) del 15 dicembre 2020 è stato approvato dal Parlamento Europeo in seduta plenaria, con alcuni emendamenti, costituendo ora il mandato per negoziare la stesura finale con la presidenza francese del Consiglio in rappresentanza dei paesi membri.

La proposta di Digital Services Act (o DSA) si pone l’obiettivo di stabilire regole comuni in ambito europeo per regolamentare le piattaforme ed i servizi digitali, definendo competenze e responsabilità chiare per i prestatori di servizi intermediari e, in particolare, per le piattaforme online come i social media e mercati online.

Il testo approvato dal Parlamento istituisce un meccanismo di “notice and take down” per garantire la rimozione di contenuti, prodotti e servizi illegali online. Ricevuta una notifica di questo tipo, i prestatori di servizi hosting dovrebbero rimuovere tale contenuto “senza indebito ritardo, tenendo conto del tipo di contenuto illegale oggetto di notifica e dell’urgenza dell’intervento”. Apportando alcune modifiche alla versione presentata dalla Commissione, il Parlamento ha previsto meccanismi più garantistici affinché le notifiche ricevute dai providers siano trattate in modo non arbitrario e senza discriminazioni, anche nell’ottica di un bilanciamento della tutela dei diritti fondamentali coinvolti, compresa la libertà di espressione.

Per i marketplace online è stato rafforzato l’obbligo di tracciamento dei commercianti (i.e. principio del “Know Your Business Customer”), con lo scopo di contrastare la diffusione di contenuti illegali e nocivi, nonché di disinformazione, soprattutto per quanto concerne piattaforme di notevoli dimensioni. In particolare, è stata prevista l’inclusione di disposizioni in materia di “risk assessments” obbligatori, misure di attenuazione dei rischi e audit indipendenti, oltre che per una maggiore trasparenza dei cosiddetti “sistemi di raccomandazione”, ossia algoritmi che determinano cosa viene visualizzato dall’utente.

Il Parlamento ha poi introdotto ulteriori modifiche alla proposta della Commissione, tra cui: (i) l’esenzione di microimprese e piccole imprese da alcuni degli obblighi previsti dal DSA; (ii) con riferimento al targeted advertising, i destinatari dei servizi digitali dovranno poter accedervi in modo più trasparente ed informato, potendo rifiutare/revocare il proprio consenso con la stessa facilità con cui l’hanno prestato e disponendo di altre opzioni eque e ragionevoli per accedere alla piattaforma, comprese quelle basate sul “tracking-free advertising”. Si considerano informazioni rilevanti anche quelle sulla monetizzazione dei dati personali; (iii) il divieto di utilizzare tecniche di “targeting” o amplificazione che trattino dati personali di minori a fini pubblicitari, così come il targeting di individui sulla base di categorie particolari di dati e (iv) il divieto di utilizzare tecniche ingannevoli o di “nudging” per influenzare il comportamento degli utenti attraverso “dark patterns”.

È stata altresì prevista la necessità da parte delle piattaforme di predisporre almeno un sistema di raccomandazione non basato sulla profilazione, nell’ottica di offrire una maggior scelta in termini di classificazione basata su algoritmi. A questo si aggiunge la possibilità, per i destinatari dei servizi digitali e le organizzazioni che li rappresentano, di chiedere un risarcimento per eventuali danni derivanti dal mancato rispetto da parte delle piattaforme degli obblighi di “due diligence”.

Infine, tra gli emendamenti approvati dal Parlamento rileva la necessità per i providers di prevedere nei loro termini e condizioni il rispetto dei diritti e libertà fondamentali riconosciute a livello europeo, compresa la libertà di espressione e la libertà ed il pluralismo dei media, così come il diritto di utilizzare e pagare per i servizi digitali in modo anonimo.

Su un simile argomento potrebbe interessarti: “Le proposte di Digital Services Act e di Digital Markets Act per riformare i servizi online nell’Unione Europea”

Pubblicati i Bandi dei Piani “Scuole connesse” e “Sanità connessa”

Il 28 gennaio scorso Infratel ha dato avviso della pubblicazione dei bandi di gara relativi all’attuazione dei Piani “Scuole connesse” e “Sanità connessa”, previsti dalla Strategia nazionale per la Banda Ultra larga, approvata dal Comitato interministeriale per la transizione digitale (CiTD) il 25 maggio 2021, nell’ambito del Piano Nazionale di Ripresa e Resilienza (“PNRR”), con l’obiettivo di favorire lo sviluppo delle infrastrutture di telecomunicazione, fisse e mobili, definendo le azioni necessarie al raggiungimento degli obiettivi di trasformazione digitale indicati dalla Commissione europea.

Il bando relativo al Piano “Scuole connesse” e il bando relativo al Piano “Sanità connessa” hanno ad oggetto la fornitura di servizi di connettività a internet a banda ultralarga presso, rispettivamente, quasi 10.000 scuole su tutto il territorio italiano e oltre 12.000 strutture del servizio sanitario pubblico.

I due bandi seguono quello relativo al “Piano Italia a 1 Giga”, pubblicato lo scorso 15 gennaio.

Come si legge nell’avviso di gara relativo al Piano “Scuole connesse”, disponibile sul sito di Infratel, la relativa procedura di gara è stata indetta al fine di individuare “l’operatore economico cui affidare, mediante la sottoscrizione di un accordo quadro, la fornitura di servizi di connettività Internet a banda ultralarga presso scuole sul territorio italiano, compresa la fornitura e posa in opera della rete di accesso e servizi di gestione e manutenzione”. Per quanto riguarda il Piano “Sanità connessa”, nell’avviso di gara si legge che Infratel ha dato avvio alla relativa procedura per l’individuazione dell’ “operatore economico cui affidare, mediante la sottoscrizione di un accordo quadro, la fornitura di servizi di connettività a banda ultralarga presso le strutture del servizio sanitario pubblico sul territorio italiano, compresa la fornitura e posa in opera della rete di accesso e servizi di gestione e manutenzione”.

In particolare, il bando relativo al Piano “Scuole connesse” – per il quale il Governo ha stanziato circa 184 milioni di euro – prevede interventi finalizzati a connettere, con velocità simmetriche di almeno 1 Gbps, quasi 10.000 sedi scolastiche di tutto il territorio italiano, suddivise in otto aree geografiche (corrispondenti ai lotti oggetto di gara). È previsto che lo stesso soggetto potrà aggiudicarsi fino ad un massimo di quattro lotti.

Il Bando relativo al Piano “Sanità connessa” – finanziato con fondi in misura pari a circa 387 milioni di euro – mira invece a garantire connettività, con velocità simmetriche di almeno 1 Gbps e fino a 10 Gbps, a oltre 12.000 strutture sanitarie, dagli ambulatori agli ospedali, anch’esse suddivise in otto aree geografiche (corrispondenti ad altrettanti lotti oggetto della procedura).

È previsto che gli interventi di infrastrutturazione finanziati con entrambi i bandi dovranno concludersi entro il 30 giugno 2026.

I bandi prevedono i medesimi criteri di assegnazione per tutti i lotti, i quali comprendono: (i) offerta economica; (ii) miglioramento delle performance di connettività richieste e delle condizioni tecniche ed economiche minime previste, anche sui servizi di sicurezza; (iii) copertura wi-fi delle strutture; (iv) qualità dei piani di assunzione e formazione del personale e di gestione del progetto; (v) impegni relativi a inclusione, diversità di genere, persone con disabilità e sostegno a categorie svantaggiate; (vi) eventuali miglioramenti dei requisiti minimi.

Su un simile argomento può essere interessante l’articolo: “Pubblicato il Bando del Piano “Italia a 1 Giga””.

Intellectual Property

PNRR: pubblicato l’Avviso per l’acquisizione dei servizi per la digitalizzazione del patrimonio culturale

Il 26 gennaio 2022, l’Istituto centrale per la digitalizzazione del patrimonio culturale del Ministero della Cultura (di seguito “Digital Library”) ha pubblicato sulla piattaforma di Invitalia e sul sito Istituzionale della Digital Library l’Avviso di consultazione preliminare di mercato per l’acquisizione di servizi per la digitalizzazione del patrimonio culturale italiano.

Con tale pubblicazione è stato dato avvio ad una consultazione preliminare finalizzata ad acquisire una conoscenza approfondita del mercato di riferimento dei servizi di digitalizzazione in vista delle future gare d’appalto di servizi che la Digital Library svolgerà in relazione al progetto di digitalizzazione del patrimonio culturale.

L’Avviso segna quindi l’inizio del programma di investimento di 200 milioni di euro previsto dal PNRR Cultura 4.0, parte del più ampio investimento del valore di 500 milioni di euro finalizzato a sostenere la creazione di un patrimonio digitale della cultura, allo scopo di conseguire i seguenti target: (i) la produzione, entro il 31 dicembre 2025, di almeno 65 milioni di nuove risorge digitali, tra cui libri e manoscritti, documenti e fotografie, opere d’arte e artefatti storici e archeologici, monumenti e siti archeologici, materiali audiovisivi; e (ii) la produzione, entro giugno 2026, di ulteriori 10 milioni di nuove risorse digitali (per un totale di 75 milioni di risorse digitali pubblicate).

La Digital Library ha sottolineato che tale piano di digitalizzazione, da realizzare insieme alle Regioni, dovrà portare alla creazione di un ecosistema digitale della cultura, basato su un insieme coordinato e interdipendente di infrastrutture e piattaforme per la creazione e gestione di servizi di produzione, raccolta, conservazione, distribuzione e fruizione di risorse culturali digitali.

Le procedure di gara avranno ad oggetto l’affidamento di servizi quali la preparazione, movimentazione e descrizione/catalogazione dei beni. Saranno compresi anche servizi di acquisizione, classificazione e digitalizzazione di vari beni culturali, tra cui libri, i manoscritti, sculture e materiali audiovisivi. Per determinate categorie di beni, saranno inoltre previste alcune specifiche tecniche, ad esempio la qualità della fotografia digitale che deve essere ad alta risoluzione o la scansione di documenti e immagini bidimensionali tramite scanner specifici. L’affidamento riguarderà inoltre i servizi di normalizzazione, aggiornamento e adeguamento della risorse digitali già in possesso delle istituzioni culturali, oltre che i servizi di metadatazione dei contenuti digitali, che consistono nell’ordinare i database e i collegamenti tra le varie tipologie di dati a disposizione. Infine, le imprese aggiudicatarie si occuperanno anche di servizi di elaborazione e di post-produzione dei nuovi contenuti digitali raccolti.

È stato precisato che le risorse digitali raccolte dovranno essere elaborate in modo da essere consegnate alla Digital Library in un formato leggibile, che non necessiti di ulteriore elaborazione da parte dell'Istituto. Inoltre, dovrà essere consegnata duplice copia di tutte le risorse create: una copia nel formato originale di acquisizione, un’altra nel formato post-prodotto, più leggero e contenuto in termini di dimensioni.

Per accedere alle procedure di gara gli operatori economici dovranno rispondere a un questionario che si compone di 20 sezioni. Visto il carattere specifico delle attività da svolgere, accanto alla richiesta di indicazione di alcune informazioni riguardanti le società e delle modalità di partecipazione singola o associata, sono stati inseriti quesiti inerenti alle categorie di beni da digitalizzare, quali materiale cartaceo, fotografie, oggetti museali, materiali audio e video, siti monumenti e ambienti (3D). Per ciascuna tipologia di beni verrà richiesto il posizionamento dell’azienda rispetto alla fornitura di servizi di digitalizzazione del patrimonio culturale, una stima della capacità produttiva tipica giornaliera, e le certificazioni, le esperienze e le competenze di cui è in possesso il personale.

Le gare d’appalto verranno pubblicate alle ore 14 del 21 febbraio, alla scadenza del termine per la presentazione della manifestazione di interesse da parte degli operatori intenzionati a partecipare alla consultazione. Alle imprese aggiudicatarie sarà affidato, anche congiuntamente, lo svolgimento dei servizi di digitalizzazione, aventi una durata di circa tre anni, da marzo 2023 a giugno 2026, termine previsto per il completamento del progetto di digitalizzazione del patrimonio. Tale progetto sarà realizzato seguendo anche le linee guida dettagliate all’interno del Piano Nazionale di Digitalizzazione, la cui redazione definitiva è prevista entro giugno 2022.

Su un simile argomento può essere interessante l’articolo: Angelo Meregalli, ex Sr. Director di PayPal, sulle opportunità per la digitalizzazione con il PNRR.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Tamara D’Angeli, Enila Elezi, Giulia Gialletti, Filippo Grondona, Lara Mastrangelo, Alessandra Tozzi.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere le legal predictions per l’anno 2022 curate dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dagli stessi professionisti in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.