Innovazione e diritto: le novità della settimana

Podcast

Francesca Formicola di Sispi sul rapporto tra compliance e innovazione

Francesca Formicola è head of compliance a Sispi, una storica eccellenza italiana nel settore telecom. In questo episodio di Diritto al Digitale discute con Giulio Coraggio di DLA Piper del bilanciamento tra compliance e innovazione e degli oneri di cybersecurity imposti sulle aziende che sono sempre più gravosi. L’episodio del podcast è disponibile qui.

Natale sta arrivando e lo sanno anche gli hacker

L’aumento del cyber rischio durante il periodo di Natale è una minaccia per qualsiasi azienda che deve essere preparata a reagire a un potenziale cyber attacco. Ne parla Giulio Coraggio nel podcast Dirottare il Futuro su Panorama.it al link disponibile qui.

Data Protection & Cybersecurity

La crociata di Max Schrems dopo la bozza di decisione di adeguatezza è nell'interesse collettivo?

Il rischio di una Schrems III dopo la pubblicazione della bozza di decisione di adeguatezza sui trasferimenti di dati verso gli Stati Uniti apre interrogativi sulla possibilità che questa battaglia abbia dei reali vincitori.

Il 13 dicembre 2022 la Commissione europea ha pubblicato la bozza di decisione di adeguatezza sui trasferimenti di dati tra l'UE e gli USA, che rappresenta il primo passo verso l'adozione definitiva della decisione a seguito dell'executive order americano.

La reazione di Max Schrems alla bozza di decisione di adeguatezza sul trasferimento di dati tra l'UE e gli USA è stata in linea con le aspettative. Il noto attivista per la privacy, conosciuto per le sue battaglie legali contro Facebook e altri giganti del tech americani, ha dichiarato che intende analizzare attentamente la decisione nei prossimi giorni. Ha inoltre espresso scetticismo sulla capacità della decisione di resistere a un ricorso alla Corte di Giustizia europea, in quanto si basa sul ben noto executive order.

La newsletter di NOYB della scorsa settimana ha sollevato l'interrogativo se ci sarà uno Schrems III, che continuerà la quasi decennale partita a scacchi tra Schrems e le autorità statunitensi ed europee. Tuttavia, alcuni si sono chiesti se questa partita sia effettivamente nell'interesse degli individui. L'economia europea ha faticato a offrire lo stesso livello di servizi delle aziende americane e il caso Schrems II ha generato alti costi di compliance per le aziende, che alla fine sono stati scaricati su consumatori e lavoratori.

La situazione è ulteriormente complicata dalle azioni di alcuni garanti privacy europei che non tengono conto dei rischi effettivi nell'esecuzione delle valutazioni del trasferimento (le TIA) e non emettono sanzioni elevate per la mancata conformità al GDPR sui trasferimenti di dati a causa della delicatezza della questione.

Questo scenario crea un cortocircuito che lascia individui e aziende in un limbo e alimenta un concetto di privacy che a volte va contro gli interessi degli individui o viene abusato da alcuni contro i loro datori di lavoro o per danneggiare le aziende.

Nell'attuale situazione di incertezza, le aziende possono solo continuare a eseguire le TIA nel miglior modo possibile, sperando che alla fine si raggiunga un livello di certezza maggiore. A tal fine, potrebbe essere utile lo strumento di legal tech di DLA Piper "Transfer" per supportare nell'esecuzione delle TIA. Per saperne di più, leggete QUI.

Su di un simile argomento, potete ascoltare il podcast con Bruno Gencarelli, il capo negoziatore della Commissione europea nelle trattative sul trasferimento dei dati con gli Stati Uniti disponibile qui.

Nuovi adempimenti privacy per le aziende: la “Direttiva Whistleblowing”

Lo scorso 9 dicembre è stato pubblicato lo schema di decreto legislativo recante attuazione della direttiva (UE) 2019/1937, la c.d. “Direttiva Whistleblowing”, che introduce importanti adempimenti privacy in materia per le aziende coinvolte.

La Direttiva Whistleblowing ha l’obiettivo di garantire un minimo livello di armonizzazione della disciplina relativa alla protezione dei whistleblower nell’Unione Europea, introducendo una soglia minima di tutela per i segnalatori all’interno delle normative nazionali con diverse implicazioni in materia di trattamento dei dati personali.

Di seguito una analisi delle misure più rilevanti, da un punto di vista privacy, introdotte dalla Direttiva Whistleblowing e il relativo Decreto di Attuazione.

1. Brevi cenni sull’ambito di applicazione

Come spiegato nella relazione relativa al Decreto di Attuazione, l’articolo 1 individua l’ambito di applicazione oggettiva, ossia le violazioni oggetto di possibile segnalazione, prevedendo una portata più ampia rispetto all’ambito di applicazione della Direttiva Whistleblowing. Infatti, le segnalazioni delle violazioni devono avere ad oggetto anche disposizioni normative nazionali, e non solo dell’Unione europea, che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato. In ogni caso, sono escluse le contestazioni, rivendicazioni o richieste di carattere personale che attengono esclusivamente ai rapporti individuali di lavoro ovvero ai rapporti con le figure gerarchicamente sovraordinate o con i colleghi.

Per quanto riguarda l’ambito soggettivo, il Decreto di Attuazione si applica ai soggetti del settore pubblico e determinati soggetti del privato ove ricorrano determinati presupposti: una media di almeno cinquanta lavoratori subordinati nell’ultimo anno, l’appartenenza a determinati e specifici settori economici (indipendentemente dal numero di dipendenti) oppure l’avvenuta adozione di un modello organizzativo ai sensi del Decreto Legislativo n. 231/2001.

2. Whistleblowing e data protection

La Direttiva Whistleblowing sancisce, agli artt. 17 e 18, i seguenti principi generali in ambito privacy:

• il divieto di raccolta dei dati personali manifestamente inutili rispetto ad una specifica segnalazione nonché la cancellazone immediata di tali dati ove venissero raccolti per errore; e
• la conservazione dei dati soltanto per il tempo necessario e proporzionato per conformarsi alla Direttiva stessa o ad altri obblighi imposti dalla legge.

Il legislatore nazionale, facendo salvo il rispetto del regolamento (UE) 2016/679 (il GDPR), ha integrato le disposizioni in materia di protezione dei dati personali in ambito whistleblowing, prevedendo che:

• le attività necessarie per il ricevimento e gestione delle segnalazioni sono effettuati dai soggetti del settore pubblico e privato in qualità di titolari del trattamento;
• il segnalante e le persone coinvolte debbano ricevere apposita informativa ai sensi degli articoli 13 e 14 del GDPR;
• i soggetti cui si applica il Decreto di Attuazione debbano adottare misure appropriate a tutela dei diritti e delle libertà degli interessati;
• i soggetti del settore pubblico e i soggetti del settore privato che condividono risorse per il ricevimento e la gestione delle segnalazioni agiscano in qualità di contitolari del trattamento, in quanto devono determinare “in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi in materia di protezione dei dati personali, ai sensi dell’articolo 26 del regolamento (UE) 2016/679”;
• i soggetti cui si applica il Decreto di Attuazione debbano prevedere e implementare apposite policy interne: tali soggetti devono definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, effettuando una valutazione d’impatto sulla protezione dei dati;
• eventuali fornitori esterni che trattano dati personali per conto dei soggetti del settore pubblico e i soggetti del settore privato a cui si applica il Decreto di Attuazione vengano nominati responsabili del trattamento ai sensi dell’articolo 28 del regolamento (UE) 2016/679.

In ambito data retention, invece, i principali punti toccati dal Decreto di Attuazione sono i seguenti:

• previsione di un termine massimo di 5 anni per la conservazione delle segnalazioni, interne ed esterne, e la relativa documentazione a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazioneche (posto che non debbano in ogni caso essere conservate oltre il tempo necessario al trattamento della segnalazione);
• la raccolta del previo consenso per la documentazione della segnalazione ottenuta mediante una linea telefonica registrata o un altro sistema di messaggistica vocale registrato o per la registrazione di una segnalazione effettuata oralmente nel corso di un incontro con il personale addetto;
• diritto di verifica, rettifica o conferma da parte del segnalante della documentazione prodotta (trascrizione, riassunto o verbale) a seguito della segnalazione.

3. Implicazioni per le aziende

Posto che non vengano introdotte modifiche in sede di conversione in legge del Decreto di Attuazione, le aziende interessate dovranno avere cura di:

• aggiornare la propria informativa dipendenti, o prevederne una ad hoc per i trattamenti effettuati in materia di whistleblowing;
• implementare le necessarie misure tecniche e organizzative (fra cui, ad esempio, appositi sistemi per la registrazione e conservazione delle segnalazioni in conformità ai principi di minimizzazione e limitazione della conservazione, strumenti di criptazione dei dati personali a tutela della privacy del segnalatne, training per il personale preposto alla gestione delle segnalazioni);
• eseguire dei necessari data protection impact assessment;
• aggiornare del registro trattamenti, prevedendo tempi di conservazione in linea con la normativa;
• sottoscrivere i necessari accordi di contitolarità e nomine a responsabile del trattamento.

Sempre sullo stesso argomento, può interessarvi “Whistleblowing e privacy: ecco le nuove Linee guida dell’ANAC”.

Intellectual Property

Marchio UE post-Brexit: prove d’uso e di secondary meaning nel Regno Unito

Con una recente decisione, il Tribunale dell’Unione Europea si è espresso sul tema della (ir)rilevanza in pendenza di un’azione di nullità delle prove relative all’uso e/o al carattere distintivo acquisito (i.e., "secondary meaning") di un marchio UE nel Regno Unito, non essendo tali elementi significativi per le domande di marchio UE presentate dopo la fine del periodo di transizione e, cioè, dopo il 31 dicembre 2020.

Anzitutto, la sentenza fa riferimento all’articolo 127 dell’Accordo di recesso (accordo concluso tra l'Unione europea e il Regno Unito per il recesso ordinato del Regno Unito dall'UE, conformemente all'articolo 50 del trattato sull'Unione Europea). Secondo tale norma, il diritto dell'Unione benché continuasse ad essere applicabile nel Regno Unito durante il periodo di transizione (cfr. T-421/18), a partire dal 1° gennaio 2021 la legislazione sui marchi dell'UE non sarebbe più stata applicabile nel territorio del Regno Unito, a meno che e nella misura in cui tale applicazione continuativa non fosse espressamente prevista dallo stesso Accordo di recesso.

Nel caso di specie, la data di deposito del marchio contestato risaliva all'8 maggio 2017, ossia prima della scadenza del periodo transitorio, mentre la data di adozione della decisione impugnata al 18 febbraio 2021 e, quindi, successivamente alla scadenza del periodo transitorio. Il Tribunale citava, allora, la propria giurisprudenza per indicare che "nell'ambito di un procedimento di annullamento, il titolare di un diritto di proprietà industriale, in particolare di un marchio anteriore, deve dimostrare di poter vietare l'uso del marchio UE in questione, non solo alla data di deposito o di priorità di tale marchio, ma anche alla data in cui l'EUIPO decide sulla domanda di nullità" (si veda, ex multis, T-169/19). E specificava altresì che tale principio "vale, a maggior ragione, nel contesto dei procedimenti di opposizione" (cfr. T-162/18).

Alla luce di quanto sopra, il Tribunale affermava che, affinché le prove del secondary meaning del marchio anteriore acquisito attraverso l'uso nel Regno Unito siano rilevanti ai fini della domanda di dichiarazione di nullità del marchio contestato, tale uso deve poter essere ancora invocato alla data in cui l'EUIPO si pronuncia sulla domanda di dichiarazione di nullità. Nel caso in esame, tuttavia, la data della decisione impugnata (18 febbraio 2021) era successiva alla scadenza del periodo transitorio. Pertanto, la commissione di ricorso aveva correttamente deciso di non prendere in considerazione l'uso del marchio anteriore nel Regno Unito e di non tenere conto delle prove ad esso relative. Infatti, alla data della decisione impugnata, il pubblico del Regno Unito non faceva più parte del pubblico rilevante dell'Unione Europea.

Il Tribunale concludeva, infine, ribadendo che seppur sia vero che la data da prendere in considerazione per valutare il secondary meaning del marchio anteriore è la data di deposito della domanda di marchio impugnata (cfr. T-349/19), in ogni caso il requisito della permanenza o persistenza del diritto anteriore alla data in cui l'EUIPO si pronuncia sulla domanda di nullità rimane una questione di esecutività, precedente a tale valutazione sostanziale.

Con questa pronuncia sono state fornite indicazioni fondamentali su una tematica che a seguito della Brexit ha di certo creato incertezze tra gli operatori del settore, chiarendo che le prove dell'uso e/o del secondary meaning devono poter essere fatte valere alla data in cui l'EUIPO deve decidere sulla domanda di nullità.

Su un simile argomento può essere interessante l’articolo “Le conseguenze della Brexit sulla registrazione dei design”.

Commercial

AGCM: pubblicati gli impegni sui rapporti contrattuali tra un noto franchisor e i suoi rivenditori

Lo scorso 2 novembre 2022, l’Autorità Garante della Concorrenza e del Mercato (AGCM) con il provvedimento 30351 ha pubblicato gli impegni presentati da una nota azienda di moda nell’ambito di un’istruttoria per un presunto abuso di dipendenza economica nel rapporto di franchising che lega l’azienda ai suoi rivenditori. L’AGCM ha ritenuto che gli impegni assunti siano idonei a risolvere i dubbi sollevati in sede di procedimento di avvio dell’istruttoria.

In particolare, il 17 novembre 2020, seguito di alcune segnalazioni di uno dei franchisee, era stata aperta un’istruttoria rispetto ad alcune condotte tenute dal franchisor e clausole contenute nei contratti di franchising “avrebbero ostacolato, se non addirittura impedito, lo svolgimento in utile dell’attività aziendale, sino a causarne la cessazione”.

A parere dell’AGCM, sebbene inizialmente fosse potenzialmente configurabile una dipendenza economica alla luce degli impegni economici e oneri gravanti in capo al segnalante tali da rendere difficoltoso, se non impossibile, ricercare sul mercato alternative commerciali soddisfacenti, è successivamente emerso che tale dipendenza economica sarebbe stata causata, nel caso di specie, da alcuni elementi strettamente connessi alle caratteristiche e comportamenti dello specifico rivenditore. La questione assumerebbe, rilievo, tuttavia, rispetto al tema della concorrenza, detenendo il franchisor una solida posizione nel settore dell’abbigliamento in Italia.

Le molteplici misure proposte dal franchisor per appianare le problematiche nascenti dai contratti con i propri riveditori hanno ad oggetto svariate aree, tra cui (1) l’eliminazione della ricognizione del debito e della procedura di sospensione delle forniture in caso di inadempimento dell’affiliato, (2) budget e formazione degli ordini, (3) riassortimento dei prodotti, (4) condizioni generali di vendita, (5) fasi conclusive del rapporto e (6) recesso per l’affiliato.

1. Con riferimento al primo aspetto, il franchisor osserva come il contratto di affiliazione commerciale standard preveda un allegato per la ricognizione dell’eventuale posizione debitoria dell’affiliato qualora quest’ultimo già intrattenga rapporti commerciali con il Tale ricognizione rappresenterebbe una mera fotografia dello stato del debito del rivenditore al momento della migrazione nella rete di franchising, e dunque legittima ed irrilevante ai fini del procedimento. Rispetto a ciò e rispetto all’asserita mancanza di chiarezza delle procedure di sospensione delle forniture in caso di inadempimento da parte del franchisee ai propri obblighi di pagamento, l’affiliante si è impegnato a (i) rimuovere l’allegato summenzionato e non richiedere il rilascio di alcuna forma ulteriore di ricognizione di debito nel contesto del contratto standard di affiliazione, (ii) separare la gestione delle pendenze debitorie esistenti tra il singolo punto vendita in base al contratto di affiliazione ed eventuali altri rapporti contrattuali esistenti a diverso titolo con l’affiliante, (iii) introdurre una procedura che chiarisca le modalità di eventuale sospensione delle forniture in caso di inadempimento nei pagamenti relativi il rapporto di franchising.

2. Rispetto alla predisposizione di un budget e alla formazione degli ordini, le preoccupazioni del segnalante si concentravano sull’asserita imposizione da parte del franchisor di budget sovrabbondanti e destinati ad alimentare in maniera eccessiva i magazzini, al fine di traslare il rischio di invenduto delle singole stagioni sui È stato tuttavia chiarito che nella clausola in esame è previsto che il budget sia comunicato dal franchisee al franchisor, senza alcuna ingerenza nella sua definizione. Considerate le preoccupazioni nate da alcuni riferimenti residui al budget in alcune clausole del contratto standard, il franchisor si è impegnato a rimuovere ogni riferimento contrattuale ad esso, chiarendo in questo modo che gli ordini di acquisto predisposti liberamente dal franchisee costituiscono l’unico riferimento qualitativo e quantitativo rispetto alla fornitura della merce. Rispetto, poi, all’asserita ingerenza da parte del franchisor nella predisposizione degli ordini, è stato rilevato che il contratto standard non prevede obblighi minimi di acquisto o obblighi di mantenimento di predeterminati quantitativi di merce in magazzino. In ogni caso, al fine di evitare ogni fraintendimento, il franchisor si è impegnato a (i) continuare a non prevedere alcun obbligo di acquisto minimo per l’affiliato, (ii) prevedere la facoltà per il franchisee di procedere al riassortimento della merce in corso di stagione, (iii) precisare nel contratto la piena discrezionalità quantitativa e qualitativa del franchisee, chiarendo altresì le tempistiche di invio degli ordini di acquisto e la loro revocabilità fino a quando il franchisee non abbia conoscenza della loro accettazione da parte del franchisor, e (iv) introdurre una policy predeterminata per il processo di invio e accettazione degli ordini di acquisto.

3. Il sistema di riassortimento automatico previsto nei contratti standard di affiliazione era stato oggetto dell’attenzione dell’AGCM, poiché potenziale manifestazione di squilibrio nei rapporti tra il franchisor e i propri affiliati. Tale sistema, si fonderebbe su valutazioni per lo più funzionali all’ottimizzazione della strategia commerciale del franchisor, tali da imporre l’acquisto di determinate quantità di prodotti e privando il franchisee di qualsiasi facoltà decisionale e di controllo. Pertanto, l’affiliante si impegna a (i) creare un magazzino di merce per fare fronte a eventuali riassortimenti che si rendano necessari in corso di stagione, (ii) eliminare il meccanismo di riassortimento automatico, e (iii) prevedere nel contratto standard la facoltà per l’affiliato di effettuare un riassortimento inoltrando ordini di acquisto aggiuntivi.

4. Nelle condizioni generali di vendita alcune clausole sarebbero apparse idonee a condizionare l’attività del franchisee secondo la volontà del franchisor. In particolare (i) alcuni termini di consegna con efficacia meramente indicativa a favore del franchisor, che quest’ultimo si impegna a rispettare in via perentoria, salvo le previsioni di cui agli artt. 1463 e 1464 c.c.; (ii) il divieto di rifiuto della merce da parte dell’affiliato in relazione al quale il franchisor si impegna ad applicare la disciplina codicistica senza pregiudicare la facoltà del franchisee di esercitare i propri diritti derivanti dalla garanzia per vizi della cosa venduta come acquirente, e (iii) la limitazione di garanzia, rispetto alla quale il franchisor decide di mantenere un termine decadenziale superiore alla previsione codicistica per denunciare vizi della merce acquistata.

5. Con riferimento alle fasi conclusive del rapporto, il rischio di squilibrio era da ravvisarsi al termine del contratto al momento del possibile riacquisto di arredi e altri beni di proprietà del franchisee funzionali all’allestimento del negozio, acquistati con ingenti investimenti e senza possibilità di utilizzo in altri contesti. Tuttavia, è apparso sia che tali investimenti fossero di valore contenuto, ragionevole e integralmente ammortizzabile dal franchisee, stante la durata del rapporto contrattuale, che alcuni arredi e/o materiali possono essere utilizzati presso lo stesso punto vendita anche se sotto altri Il franchisor, in ogni caso, si è impegnato a richiedere il loro riacquisto al valore corrente di mercato, con accollo di costi di rimozione e trasporto.

6. Infine, in merito al diritto di recesso dell’affiliato, sebbene non fossero state sollevate specifiche contestazioni a riguardo, il franchisor si è impegnato a modificare il contratto standard per riconoscere tale diritto al franchisee (e non al franchisor stesso) decorso il primo anno di rapporto con un preavviso di sei mesi.

Avendo l’AGCM valutato l’idoneità complessiva di tali impegni, si richiede ora la loro adozione nelle tempistiche indicate nel provvedimento che viene pubblicato per eventuali osservazioni rispetto alle quali il franchisee potrà successivamente prendere posizione.

Su un simile argomento, può essere interessante anche l’articolo “L’AGCM si pronuncia in tema di franchising e abuso di dipendenza economica”.

Technology, Media & Telecommunications

Il Consiglio dell’UE adotta la proposta di AI Act, introducendo modifiche sulla normativa europea sull’intelligenza artificiale

Il 6 dicembre 2022, il Consiglio dell’UE ha adottato la propria posizione comune in merito all'AI Act volto ad introdurre una regolamentazione europea di sistemi di intelligenza artificiale (AI).

Con l’AI Act, il legislatore europeo prosegue nell’incentivare la digitalizzazione dell’Europa, attraverso la creazione di uno spazio digitale sicuro per cittadini e imprese, assicurando che tali sistemi rispettino diritti fondamentali e valori alla base dell’Unione.

Iter legislativo e target dell’AI Act, dove siamo e dove stiamo andando sull’intelligenza artificiale

L’obiettivo di rendere l’Unione europea un hub mondiale per l’intelligenza artificiale necessita di fiducia nella capacità dei sistemi di intelligenza artificiale di rispettare i diritti fondamentali e valori europei. Questo sentimento di fiducia si sostanzia nell’accertare che i sistemi di intelligenza artificiale siano rispettosi delle normative in materia, eticamente corretti e tecnicamente validi.

In linea con questo target, la Commissione europea aveva reso pubblica, già nell’aprile scorso, una bozza della propria versione dell’AI Act. Il documento è stato oggetto di analisi da parte di Consiglio e Parlamento europei, da cui la proposta legislativa resa nota dal Consiglio, con modifiche volte a chiarirne e semplificarne la messa in circolazione. La normativa sui sistemi di intelligenza artificiale si rivolge tanto ai produttori, definiti come “qualsiasi persona fisica o giuridica, autorità pubblica o altro organismo che sviluppi o faccia sviluppare un sistema di intelligenza artificiale”, quanto agli utenti finali, individuati in “qualsiasi persona fisica o giuridica che utilizzi un sistema di intelligenza artificiale sotto la propria autorità”.

L’approccio adottato nell’atto distingue i sistemi di intelligenza artificiale sulla base del livello di rischio che comportano, suddividendoli in

• livello di rischio inaccettabile, e quindi proibito, come il social scoring;
• livello di rischio elevato a cui si rivolge la normativa proposta, come gli strumenti di analisi e ranking dei CV dei candidati nell’ambito di un colloquio di selezione; e
• livello di rischio limitato o minimo, come i chatbots, i quali sono semplicemente incoraggiati ad aderire a codici di condotta volontari.

Spetta ora alle negoziazioni tra Parlamento e Consiglio europeo trovare un terreno di accordo comune per l’adozione del documento ufficiale.

Quali sono i principali elementi di novità rispetto alla proposta della Commissione europea dell’AI Act?

Le modifiche apportate dal Consiglio dell’UE alla precedente bozza della normativa europea sull’intelligenza artificiale sono volte a rendere il quadro giuridico chiaro e dal taglio pratico, con un focus sul miglioramento della governance e dell’applicazione effettiva della normativa.

1. Definizione di sistema di intelligenza artificiale: per facilitare la distinzione tra AI e sistemi software più semplici, la proposta del Consiglio restringe e ne precisa la definizione, facendo riferimento a “sistemi sviluppati mediante approcci di apprendimento automatico e approcci basati sulla logica e sulla conoscenza.”
2. Pratiche di intelligenza artificiale vietate: il divieto di utilizzare i sistemi di intelligenza artificiale per il social scoring (rientrante nel livello di rischio inaccettabile) viene esteso anche ai privati. A ciò si aggiunge l’inclusione di coloro che si trovano in condizioni di vulnerabilità a causa delle proprie condizioni economiche e/o sociali all’interno della categoria di attività per cui è vietato l’uso di intelligenza artificiale.
3. Classificazione dei sistemi di intelligenza artificiale come “livello di rischio elevato” e relativi requisiti: i requisiti per i sistemi di intelligenza artificiale ad alto rischio sono stati chiariti per risultare di più semplice e meno gravosa attuazione (ad esempio facendo riferimento alla documentazione che le PMI dovranno redigere per conformarsi alle disposizioni dell’atto). Maggiori indicazioni interessano anche l’assegnazione di ruoli e responsabilità all’interno della catena del valore in cui i sistemi di intelligenza artificiale sono inseriti, articolando il rapporto tra le indicazioni dell’AI Act e la normativa già in vigore (ad esempio per il settore dei servizi finanziari).
4. Sistemi di intelligenza artificiale per finalità generali: nuove disposizioni disciplinano gli usi dei sistemi di intelligenza artificiale per finalità generali (i.e. per svariati scopi) e danno conto altresì della possibilità di integrare tali sistemi per finalità generali all’interno di un sistema di intelligenza artificiale ad alto rischio. La previsione del Consiglio è di assicurarsi che tali sistemi di intelligenza artificiale per finalità generali rispettino gli stessi requisiti imposti ai sistemi ad altro rischio, tramite un atto di esecuzione risultante da una valutazione d’impatto ad hoc.
5. Conformità dell’applicazione e sorveglianza del mercato: le finalità militari, di difesa e sicurezza nazionale sono state esplicitamente escluse dal perimetro applicativo dell’AI Act. L’utilizzo di sistemi di intelligenza artificiale per finalità di ricerca e sviluppo e gli obblighi di persone che utilizzano tali sistemi per scopi non professionali sono stati parimenti esclusi (ad eccezione degli obblighi di trasparenza). Tenuto inoltre conto delle peculiarità proprie delle autorità di contrasto, e fatte salve le relative tutele, alcune modifiche sono state altresì introdotte per dare atto della “necessità di rispettare la riservatezza dei dati operativi sensibili in relazione alle loro attività”.
6. Procedure di valutazione della conformità e comitato per l’AI: nell’obiettivo di semplificare il quadro di conformità della normativa sull’AI e la vigenza delle norme nel contesto del mercato unico europeo, la proposta del Consiglio semplifica e chiarisce come valutare la conformità rispetto all’atto sui sistemi di intelligenza artificiale. Viene data inoltre maggiore autonomia al comitato che si occupa della governance rispetto alla normativa sull’AI. A ciò si aggiunge l’obbligo per detto comitato di “istituire un sottogruppo permanente che funga da piattaforma per un'ampia gamma di portatori di interessi”.
7. Sanzioni ridotte per le PMI: la proposta del Consiglio riduce il massimale delle sanzioni amministrative comminabili alle PMI e alle start-up per violazioni dell’AI Act.
8. Trasparenza: l’aumento della trasparenza per i sistemi di intelligenza artificiale ad altro rischio rientra tra le modifiche apportate rispetto al testo della Commissione, prevedendo un obbligo di registrazione nella banca dati dell’UE per sistemi di intelligenza artificiale ad alto rischio per utenti-entità pubbliche di tali sistemi (con particolare riguardo per i sistemi di riconoscimento delle emozioni, per cui è introdotto un obbligo di informativa per i soggetti che vengono esposti a sistemi di questo tipo). Il testo del Consiglio chiarisce inoltre che è possibile per gli interessati proporre reclamo all’autorità competente in tema di conformità alla normativa sull’AI.
9. Sandboxes a sostegno dell’innovazione: per permettere uno sviluppo fondato su studi in un quadro esperienziale reale e derivarne un sistema giuridico migliorato, la proposta introduce misure a sostegno dell’innovazione. In particolare, “spazi di sperimentazione normativa” permetteranno di testare i sistemi di intelligenza artificiale nella quotidianità, senza controlli ed in presenza di condizioni e garanzie di favore.

Criticità e prospettive dell’AI Act

Come il Regolamento Europeo per la Protezione dei Dati Personali (GDPR) nel 2018, così il pacchetto di misure che i legislatori europei stanno progressivamente rilasciando in tema di intelligenza artificiale ha il potenziale per divenire uno standard globale. A causa delle diverse criticità ancora presenti nelle proposte legislative sull’intelligenza artificiale, l’AI Act necessita di ulteriori revisioni volte ad assicurare che i sistemi di intelligenza artificiale siano utilizzati per scopi positivi, in un clima di fiducia da parte di coloro che devono affidarsi agli output di tali sistemi intelligenti.

L’Italian Digital SME Alliance (associazione ponte tra le aziende digitali italiane e le istituzioni europee) ha raccolto le voci delle piccole e medie imprese che verrebbero impattate dagli obblighi di compliance previsti nella proposta. Nonostante il plauso all’iniziativa europea di regolamentare il quadro di sviluppo ed innovazione dei sistemi di intelligenza artificiale, alcune criticità emergono, quali ad esempio la necessità di riconsiderare la classificazione dei rischi presentati da tali sistemi. Alcune AI considerate “ad alto rischio” sono infatti vietate, lasciando tuttavia spazio a “omissioni e scappatoie”. L’auspicio è di “affrontare adeguatamente i rischi reali e futuri dell'IA in base al rischio complessivo per la società e i diritti fondamentali”. Ed è proprio rispetto alla tutela di diritti e valori fondamentali che l’intervento umano di supervisione di tali sistemi gioca ancora un ruolo cruciale nello scandagliare l’operato dell’intelligenza artificiale.

Sempre sullo stesso argomento, può interessarvi Proposte della normativa europea sulla responsabilità per intelligenza artificiale ed era digitale (dirittoaldigitale.com).

I nuovi Orientamenti della Commissione europea in materia di aiuti di Stato per le reti a banda larga

Il 12 dicembre 2022 la Commissione europea ha adottato la Comunicazione C(2022) 9394 che reca i nuovi Orientamenti in materia di aiuti di Stato per lo sviluppo delle reti a banda larga.

I nuovi Orientamenti, che fanno seguito alla precedente versione pubblicata nel 2013, entreranno in vigore il giorno successivo alla loro pubblicazione nella Gazzetta Ufficiale dell’UE, prevista per gennaio.

Gli Orientamenti aggiornano le regole che la Commissione europea seguirà nella sua valutazione in merito alle misure di aiuto di Stato notificate dagli Stati membri aventi ad oggetto lo sviluppo e la diffusione delle reti a banda larga nel territorio dell’Unione. In particolare, i nuovi Orientamenti si pongono nel solco e contribuiscono al perseguimento degli obiettivi strategici dell’UE enucleati nelle Comunicazioni “Gigabit Society” (COM/2016/587), “Plasmare il futuro digitale dell’Europa” (COM/2020/67), “Bussola per il digitale 2030” (COM/2021/118) e nella proposta di decisione del Parlamento europeo e del Consiglio che istituisce il programma strategico per il 2030 “Percorso per il decennio digitale” (COM/2021/574).

Le novità introdotte con la nuova versione degli Orientamenti sono principalmente volte a:

(i)    delineare criteri per la valutazione da parte della Commissione degli aiuti di Stato finalizzati alla realizzazione di reti a banda larga che siano in linea con i più recenti sviluppi tecnologici e di mercato. È ad esempio previsto che gli interventi di infrastrutturazione realizzati con il supporto di aiuti di Stato debbano “almeno triplicare la velocità di scaricamento rispetto alla rete esistente”; ciò in linea con l’esigenza di promuovere investimenti in aree geografiche a fallimento di mercato nelle quali non è allo stato garantita (né è probabile che lo sia in futuro) una velocità di connessione pari ad almeno 1 Gbps in download e 150 Mbps in upload;

(ii)    aggiornare le regole di valutazione al fine di incentivare lo sviluppo di reti mobili, incluse le reti in tecnologia 5G. I nuovi Orientamenti mirano a consentire agli Stati membri di adottare misure a sostegno dello sviluppo di reti mobili in aree nelle quali sono assenti investimenti da parte di operatori privati;

(iii)    fornire indicazioni sui possibili effetti di incentivazione degli aiuti di Stato. Gli Orientamenti precisano ad esempio che un aiuto presenta un effetto di incentivazione “se induce il beneficiario a modificare il proprio comportamento nei confronti dello sviluppo di una determinata attività economica sostenuta dall'aiuto e che il beneficiario non avrebbe svolto negli stessi tempi o avrebbe svolto in misura più limitata ovvero con diverse modalità o altrove se l'aiuto non fosse stato concesso”;

(iv)    semplificare alcune regole al fine di facilitare l’applicazione degli Orientamenti e ridurre gli adempimenti per le imprese e per le autorità pubbliche competenti. A tale riguardo, i nuovi Orientamenti prevedono che, al fine di garantire un effettivo accesso alla rete realizzata con i finanziamenti pubblici, essa “deve fornire un insieme appropriato di prodotti di accesso all’ingrosso, tenuto conto delle caratteristiche del mercato”. È inoltre previsto che la “rete finanziata dallo Stato dovrà fornire, non appena disponibili, i prodotti di accesso necessari per sfruttare le caratteristiche più avanzate delle reti mobili, come il 5G e le future generazioni di reti mobili”;

(v)    aggiornare i criteri che la Commissione applicherà nella valutazione circa il bilanciamento tra i possibili effetti positivi e negativi dell’aiuto di Stato sulla concorrenza, con la precisazione che, “Affinché l’aiuto di Stato sia compatibile con il mercato interno, gli effetti positivi devono essere superiori a quelli negativi”. Tra i criteri per tale valutazione, la Commissione terrà anche in considerazione l’idoneità degli aiuti a perseguire gli obiettivi di transizione digitale e green.

Su un simile argomento può essere interessante l’articolo “Infratel pubblica la Relazione sullo stato di avanzamento del Piano Nazionale Banda Ultralarga al 31 ottobre 2022”.

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Emanuele Gambula, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Nicoletta Iurilli, Nicola Landolfi, Giacomo Lusardi, Noemi Mauro, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.