Innovazione e diritto: le novità della settimana

Podcast

La due diligence sul rischio cyber in operazioni di M&A sviluppata da Howden e Yoroi con DLA Piper

In questo episodio di Diritto al Digitale, Francesco Brunetti di Howden, uno dei maggiori gruppi mondiali del brokeraggio assicurativo, Marco Ramilli e Marco Castaldo di Yoroi, società leader nella cybersecurity, e Giulio Coraggio hanno discusso del rischio cyber e di come gestirlo nelle operazioni di M&A tramite una due diligence in materia di cybersecurity, illustrando a tal fine anche la soluzione denominata "M&A Cyber Risk Management Solution", realizzata da Howden e Yoroi con il supporto legale di DLA Piper. L’episodio del podcast è disponibile qui.

Regolamento DORA: La soluzione di DLA Piper e di IBM Consulting per conformarsi

Il Regolamento DORA, entrato in vigore il 17 gennaio 2023, è destinato a rivoluzionare il modo in cui le finanziarie, banche, compagnie di assicurazione ed exchange di criptovalute, operano, introducendo obblighi onerosi in materia di cybersecurity. Conformarsi agli obblighi del Regolamento DORA sarà tutt'altro che semplice e richiede una vasta gamma di competenze tecniche, legali e di processo. In questo episodio di Diritto al Digitale, Giulio Coraggio e Alberto Fietta di IBM Consulting esplorano l'impatto del Regolamento DORA sulle aziende finanziarie e le soluzioni innovative sviluppate per affrontarlo. L’episodio del podcast è disponibile qui.

Data Protection & Cybersecurity

L’EDPB valuta “inadeguata” la bozza di decisione sull’adeguatezza dei trasferimenti di dati tra UE e US

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il proprio parere sulla bozza di decisione di adeguatezza relativa al quadro normativo UE – US sui trasferimenti di dati ai sensi del GDPR.

Pur accogliendo con favore i sostanziali miglioramenti apportati, l’EDPB ha espresso preoccupazioni e richiesto chiarimenti su diversi punti relativi ai diritti degli interessati, ai trasferimenti successivi, alla raccolta temporanea di dati in massa e al funzionamento pratico del meccanismo di ricorso in relazione alla bozza di decisione di adeguatezza sul trasferimento dei dati dall’UE agli US.

Inoltre, l’EDPB ha sollevato dei rilievi per la mancanza di un requisito di autorizzazione preventiva da parte di un’autorità indipendente per la raccolta di dati in massa ai sensi dell’Ordine esecutivo 12333, nonché per la mancanza di una revisione sistematica e indipendente ex-post da parte di un tribunale o di un organismo indipendente equivalente.

Per quanto riguarda l’autorizzazione preventiva e indipendente della sorveglianza ai sensi della Sezione 702 della FISA, l’EDPB si rammarica del fatto che la Corte FISA non esamini la conformità con l’Ordine Esecutivo 14086 quando certifica i programmi che autorizzano l’individuazione di persone non statunitensi, anche se le autorità di intelligence che eseguono il programma sono vincolate da esso. Sarebbero particolarmente utili le relazioni del PCLOB sulle modalità di attuazione delle salvaguardie dell’EO 14086 e sulla loro applicazione in caso di raccolta di dati ai sensi della Sezione 702 FISA e dell’EO 12333.

Rispetto al meccanismo di ricorso, l’EDPB riconosce le garanzie aggiuntive fornite, come il ruolo dei difensori speciali e la revisione del meccanismo di ricorso da parte del PCLOB. Tuttavia, l’EDPB è preoccupato per l’applicazione generale della risposta standard del DPRC, che notifica al denunciante che non sono state individuate violazioni coperte o che è stata emessa una decisione che richiede un’adeguata riparazione, soprattutto in considerazione del fatto che questa decisione non può essere impugnata. L’EDPB invita pertanto la Commissione europea a monitorare attentamente il funzionamento pratico di questo meccanismo.

Sulla base di quanto sopra, l’EDPB raccomanda che l’entrata in vigore e l’adozione della decisione di adeguatezza sui trasferimenti di dati tra l’UE e gli Stati Uniti sia subordinata all’adozione di politiche e procedure aggiornate per l’attuazione dell’Ordine esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi. L’EDPB sottolinea l’importanza di un elevato livello di protezione dei dati e si impegna a contribuire alle successive revisioni della decisione di adeguatezza, che dovrebbero avvenire almeno ogni tre anni.

Questa analisi dettagliata evidenzia come gli Stati Uniti non forniscano ancora il livello di salvaguardia richiesto e segue la posizione della Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo, che aveva esortato la Commissione europea a non adottare l’adeguatezza sui trasferimenti di dati tra l’UE e gli Stati Uniti sulla base del Quadro, sulla base del fatto che “non riesce a creare un’effettiva equivalenza” con l’UE nel livello di protezione dei dati che fornisce.

Sulla base di quanto sopra, si prevede che gli organi politici dell’UE si metteranno in contatto a breve termine con gli Stati Uniti per raggiungere una soluzione efficiente e consentire alle aziende dell’UE di effettuare trasferimenti di dati sicuri verso gli Stati Uniti e di essere più competitive sul mercato globale.

Sulla base di quanto sopra, l’esecuzione di una valutazione del trasferimento dei dati rimane di primaria importanza; per maggiori dettagli sulla metodologia di DLA Piper in materia di TIA, è possibile accedere alla presentazione disponibile qui. Inoltre, sullo stesso argomento, potete leggere l’articolo “Avete una metodologia di valutazione dell’impatto del trasferimento dei dati basata sulla decisione Schrems II?“.

Nuove Clausole Contrattuali Standard per il trasferimento di dati personali dalla Cina

La tanto attesa versione finale delle Clausole Contrattuali Standard per il trasferimento transfrontaliero di dati personali dalla Cina (“SCC cinesi“) è stata finalmente pubblicata il 24 febbraio 2023 dalla Cyberspace Administration of China (“CAC“) attraverso le Measures for Standard Contracts for Transferring Personal Information Overseas (le “Misure“) obbligando le aziende a intervenire prontamente.

È previsto un periodo di tolleranza fino al 1° dicembre 2023 per i titolari del trattamento dei dati personali per:

• firmare le nuovi Clausole Contrattuali Standard cinesi con i destinatari all’estero delle loro informazioni personali; e
• depositare presso la sede locale del CAC una copia delle SCC cinesi firmate, insieme alla corrispondente valutazione d’impatto sui dati personali (“PIIA”, la versione cinese della DPIA del GDPR) compilata dall’organizzazione.

Le misure entreranno in vigore il 1° giugno 2023 e le organizzazioni avranno sei mesi di tempo fino all’1 dicembre 2023 per adottare queste misure.

• Chi deve sottoscrivere le Clausole Contrattuali Standard per il trasferimento di dati personali dalla Cina?

I titolari del trattamento dei dati personali che non soddisfano le soglie per il percorso di valutazione/approvazione della CAC o per la certificazione della CAC per i titolari del trattamento dei dati personali che non risiedono in Cina, devono seguire il percorso delle SCC cinesi per legittimare i loro trasferimenti di dati personali al di fuori della Cina continentale.

A titolo di promemoria

• le organizzazioni che devono seguire il percorso di valutazione/approvazione CAC sono: (1) le organizzazioni designate come Operatore di Infrastrutture Informatiche Critiche; (2) le organizzazioni che esportano “dati importanti”; (3) le organizzazioni che trattano informazioni personali di oltre un milione di persone e intendono esportarne una parte; o (4) i titolari del trattamento dei dati personali che trasferiscono all’estero (i) informazioni personali di oltre 100.000 persone in aggregato, o (ii) informazioni personali sensibili di oltre 10.000 persone in aggregato, dove per “in aggregato” si intende il periodo a partire dal 1° gennaio dell’anno precedente; e
• i titolari del trattamento dei dati personali non cinesi devono invece seguire il percorso alternativo di certificazione CAC (i dettagli non sono ancora stati pubblicati).

I titolari del trattamento dei dati personali che devono seguire il percorso di valutazione/approvazione CAC o il percorso di certificazione CAC non devono firmare e depositare le SCC cinesi. In effetti, le SCC cinesi sono redatte presupponendo che il titolare del trattamento dei dati personali sia una società della Cina continentale. Ciò detto, sarebbe ragionevole che tali organizzazioni sottoscrivessero comunque le SCC cinesi con i destinatari all’estero di informazioni personali cinesi come prova di buona prassi, anche se non hanno bisogno di farlo entro il periodo di grazia o di archiviarle.

• Le SCC cinesi si applicano sia ai trasferimenti C2C che C2P

A differenza del GDPR, le SCC non fanno distinzione tra il trasferimento di dati da un titolare del trattamento a un titolare del trattamento dalla Cina o da un titolare del trattamento a un responsabile del trattamento. L’obbligo di firmare e depositare le SCC cinesi spetta al titolare del trattamento dei dati personali cinese. Sembra che, in una situazione C2C, entrambi i titolari del trattamento dei dati personali (supponendo che entrambi siano entità cinesi e siano soggetti al percorso delle SCC cinesi) abbiano l’obbligo di depositare le SCC cinesi firmate (insieme a ciascuno dei loro PIIA indipendenti condotti per il trasferimento).

Le Misure non chiariscono se i responsabili del trattamento dei dati personali debbano firmare e depositare le SCC cinesi con i loro subresponsabili. In attesa di indicazioni in merito, è consigliabile, come buona prassi, trasmettere le SCC cinesi a tali subresponsabili.

Analogamente alle SCC del GDPR, le SCC cinesi devono essere eseguite “così come sono”. Questa è una buona notizia per i titolari del trattamento dei dati personali che cercheranno di firmare le SCC cinesi con i grandi fornitori di tecnologia, in quanto dovrebbe accelerare il processo di firma. D’altra parte, a differenza delle SCC del GDPR, le organizzazioni possono negoziare condizioni aggiuntive (cioè migliorate) con i destinatari dei dati all’estero, a condizione che non siano in conflitto con le SCC cinesi. Tuttavia, nella pratica, prevediamo che molti responsabili del trattamento dei dati saranno riluttanti a firmare condizioni aggiuntive rispetto alle SCC cinesi.

• Come procedere al deposito delle SCC sul trasferimento dei dati dalla Cina?

Le organizzazioni devono presentare alla sede locale della CAC una documentazione che comprenda:

• le SCC cinesi firmate – in lingua cinese; non è chiaro se saranno accettate versioni bilingue; e
• il PIIA corrispondente,

entro 10 giorni lavorativi dall’entrata in vigore delle SCC cinesi (ovvero dalla data di firma o di entrata in vigore delle SCC cinesi indicata nella versione firmata). Di fatto, quindi, sarà necessario un deposito per ogni trasferimento/destinatario all’estero.

I dettagli della procedura di deposito di persona o online non sono ancora stati pubblicati.

Non è chiaro se debbano essere depositati anche “eventuali altri accordi” relativi ai trasferimenti. In precedenza sembravache sarebbe stato necessario depositare solo le SCC cinesi firmate, il che significa che sarebbe stato ragionevole includere le SCC cinesi in un addendum al DPA globale o all’accordo sottostante, per gestire il rischio di divulgare inutilmente termini aggiuntivi o commerciali alla CAC. Non è chiaro se questo approccio sia sostenibile o se la CAC si aspetti che venga divulgato anche l’accordo completo o una versione parzialmente redatta dell’accordo completo. Ci auguriamo che la CAC pubblichi al più presto delle linee guida in merito, visto il potenziale impatto sulle clausole di riservatezza e sulla strutturazione dei contratti.

• Necessità di aggiornamento dell’archivio in caso di modifiche ai trasferimenti di dati personali

A differenza del percorso di valutazione/approvazione della CAC, non ci sono limiti di tempo alla validità o alla legittimità delle SCC cinesi una volta firmate e depositate. Tuttavia, le organizzazioni devono sottoscrivere un supplemento o una nuova serie di SCC cinesi e depositarli nuovamente presso la filiale CAC locale con un PIIA aggiornato, se:

• si verifichi una modifica della finalità, dell’ambito di applicazione, della categoria, del grado di sensibilità, del metodo, del luogo di conservazione o della durata delle informazioni personali trasferite all’estero; oppure
• si verifica una modifica della finalità o del metodo di trattamento delle informazioni personali da parte del destinatario estero; oppure
• c’è una modifica delle politiche di protezione dei dati personali o delle normative della giurisdizione del destinatario estero che può influire sui diritti e sugli interessi delle informazioni personali – il che significa che le organizzazioni devono monitorare le modifiche alle leggi sulla protezione dei dati all’estero e intraprendere mini-TIA all’interno dei loro PIIA, per valutare se le modifiche normative all’estero potrebbero avere un tale effetto; oppure
• altre circostanze che possono influire sui diritti e sugli interessi dell’interessato si verificano.

Ciò significa che è necessario un monitoraggio attivo delle attività di trattamento, dei destinatari all’estero e delle leggi nelle giurisdizioni in cui operano. Prevediamo che molti team locali e cinesi che si occupano di protezione dei dati dovranno incrementare le risorse esistenti o il numero di dipendenti per integrare questo aspetto nei loro programmi di conformità alla protezione dei dati.

• Le SCC cinesi non sono le uniche misure di conformità richieste per il trasferimento dei dati

la firma e la presentazione delle SCC cinesi da sole non legittimano i trasferimenti transfrontalieri di dati personali. Non bisogna dimenticare:

• il consenso esplicito e separato per il trasferimento transfrontaliero dei dati (oltre al consenso generale al trattamento dei dati e ad altri consensi separati per il trattamento di (tra l’altro) informazioni personali sensibili);
• di effettuare una PIIA; e
• l’adozione di misure tecniche e organizzative per garantire che i dati siano trattati secondo standard analoghi a quelli previsti dalle leggi cinesi in materia di protezione dei dati (ad esempio, due diligence, monitoraggio continuo dei fornitori, ecc.)

Le Misure menzionano specificamente il requisito di un consenso separato quando si trasferiscono informazioni personali all’estero per attività di trattamento che si basano sulla base giuridica del consenso. Siamo in attesa di chiarimenti da parte del CAC per sapere se il requisito del consenso separato sarà o meno esentato per le attività di trattamento basate sulle (limitate) basi giuridiche alternative previste dal PIPL.

• Chiarimenti sul percorso di valutazione/approvazione della CAC

Per le organizzazioni che hanno già valutato se seguire o meno il percorso di valutazione/approvazione del CAC, il CAC ha chiarito che le organizzazioni non possono cercare di aggirare il percorso di valutazione del CAC strutturando falsamente il volume dei dati personali trattati, suddividendoli tra più organizzazioni o entità giuridiche. Le organizzazioni che non hanno ancora presentato le loro domande di valutazione CAC prima della scadenza del 1° marzo 2023 sono quindi caldamente invitate a riconsiderare le loro valutazioni interne per verificare se soddisfano o meno le soglie pertinenti.

• I prossimi passi da adottare per i trasferimenti di dati personali dalla Cina

Le organizzazioni devono sottoscrivere le SCC per la Cina come priorità, o rischiano di dover interrompere il trasferimento transfrontaliero di dati personali dalla Cina. DLA Piper sta creando un modello di addendum per le SCC cinesi che le organizzazioni potranno utilizzare, quindi contattateci per ricevere assistenza.

Se siete interessati invece al trasferimento dei dati personali ai sensi del GDPR, potete leggere questo articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?“.

L’EDPB ha adottato nuove Linee Guida sull’interazione tra l’applicazione dell’articolo 3 GDPR e le norme sui trasferimenti di dati personali

Il 14 febbraio 2023 l’European Data Protection Board (“EDPB”) ha adottato la versione 2.0 delle Linee  Guida 05/2021. Tali chiariscono il rapporto tra l’articolo 3 GDPR - norma relativa di applicazione territoriale del Regolamento - e il capo V sui trasferimenti internazionali di dati personali. Le nuove Linee Guida vanno a sostituire la prima versione adottata il 18 novembre 2021 e resa oggetto di pubbliche consultazioni.

Il documento servirà a titolari e responsabili del trattamento per identificare i casi di invio di dati personali al di fuori dello Spazio Economico Europeo (“SEE”) che rientrano nella nozione di trasferimento. Come ha sottolineato l’EDPB, tale interpretazione è fonte di problemi per gli operatori del settore pubblico e privato. Ciò a causa dell’assenza di una definizione di “trasferimento” nel GDPR. Il Board ha colto l’occasione per ribadire alla Commissione europea la necessità di fornire utleriori chiarimenti.

Confermando l’orientamento adottato nella prima bozza, l’EDPB ha identificato tre criteri che applicati congiuntamente sono idonei ad identificare un trasferimento: (i) Il titolare o responsabile (“esportatore”) è soggetto al GDPR per il trattamento in questione; (ii) l’esportatore divulga o rende disponibili i dati personali dei soggetti al trattamento a un altro titolare, cotitolare o responsabile del trattamento (“importatore”) (iii) l’importatore, indipendentemente dal fatto che tale sia soggetto al GDPR per il trattamento in oggetto, si trova in un paese terzo, oppure è un’organizzazione internazionale.

Seguendo le consultazioni, i tre criteri sono stati arricchiti di numerosi esempi e integrati in alcuni punti.

Al punto (ii) è inserito un chiarimento sui profili di responsabilità del titolare del trattamento quando l'esportatore è un responsabile del trattamento. A norma dell’art. 44 GDPR, si verifica trattamento quando un responsabile invia dati personali ad un altro titolare o responsabile al di fuori dello SEE. In questo caso, il responsabile sta agendo come esportatore per conto del titolare che gli deve fornire istruzioni per assicurare che le disposizioni del capo V siano rispettate. Per questo, secondo l’EDPB, il titolare è considerato legalmente responsabile per il trattamento in questione ai sensi del capo V. Lo stesso è anche tenuto ad assicurarsi che il responsabile fornisca le adeguate garanzie ai sensi dell’art. 28.

L’EDPB approfondisce anche la spiegazione del punto (iii). L’European Data Protection Board si sofferma ad analizzare il caso in cui il titolare del trattamento si affidi ad un responsabile che si trova all’interno dell’UE, ma che è soggetto alla legislazione di uno stato terzo. Quest’ultimo potrebbe ricevere richieste di accesso ai dati da parte delle autorità del paese terzo, che se soddisfatte integrano un trasferimento. Per questo motivo è compito del titolare prestare attenzione ai soggetti ai quali trasmette i dati personali e procedere solo se ritiene che questi forniscano sufficienti garanzie tecniche ed organizzative per soddisfare i requisiti del GDPR. Tali garanzie non devono essere valutate solo su una base oggettiva, ma anche soggettiva, prendendo in considerazione l’affidabilità della controparte. L’EDPB evidenzia che la questione se il responsabile del trattamento fornisca garanzie sufficienti riguarda anche la liceità del trattamento e il rispetto del principio dell'integrità e della riservatezza, di cui il titolare del trattamento deve rispondere ai sensi dell'articolo 5, paragrafo 2, del GDPR.

In conclusione, occorre sempre tenere presente, come ricordato dal Board, che i trasferimenti di dati possono portare ad un incremento dei rischi per i titolari e responsabili, per questo è necessario prestare cautela per assicurare che le attività siano conformi alle previsioni del GDPR.

Su un simile argomento può essere di interesse il seguente articolo: “Linee Guida del EDPB sulle certificazioni quali meccanismo di trasferimento dei dati personali”.

Intellectual Property

L'U.S. Copyright Office nega la registrazione di immagini generate dall'intelligenza artificiale (IA)

Con una recente decisione, l'U.S. Copyright Office ha negato la registrazione di immagini generate dall'intelligenza artificiale (IA) in quanto considerate non tutelabili ai sensi della normativa statunitense sul Copyright. Protagonista del caso in esame è Kristina Kashtanova, autrice del graphic novel "Zarya of the Dawn", la quale ha utilizzato un software di generazione di immagini AI per creare le immagini del suo libro, senza tuttavia dichiararlo nella richiesta di registrazione.

Nel 2022, l'U.S. Copyright Office aveva concesso all'artista la registrazione del suo graphic novel e, solo in un secondo momento, le vennero richiesti ulteriori chiarimenti circa l'entità dell'intervento umano nel processo di creazione delle immagini del suo libro.

Come ribadito dall'U.S. Copyright Office, la registrazione di un'opera originale è possibile solo se questa sia stata creata da un essere umano; infatti, la legge sul Copyright protegge solo "i frutti del lavoro intellettuale" che "si basano sui poteri creativi della mente". Poiché tale disciplina è limitata alla tutela delle "concezioni intellettuali originali dell'autore", la registrazione non può essere concessa qualora l'U.S. Copyright Office stabilisca che l'opera – nel nostro caso, le immagini – non sia stata creata da un essere umano ma, piuttosto, da uno strumento di IA generativa.

In conformità alla giurisprudenza (Feist Publ’ns, Inc. v. Rural Tel. Serv.; Burrow-Giles Lithographic Co. v. Sarony) e alla legge (cfr. 17 U.S.C. § 102(a) e (b)) rilevanti, l'U.S. Copyright Office ha pertanto affermato che non è possibile concedere la registrazione ad opere realizzate da una macchina o da un processo meccanico che funziona in modo casuale o automatico senza che vi sia un sufficiente apporto creativo o un sufficiente intervento da parte di un autore umano.

Nel graphic novel "Zarya of the Dawn", l'esaminatore ha riconosciuto che Kristina Kashtanova fosse sicuramente l'autrice di alcuni elementi dell’opera. In particolare, è stato ritenuto che il testo dell'opera fosse stato scritto dall'autrice senza l'ausilio di altre fonti o strumenti tecnologici, incluso qualsiasi programma di IA generativa, riconoscendone così la tutela garantita dalla legge sul Copyright. Allo stesso modo, è stata riconosciuta tutela come compilazione alla selezione delle immagini che compongono l'opera, nonché alla posizione e disposizione di tali immagini e del testo su ciascuna delle pagine dell'opera.

Rispetto alle singole immagini generate dall’IA, invece, l'esaminatore ha affermato che queste non fossero il prodotto della creatività umana dell’autrice e, pertanto, non tutelabili ai sensi della normativa americana sul Copyright. Come evidenziato dall’esaminatore, il software genera autonomamente i risultati ottenuti. La società sviluppatrice offre una tecnologia di intelligenza artificiale in grado di generare immagini in risposta a prompt di testo forniti dall'utente; tuttavia, questi prompt non vengono interpretati dal software come istruzioni specifiche per creare un particolare risultato espressivo. Dal prompt iniziale da parte dell'utente, infatti, vengono generate quattro immagini diverse basate sui dati di formazione e benché prompt aggiuntivi applicati a una di queste immagini iniziali possano influenzare le immagini successive, il processo non è mai controllato dall'utente perché non è possibile prevedere con anticipo ciò che il software creerà. Dunque, secondo l'esaminatore il processo mediante il quale un utente ottiene un'immagine finale, che lo soddisfi, non può essere considerato lo stesso processo creativo di un artista, scrittore o fotografo umano. Infine, è stato anche ritenuto che una delle immagini generate dall’IA, benché successivamente modificata dall’autrice, non fosse idonea a costituire una creazione originale in quanto le modifiche apportate a tale immagine erano troppo minori per fornire la necessaria creatività volta ad ottenere tutela giuridica.

Alla luce di quanto sopra, l'U.S. Copyright Office ha deciso di annullare il certificato originale di registrazione del graphic novel "Zarya of the Dawn"– in quanto la domanda iniziale era costituita da "informazioni inaccurate e incomplete" – e di emetterne uno nuovo relativo al solo il materiale effettivamente creato dall'autrice Kristina Kashtanova. L'U.S. Copyright Office ha, quindi, escluso le immagini generate dall'IA in quanto, secondo l'Ufficio, opere create in assenza di alcun intervento umano.

La generazione di opere tramite l'uso di sistemi di IA è sicuramente un'innovazione molto interessante che solleva, inevitabilmente, molte domande sui diritti di proprietà intellettuale e il caso Kashtanova è, di certo, uno dei numerosi e recentissimi esempi che dimostrano come la digital art richieda – anche in Italia – riflessioni sempre più approfondite, se non un apposito intervento legislativo, sulla protezione giuridica delle opere generate con l'IA.

Su un simile argomento può essere interessante l’articolo “Se l’intelligenza artificiale compone musica, chi è l’autore?”

Nuovo Fondo per le PMI per sostenere la crescita delle imprese italiane in ambito di proprietà intellettuale

La protezione della proprietà intellettuale è un tema di importanza crescente nell'era digitale. Le idee, i prodotti e i servizi unici nel loro genere sono a rischio di essere copiati o utilizzati senza autorizzazione. La protezione della proprietà intellettuale attraverso il Fondo per le piccole e medie imprese (PMI) può riguardare una vasta gamma di risorse, tra cui marchi, disegni e modelli.

Il Fondo per le PMI "Ideas Powered for business" è un programma di sovvenzioni concepito per aiutare le imprese dell'Unione Europea a proteggere i loro diritti di proprietà intellettuale. L'iniziativa, attuata dall'Ufficio dell'Unione Europea per la proprietà intellettuale (EUIPO), sarà attiva fino all'8 dicembre 2023. Tuttavia, i fondi sono limitati e disponibili secondo il principio "first come, first served".

Il Fondo per le PMI offre sostegno finanziario alle PMI con sede nell'Unione europea e la domanda può essere presentata da un titolare, un dipendente o un rappresentante esterno autorizzato che agisce per loro conto. Le sovvenzioni sono concesse direttamente alla PMI e il rimborso è sempre accreditato sul conto bancario della stessa.

Il Fondo per le PMI è un programma di rimborso che emette voucher utilizzabili in parte per coprire le tasse relative alle attività selezionate. A seconda dell'attività che si intende svolgere, sono disponibili diversi tipi di voucher. Per quanto riguarda i marchi, i disegni ed i modelli, è disponibile un voucher da 1.000€ da utilizzare per le tasse ammissibili.

Una volta che la domanda per il Fondo per le PMI viene approvata, il richiedente riceve una notifica di concessione della sovvenzione entro 15 giorni lavorativi, insieme al relativo voucher che potrà essere utilizzato per richiedere le attività di proprietà intellettuale di interesse.

È importante notare che il voucher ha una validità di due mesi dalla data di ricezione della sovvenzione, ma è possibile estenderlo di altri due mesi, se necessario.

Durante il periodo di validità del voucher, il richiedente può prima richiedere e pagare le attività di proprietà intellettuale corrispondenti e poi richiedere il relativo rimborso, attivando così il voucher. Tuttavia, se il voucher scade senza essere prorogato o attivato, non potrà più essere utilizzato per richiedere rimborsi. Inoltre, durante lo stesso anno non sarà possibile presentare una nuova domanda per lo stesso voucher.

Dopo aver attivato il voucher, è previsto un "periodo di attuazione" di sei mesi durante il quale è possibile richiedere ulteriori attività e ulteriori rimborsi a titolo del voucher.

Per ottenere il rimborso delle attività di proprietà intellettuale richieste, il richiedente deve presentare una domanda di rimborso dopo aver pagato per le attività utilizzando il modulo disponibile sull'account del Fondo per le PMI. In questo modo, le PMI dell'Unione Europea possono tutelare i loro diritti di proprietà intellettuale e proteggere la loro attività dalle violazioni di terzi.

Questa edizione 2023 del Fondo per le PMI offre diverse attività per aiutare le imprese a implementare la propria strategia in materia di proprietà intellettuale, in base alle loro esigenze specifiche. Il livello di protezione che l'impresa sceglie (nazionale, dell'UE o internazionale) dipenderà dalla propria strategia aziendale e dai piani di crescita.

Per quanto riguarda la registrazione dei marchi, disegni e modelli innanzi all’EUIPO, è previsto il rimborso del 75% delle tasse relative alle domande di marchio e/o disegno o modello, alle tasse per le classi aggiuntive e alle tasse per l'esame, la registrazione, la pubblicazione e il differimento della pubblicazione del disegno o modello a livello europeo.

In alternativa, è possibile richiedere il rimborso del 75% delle tasse relative alle domande di marchio e/o disegno o modello presentante innanzi agli Uffici nazionali competenti, alle tasse per le classi aggiuntive e alle tasse per l'esame, la registrazione, la pubblicazione e il differimento della pubblicazione a livello nazionale.

Infine, per la registrazione di marchi, disegni e modelli depositate innanzi all’Organizzazione mondiale della proprietà intellettuale (OMPI), è possibile richiedere il rimborso del 50% delle tasse di base relative alle domande di marchio e/o di disegno o modello, alle tasse di designazione e alle tasse di designazione successive, escluse le tasse di designazione per i paesi dell'UE e le tasse di gestione applicate dall'ufficio di origine.

Il Fondo per le PMI "Ideas Powered for business" rappresenta senza dubbio un'opportunità di grande valore per le imprese dell'Unione Europea che desiderano proteggere i loro diritti di proprietà intellettuale. Grazie a questo programma di sovvenzioni, le PMI possono non solo ottenere un sostegno finanziario essenziale, ma anche beneficiare di voucher che coprono in parte le tasse relative alle attività selezionate, rappresentando un reale vantaggio per il loro sviluppo. È tuttavia opportuno tenere presente che i fondi disponibili sono limitati e che il principio "first come, first served" potrebbe rappresentare un fattore determinante per accedere ai finanziamenti. Per tale motivo, è fondamentale presentare la propria richiesta al più presto per avere maggiori possibilità di successo.

Su un simile argomento può essere interessante l’articolo “Il vantaggio per le aziende di possedere diritti di proprietà intellettuale”.

Gambling

Contratti di sponsorizzazione nel calcio – Come evitare di farsi un autogol con errori legali

Le sponsorizzazioni nel mondo calcio continuano a essere un settore incredibilmente redditizio. Poiché i club calcistici continuano a vedere crescere il valore dei loro diritti, richiedono dei contributi sempre più elevati ai loro sponsor attuali e potenziali. Se da un lato l'esposizione potenziale per gli sponsor è sempre maggiore, dall'altro le conseguenze dannose potrebbero rivelarsi ben più serie di quanto preventivato. In questo articolo affrontiamo le questioni principali che sia gli sponsor sia i club devono conoscere durante la redazione di un contratto di sponsorizzazione.

I club calcistici stipulano una serie di partnership sportive e tecniche con sponsor di valore variabile. Si va dagli sponsor principali, che occupano il posto centrale sulla maglietta del club, ai rapporti più modesti con gli sponsor del giorno della partita. Indipendentemente dal valore finanziario dell'accordo di sponsorizzazione, i club e gli sponsor devono assicurarsi che i loro accordi siano a prova di bomba nelle seguenti cinque aree chiave.

• Chiarezza sulla portata della pubblicità

Gli sponsor devono assicurarsi di sapere cosa viene loro garantito in cambio del compenso per la sponsorizzazione, compresi i paesi specifici in cui lo sponsor sarà pubblicizzato. Uno sponsor accorto si assicurerà che il suo marchio sia garantito non solo in un certo numero di partite (o potenzialmente in ogni partita per un numero definito di stagioni, per un accordo più lucrativo), ma si assicurerà che il contratto specifichi esattamente dove il suo marchio apparirà sui cartelloni pubblicitari, in modo da interagire con la visibilità televisiva. Fattori come il posizionamento e le dimensioni del logo, fino alla durata esatta della presenza del logo dello sponsor sul pannello pubblicitario durante una partita, dovrebbero essere tutti inclusi nell'accordo.

• Durata e possibilità di recesso

I contratti di sponsorizzazione devono essere sufficientemente chiari per quanto riguarda la durata dell'accordo. Sebbene l'accordo debba avere una durata definita, entrambe le parti devono considerare attentamente le cause di risoluzione in caso di circostanze impreviste o le insidie di un recesso ad nutum. In particolare, le questioni principali da considerare sono:

• La previsione di una clausola risolutiva espressa nel caso in cui, durante la durata dell'accordo, vengano introdotte modifiche legislative o normative che limitino in modo significativo (o inibiscano del tutto) la capacità di una società di sponsorizzare un determinato club. Questo aspetto è di particolare importanza attualmente alla luce delle restrizioni circa la pubblicità dei giochi con vincita in denaro;

• Se un incidente che possa danneggiare la reputazione del club o dello sponsor debba portare alla risoluzione del contratto. L’obiettivo di un contratto di sponsorizzazione è la possibilità da parte dello sponsor di associarsi con una squadra di calcio per ottenere il beneficio del suo avviamento e della sua reputazione. Pertanto, lo sponsor vorrà anche assicurarsi di essere protetto da qualsiasi pubblicità negativa che possa circondare la squadra di calcio.

• Quando una partita viene riprogrammata o si verifica un incidente che ha un impatto negativo sulla visibilità dello sponsor, come ad esempio una partita giocata a porte chiuse sarebbe prudente per gli sponsor considerare se questo debba portare alla risoluzione del contratto di sponsorizzazione.

• Chiarezza sui compensi da pagare e sull'adeguamento dei compensi

Anche se può sembrare ovvio, l'accordo dovrebbe contenere sufficienti dettagli sui compensi dovuti dallo sponsor al club. Ciò dovrebbe includere la chiarezza su come saranno strutturati i pagamenti e se sono previste somme aggiuntive in caso di successo del club, come il raggiungimento o la vittoria di una finale di coppa. Uno sponsor lungimirante cercherebbe di far dipendere una certa percentuale dei compensi dal raggiungimento da parte del club di determinati obiettivi specificati nel contratto.

Per gli accordi a lungo termine, gli sponsor dovrebbero cercare di includere clausole che prevedano una riduzione degli onorari in caso di eventi quali:

• Scarso rendimento del club - Ad esempio, nel caso in cui un club retroceda, uno sponsor dovrebbe assicurarsi che questo comporti una riduzione significativa delle commissioni da pagare per la stagione (o le stagioni) rimanenti del contratto di sponsorizzazione in cui il club trascorre in una divisione inferiore, data la minore esposizione del marchio dello sponsor.
• Stadi a capacità ridotta o nulla - Poco più di un anno fa, gli stadi di calcio di tutto il Paese erano quasi privi di spettatori durante le partite (o, nel migliore dei casi, operavano a capacità notevolmente ridotta). Sebbene tali situazioni, dovute alla pandemia, si spera appartengano al passato, continueranno inevitabilmente a verificarsi situazioni in cui le partite si disputano davanti a pochi o nessun tifoso, soprattutto a causa dei problemi dei tifosi. Non è raro che la UEFA imponga alle squadre di calcio divieti di accesso agli stadi a causa della violenza e dei disordini dei tifosi. La mancanza di tifosi allo stadio significa una minore esposizione per gli sponsor che hanno pagato un prezzo alto per apparire sui pannelli pubblicitari intorno al campo e all'interno dello stadio. Per assicurarsi di ottenere un ritorno sufficiente sul proprio investimento, gli sponsor farebbero bene a includere nei contratti di sponsorizzazione una clausola che riduca i loro compensi in questi eventi o che preveda la possibilità di risolvere il contratto.

L'accordo dovrebbe anche prevedere delle clausole penali in caso di recesso ad nutum, finalizzate a contrastare il rischio associato alla previsione di diritti di recesso unilaterali.

• Esclusività

È importante considerare se la sponsorizzazione sarà su base esclusiva e, in tal caso, il livello di tale esclusività. Si dovrà considerare attentamente se lo sponsor sarà (per quanto improbabile) l'unico sponsor o se l'esclusiva è specifica per un settore o per un marchio, il che richiederà un'attenta stesura soprattutto in presenza di prodotti o servizi potenzialmente sovrapponibili. È probabile che gli sponsor insistano sull'esclusività per assicurarsi che i club non offrano diritti simili ai loro maggiori concorrenti, proteggendo così l'eventuale diluizione dell'efficacia della loro sponsorizzazione. Se accettabile, i club vorranno assicurarsi di ricevere un valore sufficiente.

• Rapporto futuro

Le parti devono valutare se prevedere un meccanismo di rinnovo all'interno dell'accordo. Gli sponsor che hanno concordato una posizione preminente come sponsor di maglia, ad esempio, vorranno assicurarsi di avere il diritto di rinnovare l'accordo prima che il club cerchi una sponsorizzazione alternativa.

Qualsiasi meccanismo di rinnovo dovrebbe prevedere eventuali modifiche alle tariffe da pagare.

• Riflessioni finali

Gli accordi di sponsorizzazione delle squadre di calcio possono rappresentare per le aziende un'opportunità redditizia per diffondere la conoscenza del proprio marchio sui più importanti palcoscenici sportivi, con gli sponsor che possono far apparire i loro marchi e loghi sugli schermi di tutto il mondo, oltre che sulla parte anteriore delle maglie indossate dai tifosi di tutto il mondo. Con il crescente aumento dell'esposizione, sia i club che gli sponsor devono pensare in anticipo per massimizzare i vantaggi di qualsiasi accordo. Non esiste un approccio univoco quando si tratta di accordi di sponsorizzazione, ma certamente le società calcistiche e gli sponsor possono trarre vantaggio da relazioni più solide se si tiene conto di aspetti come quelli discussi in questo articolo. Il nostro consiglio: pensateci bene per non fare un autogol!

Questo articolo è stato tradotto in Italiano ed adattato al contesto normativo italiano dalla sua versione originale dei nostri colleghi inglesi di DLA Piper “Football club sponsorship agreements – How to avoid scoring an own-goal”. Su di un simile argomento, è possibile leggere l’articolo “Le clausole morali nei contratti di sponsorizzazione: il caso Kanye West”.

Fintech

Open Insurance: gli scenari per il 2023 e le principali strategie legali

Open insurance: definizione del fenomeno

Open insurance significa accesso e condivisione di dati personali e non personali relativi all’ambito assicurativo (come i dati del KYC – Know Your Customer, dati inerenti i premi pagati, le coperture, la denuncia e il risarcimento dei sinistri, i dati ricavati dai sensori IoT e così via), di solito tramite API (Application Programming Interface) standardizzate e interoperabili. Condivisione che avviene tra compagnie assicurative, intermediari, ma anche imprese e organizzazioni non provenienti dal mondo assicurativo, come quelle del settore tecnologico. Pensiamo ai dati provenienti dai sensori IoT dei veicoli, tra cui quelli raccolti dagli stessi assicuratori attraverso i dispositivi telematici e quelli raccolti da terzi, inclusi i produttori di autoveicoli.

Malgrado l’assenza di un quadro normativo specifico per la condivisione sistematica di dati nel settore assicurativo, l’open insurance è uno dei fenomeni insurtech in maggiore crescita grazie alle iniziative di compagnie, intermediari e altri attori dell’ecosistema, che costituisce una leva essenziale per la digitalizzazione e innovazione dell’intero comparto.

Condivisione immediata, tempestiva e sicura di dati in ambito assicurativo tra compagnie, intermediari, banche, imprese tecnologiche e altri operatori per creare nuovi prodotti e servizi e migliorare quelli esistenti. Polizze on-demand, a consumo e parametriche, comparatori più efficaci e modalità innovative di gestione dei prodotti assicurativi sono soltanto alcuni esempi di ciò che un modello strutturato e regolamentato di open insurance promette di poter realizzare, in maniera simile alla Direttiva PSD2 per l’open banking.

Ad oggi non vi è, infatti, una normativa specifica volta a stabilire regole e perimetro del fenomeno e gli operatori interessati allo scambio e condivisione dei dati possono farlo soltanto stipulando tra loro accordi bilaterali o plurilaterali. Cresce anche la presenza sul mercato di player non provenienti dal mondo assicurativo, che da settore tradizionale dominato dall’impiego di sistemi di legacy chiusi e stratificati punta a diventare un ecosistema aperto basato su dinamiche collaborative tra incumbent e partner esterni. Secondo una recente analisi del mercato italiano gli attori non assicurativi erano 60 nel 2018 e saranno oltre 350 nel 2025. La buona riuscita di progetti in ambito open insurance dipende anche da un’accurata analisi dei rischi legali e dalla definizione dell’architettura contrattuale, incluse le clausole chiave.

• Molti vantaggi e alcuni rischi

I vantaggi promessi da una diffusione ad ampio raggio dell’open insurance sono molteplici e interessano tanto gli operatori del settore, quanto i clienti e le Autorità di Vigilanza.

Dal punto di vista degli operatori una condivisione sistematica dei dati potrebbe portare a una generale ondata di innovazione, sia a livello di incumbent che di nuovi attori del mercato. Tra i potenziali benefici figurano una maggiore efficienza nella gestione dei processi e nel contrasto delle frodi, un incremento della concorrenza con la comparsa sul mercato di nuovi business model e un più rapido go-to-market.

Inoltre, l’accesso automatico ai dati degli assicurati e di altre fonti potrebbe facilitare e rendere più efficiente l’analisi e l’assunzione del rischio relativo alle polizze, a maggior ragione se in combinazione con strumenti di intelligenza artificiale e machine learning, tanto che sono state coniate le definizioni di “augmented underwriting” e “augmented automated underwriting”. Vi sono vantaggi anche per i broker, che grazie a una maggiore disponibilità e varietà di dati potrebbero essere messi in condizione di selezionare in modo più preciso e conveniente per i propri clienti i prodotti disponibili sul mercato e negoziarne le condizioni con le compagnie.

Lato clienti, i principali benefici dell’open insurance risiedono nell’offerta di prodotti assicurativi innovativi, in una più agevole comparabilità tra i prodotti delle diverse compagnie, ma anche in una maggiore trasparenza e facilità nel passaggio da un operatore all’altro. Non solo, lo scambio di dati tra operatori potrebbe anche accorciare il processo di KYC (Know Your Customer) e agevolare l’impiego di dashboard e piattaforme avanzate che consentano ai clienti di gestire con un’unica interfaccia i propri prodotti bancari e assicurativi assieme a servizi di terze parti, come quelli di pagamento, mobilità, salute e benessere e intrattenimento.

Anche le Autorità di Vigilanza potrebbero trarre vantaggio da un’ampia disponibilità di dati ed eventualmente da un accesso ad essi in tempo reale. Da un lato, aumenterebbe l’efficacia delle attività di supervisione e controllo, dall’altro diminuirebbe il tempo impiegato nella raccolta e verifica delle informazioni.

Accanto ai numerosi vantaggi promessi dall’adozione di un modello strutturato e regolamentato di open insurance, vi sono anche rischi di cui tenere conto. Una prima dimensione di rischio riguarda i clienti e le persone fisiche. Anzitutto, i dati potrebbero essere trattati al di fuori delle finalità e dei limiti consentiti o, ancor peggio, essere oggetto di data breach. Rischio, questo, significativo e con conseguenze potenzialmente molto negative per le persone alle quali i dati si riferiscono se consideriamo il tipo di dati particolarmente sensibile che viene spesso impiegato in ambito assicurativo (stato di salute, sinistri, ecc.). Altri rischi riguardano, ad esempio, la sicurezza informatica e la possibilità che una maggior apertura delle infrastrutture degli operatori agevoli la circolazione di malware e la proliferazione di attacchi informatici, come pure la discriminazione nel momento in cui nuove modalità di calcolo dei premi rendano inaccessibili le coperture assicurative a determinati soggetti oppure, ancora, una prevalenza di distribuzione digitale escluda dal mercato quella parte di clientela meno avvezza all’utilizzo delle tecnologie digitali.

Vi è poi anche il rischio di effetti anticoncorrenziali, come la concentrazione di dati di qualità in pochi operatori e le barriere all’ingresso, di natura tecnologica, che potrebbero ostacolare gli sbocchi di mercato per i nuovi player.

• Assenza di un quadro normativo specifico e differenze con il mondo bancario

Con la Direttiva PSD2 il legislatore europeo ha gettato le basi del modello open banking. Grazie alle normative nazionali di recepimento nei diversi Stati membri, a prestatori terzi di servizi di pagamento e di informazione è oggi consentito l’accesso ai conti di pagamento degli utenti, alle relative procedure di autenticazione e dati personali. L’accesso in questione è consentito a determinate condizioni e con il consenso degli utenti, a prescindere dall’esistenza di rapporti contrattuali tra i prestatori di servizi di pagamento di radicamento del conto e i prestatori terzi, senza che i primi possano imporre l’adozione di specifici modelli commerciali ai secondi.

Nonostante il “modello PSD 2” possa essere sfruttato anche dagli operatori del mondo assicurativo, il suo campo di applicazione è limitato ai conti di pagamento e ai relativi dati. Non vi sono, invece, normative assimilabili alla Direttiva PSD2 specificamente concepite per la condivisione sistematica di dati in ambito assicurativo.

Tra mondo bancario tradizionale e mondo assicurativo vi sono, infatti, differenze significative da considerare. Una delle principali è il tipo di dati trattati. I dati relativi ai prodotti assicurativi sono eterogenei, spesso molto delicati e in grado di rivelare informazioni sensibili sugli individui quali stato di salute, abitudini, mobilità e sinistri. Inoltre, le compagnie e gli altri soggetti che detengono i dati in questione li analizzano e rielaborano per proprie finalità interne e potrebbero essere riluttanti a concedere l’accesso a informazioni che rappresentano un vero e proprio patrimonio intangibile e sono spesso tutelate come segreti commerciali.

Ancora, soggetti non vigilati come le imprese tecnologiche e le big tech potrebbero finire per assumere il ruolo di principali attori dell’ecosistema open insurance, con ricadute operative non indifferenti. Da un lato, gli operatori in questione potrebbero avere accesso ai dati degli assicurati ma non concederlo ai propri database in condizione di reciprocità. Dall’altro lato, potrebbero aumentare i rischi per i consumatori in quanto le entità in questione non sono soggette allo stesso livello di regolamentazione e supervisione e ad adeguati standard di tutela del consumatore e resilienza operativa come quelli previsti per i soggetti vigilati. Rispetto a quest’ultimo punto, il nuovo Regolamento Europeo sulla resilienza operativa e digitale per il settore finanziario (Regolamento “DORA”) si applicherà anche ai fornitori di servizi ICT e dovrebbe quindi contribuire a mitigare i rischi citati.

Altri elementi rilevanti che differenziano il settore assicurativo da quello dei servizi bancari e finanziari sono la maggior varietà e minor standardizzazione dei prodotti e la minore presenza di touchpoint e interazione tra gli assicuratori e la loro clientela.

Per queste e altre ragioni che sono oggetto di valutazione da parte degli stakeholder interessati e delle istituzioni, un’applicazione “copia-e-incolla” del modello PSD2 in ambito assicurativo potrebbe non essere la strada giusta.

• I contratti di open insurance

In assenza di un quadro normativo specifico per la condivisione sistematica e tempestiva dei dati in ambito assicurativo i progetti open insurance sono lasciati all’iniziativa privata e possono essere attuati tramite contratti stipulati dai soggetti coinvolti. Sul punto, oltre un terzo degli intervistati nell’ambito della consultazione EIOPA del 2021 ha risposto che open insurance continuerà a svilupparsi a prescindere dall’introduzione di un quadro normativo specifico.

I contratti in questione possono assumere diverse forme a seconda del tipo e della portata del progetto, dei soggetti interessati e delle giurisdizioni coinvolte. Alcune fattispecie prevedono la mera fornitura di tecnologia da un soggetto ad un altro, riconducibile ad un appalto/somministrazione di servizi (come la fornitura di servizi basati su cloud alle compagnie assicurative per la digitalizzazione di determinati processi), altre contratti di licenza o cessione di informazioni anonimizzate qualificabili come segreto commerciale o banche dati sui generis o, ancora, accordi sul trattamento di dati personali. Quando i progetti di open insurance prevedono orizzonti temporali di lungo periodo e contributi di una certa entità da parte dei partecipanti, quali dati, tecnologia e know-how (ad es. basi clienti, processi e modelli operativi, ecc.), non è infrequente che assumano anche la forma di partnership, joint venture societarie o contrattuali, oppure consorzi e società consortili. Questo è il caso, ad esempio, dello sviluppo di prodotti o servizi innovativi in ambito assicurativo in tandem tra operatori e imprese tecnologiche (pensiamo alla distribuzione digitale delle polizze, a programmi di ricompensa per comportamenti salutari, o alla digitalizzazione dei processi di denuncia e liquidazione sinistri).

I progetti di open insurance richiedono un’accurata analisi preventiva. L’architettura contrattuale disegnata per l’operazione deve poter operare in maniera conforme alla legge, in particolare rispetto alla normativa di settore e a quella sulla privacy e la protezione dei dati personali. Inoltre, deve essere gestito con attenzione e analisi specifiche l’eventuale impiego di tecnologie avanzate, quali i sistemi di intelligenza artificiale o la blockchain e altre tecnologie basate su registri distribuiti (DLT). Laddove il progetto venga lanciato in diversi paesi e giurisdizioni l’analisi dovrà anche tenere conto delle specificità del quadro normativo locale e sarà essenziale un buon project management.

Quanto ai contratti, dovrebbero contenere una serie di elementi imprescindibili: gli impegni assunti dalle parti e le garanzie fornite rispetto agli obiettivi del progetto, al tipo e alla qualità di dati coinvolti, ai relativi flussi e al perimetro di sfruttamento, alla conformità alla normativa applicabile lungo tutta la catena di trattamento a partire dalla raccolta, alla governance dei dati e del progetto stesso, all’interoperabilità dei sistemi informatici e API delle parti, a particolari configurazioni dell’architettura hardware e software e alle misure di sicurezza tecniche e organizzative da adottare.

Altro tema rilevante rispetto al trattamento dei dati personali sono l’offshoring e i trattamenti di dati extra-UE, rispetto ai quali occorre accertarsi che i trasferimenti verso paesi terzi siano effettuati secondo quanto disposto dalla normativa vigente. Qualora oggetto del contratto siano dati anonimizzati, che non ricadono quindi nel campo di applicazione della normativa in materia di protezione dei dati personali, il soggetto che li riceve dovrà assicurarsi che la tecnica di anonimizzazione impiegata sia in linea con i più elevati standard tecnologici e che dai dati in questione non si possa più risalire alle persone fisiche cui fanno riferimento.

Dal punto di vista della proprietà intellettuale, vanno identificati gli istituti giuridici mediante i quali viene realizzata l’eventuale cessione o licenza dei dati e regolata la titolarità (o contitolarità) di qualsiasi elaborazione o opera derivata ricavate dai dati di partenza.

Oltre alle disposizioni contrattuali inerenti la nascita e la “vita” del rapporto contrattuale, è necessario considerare anche le circostanze che potrebbero giustificarne la cessazione e le conseguenze in termini di operatività che essa potrebbe comportare.

• Verso una normativa specifica?

Gli operatori del settore si aspettano che già nel corso del 2023 possano essere presentate proposte a livello europeo per una regolamentazione specifica dell’open insurance. Esse dovrebbero avere ad oggetto sia un sostrato di norme giuridiche volte a disciplinare accesso e condivisione sistematica dei dati, che gli standard tecnici (ad esempio, in termini di API) richiesti per consentire una piena operatività dell’ecosistema, anche eventualmente in forma di delega alle Autorità competenti. Nel frattempo molti operatori hanno aderito a iniziative di open insurance di natura associativa, con l’obiettivo di stabilire standard comuni per le API e di portabilità dei dati. Una di queste è Open Insurance Initiative Network (OPIN), a cui hanno aderito 61 imprese di tutto il mondo. Altre iniziative sono la Free Insurance Data Initiative (FRIDA) e l’Osservatorio Open and Embedded Insurance in collaborazione tra Italian Insurtech Association e Accenture.

Lato EIOPA, nel giugno 2022 l’Autorità ha presentato i risultati della consultazione pubblica svolta nel 2021 assieme a un nuovo discussion paper.

Di particolare interesse sono le risposte fornite dai partecipanti alla consultazione rispetto all’adeguatezza del quadro normativo attuale in materia di open insurance. Mentre più della metà (52%) degli intervistati non lo ritiene adeguato per la gestione dei rischi, il 18% ritiene che lo sia. La maggior parte degli stakeholder ha inoltre evidenziato l'importanza del principio del level playing field, ossia “stessa attività, stessi rischi, stesse regole”, della convergenza delle attività di vigilanza e la necessità che le Autorità dispongano di risorse adeguate (personale, bilancio, competenze tecniche).

In sintesi, dalla consultazione EIOPA emerge che gran parte degli operatori del settore vedono con favore l’adozione di un quadro normativo simile a PSD2 per la condivisione sistematica e obbligatoria dei dati in ambito assicurativo. Tuttavia, per una parte degli intervistati l’approccio migliore consisterebbe nell’autoregolamentazione. Un gruppo minoritario ritiene, infine, che la condivisione di legge dovrebbe limitarsi soltanto a determinati tipi di dati (dati raccolti dai sensori IoT o soltanto in relazione ad alcune linee di business e/o rispetto a determinati specifici prodotti).

Un tratto comune alle risposte di molti dei partecipanti alla consultazione è l’esigenza di garantire che la regolamentazione, in generale, non ostacoli le iniziative volontarie di open insurance basate sui contratti tra le parti. In attesa, dunque, di possibili sviluppi del quadro normativo, l’open insurance continua a correre e crescere tramite le iniziative volontarie degli operatori, costituendo uno dei filoni di sviluppo più promettenti dell’insurtech dei prossimi anni in termini di investimenti e innovazione.

Su un simile argomento, potrebbe interessarti: “Principi di IA governance per il settore assicurativo secondo l’EIOPA”.

Il presente contributo è stato pubblicato in origine su DirittoBancario (“Open Insurance: gli scenari per il 2023 e le principali strategie legali”).

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Arianna Angilletta, Giordana Babini, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Chiara Fiore, Emanuele Gambula, Laura Gastaldi, Vincenzo Giuffré, Filippo Grondona, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Tommaso Ricci, Rebecca Rossi, Massimiliano Tiberio, Alessandra Tozzi, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Flaminia Perna.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.