Innovazione e diritto: le novità della settimana

 

Podcast

Con Alessandro Busetti, Group Head of Personal Data Protection and Transformation Compliance di Generali

Alessandro Busetti di Generali parla della compliance nell’innovazione nel gruppo Generali, che sta affrontando una rapida trasformazione digitale. È possibile vedere e ascoltare l’episodio del podcast QUI.

 

Artificial Intelligence

I negoziati sull’AI Act europeo sono più vicini alla conclusione

I negoziati del trilogo sull'AI Act hanno preparato il terreno per la riunione finale in cui si prevede di raggiungere l’accordo politico finale.

Il 24 ottobre 2023 si è tenuta una riunione negoziale del trilogo tra Consiglio, Parlamento e Commissione dell'UE, che si è concentrata sugli aspetti critici dell’AI Act. Purtroppo non si è riusciti a raggiungere un accordo completo. Mentre si è raggiunto un consenso sulla classificazione delle applicazioni di IA ad alto rischio e si sono fornite indicazioni generali sulla supervisione di potenti modelli di fondazione, le discussioni sui divieti e sull'applicazione della legge sono rimaste in gran parte irrisolte.

Sulla base delle informazioni disponibili, i punti salienti dei negoziati sono stati i seguenti:

Regole di classificazione per i sistemi di AI ad alto rischio: L’AI Act adotta un approccio basato sul rischio, richiedendo una rigorosa conformità per i modelli di IA che presentano rischi significativi per la salute, la sicurezza e i diritti fondamentali. È stato introdotto un possibile sistema di filtri che consente agli sviluppatori di IA di chiedere esenzioni dal regime rigoroso. Tuttavia, le condizioni per i criteri di esenzione sono ancora in fase di perfezionamento.

Foundation Models: I politici si sono confrontati con la proliferazione di modelli potenti. L'approccio a livelli ha ottenuto il sostegno, ma la definizione del livello superiore di modelli di base "molto capaci", soggetto a verifica e mitigazione del rischio, rimane una sfida. Si stanno prendendo in considerazione criteri quali la potenza di calcolo, i dati di formazione e le risorse.

Governance: Si propone un'applicazione centralizzata dei modelli di AI che presentano rischi sistemici, simile a quanto previsto dal Digital Services Act, dove le 17 Very Large Online Platforms (VLOPs) e i 2 Very Large Online Search Engines (VLOSEs) sono soggetti al monitoraggio diretto della Commissione Europea. È previsto un Ufficio AI, alle dipendenze della Commissione ma con indipendenza funzionale, finanziato da una commissione di gestione. Tuttavia, alcuni eurodeputati sono scettici nei confronti di questo approccio.

Divieti e applicazione della legge:Il capitolo relativo a quali applicazioni dell'IA dovrebbero essere proibite e a come le forze dell'ordine dovrebbero gestire le eccezioni rimane una questione controversa. I negoziatori mirano a riunire divieti, eccezioni per l'applicazione della legge, valutazioni dei diritti fondamentali e disposizioni ambientali.

La prossima riunione del trilogo è prevista per il 6 dicembre e dovrebbe essere la riunione finale dei negoziati per raggiungere un accordo politico sulla legge sull'IA. Pertanto, è probabile che i negoziati più intensi si svolgano nel prossimo mese.

Sullo stesso tema, è interessante il seguente articolo: "L’AI Act comunitario e l’offerta innovativa di DLA Piper sull’intelligenza artificiale”.

 

Data Protection & Cybersecurity

CyberItalia: Come il Cybersecurity Act cambia l’approccio alla cybersecurity nell’Unione europea

Il Cybersecurity Act ha un notevole ruolo nel piano di cybersicurezza nell’UE, dando un nuovo ruolo all’ENISA ed introducendo una certificazione di cybersicurezza europea. È possibile leggere l’articolo QUI.

Fascicolo Sanitario Elettronico 2.0 in Gazzetta Ufficiale – Quali profili privacy?

La versione 2.0 del Fascicolo Sanitario Elettronico è ora pubblicata in Gazzetta Ufficiale e solleva una serie di interessanti questioni privacy.

È stato pubblicato in Gazzetta Ufficiale del 24 ottobre 2023, n. 249 il Decreto del Ministero della Salute del 7 settembre 2023 sul Fascicolo sanitario elettronico 2.0 (FSE). In questo articolo ne analizziamo i principali profili privacy.

Cosa è il Fascicolo Sanitario Elettronico 2.0?

Ai sensi dell’Art. 15 del Decreto, il FSE 2.0 è “uno strumento a disposizione dell’assistito, che può consentirne, attraverso l’espressione del consenso, l’accesso in consultazione ai soggetti del SSN e dei servizi sociosanitari regionali nonché agli esercenti le professioni sanitarie che lo prendono in cura, anche al di fuori del SSN”. Tale database dovrà essere popolato entro 5 giorni dall’erogazione della prestazione sanitaria. Ma non solo. Dovranno essere inclusi anche gli eventi clinici riferiti alle prestazioni erogate dal Servizio Sanitario Nazionale (SSN) e non fino al 18 maggio 2020 e riferiti ai soli assistiti che non hanno espresso la loro opposizione.

A differenza del Fascicolo Sanitario Elettronico 1.0, il FSE 2.0 rappresenta una grande evoluzione: da semplice contenitore documentale (quale è l’FSE 1.0) a strumento in grado di raccogliere e condividere i dati clinici rilevanti per garantire la continuità assistenziale sul territorio nazionale. L’FSE 2.0 può essere infatti visto come il punto di raccordo di tutte le informazioni sanitarie e cliniche del soggetto, la quali prevalentemente rimangono residenti nei sistemi che le hanno prodotte, archiviate e rese disponibili all’assistito e ai vari attori del sistema sanitario con il fine di migliorare il processo di cura e aumentare l’empowerment del paziente.

Il Fascicolo Sanitario Elettronico 2.0 dovrebbe infatti ora offrire una serie di vantaggi sia ai cittadini, nonché ai professionisti sanitari:

• Per i cittadini, il FSE 2.0 consente di avere accesso ai propri dati sanitari in qualsiasi momento e luogo, e di condividerli con i propri operatori sanitari. Ciò può facilitare la comunicazione tra i professionisti sanitari e migliorare la qualità delle cure.
• Per i professionisti sanitari, il FSE 2.0 consente di avere una visione completa e aggiornata della storia clinica del paziente, migliorando la diagnosi e la cura.

Con il presente decreto, si sono pertanto individuati i contenuti dell’FSE, nonché i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le garanzie e le misure di sicurezza ad adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito, e i livelli diversificati di accesso all’FSE.

I profili privacy del Fascicolo Sanitario Elettronico

In materia di protezione dei dati personali, l’adozione dell’FSE 2.0 solleva numerosi profili. Il Garante per la Protezione dei Dati Personali è infatti intervenuto diverse volte rispetto allo schema di Decreto del FSE 2.0, censurando una prima volta tale decreto con parere del 22 agosto 2022, e approvandolo invece in ultima battuta, dopo l’adozione dei correttivi suggeriti, in data 8 giugno 2023.

Di seguito, si illustrano alcuni dei profili privacy menzionati dal decreto sul Fascicolo Sanitario Elettronico:

Le categorie di dati personali raccolti

Il decreto contiene i seguenti dati e documenti, non solo selle prestazioni erogate dal servizio sanitario nazionale, ma anche da quello privato. Questi sono:

1. dati identificativi e amministrativi dell’assistito (esenzioni per reddito e patologia, contatti, delegati);
2. referti, inclusi quelli consegnati ai sensi del decreto del Presidente del Consiglio dei ministri 8 agosto 2013, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 243 del 16 ottobre 2013;
• verbali pronto soccorso;
• lettere di dimissione;
• profilo sanitario sintetico, di cui all’art. 4;
• prescrizioni specialistiche e farmaceutiche;
• cartelle cliniche;
• erogazione farmaci a carico SSN e non a carico SSN;
• vaccinazioni;
• erogazione di prestazioni di assistenza specialistica;
• taccuino personale dell’assistito, di cui all’art. 5;
• dati delle tessere per i portatori di impianto;
• lettera di invito per screening.
3. le informazioni delle esenzioni per reddito e i relativi codici esenzione, di cui al comma 1, lettera a), resi disponibili nel FSE, sono consultabili solo dall’assistito.

Tuttavia, un’eccezione è prevista per alcuni dati soggetti a maggior tutela. I documenti sanitari e socio-sanitari delle persone sieropositive, delle donne che si sottopongono a un’interruzione volontaria di gravidanza, delle vittime di atti di violenza sessuale o di pedofilia, delle persone che fanno uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, delle donne che decidono di partorire in anonimato, nonché i dati e i documenti riferiti ai servizi offerti dai consultori familiari, sono resi visibili solo all’assistito, il quale può decidere liberamente e in qualsiasi momento di renderli visibili a terzi. Tali dati e documenti sono resi visibili solo previo esplicito, informato e specifico consenso dell’assistito, reso al soggetto che eroga la prestazione. In assenza del consenso, l’erogatore della prestazione è responsabile dell’eventuale mancato oscuramento del dato o documento mediante l’apposita funzionalità. Nel caso l’assistito scelga di ricorrere alle prestazioni in anonimato, non è ammessa l’alimentazione del FSE da parte dei soggetti che erogano le prestazioni.

Informativa sul trattamento dei dati agli assistiti

Il decreto prevede che, in ottemperanza all’adempimento di cui agli articoli 13 e 14 del GDPR, quale presupposto di liceità del trattamento, entro tre mesi dalla data di entrata in vigore del Decreto, deve essere fornita all’assistito, da parte del Ministero della salute, delle regioni e province autonome, idonea informativa che espliciti i trattamenti dei dati del FSE.

Il consenso degli assistiti

Per le finalità di diagnosi, cura, riabilitazione, prevenzione, e profilassi internazionale, la consultazione dei dati e dei documenti contenuti nell’FSE da parte di terzi può avvenire solo dopo che l’assistito (i) ha preso visione dell’informativa privacy, e (ii) ha espresso libero, specifico, informato ed inequivocabile consenso esplicito. Tuttavia, a differenza della precedente impostazione, l’attivazione e l’alimentazione del FSE diviene automatica. Il cittadino non dovrà più richiedere l’apertura del proprio fascicolo e dare il proprio consenso alla sua alimentazione, ma potrà sempre decidere chi può accedere ai suoi dati sanitari, attraverso il meccanismo del consenso esplicito.

I diritti degli assistiti

L’assistito può accedere sempre ai propri dati e documenti contenuti nell’FSE 2.0, nonché richiedere l’oscuramento dei propri dati. Può esercitare questo diritto al momento dell’erogazione della prestazione, prima dell’alimentazione dell’FSE 2.0, ma anche online direttamente tramite apposita funzione, in modo gratuito.

Conservazione dei dati

fatta eccezione per la cartella clinica, e i documenti afferenti la stessa, i dati vengono cancellati decorsi trent’anni dalla data del decesso dell’assistito stesso.

Considerazioni finali sugli aspetti privacy del Fascicolo Sanitario Elettronico

Le novità apportate dal decreto sul Fascicolo Sanitario Elettronico rappresentano un passo importante verso la realizzazione di un FSE 2.0 più attento alla tutela dei dati personali degli assistiti. Tuttavia, la sfida di proteggere i dati personali contenuti all’interno dell’FSE 2.0 va oltre l’ambito normativo: serve infatti compiere anche uno sforzo tecnico considerevole. Questo sforzo tecnico e normativo si deve tradurre nella progettazione e nell’attuazione di misure avanzate per garantire la sicurezza dei dati, prevedendo, per esempio, sistemi di autenticazione avanzati, crittografia dei dati, accesso controllato e protezione da minacce esterne o interne. L’obiettivo deve essere quello di assicurare che i dati all’interno del FSE 2.0 siano accessibili solo a soggetti autorizzati e che questi rimangano al sicuro da qualsiasi rischio di accesso non autorizzato.

Su un simile argomento, può essere interessante il seguente articolo: “Il nuovo Fascicolo Sanitario Elettronico ed i rischi per la privacy degli assistiti”

 

Il Garante Privacy sanziona una società energetica per 10 milioni di euro

Con provvedimento n. 427 del 28 settembre 2023, il Garante Privacy ha sanzionato una società energetica per 10 milioni di euro per l’attivazione di contratti non richiesti, mediante il trattamento di dati inesatti e non aggiornati di clienti: la violazione sarebbe imputabile all’assenza di adeguate misure tecnico-organizzative.

Il provvedimento del Garante giunge a seguito di numerose segnalazioni di consumatori che avevano lamentato l’attivazione di contratti di fornitura di energia elettrica e gas a loro insaputa. In particolare, i reclamanti avevano segnalato di aver appreso dell’instaurazione del rapporto di somministrazione solo a seguito della ricezione di una lettera di chiusura pervenuta dal precedente fornitore o dei solleciti di pagamento ricevuti dalla società energetica sanzionata. Gli utenti non avevano mai avuto contatti con la società in questione, né in presenza, né a distanza. Tra i numerosi disagi che hanno lamentato i segnalanti emerge anche la difficoltà di individuare la società energetica fornitrice del servizio e di avere accesso alla documentazione contrattuale.

A quanto pare, le indagini dell’Autorità hanno fatto emergere che la società, in qualità di titolare del trattamento, avrebbe trattato i dati personali di potenziali clienti attraverso una rete di circa 280 agenzie e subagenzie responsabili del trattamento ai sensi del GDPR. Le agenzie stipulavano contratti tramite telefono e porta a porta, ai sensi della sanzione rileva in particolare questo secondo canale. La società energetica non si era tuttavia dotata di strumenti e procedure idonee ad avere certezza che i dati inseriti dai venditori all’interno del proprio database corrispondessero effettivamente ai reali utilizzatori delle utenze.

Il Garante ha rilevato una violazione del principio di accountability da parte della società che avrebbe attuato misure tecniche e organizzative inadeguate ad assicurare il rispetto degli obblighi imposti dal GDPR in tema di liceità del trattamento e a tutelare effettivamente i diritti degli interessati.

Il Garante ha rilevato che in alcuni casi il processo di acquisizione di nuovi clienti sarebbe avvenuto tramite il trattamento di dati inesatti e non aggiornati della clientela. A titolo esemplificativo è stata evidenziata la presenza di 2.462 contratti in cui l’indirizzo e-mail attribuito al potenziale cliente (pippo@pluto.it) era ripetuto per più di 5 volte.

Il Garante ha ribadito nel provvedimento sanzionatorio che in base al principio di accountability, il titolare del trattamento è responsabile delle attività di trattamento che egli abbia posto in essere personalmente o tramite responsabili. In questo senso, lo stesso ha l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure effettive ed efficaci di protezione dei dati.

Tale principio, dunque, impone al titolare di configurare ab origine il trattamento prevedendo tutte le garanzie necessarie (e non meramente “accettabili” come dichiarato dalla Società) “al fine di soddisfare i requisiti” del Regolamento e tutelare effettivamente i diritti degli interessati. Il Garante Privacy ha, pertanto, chiarito che gli oneri di controllo non sono limitabili all’adempimento di meri controlli formali, ma devono riguardare l’effettiva implementazione di misure idonee ad assicurare i diritti degli utenti.

Nello specifico settore dell’energia e del gas, il Garante si è già espresso in un provvedimento del 2019, indicando le modalità organizzative e gestionali che un titolare del trattamento, operante quale fornitore di energia nel mercato libero, è tenuto ad implementare, all’atto dell’acquisizione di nuovi clienti, per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.

Tale decisione, per quanto rivolta a uno specifico operatore, contiene indicazioni di portata generale in relazione alle misure tecnico-organizzative necessarie a garantire l’esattezza dei dati personali dei potenziali clienti in tale peculiare settore, in particolare ove questi siano raccolti e trattati da responsabili nominati ai sensi dell’art. 28 del Regolamento, ha chiarito il Garante Privacy.

Contrariamente a quanto sostenuto dalla società energetica, proprio perché direttamente proporzionate ai rischi insiti nelle attività di trattamento volte all’acquisizione di nuovi clienti in questo specifico settore, non possono essere “ridotte” in virtù della dimensione del titolare o della sua capacità economica.

Il Garante Privacy ha concluso rilevando che l’inadeguatezza e la lacunosità delle sopracitate misure hanno permesso agli agenti di operare in violazione delle istruzioni impartite dal titolare, con ripercussioni sulla liceità dei relativi trattamenti. L’introduzione di misure adeguate avrebbe, per contro, reso possibile intercettare preventivamente i trattamenti posti in essere per il tramite di dati personali inesatti, procedendo tempestivamente all’aggiornamento degli stessi.

L’Autorità ha quindi ordinato alla società energetica il pagamento di 10 milioni di euro a titolo di sanzione amministrativa e ha ingiunto l’adozione di una serie di misure correttive tecniche ed organizzative, tra cui:

• l’utilizzo di un sistema di “check-call” bloccante che permetta di verificare la correttezza dei contratti acquisiti tramite la rete di venditori;
• l’introduzione di sistemi di alert idonei a rilevare eventuali comportamenti scorretti e/o fraudolenti di acquisizione dei dati di potenziali clienti da parte dei venditori; l’implementazione di meccanismi di accertamento della effettiva ricezione delle comunicazioni trasmesse al cliente in fase di contrattualizzazione; e
• l’adozione di regole procedurali volte a rafforzare le attività di audit nei confronti dell’operato delle agenzie.

Sul punto potrebbe essere di interesse il seguente articolo: “Eseguita dal Garante confisca banche dati dedicate a telemarketing”.

 

Intellectual Property

La Commissione dei Ricorsi conferma il rifiuto della registrazione del marchio collettivo “San Casciano”

Nel mondo giuridico sempre intricato delle registrazioni dei marchi collettivi, una recente pronuncia (R0728/2023-4) emessa dalla Commissione dei Ricorsi dell'Unione Europea ha generato notevole interesse, confermando il rifiuto della registrazione del termine "San Casciano" come marchio collettivo per i vini Chianti Classico (Classe 33) per mancanza di carattere distintivo ai sensi dell'articolo 7(1)(b) RMUE, in combinazione con l'articolo 76(1) RMUE.

Il termine "San Casciano" non è estraneo agli appassionati del mondo dei vini Chianti Classico. Questa denominazione è strettamente legata al comune italiano omonimo, San Casciano in Val di Pesa, comunemente abbreviato come San Casciano. Questa località è famosa per la produzione di vini di alta qualità e per la sua posizione strategica all'interno della regione del Chianti Classico. Tuttavia, proprio questa connotazione geografica ha innescato il dibattito giuridico.

La Commissione dei Ricorsi ha infatti sottolineato che i regolamenti che regolano l'uso del marchio "San Casciano" specificano chiaramente che i vini per i quali si richiede la protezione devono provenire da vigneti situati all'interno dei confini del comune di San Casciano in Val di Pesa. Pertanto, il termine "San Casciano" si limita a indicare l'origine geografica dei prodotti in questione, mancando di un carattere distintivo intrinseco.

Ciò che rende questa decisione particolarmente interessante è la considerazione da parte della Commissione dei Ricorsi sull'applicazione dell'articolo 74(2) RMUE. Questa disposizione, benché consenta deroghe all'articolo 7(1)(c) RMUE e permetta l'iscrizione come marchi collettivi dell'UE di segni o indicazioni che possano essere utilizzati per denotare l'origine geografica dei prodotti o servizi nel contesto commerciale, richiede un'attenta enfatizzazione del requisito delineato nell'articolo 74(1) RMUE. Quest'ultimo articolo sottolinea in modo inequivocabile che i marchi collettivi dell'UE, oggetto di domanda, devono avere la capacità di distinguere i beni o i servizi dei membri della sua associazione da quelli offerti da altre imprese.

La decisione della Commissione dei Ricorsi dell'Unione Europea in merito al rifiuto della registrazione del termine "San Casciano" come marchio collettivo per i vini Chianti Classico rappresenta un importante precedente nel mondo giuridico delle registrazioni dei marchi collettivi, mettendo in evidenza la necessità di un'attenta analisi e considerazione dei requisiti di carattere distintivo e della capacità di distinguere i beni o servizi dei membri dell'associazione da quelli offerti da altre imprese.

Questa decisione mette in luce altresì la complessità e le sfide che possono derivare dal tentativo di conciliare la tutela dei marchi con la promozione dell'origine geografica e delle tradizioni locali. È quindi raccomandabile per le aziende coinvolte in simili registrazioni adottare una strategia oculata che prenda in considerazione sia la protezione dei propri marchi che il rispetto delle specifiche leggi e regolamenti riguardanti l'indicazione di origine geografica. Inoltre, è consigliabile mantenere un costante dialogo con esperti specializzati in proprietà intellettuale e marchi, al fine di garantire un'adeguata conformità con la normativa vigente e una protezione efficace dei propri interessi aziendali.

Su di un simile argomento, il seguente articolo può essere di rilievo “Conferma del carattere descrittivo del marchio collettivo “EMMENTALER”

Avvocato Generale: conservazione e accesso a indirizzi IP vanno consentiti in casi di violazioni online ai diritti d’autore

Nella Causa C-470/21, La Quadrature du Net e a., l’Avvocato Generale Szpunar ha recentemente presentato le proprie conclusioni, precisando che l’articolo 15, paragrafo 1 della direttiva 2002/58/CE debba, a suo avviso, essere interpretato nel senso di consentire la conservazione e l’accesso ai dati relativi all’identità civile corrispondenti ad indirizzi IP, per quanto attiene al perseguimento di reati riguardanti violazioni commesse online ai diritti d’autore e diritti connessi.

Già in data 27 ottobre 2022, l’Avvocato Generale Szpunar aveva presentato delle prime conclusioni rispetto alla presente causa, proposta alla Corte di Giustizia con domanda di pronuncia pregiudiziale del Consiglio di Stato francese. Le nuove conclusioni, datate 28 settembre 2023, sono state dunque presentate a seguito della decisione della Corte in Seduta Plenaria di riaprire la fase orale del procedimento in questione. Anch’esse si sono concentrate sul medesimo tema, ossia l’interpretazione dell’articolo 15, paragrafo 1 della direttiva 2002/58/CE, relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche. L’argomento, in questa seconda occasione, viene dall’Avvocato Generale ulteriormente approfondito.

Per ciò che attiene ai fatti della controversia in oggetto, va precisato che l’articolo 15, paragrafo 1 consente agli Stati membri di adottare delle disposizioni legislative limitative dei diritti e degli obblighi di cui alla direttiva 2002/58/CE, al fine di tutelare la sicurezza nazionale, la difesa, la sicurezza pubblica e l’applicazione della legge penale, purché tali disposizioni si sostanzino in misure necessarie, opportune ed appropriate rispetto ai diversi diritti fondamentali in gioco. La normativa francese, sul punto, prevede che l’Alta Autorità per la diffusione delle opere e la protezione dei diritti su Internet (La Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet o, anche, “Hadopi”) svolga una funzione di protezione delle opere protette dal diritto d’autore nei confronti delle violazioni di tali diritti commesse online. Per l’esercizio di tali poteri, è stato istituito, con decreto del 5 marzo 2010, un “Sistema di gestione delle misure per la protezione delle opere su Internet”, la cui legittimità viene ivi contestata da alcune associazioni francesi.

Secondo tale sistema e per le finalità anzidette di salvaguardia della sicurezza nazionale e prevenzione della criminalità, alla Hadopi è consentito l’accesso diretto ai dati personali relativi all’identità civile corrispondenti ad indirizzi IP che gli operatori di comunicazioni elettroniche sono tenuti a conservare secondo la legge francese. I dati verrebbero trasmessi dagli operatori di comunicazioni elettroniche alla Hadopi per permetterle di identificare i soggetti sospettati di aver commesso reati online contro i diritti d’autore e per attivare, di conseguenza, il cosiddetto meccanismo di risposta adeguata, con cui vengono inviate raccomandazioni al soggetto individuato per intimargli di astenersi dal commettere altre violazioni, prima che venga eventualmente anche adita l’autorità giudiziaria francese.

A parere dell’Avvocato Generale, tutta la normativa nazionale anzidetta, che consente appunto la conservazione, da parte degli operatori di comunicazione elettronica, e l’accesso, da parte di un’autorità amministrativa, agli indirizzi IP degli utenti di Internet, è pienamente proporzionata all’obiettivo di perseguire le violazioni commesse online al diritto d’autore, per molteplici ragioni.

In primo luogo, applicando il principio di proporzionalità nel contesto richiesto dall’articolo 15, la conservazione e l’accesso ai dati relativi all’identità civile corrispondenti ad un indirizzo IP costituiscono un’ingerenza grave nei diritti fondamentali dell’utente interessato solo nei casi e nella misura in cui gli indirizzi IP raccolti riescono a consentire un tracciamento completo del percorso di navigazione in Internet dell’utente, al punto da arrivare a stabilire un suo profilo dettagliato e a trarre anche conclusioni precise sulla sua vita privata. L’Avvocato Generale espressamente esclude che si possa ricostruire detto tracciamento completo in un contesto come quello in oggetto, poiché il dato dell’indirizzo IP viene qui considerato isolatamente e al solo scopo di svolgere un’attività di indagine volta ad individuare il presunto autore di una violazione ai diritti d’autore.

Per di più, nei casi di reati commessi esclusivamente online, come nel caso di una violazione del diritto d’autore su una rete peer-to-peer, l’Avvocato Generale sottolinea come l’indirizzo IP potrebbe facilmente costituire l’unico strumento di indagine a disposizione per poter identificare la persona a cui detto indirizzo era attribuito al momento di commissione del reato in questione. Pertanto, anche nell’ottica di scongiurare il rischio di un’impunità sistemica per un reato commesso esclusivamente online come nel presente contesto, consentire la conservazione e l’accesso agli indirizzi IP si rivelerebbe indispensabile.

Ad avviso dell’Avvocato Generale, infine, non sarebbe nemmeno necessario che tale accesso sia subordinato ad un controllo preventivo di un giudice o di un’entità amministrativa indipendente che disponga di ulteriori attribuzioni nel contemperamento degli interessi in gioco, sia perché, come già visto, l’ingerenza non è qualificabile come grave nei casi in cui non sia possibile trarre conclusioni precise della vita privata dell’utente, sia perché l’accesso a tali dati nel contesto in oggetto non sarebbe finalizzato ad ottenere informazioni supplementari su persone già sospettate sulla base di altri elementi di indagine, ma rappresenterebbe l’unico strumento a disposizione per poter svelare l’identità dell’autore di un reato già stato oggettivamente constatato.

In conclusione, l’Avvocato Generale auspica un perfezionamento della giurisprudenza della Corte di Giustizia rispetto al tema della conservazione e dell’accesso agli indirizzi IP abbinati a dati relativi all’identità civile, ricordando che la soluzione ivi proposta, in ogni caso non vincolante per la Corte, “riguarda unicamente i reati commessi esclusivamente su Internet e non rimette in discussione le soluzioni enunciate dalla giurisprudenza relative alla conservazione e all’accesso a dati più ampi, e che perseguono altri obiettivi”.

Su un simile argomento, può essere interessante l’articolo: “Entra in vigore la Legge n. 93/2023 sul contrasto pirateria online (dirittoaldigitale.com)”.

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Silvia Cerrato, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Chiara Fiore, Claudia Galatioto, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Marco Guarna, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Dalila Mentuccia, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.