Innovation Law Insights

Podcast

Le immagini sono dati biometrici ai sensi del GDPR?

In quali casi le immagini e le foto sono dati biometrici? E quali obblighi ne derivano ai sensi del GDPR? C'è una falsa concezione circa la qualificazione delle immagini come dati biometrici in qualsiasi circostanza, cerchiamo di sfatare questo "mito" nel podcast disponibile qui.

Webinar

Marketing, CRM and Social Media After the Recent Decisions of the Garante and the Guidelines of the European Data Protection Board

Quale parte delle iniziative del KnowledgeNet di Milano dell’International Association of Privacy Professionals – IAPP, abbiamo organizzato un webinar i sui dettagli sono disponibili qui. L’evento si svolgerà il 18 novembre 2020, dalle ore 16:30 alle 18.

Privacy

L'EDPS definisce la strategia per conformarsi alla sentenza Schrems II nel trasferimento dei dati personali

Il 29 ottobre 2020 il Garante europeo della protezione dei dati (EDPS) ha pubblicato un documento strategico volto a monitorare il rispetto di quanto disposto dalla sentenza "Schrems II" della Corte di Giustizia europea da parte delle istituzioni, degli organi, degli uffici e delle agenzie europee in relazione ai trasferimenti di dati personali verso paesi terzi e, in particolare, verso gli Stati Uniti.

L’obiettivo dichiarato dal Garante europeo “è che i trasferimenti internazionali in corso e futuri siano effettuati in conformità con la legge sulla protezione dei dati dell’UE”.

La sentenza “Schrems II” ha conseguenze di vasta portata su tutti gli strumenti utilizzati per trasferire dati personali dal Spazio economico europeo (SEE) a qualsiasi paese terzo. Sebbene la strategia del Garante europeo miri a rendere tutti i trasferimenti conformi alla sentenza a medio termine, sono state identificate dall’EDPS due priorità da affrontare a breve termine:

• completare una mappatura per identificare quali contratti in corso, procedure di appalto e altri tipi di cooperazione comportano trasferimenti di dati. Si tratta di trasferimenti che non hanno una base legale e che si basano su deroghe e trasferimenti a soggetti privati verso gli Stati Uniti che presentano rischi elevati per gli interessati;
• effettuare dell’impatto di ciascun trasferimento (“Transfer Impact Assessments” o “TIAs”) per identificare se un livello di protezione sostanzialmente equivalente è garantito nel paese terzo di destinazione.

Sulla base di queste valutazioni, che devono essere effettuate con l’aiuto dei “data importers”, sarà possibile determinare l’adeguatezza dei trasferimenti dei dati negli Stati Uniti.

Nel comunicato stampa diffuso il 29 ottobre 2020, il Garante europeo ha anche affermato che "i trasferimenti di dati personali da parte delle istituzioni europee verso paesi terzi dovrebbero essere conformi alla Carta dei diritti fondamentali dell'UE, nonché alla legislazione dell'UE in materia di protezione dei dati, in particolare al capitolo V del Regolamento UE 2018/1725. A tal fine, la strategia si basa sulla cooperazione e la responsabilità dei titolari del trattamento per valutare se gli standard di protezione essenzialmente equivalenti, sulla base della sentenza della Corte, sono garantiti quando vengono effettuati trasferimenti di dati personali verso paesi terzi”.

Per ultimo, la strategia chiarisce che il Garante europeo sta lavorando con le altre autorità di controllo per sviluppare ulteriori orientamenti e raccomandazioni per assistere i titolari e responsabili del trattamento nell’adozione e attuazione di adeguate misure supplementari a garantire un sufficiente livello di protezione nel trasferimento dei dati verso paesi terzi.

La presa di posizione dell’EDPS è in linea con quella precedentemente illustrata dall’EDPB e sottolinea come l’esecuzione di una valutazione di ogni singolo trasferimento sarà fondamentale e non si potrà tornare allo scenario in cui la mera adozione di clausole contrattuali standard aggiuntive sarà considerata sufficiente. Anche la prossima adozione delle linee guida da parte dell’EDPB fornirà solo indicazioni sulle misure integrative che potrebbero essere adeguate, ma non sarà risolutoria della questione.

In tale contesto, la metodologia sviluppata da DLA Piper per valutare l’adeguatezza dei trasferimenti di dati personali verso paesi terzi dopo la sentenza Schrems II diventa un supporto utile che è stato già apprezzato dai principali garanti europei. E’ possibile avere maggiori informazioni sulla nostra metodologia in questo articolo.

Il Garante privacy norvegese sanziona una società per aver un controllo del credito senza adeguata base giuridica

La Datatilsynet, il garante privacy norvegese, ha comunicato di aver comminato ad una società locale una sanzione pecuniaria di 150.000 NOK (pari a circa € 14 mila) per aver eseguito un controllo del credito di una ditta individuale in assenza di una base giuridica per il trattamento e, pertanto, in violazione dell’articolo 6 del Regolamento (UE) 2016/679 (“GDPR”).

Il provvedimento ha origine da un reclamo presentato al garante che lamentava come la società avesse sottoposto ad una procedura di controllo del credito una ditta individuale con la quale non aveva alcun rapporto di clientela e/o di altra natura.

Il controllo del credito è un tipo di valutazione che si basa sulla raccolta di una moltitudine di dati personali che permettono di determinare, tramite un sistema a punti, l’affidabilità creditizia di un soggetto e/o di un’impresa. Il rating permette altresì di conoscere ulteriori informazioni relative alla solvibilità del soggetto e/o entità scrutinata, tra cui la voluntary security dei costi e il rapporto tra capitale disponibile e debiti contratti nell’esercizio delle attività economiche.

Il Garante privacy norvegese ha sottolineato come le informazioni relative all’affidabilità creditizia di una ditta individuale devono essere considerate dati personali dell’imprenditore ad essa riconducibile, in quanto la situazione economica privata di quest’ultimo è direttamente connessa a quella della ditta. A tal proposito, l’Autorità sul trattamento dei dati personali norvegese ha sottolineato come il trattamento dei dati personali relativi all’affidabilità creditizia di una persona fisica sia soggetto a particolari tutele previste dalla normativa privacy che devono trovare applicazione anche rispetto al trattamento dei dati della ditta individuale in virtù dell’intrinseca connessione esistente tra le condizioni economiche della ditta e quelle dell’imprenditore ad essa riconducibile.

Alla luce di tutto quanto precede, la Datatilsynet ha comminato alla società una sanzione pecuniaria pari a circa € 14 mila che ha tenuto conto della riduzione dell’importo della metà rispetto a quanto annunciato precedentemente dall’autorità in conseguenza del forte impatto economico che l’emergenza sanitaria da Covid-19 ha avuto sull’attività economica della società sanzionata.

Questa decisione sottolinea ancora una volta come i dati delle ditte individuali rientrino nell’ambito di operatività del GDPR con i conseguenti obblighi in materia di privacy.

Su di un simile argomento, è possibile leggere l’articolo “L’autorità privacy norvegese ha comminato una sanzione per illiceità del trattamento effettuato mediante un sistema di CCTV”.

Technology Media & Telecom

Il Parlamento europeo avanza per regolare l’intelligenza artificiale

Per riservarsi un posto tra i leader mondiali nello sviluppo dell’intelligenza artificiale (AI), l’Unione europea gioca in anticipo rispetto ad altre istituzioni e presenta le prime proposte di disciplina in materia.

Consapevole della centralità del ruolo della tecnologia per l’avanzamento dell’innovazione, il Parlamento europeo ha adottato delle proposte da sottoporre allo scrutinio della Commissione circa i principi etici e gli obblighi legali su cui si dovrebbe basare il futuro quadro normativo per lo sviluppo, l’implementazione e l’utilizzo dell’intelligenza artificiale e tecnologie correlate (algoritmi, robotica, software, etc.).

La futura normativa dovrebbe essere elaborata in conformità a diversi principi guida, tra cui: centralità dell’uomo (intelligenza artificiale incentrata sull'uomo e fatta dall'uomo), sicurezza, trasparenza e responsabilità, tutele contro pregiudizi e discriminazioni, diritto al risarcimento, responsabilità sociale e ambientale, rispetto della privacy e protezione dei dati.

In particolare, ad attirare particolare attenzione è, in primo luogo, la questione relativa alla responsabilità civile per danni causati dalle creazioni di AI. La richiesta del Parlamento è quella di definire un quadro giuridico chiaro che garantisca un bilanciamento tra le esigenze di certezza del diritto per le imprese da un lato e di tutela dei cittadini dall’altro e, quindi, di promozione della fiducia verso le tecnologie di AI. L’intenzione è quella prevedere un sistema di responsabilità oggettiva che copra non solo i danni materiali causati dalle attività di IA fisiche o virtuali alla vita, la salute, la proprietà, l'integrità fisica, ma anche danni immateriali purché significativi e corrispondenti a una "perdita economica verificabile".

Altra questione altrettanto importante trattata dagli eurodeputati è, ad esempio, quella della sorte dei diritti di proprietà intellettuale. Affinché l’UE possa aggiudicarsi un vero ruolo leadership in materia di AI a livello globale, si ribadisce la necessità di garantire un sistema efficace di tutela dei diritti di proprietà intellettuale e di salvaguardia del sistema brevettuale a protezione degli sviluppatori innovativi. In particolare, è importante poter distinguere tra le creazioni inventate dall’uomo con l’assistenza dell'AI e le creazioni generate direttamente dall'AI. L’intenzione è quella di escludere l’attribuzione, ipotizzata da alcuni, di personalità giuridica all'AI, e quindi la possibilità di riconoscere la proprietà dei diritti di proprietà intellettuale in capo a quest’ultima.

Infine, particolare attenzione viene prestata anche al tema molto delicato della diffusione incontrollata del machine learning, ossia delle tecnologie dotate di capacità di autoapprendimento, che sono tra quelle a più alto rischio. Sebbene sembri impossibile arginare lo sviluppo di questo tipo di sistemi algoritmici, tra le proposte del Parlamento figura quella di escludere la progettazione di tecnologia su cui non sia possibile effettuare attività di supervisione umana. Nel caso in cui sussistesse un alto rischio di gravi violazioni dei principi etici sopra indicati, le funzionalità basate su sistemi di autoapprendimento dovrebbero essere disabilitate, con conseguente ripristino del pieno controllo umano.

L'iniziativa è certamente apprezzabile, ma ci chiediamo se un regime di responsabilità oggettiva sia la soluzione giusta. Questa disciplina rischia di rappresentare un disincentivo ad investire nell'AI ed è incompatibile con il piano dell'UE di diventare un leader globale nello sviluppo dell'intelligenza artificiale.

Su di un simile argomento, è possibile leggere l’articolo “La Commissione europea pubblica uno studio sull’adozione dell’intelligenza artificiale”.

Intellectual Property

Patent box: gli ultimi chiarimenti dell’Agenzia delle Entrate

Con la risposta n. 498 del 23 ottobre 2020 l'Agenzia delle Entrate ha chiarito gli adempimenti dichiarativi da porre in essere per ottenere il riconoscimento dell’eccedenza di credito spettante, in relazione al minor reddito imponibile realizzato, a seguito della stipula dell’accordo Patent Box.

A sollecitare i chiarimenti era stata un’azienda italiana con una presenza commerciale nel mondo. Negli anni 2015-2017, tale azienda partecipava, come consolidata, assieme ad altre società dalla medesima partecipate, al regime di consolidato fiscale nazionale, venuto meno nel 2018, a seguito di un’operazione di riorganizzazione societaria: dall’1 gennaio di quell’anno, la società è fuoriuscita dal gruppo. La stessa, a seguito di esercizio di una nuova opzione, ha aderito, in qualità di capogruppo, ad un nuovo consolidato fiscale già a partire dal periodo d'imposta 2018, con le società dalla medesima partecipate e già aderenti al precedente consolidato. Nell’anno in corso, l’azienda ha siglato con il fisco un accordo di ruling per la definizione dei metodi e criteri di calcolo del contributo economico in caso di utilizzo diretto dei beni immateriali, in relazione ai periodi d’imposta dal 2015 al 2019.

In seguito alla richiesta di chiarimenti da parte dell’azienda circa le modalità di fruizione del regime fiscale previsto dal Patent Box, l’Agenzia delle Entrate ha approvato la seguente soluzione, prospettata dalla società interpellante per gli ultimi due periodi d’imposta oggetto di accordo (2019 e 2018): per il 2019, l’agevolazione può essere fruita direttamente in sede di dichiarazione nel modello Redditi Sc 2020 e per il 2018, è possibile presentare una dichiarazione integrativa a favore, sia della società sia del consolidato. L’eventuale credito emergente è utilizzabile subito in compensazione.

Invece, per gli anni 2015, 2016 e 2017, l’Agenzia delle Entrate ha chiarito che al fine di dare evidenza alle variazioni in diminuzione conseguenti alla stipula dell'accordo per il Patent Box, la società può integrare le proprie dichiarazioni e, a sua volta, la ex consolidante può presentare le dichiarazioni integrative del modello di consolidato nazionale (CNM) relative a tali anni d'imposta, al fine di far emergere la maggior eccedenza a credito/eccedenza di versamento in capo all'ex consolidato. Detto credito, tuttavia, non può essere ceduto ex articolo 43-ter del D.P.R. n. 602 del 1973.

Infine, l’Agenzia delle Entrate ha ribadito che i base a quanto previsto dall’articolo 124, comma 4, Tuir, è la ex controllante a poter disporre del maggior credito emergente dalle dichiarazioni integrative e, quindi, a poterne chiedere il rimborso o ad utilizzarlo in compensazione.

Su un simile argomento può essere interessante l’articolo "Parere dell’Agenzia delle Entrate in materia di imposte sul trasferimento di know-how".

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Lara Mastrangelo, Filippo Grondona e Andrea Michelangeli.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Noemi Buttazzo.