15 agosto 202120 minuti di lettura

Privacy e Cybersecurity

Obblighi di trasparenza Whatsapp Irlanda: l’EDPB adotta una decisione vincolante

Il Comitato Europeo della protezione dei dati personali (EDPB) ha adottato una decisione vincolante ai sensi dell’art. 65 del GDPR sul caso degli obblighi di trasparenza di Whatsapp Irlanda. A seguito delle opposizioni presentate dalle autorità privacy europee interessate, il Garante irlandese si era rivolto all’EDPB che, in base all’articolo 65 del GDPR, ha adottato una decisione vincolante.

Nel corso dell’ultima sessione plenaria, l’EDPB ha adottato una decisione relativamente alla controversia della autorità irlandese per la protezione dei dati personali contro WhatsApp Irlanda. La controversia sorge a seguito della condivisione, da parte dell’autorità irlandese, di un provvedimento conclusivo dell’indagine condotta sullo stato di conformità agli obblighi di trasparenza previsti dagli artt. 12, 13 e 14 GDPR in capo a Whatsapp Irlanda. Lo scopo della decisione era quello di definire quali fossero gli standard minimi di trasparenza cui Whatsapp dovesse aderire e quale sanzione dovesse essere irrogata alla Società per aver violato le prescrizioni contenute nel GDPR. Poiché erano sorte opposizioni da parte de, il garante irlandese si era rivolto all’EDPB. La decisione, che sarà tempestivamente notificata alle autorità privacy interessate, comporterà per il Garante Irlandese il decorrere di un termine perentorio per l’adozione della versione finale del provvedimento riguardante Whatsapp Irlanda.

La necessità di adottare la decisione vincolante trova origine dalla vertenza sorta fra l’Autorità Garante Irlandese, in qualità di autorità di vigilanza capofila, e le altre autorità garanti interessate in merito all’attività di indagine condotta su Whatsapp, le cui informative privacy mostrerebbero gravi lacune di conformità ai principi di trasparenza e correttezza stabiliti dal GDPR. Nel caso in cui sorgano delle contestazioni o delle dispute fra le autorità privacy interessate e l’autorità capofila, l’EDPB può intervenire per risolvere detta disputa. Prevede, infatti, l’art. 65 GDPR, che: “Al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante […] se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità capofila o l’autorità capofila ha rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento”.

Il GDPR richiede alle autorità privacy europee di cooperare per garantire l’applicazione coerente e condivisa delle norme contenute nello stesso, al fine di garantire che la tutela offerta ai cittadini sia omogenea all’interno dell’intero spazio economico europeo. Per tale ragione, anche nell’applicazione del meccanismo del one-stop-shop di cui all’art. 60 GDPR, l’autorità capofila è incaricata di guidare l’intero processo di cooperazione fra le diverse autorità competenti (ovvero, le altre autorità nel cui territorio viene posto in essere in trattamento transfrontaliero di dati), condividendo le informazioni pertinenti, svolgendo ogni indagine dovesse ritenersi necessaria anche sulla scorta delle segnalazioni ricevute e preparando una bozza della decisione relativa al caso oggetto di indagine. Detta bozza, che viene sottoposta al vaglio delle autorità interessate, può essere oggetto di opposizione da parte delle altre autorità di controllo. Le obiezioni devono essere pertinenti e motivate ed essere presentate entro un termine di quattro settimane decorrente dalla notifica, ai sensi di quanto previsto all’art. 60 par. 4 del GDPR. In assenza di obiezioni, la bozza diventa definitiva. Nel caso in cui l’autorità capofila non intenda far seguito alle obiezioni sottopostele e, quindi, sorga una controversia in merito al contenuto della decisione, ostacolando il raggiungimento del consenso, si attiva il “meccanismo di coerenza”, che impone all’Autorità capofila di deferire il caso all’EDPB.

A seguito della condivisione della bozza di detto provvedimento, con le altre autorità interessate ai sensi dell’art. 60 par. 3 GDPR (secondo cui “L’autorità di controllo capofila comunica senza indugio le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni”), alcune di esse hanno formulato contestazioni in merito al provvedimento, all’eventualità in cui i dati oggetto di esame dovessero essere considerati o meno dati personali, alle conseguenze derivanti dalla risposta affermativa a tale domande, oltre che all’adeguatezza delle sanzioni e delle misure correttive proposte. Il Garante irlandese, dunque, rigettando le obiezioni avanzate dalle autorità interessate, ha deferito la risoluzione della disputa all’EDPB, avviando la procedura prevista all’art. 65.

Nelle lettere dalla decisione vincolante adottata da EDPB, al momento non disponibile, si affrontano nel merito le eccezioni ritenute “rilevanti e motivate” in linea con i requisiti dell’art. 4 (24) GDPR. In particolare, l’EDPB precisa che l’Autorità Garante Irlandese “adotti la sua decisione finale, indirizzata al titolare del trattamento, sulla base della decisione dell’EDPB, senza indebito ritardo e al più tardi un mese dopo che l’EDPB ha notificato la sua decisione”. L’EDPB pubblicherà la sua decisione sul proprio sito web successivamente all’adempimento degli obblighi di notifica posti a carico dell’Autorità Garante Irlandese.

Su un argomento simile può essere interessante l’articolo “One-stop-shop e potere di contestazione delle Autorità privacy europee”.

Green Pass e Privacy: il “Sì” del Garante ai controlli sull’identità da parte dei gestori di bar e ristoranti

Il Garante per la protezione dei dati personali, in risposta ad un quesito urgente sollevato dalla Regione Piemonte, ha confermato che i titolari delle strutture ricettive e dei pubblici esercizi possono richiedere un documento di identità agli intestatari del Green pass alla luce della disciplina procedurale introdotta dal DPCM 17 giugno 2021. In tal senso, il Garante precisa che “le figure autorizzate alla verifica dell'identità personale sono quelle indicate nell'articolo 13, comma 4, del DPCM 17 giugno 2021”. L’articolo in considerazione sottolinea che l'intestatario della certificazione verde all'atto della verifica dimostra, a richiesta dei verificatori, la propria identità personale mediante l'esibizione di un documento di identità.

Nel novero dei “soggetti verificatori”, cioè degli individui che devono verificare la validità del QR code incluso nel Green pass, rientrano i pubblici ufficiali nell’esercizio delle funzioni, il personale addetto ai servizi di controllo delle attività di intrattenimento, il proprietario di luoghi presso i quali si svolgono eventi, i vettori aerei, marittimi e terrestri, i gestori delle strutture che erogano prestazioni sanitarie. E, appunto, anche “i soggetti titolari delle strutture ricettive e dei pubblici esercizi”.

Nelle parole del Garante, tra le garanzie previste dal DPCM 17 giugno 2021, è compresa l’esclusione della raccolta dei dati dell'intestatario della certificazione da parte dei soggetti verificatori in qualunque forma (ai sensi dell’art. 13, comma 5 del DPCM). Entro tali termini, pertanto, nei sensi di cui al combinato disposto degli Articoli 9-bis, comma 4, secondo periodo, del decreto-legge n. 52 del 2021 e 13, comma 4 del citato DPCM, il Garante conferma che il trattamento dei dati personali consistente nella verifica, da parte dei soggetti di cui all’Articolo 13, comma 2, dell’identità dell’intestatario della certificazione verde, mediante richiesta di esibizione di un documento di identità è da ritenersi ammissibile e legittimo.

Tuttavia, la posizione assunta dal Garante non ha tardato a sollevare opinioni divergenti e criticità. Sul punto, infatti, si registra la posizione nettamente contrapposta del Ministero dell’Interno che, in molteplici occasioni aveva escluso radicalmente possibilità da parte di ristoratori o esercenti privati di condurre verifiche circa l’identità degli intestatari dei Green pass mediante l’esibizione di un documento identificativo. Parimenti, sul sito istituzionale dedicato al Green pass, alla voce “Come avviene la verifica”, veniva indicato l’obbligo per l’intestatario di esibire il documento di identità al fine di permettere la verifica della corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dalla App Verifica19. Tuttavia, l’indicazione è stata recentemente rimossa.

Al fine di risolvere l’impasse interpretativo, il Ministero dell’Interno ha pubblicato una circolare di chiarimento in merito alla questione controlli. In tal senso, la circolare specifica che l’attività di verifica dei dati tra green pass e documenti d’identità non ricorrerà indefettibilmente. In altre parole, i controlli d’identità saranno necessari solo “nei casi di abuso o elusione delle norme, come, ad esempio, quando appaia manifesta l’incongruenza con i dati anagrafici contenuti nella certificazione”. Nella spiegazione fornita dal Ministero dell’Interno, pertanto, appare evidente la natura discrezionale del controllo sulle identità dei titolari della certificazione verde. La circolare ministeriale fornisce un prezioso chiarimento in materia di sanzioni: nel testo si specifica che “qualora si accerti la non corrispondenza fra il possessore della certificazione verde e l’intestatario della medesima, la sanzione […] risulterà applicabile nei confronti del solo avventore, laddove non siano riscontrabili palesi responsabilità a carico dell’esercente”. Tale precisazione ha certamente una rilevanza di primo piano, fornendo un’esimente per i controlli svolti con diligenza e in buona fede da titolari dei pubblici esercizi, accordando sanzioni in capo ai soli avventori nell’ipotesi di condotte deliberatamente in violazione della normativa applicabile.

Su un simile argomento può essere interessante l’articolo “Vaccini anti-Covid dei dipendenti: obblighi privacy e labour”.

Quasi definito il quadro normativo del perimetro di sicurezza nazionale cibernetica

Il travagliato processo di istituzione del quadro normativo a tutela della sicurezza nazionale (il cd. Perimetro di sicurezza nazionale cibernetica) pare avviarsi a un felice epilogo.

Il perimetro di sicurezza nazionale cibernetica è stato istituito ai sensi dell’articolo 1, comma 1, del Decreto Legge 21 settembre 2019, n. 105, convertito con modificazioni dalla L. 18 novembre 2019, n. 133 (in G.U. 20/11/2019, n. 272) al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di funzioni essenziali dello Stato. E proprio verso il rafforzamento di continuità e resilienza dei settori cruciali per il mantenimento di attività civili, sociali o economiche essenziali è orientato il quadro normativo che demanda allo strumento del DPCM il governo di fattori cruciali quali l’individuazione dei soggetti inclusi, procedure di acquisizione di asset ICT e di notifica degli incidenti informatici.

Il DPCM 30 luglio 2020, n. 131 costituisce un regolamento in materia di perimetro di sicurezza nazionale cibernetica e indica le modalità e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati, inclusi nella “cintura di sicurezza”. Sulla stessa linea, il Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54 individua le procedure, le modalità ed i termini da seguire per l’acquisizione, da parte dei soggetti inclusi nel perimetro, di oggetti di fornitura. Il secondo DPCM, invece, determina procedure per la notifica degli incidenti di sicurezza informatica (DPCM 14 Aprile 2021, n. 81).

Al novero si aggrega il recente DPCM del 15 giugno 2021, che individua le categorie di beni, sistemi e servizi ICT destinati a essere impiegati nel Perimetro di sicurezza nazionale cibernetica. L’allegato al DPCM determina gli asset ICT ricompresi al Perimetro cyber e le macrocategorie di riferimento: componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione); componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati; componenti hardware e software per acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali; applicativi software per l’implementazione di meccanismi di sicurezza. Tuttavia, l’Articolo 4 del DPCM prevede che “le categorie individuate dal presente decreto sono aggiornate, con decreto del Presidente del Consiglio dei ministri, con cadenza almeno annuale, avuto riguardo all’innovazione tecnologica, nonché alla modifica dei criteri tecnici”.

Per completare il quadro del Perimetro cyber, ora, manca soltanto un tassello: il DPCM preordinato alla costituzione della rete nazionale di laboratori pubblico-privati a supporto del CVCN per la conduzione di attività di testing e scrutinio tecnologico su beni, servizi e sistemi ICT ricompresi al Perimetro.

Gli obblighi dettati dalla normativa sul perimetro di sicurezza cibernetica si applica solo ad un novero di società specificatamente individuate. Tuttavia, l’evoluzione normativa a livello nazionale e comunitario è verso l’estensione degli obblighi ad un gruppo di società sempre più ampio. Questi obblighi sono del tutto separati da quanto previsto dalla normativa privacy e si applicano anche a dati non personali.

Su un simile argomento può essere interessante l’articolo “La creazione del perimetro di sicurezza nazionale cibernetica è ora più vicino”.

Technology, Media and Telecommunications

Avviata la consultazione pubblica avente ad oggetto il Piano “Italia a 1 Giga”

Il Ministro per l’innovazione tecnologica e la transizione digitale ha avviato una consultazione pubblica avente ad oggetto il Piano “Italia a 1 Giga”, approvato il 27 luglio 2021 dal Comitato interministeriale per la transizione digitale. Il Piano si inserisce nella cornice degli interventi pubblici parte della “Strategia italiana per la Banda Ultra Larga – Verso la Gigabit Society”, che, in attuazione del Piano Nazionale di Ripresa e Resilienza, definisce le azioni necessarie al raggiungimento degli obiettivi di trasformazione digitale fissati dalla Commissione europea.

Il Piano “Italia a 1 Giga” persegue l’obiettivo di garantire entro il 2026 – con 4 anni di anticipo rispetto agli obiettivi fissati dalla Commissione – una velocità di connessione delle reti fisse ad almeno 1 Gbit/s su tutto il territorio nazionale, collegando i civici delle unità immobiliari nei quali non è presente – e né lo sarà per i prossimi cinque anni – alcuna rete idonea a fornire connettività stabile ad almeno 300 Mbit/s in download.

All’esito della consultazione, il Piano dovrà essere notificato alla Commissione europea – e da questa autorizzato – configurandosi come un aiuto di stato ai sensi dell’art. 107 TFUE.

La consultazione permetterà di raccogliere pareri da parte dei soggetti interessati sui seguenti punti:

  • possibilità di destinare eventuali risorse residue a misure volte ad incentivare la domanda di connettività a banda ultra larga o ad altri progetti;
  • individuazione di una soglia prestazionale di intervento pari a 300 Mbit/s stabile in download;
  • previsione, nelle aree considerate a fallimento di mercato, di un modello di intervento c.d. “ad incentivo”, in base al quale, mediante procedure ad evidenza pubblica, verranno selezionati gli operatori che realizzeranno le infrastrutture di rete di cui poi rimarranno proprietari, beneficiando di un contributo pubblico;
  • quantificazione del numero e dimensionamento dei lotti di gara per la selezione dei soggetti che dovranno realizzare le infrastrutture di rete e degli eventuali vincoli all’aggiudicazione, preordinati a garantire il corretto funzionamento delle dinamiche concorrenziali nell’ambito del modello ad incentivo;
  • l’identificazione dei meccanismi incentivanti/disincentivanti che possano garantire il rispetto dei tempi da parte degli appaltatori e a quali prodotti attivi e passivi l’operatore aggiudicatario debba garantire l’accesso wholesale;
  • l’identificazione dei meccanismi incentivanti/disincentivanti che possano garantire il rispetto dei tempi dei piani di investimento privati dichiarati in occasione della mappatura particolareggiata del territorio nazionale, nonché i termini, i livelli quantitativi e le possibili giustificazioni in considerazione dei quali il Piano di investimento privato deve essere considerato non rispettato;
  • sostenibilità dei piani tecnico-finanziari forniti dagli operatori nell’ambito della predetta mappatura, in relazione alle reti “FWA”, al fine di garantire effettivamente una connettività con velocità di 300 Mbit/s stabile in download entro il 2026 a tutti gli indirizzi civici potenzialmente servibili.

I soggetti interessati potranno presentare le proprie osservazioni all’indirizzo e-mail: Italia1Giga_consultazione@governo.it, entro le ore 13 del 15 settembre 2021.

Su un simile argomento può essere interessante l’articolo “Avviata la mappatura delle reti mobili nel contesto del Piano “Italia 5G” del PNRR”.

Intellectual Property

La Corte di Cassazione precisa le differenze tra invenzioni e modelli di utilità

Con l’ordinanza n. 21565/2021, la Corte di Cassazione si è espressa in tema di brevetto per invenzione industriale e ne ha sottolineato le caratteristiche distintive rispetto a un modello di utilità.

Nel caso di specie, la Corte ha sostanzialmente ribadito i principi ormai consolidati in sede di giudizio di legittimità. In particolare, la ricorrente lamentava innanzitutto la violazione o falsa applicazione degli artt. 45 e seguenti del Codice della Proprietà Industriale (c.p.i.) e degli artt. 2585 e 2592 del codice civile. Inoltre, veniva contestato l’omesso esame di un fatto decisivo, il quale avrebbe portato a una diversa valutazione della validità del brevetto per invenzione industriale che – sempre secondo le argomentazioni della ricorrente – era stata apprezzata dal giudice di merito senza previa individuazione del problema tecnico risolto dal brevetto stesso.

La Corte non ha ravvisato la fondatezza delle allegazioni della ricorrente. Da un lato, essa ha ritenuto pacifico che un’invenzione industriale debba fondarsi sulla soluzione di un problema tecnico, il quale deve quindi essere correttamente determinato. Dall’altro, ha deciso di evidenziare alcuni elementi determinanti a mantenere distinti le invenzioni dai modelli di utilità. Nello specifico, la Corte ha riconosciuto che in generale il problema tecnico oggetto di un’invenzione è un problema non ancora risolto, che rende il trovato idoneo ad avere concrete realizzazioni nel campo industriale, così da apportare un progresso rispetto alla tecnica e alle cognizioni preesistenti. Diversamente, il modello di utilità, che pure richiede un carattere di intrinseca novità, opera sul piano dell'efficacia e della comodità di impiego di un oggetto preesistente, al quale conferisce, in una certa misura, un'utilità nuova e ulteriore.

La Corte ha pertanto concluso che il problema tecnico di cui si discuteva non era stato trascurato affatto dal giudice di merito. Piuttosto, andava considerato “intrinsecamente risolto” proprio dalla soluzione innovativa ideata col brevetto. Infine, ha precisato che l'accertamento della sussistenza in concreto delle caratteristiche dell'invenzione spetta al giudice di merito ed è insindacabile in sede di legittimità (salvo in caso di vizio di motivazione, nei limiti in cui tale vizio è deducibile in Cassazione). Per questi motivi, il ricorso è stato rigettato.

Su un simile argomento può essere interessante l’articolo “La Cassazione sui criteri di liquidazione del danno per violazione di brevetto”.

Confermata la riapertura del bando Marchi+

L’UIBM conferma l’adozione dei nuovi bandi per la concessione delle misure agevolative MARCHI+, DISEGNI+ e BREVETTI+ per l’annualità 2021, come preannunciato nelle “Linee di intervento strategiche sulla proprietà industriale per il triennio 2021-2023”.

Coerentemente con le osservazioni emesse in sede di consultazione pubblica sulle predette Linee strategiche, sono state inserite, tra le altre, delle novità in relazione ai requisiti di accesso e alle agevolazioni concedibili. Ad esempio, rispetto alle misure MARCHI+ e DISEGNI+ si rileva l’introduzione di una nuova procedura telematica di presentazione delle domande, che renderà più agevole l’accesso per le imprese, anche alla luce della maggiore uniformità rispetto a quella di Brevetti+.

Le risorse messe a disposizioni sono pari a 38 milioni di euro, di cui 23 milioni per Brevetti+, 12 milioni di euro per Disegni+ e 3 milioni di euro per Marchi+.

In particolare, il bando MARCHI+ si propone di supportare le imprese di micro, piccola e media dimensione nella tutela dei marchi all’estero mediante agevolazioni concesse nella forma di contributo in conto capitale. Due le misure agevolative previste: i) Misura A: volta a favorire la registrazione dei marchi dell’Unione europea presso l’EUIPO (Ufficio dell’Unione europea per la Proprietà Intellettuale); ii) Misura B: volta a favorire la registrazione di marchi internazionali presso OMPI (Organizzazione Mondiale per la Proprietà Intellettuale).

Il soggetto gestore è Unioncamere, che curerà gli adempimenti tecnici e amministrativi riguardanti l’istruttoria delle domande e l’erogazione delle agevolazioni. I soggetti beneficiari saranno invece le imprese che, alla data di presentazione della domanda di partecipazione, siano in possesso, a pena di esclusione, dei requisiti elencati nell’articolo 3 del Bando in questione. A riguardo, si sottolinea la dimensione di micro, piccola o media impresa – come definita nell’allegato 1 del Regolamento (UE) n. 651/2014 –, l’aver effettuato, a decorrere dal 1° giugno 2018, il deposito della domanda di registrazione presso l’EUIPO o l’OMPI e il pagamento delle relative tasse, nonché l’aver ottenuto la registrazione presso EUIPO o la pubblicazione della domanda di registrazione sul registro internazionale dell’OMPI. In ogni caso, la registrazione dovrà essere antecedente la presentazione della domanda di partecipazione. Si ricorda altresì che i requisiti dovranno sussistere, a pena di esclusione, fino al momento dell’erogazione dell’agevolazione.

Tra le spese agevolabili vi sono quelle sostenute per le tasse di deposito e/o per l’acquisizione dei servizi specialistici, quali la “progettazione della rappresentazione, assistenza per il deposito, ricerche di anteriorità, assistenza legale per azioni di tutela del marchio in risposta a opposizioni seguenti al deposito della domanda di registrazione e le tasse di deposito” presso gli Uffici di riferimento.

La presentazione delle domande di partecipazione, a pena di esclusione, dovrà essere compilata esclusivamente tramite la procedura informatica e secondo le modalità indicate al sito www.marchipiu2021.it,. A pena di inammissibilità, la stessa dovrà essere firmata digitalmente dal legale rappresentante dell’impresa richiedente l’agevolazione. Si procederà fino all’esaurimento delle risorse disponibili, di cui il Soggetto gestore darà opportuna e tempestiva comunicazione dal sul sito già menzionato.

Su un simile argomento può essere interessante l’articolo “Linee di intervento strategiche sulla proprietà industriale 2021-2023 del MISE”.

Life Sciences

L’ICMRA pubblica un report sull’impatto dell’intelligenza artificiale nella regolamentazione dei medicinali

L’ICMRA ha pubblicato l’Horizon Scanning Assessment Report – Artificial Intelligence contenente raccomandazioni in merito all’utilizzo dell’intelligenza artificiale nell’ambito della regolamentazione dei prodotti medicinali.

Il report pubblicato dalla Coalizione Internazionale delle Autorità Regolatorie dei Medicinali (ICMRA) nasce dalla crescente rilevanza che le soluzioni innovative basate su sistemi di intelligenza artificiale (IA) iniziano a rivestire anche nel mondo della medicina e, in particolare, dei prodotti medicinali, con potenziale applicazione in tutte le fasi del ciclo di vita di un prodotto, dallo sviluppo preclinico, alla registrazione e all'analisi dei dati degli studi clinici, alla farmacovigilanza e all'ottimizzazione del suo utilizzo.

L’ICMRA è consapevole che tali soluzioni innovative introducano nuove importanti sfide, a livello globale, nell’ambito della regolamentazione dei prodotti medicinali, e si propone di agire attivamente al fine di consentirne uno sviluppo compatibile con le peculiari esigenze del settore. A tal riguardo, ha pertanto istituito un Informal Network for Innovation, con l’intento di effettuare un esame degli scenari attuali e delle potenziali prospettive tramite l’elaborazione di ipotetici case studies (“horizon scanning”), così da mettere alla prova i quadri normativi esistenti e formulare raccomandazioni per il loro adeguamento.

In particolare, i membri dell’ICMRA hanno sviluppato due casi di studio ipotetici, relativi all’eventuale utilizzo dell’IA (i) nello sviluppo e nell’uso della medicina clinica; e (ii) nella farmacovigilanza, dai quali sono emerse talune peculiari criticità. Ad esempio, l’utilizzo di algoritmi che sfruttano tecniche di apprendimento automatico rischia di impedire una diretta osservazione analitica dei processi di elaborazione dei risultati (c.d. effetto “scatola nera”), comportando quindi una situazione di incertezza clinica e normativa, così come, d’altro canto, il rischio di fallimento degli algoritmi assume connotati di particolare rilevanza nel contesto in esame, in quanto eventuali inefficienze impatterebbero da ultimo anche sulla salute dei pazienti.

Rilevato quanto sopra, la Coalizione intende quindi supportare le agenzie regolatorie e gli stakeholders (i.e., sponsor, sviluppatori e aziende farmaceutiche) nel processo di innovazione del settore, fornendo, mediante il report, una serie di raccomandazioni specifiche. Tra le misure considerate, si suggerisce:

  • l’adozione di un approccio basato sul rischio per valutare e regolare l’utilizzo dell’IA;
  • l’implementazione di strutture di governance rafforzate nel contesto delle analisi rischi/ benefici di un farmaco, tali da consentire un monitoraggio effettivo e consapevole degli algoritmi di IA che sfruttano tecniche di machine learning e garantire quindi un “giusto equilibrio tra l'IA e la supervisione umana”; e
  • l’elaborazione di linee guida che disciplinino lo sviluppo, la convalida e l&rsquo
Stampa