Innovation Law Insights

Webinar

Come il legal tech sta cambiando i servizi legali e come approfittarne

In questo webinar, che si svolgerà il 20 ottobre, Giulio Coraggio e Tommaso Ricci dello studio legale DLA Piper daranno un quadro di insieme dello stato del mercato del legal tech, sia a livello italiano che internazionale, illustrando la tipologia di servizi legali che possono già essere automatizzati o resi più efficienti tramite il supporto della tecnologia e illustrando alcune soluzioni realizzate o sviluppate dallo studio per migliorare l’offerta dei servizi legali.

Il webinar è organizzato dalla Camera di Commercio Italo Germanica in collaborazione con lo studio legale DLA Piper quale parte della seconda edizione del Working Group TechLaw.

Per registrarsi è necessario inviare un'email a eventi@dlapiper.com; ulteriori dettagli sono disponibili qui.

Privacy

L’attuale incoerenza della disciplina privacy sui cookie richiede un nuovo approccio

Le ultime linee guida della CNIL sui cookie e la bozza del Regolamento ePrivacy hanno amplificato l’incoerenza delle regole privacy applicabili ai cookie.

L'obiettivo di armonizzare le norme sulla privacy in tutta l'UE è sempre più lontano. Nonostante le recenti linee guida dell'EDPB sul consenso, che hanno allineato la posizione sulla disciplina dei cookie alla decisione Planet49 della Corte di Giustizia, esistono disposizioni incoerenti nell’Unione europea sulle modalità per concedere/negare il consenso, sui cookie wall e sulle categorie di cookie esentate dal consenso.

Come indicato in questo articolo dei nostri colleghi francesi del DLA Piper, le ultime linee guida della CNIL sui cookie prevedono che:

1. il rifiuto all’installazione dei cookie e dei tracker deve essere così “facile” come la loro accettazione, piuttosto che essere soggetto a procedure complesse, ad esempio, attraverso l'uso di un pulsante “rifiuta tutto” e la disponibilità di un'icona che permetta agli utenti di selezionare le loro scelte e di revocare il consenso;
2. i cookie wall non sono vietati, ma - in linea con la posizione dell'EDPB - il consenso non è “libero” e quindi non è valido se l'accesso ai servizi e alle funzionalità è subordinato all'accettazione da parte dell'utente dell'uso dei cookie e del tracker; e
3. alcuni cookie non richiedono il consenso, come i cookie di autenticazione, i cookie del carrello sui siti di eCommerce e alcuni cookie di analytics.

Come già illustrato in un precedente articolo, le trattative sulla bozza di Regolamento ePrivacy non sono finite. Tra la Presidenza croata e la Presidenza finlandese della Commissione europea vi sono state opinioni opposte sulla base giuridica applicabile ai cookie.

L'ultima versione della bozza di Regolamento ePrivacy sotto la Presidenza tedesca si è orientata verso un approccio conservativo, escludendo la possibilità di fare affidamento sull’interesse legittimo per il trattamento dei dati basati sui cookie e sulle tecnologie M2M. Il consenso rimane l'unica base giuridica applicabile al trattamento dei dati tramite i cookie, i metadati e le tecnologie M2M.

Deve inoltre essere ricordata agli utenti la possibilità di revocare il consenso almeno ogni 12 mesi, (le linee guida del CNIL una cadenza semestrale).

Nell'attuale panorama intricato, i cookie continuano ad essere un obiettivo privilegiato per i garanti per la protezione dei dati personali nell'ambito di un’ispezione, in quanto sono chiaramente visibili sui siti web delle aziende.

Sebbene una localizzazione delle modalità del trattamento dei cookie per ogni paese sia contraria allo spirito della normativa privacy europea, l'unica soluzione praticabile è individuare una opzione che richieda il minimo di localizzazione possibile e analizzarla con consulenti locali. Senza questo approccio, i costi tecnologici e di compliance rischiano di essere sproporzionati, anche perché la maggior parte delle aziende internazionali gestisce le versioni locali dei propri siti web tramite un’unica piattaforma.

Allo stesso tempo, non si vogliono perdere i benefici del regime più tollerante di alcuni paesi dell'UE. Pertanto, la sfida principale sarà quella di bilanciare i benefici e i rischi di un regime più flessibile con i costi tecnici e operativi aggiuntivi.

Sul tema è possibile leggere l’articolo “Pubblicate dall’EDPB le nuove Linee Guida sul consenso al trattamento dei dati personali chiariscono la posizione sui cookie”.

L’autorità privacy spagnola ha pubblicato una guida sulla privacy by default

L’8 ottobre 2020, il garante privacy spagnolo, l’AEPD, ha pubblicato una guida volta a facilitare l’applicazione del principio della privacy by design e by default al trattamento dei dati personali.

La guida contiene indicazioni sulle misure tecniche e organizzative adeguate alla protezione dei dati e alla tutela dei diritti degli interessati, in conformità con le disposizioni del GDPR e delle Linee Guida 4/2019 sull’articolo 25 relativo al data protection by design and by default pubblicate dallo European Data Protection Board, l’EDPB.

L’AEPD ha sottolineato che il concetto di privacy by default si riferisce al fatto che il trattamento deve essere “minimamente intrusivo”, limitandosi ai dati necessari e sufficienti al perseguimento di una determinata finalità. Pertanto, indipendentemente dall'insieme dei dati raccolti dal titolare del trattamento, quest'ultimo deve “segmentare l'utilizzo dell'insieme dei dati tra le diverse operazioni di trattamento e tra le diverse fasi del trattamento”, così da garantire che non tutti i trattamenti effettuati in un determinato processo siano effettuati su tutti i dati, ma solo su quelli necessari e nei momenti in cui sia strettamente necessario.

Vengono inoltre affrontati aspetti pratici della privacy by design, al fine di dare concreta attuazione al principio della protezione dei dati per impostazione predefinita, basandosi su strategie di ottimizzazione, configurazione e limitazione del trattamento. In particolare, l'obiettivo dell’ottimizzazione è quello di “analizzare il trattamento dal punto di vista della protezione dei dati”, il quale comporta l’applicazione di misure che siano idonee in relazione alla quantità di dati raccolti, alla loro conservazione e alla loro accessibilità e all'estensione del trattamento effettuato. La seconda strategia è la configurazione di servizi, sistemi o applicazioni, i quali devono essere settati in modo tale da ricomprendere parametri o opzioni che determinano il modo in cui il trattamento deve essere effettuato, e che devono essere suscettibili di essere modificati sia dal titolare che dall’utente. Infine, la strategia della limitazione garantisce che, per impostazione predefinita, il trattamento sia il più possibile rispettoso della privacy, in modo che le opzioni di configurazione siano adeguate di default a quei valori che limitano la quantità di dati raccolti, il periodo di conservazione e l'accessibilità ai dati conservati.

La guida fornisce altresì una tabella contenente un elenco delle misure che il titolare del trattamento dovrebbe adottare per l'attuazione delle strategie di protezione dei dati per impostazione predefinita; l’AEPD dedica poi un capitolo alle attività di documentazione e di audit cui il titolare dovrebbe provvedere al fine di dimostrare la conformità alla normativa privacy, in ottica di accountability.

Nelle conclusioni, il garante privacy spagnolo evidenzia infine il carattere proattivo del principio della data protection by design e by default, in quanto la normativa applicabile consente diversi approcci e alternative nella sua attuazione, purché lo stesso trovi applicazione ogniqualvolta abbia luogo un’attività di trattamento dei dati personali, indipendentemente dalla loro natura. Infatti, le misure e garanzie di cui all’articolo 25 del GDPR “non deriva[no] dal risultato di un'analisi dei rischi per i diritti e le libertà, ma piuttosto sono misure e garanzie che devono essere stabilite in tutti i casi”.

Sul tema è possibile leggere l’articolo “Il garante privacy spagnolo sanziona un partito politico per l’invio di email senza consenso”.

Technology Media & Telecom

La Banca d’Italia fornisce nuove indicazioni in materia di outsourcing

Il 23 settembre 2020, la Banca d’Italia ha pubblicato il 34° aggiornamento della Circolare 285 del 17 Dicembre 2013 (la Circolare 285) recante disposizioni in materia di vigilanza per le banche che prevede rilevanti novità in materia di outsourcing.

L’obiettivo del nuovo aggiornamento è di recepire all’interno della Circolare 285 le linee guida della Banca Centrale europea relative al processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process - SREP), adottate a seguito della crisi legata al Covid-19.

L’ultimo aggiornamento contiene alcune novità in tema di outsourcing tra le quali

1. l’obbligo per le banche di tenere un registro aggiornato delle attività esternalizzate;
2. l’obbligo di eseguire una valutazione generale del rischio di concentrazione con riferimento ai fornitori di servizi durante tutte le fasi dell’outsourcing;
3. l’inserimento nei contratti di outsourcing di specifiche clausole in materia di diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa;
4. l’obbligo di notificare all’autorità di sorveglianza anche eventuali riqualificazione di attività già oggetto di outsourcing come funzioni essenziali o importanti; e
5. il superamento delle previgenti restrizioni in materia di outsourcing al di fuori del gruppo bancario dei compiti operativi delle funzioni aziendali di controllo, che dall’entrata in vigore del nuovo aggiornamento sarà ammessa, purché avvenga nel rispetto del principio di proporzionalità.

Per quanto riguarda l’outsourcing dei sistemi informatici (ICT), il nuovo aggiornamento alla Circolare 285 prevede che le misure di attenuazione dei rischi adottate dal fornitore informatico devono essere conformi al quadro di riferimento generale per la gestione del rischio informatico e di sicurezza della banca. Con il 34° aggiornamento, viene specificato altresì il contenuto dell’informativa che le banche devono rendere alla Banca d’Italia e alla Banca centrale europea in caso di outsourcing di sistemi informatici estendendo, al contempo, l’obbligo di comunicazione anche con riferimento ai principali fornitori di servizi informatici che non rivestono la qualifica di outsourcing.

Infine, la Banca d’Italia ha apportato alcune modifiche volte a rafforzare l’allineamento delle disposizioni di vigilanza agli Orientamenti della Banca centrale europea sulla governance interna con particolare riferimento alle disposizioni ivi contenute in materia di outsourcing, processo di approvazione dei nuovi prodotti, comunicazioni del personale, parere preventivo del responsabile della funzione di controllo dei rischi e sui sistemi interni di segnalazione delle violazioni (whistleblowing).

La nuova versione della Circolare 285 della Banca d’Italia entra in vigore immediatamente e si applica a tutti gli accordi di outsourcing conclusi, rinnovati o modificati a partire dalla data di pubblicazione. Le banche saranno pertanto tenute, entro la fine del 2021, a completare il registro delle attività esternalizzate con la documentazione di tutti gli accordi di outsourcing esistenti e ad adeguare i contratti già esistenti alle nuove norme. Qualora non sia possibile la revisione dei contratti di outsourcing di funzioni essenziali o importanti entro il 31 Dicembre 2021, le banche ne dovranno dare comunicazione alla Banca centrale europea o alla Banca d’Italia, indicando la data di adeguamento al nuovo regime, le misure previste per completare l’adeguamento o l’eventuale strategia di uscita dal contratto di outsourcing.

Sul tema è possibile leggere l’articolo “Nuove clausole per i contratti di outsourcing del settore finanziario nella proposta di legge sulla resilienza operativa digitale”.

Piano Voucher: le criticità concorrenziali riscontrate dall’AGCM

Nel contesto della sua attività di segnalazione, l’AGCM ha espresso un parere - pubblicato con il Bollettino n. 37 del 21 settembre - relativamente al documento “Piano voucher per la connettività in banda ultra larga di famiglie con ISEE fino a 50.000 euro e imprese”, pubblicato dal Ministero dello Sviluppo Economico il 31 luglio 2020.

L’AGCM, pur condividendo la necessità di interventi di sostegno della domanda di servizi di telecomunicazione a banda ultra larga, ritiene che la c.d. fase II del piano presenti alcune criticità idonee a pregiudicare la concorrenza statica e dinamica nei mercati dei servizi all’ingrosso e al dettaglio di telecomunicazione a banda ultra larga.

In sintesi, il piano in questione prevede l’erogazione di voucher a favore di famiglie e imprese nel periodo 2020-2022, sotto forma di sconto sul prezzo di attivazione (ove presente) e sull’importo dei canoni per l’erogazione di servizi di comunicazione elettronica. Nel contesto della c.d. fase II dell’intervento, le famiglie che presentano i requisiti previsti dal piano potranno beneficiare del voucher per ottenere servizi di connettività ad almeno 30 Mbps.

L’AGCM è dell’opinione però che interventi generalizzati che includono soluzioni con velocità inferiori a 100 Mbps rischiano di pregiudicare i rapporti di concorrenza dinamica tra operatori - avvantaggiando quei soggetti che non effettuano investimenti nello sviluppo di reti a banda ultralarga - e così di ritardare il processo di ammodernamento delle reti di comunicazione elettronica in Italia.

L’erogazione di un sostegno economico per connessioni inferiori a 100 Mbps porterebbe all’adozione privilegiata di connessioni con tali velocità, a discapito di connessioni più veloci ma che necessitano di maggiori investimenti. L’intervento così definito avrebbe l’effetto di ritardare ulteriormente l’adozione di tecnologie più veloci, superiori a 100 Mbps, e vanificare la spesa pubblica destinata alla digitalizzazione del Paese.

Secondo l’AGCM, dunque, tale misura creerebbe effetti negativi dal punto di vista della concorrenza e, inoltre, risulterebbe contraria agli Orientamenti dell’Unione europea in materia di aiuti di Stato in relazione allo sviluppo rapido delle reti a banda larga, non contribuendo al raggiungimento di obiettivi di interesse comune, non fornendo un adeguato effetto di incentivazione e non limitando l’aiuto al minimo necessario, requisiti previsi dagli Orientamenti affinché una misura di aiuto possa essere considerata compatibile con il mercato interno.

Le previsioni del piano che privilegiano le tecnologie più veloci non risultano poi tali da permettere un bilanciamento della concorrenza tra operatori, rischiando al contrario di comprometterla ulteriormente. Infatti, il criterio della preferenza tecnologica - consistente nella necessità di sottoscrivere l’offerta più performante disponibile allo specifico indirizzo civico al fine di ottenere il beneficio economico - potrebbe compromettere la concorrenza tra operatori laddove vi sia un unico operatore che detenga l’infrastruttura più performante ma vi siano diversi operatori in grado di offrire 100 Mbps con tecnologie differenti.

Alla luce di queste considerazioni, l’AGCM auspica “la modifica dei requisiti di capacità delle reti beneficiarie del contributo da 30 Mbps a 100 Mbps, con l’eliminazione del criterio di preferenza delle reti più performanti”. Tale modifica garantirebbe la mancanza di discriminazione tra operatori e un adeguato incentivo allo sviluppo delle reti di telecomunicazione, garantendo altresì l’effettività della misura. L’AGCM ritiene inoltre opportuno inserire specifiche regole che garantiscano la mobilità dei clienti beneficiari della misura di sostegno economico, eliminando qualsiasi onere di migrazione per tali soggetti.

Sul tema è possibile leggere l’articolo “È via libera dell’UE al regime italiano di voucher per sostenere l’accesso ai servizi a banda larga”.

Intellectual Property

Il Tribunale di Milano si pronuncia sulla responsabilità dei Content Delivery Network (CDN)

Con ordinanza del 5 ottobre 2020, il Tribunale di Milano si è pronunciata circa l’illecita diffusione di contenuti online, stabilendo che può essere bloccata la trasmissione di contenuti pirata su Internet anche da parte di gestori di servizi di Content Delivery Network (CDN).

La decisione, avente ad oggetto quattro siti vetrina, accessibili da diversi indirizzi, che trasmettevano le partite del campionato di calcio di Serie A, ha confermato un provvedimento cautelare reso inaudita altera parte nel settembre 2019, con il quale il Tribunale ordinava ad alcuni provider coinvolti nella trasmissione di tali contenuti la cessazione immediata della fornitura dei servizi informatici che ne permettevano la diffusione.

In passato, il Tribunale di Milano si era già trovato ad affrontare casi simili, ma i comandi cautelari si erano limitati ad intimare la cessazione immediata della fornitura dei servizi agli hosting provider (soggetti che forniscono un accesso alla rete di comunicazione), ai cd. mere conduit (prestatori di servizi di memorizzazione di informazioni fornite da un destinatario del servizio) e ai caching provider (prestatori di servizi di memorizzazione automatica, intermedia e temporanea). Nel caso in esame, il Tribunale ha esteso l’ordine anche ai CDN i cui servizi, nati con lo scopo di migliorare le performance dei siti, distribuendo le informazioni in vari server, vengono spesso sfruttati dalla pirateria online per mascherare l’identità delle piattaforme su cui opera.

Il Tribunale di Milano ha nell’occasione affermato che il servizio prestato dal provider, consentendo ai dati illecitamente trasmessi di transitare lungo la rete Internet tramite il servizio CDN senza essere in alcun modo memorizzati, configura comunque una condotta che contribuisce - anche mediante l’attività di conservazione temporanea di dati statici - a permettere l’illecito.

Sul tema è possibile leggere l’articolo “L’Autorità Garante per le Comunicazioni si pronuncia con riferimento alle violazioni del diritto d’autore compiute sui canali Telegram”.

Accordo tra EUIPO e EIT: Innovazione e IP mano nella mano

Lo scorso 8 ottobre 2020, l’EUIPO e l'European Institute of Innovation and Technology (EIT) hanno firmato un accordo che unisce le opportunità offerte dall'innovazione e dalla proprietà intellettuale, con l’obiettivo di far beneficiare le piccole e medie imprese (PMI) presenti nel territorio dell'Unione Europea della protezione dei propri asset IP.

L'EIT è un organismo indipendente creato dall'Unione Europea nel 2008 per promuovere l'imprenditorialità e guidare l'innovazione in tutta l'Unione integrando il business, l'istruzione e la ricerca per creare partnership dinamiche paneuropee, le c.dd. EIT Knowledge and Innovation Communities (KCIs). L'EIT sostiene le fasi sia iniziali che successive di crescita delle nuove imprese, costituendo la protezione delle loro innovazioni e della loro creatività attraverso i diritti di proprietà intellettuale una componente fondamentale ai fini dell’accesso al mercato in modo sicuro da parte delle imprese, volto alla valorizzazione dei prodotti e dei servizi offerti dalle PMI.

L'EUIPO e l'EIT svolgono un ruolo complementare nel sostenere le PMI e gli imprenditori. Pertanto, l'accordo sottoscritto dalle due organizzazioni rappresenta un'eccellente opportunità per accrescere le conoscenze delle PMI in materia di proprietà intellettuale, al fine di beneficiare pienamente della protezione che i diritti IP possono garantire. Con questa collaborazione, l'EIT e l'EUIPO prevedono di trovare ulteriori aree di cooperazione attraverso iniziative che sostengano le PMI attraverso lo scambio di strumenti, modelli di formazione, eventi, webinar e altri contenuti. L'EUIPO, nell'ambito del suo Strategic Plan 2025, e in linea con il suo programma per le PMI, ha recentemente lanciato il suo hub “Ideas Powered for Business”, che mette a disposizione informazioni aggiornate e garantisce alle PMI la possibilità di accedere ad una consulenza legale personalizzata e gratuita, che le assista nelle questioni di proprietà intellettuale sottese alle loro attività già sviluppate e alle loro idee per il futuro.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Lara Mastrangelo, Filippo Grondona e Andrea Michelangeli.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Noemi Buttazzo.