Innovazione e diritto: le novità della settimana

Innovation Law Insights

Diritto al Digitale su Clubhouse

Gaming, gambling ed esports impattati dalla Digital Services Tax?

La circolare dell'Agenzia delle Entrate sulla Digital Services Tax ha aumentato le preoccupazioni circa la sua applicabilità al settore del gambling, video gaming ed esports. Ne discutiamo il 29 aprile alle 12:30 su Clubhouse con Giovanni Iaselli e Alessandro Martinelli, soci del dipartimento Tax dello studio legale DLA Piper, e Giulio Coraggio, responsabile del settore gaming e gambling dello studio, moderati da Vincenzo Giuffrè in un confronto che ovviamente sarà aperto a tutti i partecipanti. Il link alla room è disponibile qui.

Podcast

Con Barnaba Costalonga, Vice President Business Legal Affairs di ViacomCBS su diversity & inclusion

Barnaba Costalonga è Vice President Business Legal Affairs, North Hub di ViacomCBS Networks International e in questo podcast racconta a Giulio Coraggio di DLA Piper la sua carriera professionale nel settore dei media e come sia stata guidata dai valori della diversity & inclusion. Il podcast è disponibile qui.

Privacy

Lo EDPB fornisce un’approvazione “condizionata” della decisione di adeguatezza della Gran Bretagna

Lo European Data Protection Board (EDPB) ha emesso un parere favorevole sulla decisione di adeguatezza relativa alla Gran Bretagna, ma ha anche sollevato delle preoccupazioni.

In particolare, lo EDPB non vuole che il Regno Unito diventi la porta di accesso per il trasferimento indiscriminato di dati personali in tutto il mondo, aggirando in questo modo le tutele previste dal GDPR, specialmente alla luce della sentenza Scherms II.

Infatti, le conclusioni del EDPB possono essere riassunte come segue:

  1. la normativa sulla protezione dei dati personali del Regno Unito è attualmente in linea con il GDPR, anche perché era parte dell’Unione Europea fino a pochi mesi fa. Tuttavia, il governo britannico ha dichiarato la sua intenzione di sviluppare politiche indipendenti sul trattamento dei dati personali. Ne consegue che, la Commissione europea dovrà monitorare lo sviluppo della situazione e potrebbe modificare/sospendere la decisione;
  2. i trasferimenti di dati personali che originano dall’UE dal Regno Unito verso Paesi terzi devono essere consentiti solo se viene assicurato un livello di protezione essenzialmente equivalente a quello previsto dal GDPR;
  3. non ci sarà alcun riconoscimento reciproco delle decisioni di adeguatezza;
  4. gli accordi internazionali tra il Regno Unito e i Paesi terzi come gli Stati Uniti con il CLOUD Act saranno monitorati in quanto potrebbero innescare trasferimenti successivi rischiosi;
  5. Il Regno Unito può adottare le proprie Clausole Contrattuali Standard (SCC), ma non può esentare le aziende da una valutazione del trasferimento dei dati la legislazione del Paese terzo alla luce dei principi derivanti dalla sentenza Schrems II.

Tale presa di posizione crea una situazione di incertezza circa la solidità della decisione di adeguatezza nei confronti della Gran Bretagna. In tale contesto, le aziende potrebbero decidere di continuare ad eseguire una valutazione di adeguatezza secondo i criteri dettati dalle raccomandazioni dell’EDPB, anche dopo l’adozione della decisione di adeguatezza.

Sull’argomento è possibile ascoltare il podcast “Transfer: Il tool di legal tech di DLA Piper per valutare i trasferimenti dei dati dopo la sentenza Schrems II”.

Trasferimento dei Dati extra-UE: Corea del Sud presto nella lista dei Paesi “adeguati”

In una dichiarazione congiunta, il Commissario UE per la Giustizia, Didier Reynders ed il Presidente della Commissione Coreana per la Protezione dei dati personali, Yoon Jong, hanno confermato l’ambizione di perfezionare un accordo che regoli i flussi di dati tra Unione Europea e Corea del Sud nei prossimi mesi.

L’entrata in vigore della nuova legge sulla privacy (il Personal Information Protection Act) e il rafforzamento dei poteri della Commissione Nazionale coreana per la Protezione dei Dati, nelle parole del Commissario UE, confermano l’elevato grado di convergenza tra l’Unione Europea e la Corea del Sud nel campo della data protection.

Nella dichiarazione congiunta si afferma che una decisione di adeguatezza favorirebbe “sia gli operatori commerciali che il settore pubblico”: si potranno infatti “sostenere gli operatori economici che trasferiscono dati personali come parte delle loro operazioni commerciali” e allo stesso tempo “sarà facilitata la cooperazione normativa, a vantaggio di entrambe le parti”. Tale decisione integrerebbe, inoltre, il Free Trade Agreement stipulato da Unione Europea e Corea del Sud.

L’art. 45 del GDPR stabilisce che il trasferimento di dati personali verso un paese terzo extra-UE o al di fuori dello Spazio Economico Europeo (SEE) è ammesso ove la Commissione abbia deciso che tale paese terzo garantisce un livello di protezione dei dati adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche o l’adozione delle misure di garanzia prescritte dagli artt. 46-49 del GDPR. Al momento, solo dodici Paesi vantano una disciplina in ambito data protection considerata equiparabile a quella comunitaria. Tuttavia, dopo le restrizioni causate dalla Sentenza Schrems II, il novero dei Paesi “adeguati”, ragionevolmente, è destinato ad estendersi: nei prossimi mesi, due “fronti” di estrema rilevanza rimandano alla Corea del Sud ed al Regno Unito.

Secondo la dichiarazione congiunta, la Commissione Europea procederà speditamente al completamento delle prossime fasi della procedura con l’obiettivo di adottare una decisione di adeguatezza in tempi brevi. Sarà necessario sia il parere favorevole del Comitato Europeo per la Protezione dei Dati (EDPB) ed il placet definitivo di un comitato composto dai rappresentanti dei ventisette Stati Membri.

Su un argomento simile, potrebbe interessarti: “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?

Technology, Media and Telecommunications

AI e diritto: la Commissione europea pubblica la bozza di Regolamento europeo sull’intelligenza artificiale

Nell’ormai lontano 1962, Arthur C. Clarke, pioniere della narrativa fantascientifica moderna, dava i natali ad una frase destinata alla storia: “Ogni tecnologia sufficientemente avanzata è indistinguibile dalla magia”. Oggi, nel 2021, nell’epoca di Neuralink, del 5G e delle smart cities, i tempi appaiono quanto mai maturi per una radicale trasformazione tecnologica destinata ad influenzare profondamente i nostri usi e le nostre culture. E tale trasformazione non potrà che basarsi sulla diffusione pervasiva di strumenti e sistemi basati su sempre più complessi algoritmi di intelligenza artificiale (AI): la “magia” a cui Clarke si riferiva.

Nello scenario attuale, consapevole delle immanenti implicazioni delle AI sui diritti e le libertà fondamentali dei cittadini europei, la Commissione EU non si è fatta trovare impreparata. La bozza di Regolamento sull’intelligenza artificiale (“Regulation on European Approach for Artificial Intelligence”) è stata presentata ufficialmente dalla Commissione europea. Il Regolamento sull’AI segna un passo in avanti verso la normazione di una tecnologia rischiosa quanto necessaria allo sviluppo economico degli Stati Membri. Complessivamente, la bozza di Regolamento risponde a due esigenze fondamentali.

In primo luogo, coerentemente con il White Paper pubblicato dalla Commissione nel 2020, il Regolamento si focalizza su tre categorie principali di sistemi AI: (i) i sistemi incompatibili con i principi del diritto europeo, il cui uso è espressamente vietato; (ii) i sistemi considerati ad “alto rischio” il cui utilizzo è circoscritto a puntuali adempimenti e (iii) altre forme di AI destinate a interagire con gli esseri umani.

Dal testo della bozza di Regolamento sull’intelligenza artificiale, è evidente la presa di coscienza della Commissione sul potenziale innovativo delle AI, alla luce delle recenti applicazioni di tecnologie di machine learning a sistemi di sorveglianza di massa dei maggiori attori di questo nuovo mercato avveniristico: la Cina e gli USA. Tra l’incudine ed il martello, la “terza via” suggerita dalla Commissione europea favorisce un utilizzo virtuoso delle AI per l’economia europea. In tal senso, determina l’incompatibilità tra i principi fondanti dell’Unione Europea e le AI finalizzate a calcolare l’affidabilità dei cittadini e delle imprese nonché alla sorveglianza di massa.

La bozza di Regolamento sull’intelligenza artificiale vieta l’uso di sistemi di AI “progettati per manipolare il comportamento umano, le decisioni o le opinioni, per un fine dannoso”. Stessa sorte per l’impiego di AI predittive volte a sfruttare e/o amplificare le vulnerabilità di persone o gruppi sociali. In linea con il dettato del GDPR, il Regolamento non vieta ogni tipo di profilazione o trattamento automatizzato, ma impone severe limitazioni al targeting “dannoso” preordinato, ad esempio, alla discriminazione di gruppi sociali o alla disinformazione. I sistemi ad “alto rischio”, inoltre, dovranno essere valutati prima di essere messi in commercio ed utilizzati. Secondo quanto stabilito dal Regolamento, la classificazione dei sistemi AI ad “alto rischio” dovrebbe essere basata sull’analisi di destinazione e modalità d’uso della tecnologia, alla luce dell’entità dei danni che potrebbero derivarvi e dalla probabilità di eventi pregiudizievoli. Esempi di “danni” relativi ai sistemi AI ad alto rischio sono determinati nel Regolamento: “il ferimento o la morte di una persona, danni alla proprietà, impatti negativi sistemici per la società in generale, interruzioni significative della fornitura di servizi essenziali per lo svolgimento ordinario di attività economiche e sociali di importanza critica, impatto negativo sulle opportunità finanziarie, educative o professionali delle persone, impatto negativo sull'accesso ai servizi pubblici e qualsiasi forma di assistenza pubblica, e impatto negativo sui diritti fondamentali”. Il Regolamento introduce, inoltre, un sistema di certificazione per le AI ad alto rischio. Nelle lettere del Regolamento, “i sistemi AI ad alto rischio dovrebbero portare il marchio CE per indicare la loro conformità al presente regolamento in modo che possano muoversi liberamente all'interno dell’Unione”.

In secondo luogo, la Commissione estende i principi dell’accountability e del risk-based approach alle applicazioni della AI: ogni attore sotteso al Regolamento dovrà valutare i rischi connessi alla tecnologia di IA attraverso un’apposita valutazione d’impatto. Data la complessità della catena di valore dei sistemi AI, la portata del Regolamento sarà ragionevolmente ampia. Il Regolamento si applica a: (i) fornitori di sistemi AI operanti sul mercato europeo, indipendentemente dal fatto che siano stabiliti in UE o meno; ii) agli utenti dei sistemi AI stabiliti in UE; iii) fornitori e utenti di sistemi AI stabiliti al di fuori dell’UE, nella misura in cui i tali sistemi si riferiscano ai cittadini europei; iv) istituzioni, uffici, organismi e agenzie dell’UE, nella misura in cui rientrino nella categoria i) o ii) di cui sopra.

Particolare attenzione è rivolta anche ai sistemi di “identificazione biometrica a distanza” nei luoghi pubblici (es. dispositivi di riconoscimento facciale). L’applicazione di tali tecnologie richiederà un regime autorizzatorio rafforzato: si legge di “procedure più rigorose di valutazione della conformità attraverso il coinvolgimento di un organismo di controllo”. I controlli in considerazione saranno, pertanto, finalizzati ad analizzare i rischi specifici nell’uso della tecnologia ed il relativo impatto sulla protezione dei dati personali degli interessati. Nella valutazione d’impatto sarà soppesata la probabilità e la gravità del danno potenziale causato dalle imprecisioni del sistema AI, con particolare riferimento a dati quali età, etnia, sesso e disabilità degli interessati. Ove i sistemi AI non siano considerabili ad “alto rischio”, ma destinati ad interagire con gli utenti, si applicheranno requisiti aggiuntivi relativi alla cd. algorithm transparency. Il Regolamento riconosce il diritto dell’interessato ad essere informato se nell’erogazione di servizi o attività di assistenza nonché nella fruizione di contenuti multimediali (es. deepfake) stia interagendo con un sistema AI o con un essere umano. La Commissione approccia, inoltre, la spinosa questione dei bias nei sistemi AI con riferimento a pregiudizi razziali e di genere. In tal senso, il Regolamento stabilisce che i dataset non potranno “incorporare alcun pregiudizio intenzionale o non intenzionale” che possa determinare decisioni discriminatorie.

Assonanze con il GDPR sono rintracciabili nel regime sanzionatorio del Regolamento: in caso di non-compliance per i soggetti sottesi al Regolamento sono previste multe fino a EUR20 milioni o fino al 4% del fatturato globale annuo. Tuttavia, il Regolamento ammette ragionevoli eccezioni laddove attività ad “alto rischio” siano bilanciate da interessi superiori stabiliti dalla normativa nazionale e/o europea, come in materia di ordine pubblico.

La bozza di Regolamento, inoltre, propone l’istituzione di un “Consiglio Europeo per l’Intelligenza Artificiale”, che comprenda un rappresentante per ogni paese dell’Unione Europea, il Garante europeo della protezione dei dati (EDPS) e un rappresentante della Commissione. Tale organo supervisionerebbe l’implementazione della normativa a livello comunitario e determinerebbe best practice per l’innovazione e l’efficientamento della disciplina. I tempi per l’avvento delle AI sono ormai maturi, e nell’attesa di scoprirne i frutti, l’Unione Europea ha stabilito le prime regole del gioco. L’obiettivo? Evitare che la magia delle intelligenze artificiali si trasformi in un incantesimo.

Su un argomento simile può essere interessante il podcast “Come l’intelligenza artificiale sta cambiando il business con Fabio Moioli di Microsoft”.

Recovery Plan e osservazioni su banda larga, 5G e monitoraggio satellitare

All’esito dell’esame della proposta avente ad oggetto il Piano Nazionale di Ripresa e Resilienza (“PNRR” o “Recovery plan”), la Commissione Trasporti, Poste e Telecomunicazioni della Camera dei Deputati ha espresso parere favorevole in merito all’implementazione del PNRR, ritenendo anche opportuno formulare alcune osservazioni di particolare interesse in tema di banda larga, 5G e monitoraggio satellitare.

Con riferimento allo sviluppo delle nuove reti di telecomunicazione, la Commissione ritiene che debbano essere assunte iniziative volte a “favorire un’accelerazione del completamento del dispiegamento della fibra ottica, individuando le più opportune modalità e le eventuali risorse aggiuntive per assicurare un utilizzo diffuso e coerente con gli obiettivi della Gigabit society delle connessioni veloci, per le famiglie, per le realtà produttive e per le pubbliche amministrazioni”.

La Commissione chiede inoltre che vengano assunte le iniziative necessarie per garantire lo sviluppo delle reti 5G, “incoraggiando l’integrazione tra fornitori e soggetti committenti di servizi innovativi” e prevedendo anche “maggiori risorse per le infrastrutture digitali, in particolare le reti mobili 5G, unitamente alla previsione di risorse ad hoc per il superamento del digital divide”.

Un’ulteriore proposta formulata dalla Commissione riguarda l’adozione di iniziative volte ad “assicurare un supporto alla realizzazione di impianti quali nuove torri e micro-impianti (DAS -Distributed Antenna System/Small cells) in grado di ospitare antenne 5G multi-operatore”, nonché la realizzazione di nuove torri FWA, 4G e 5G e di una rete di trasporto in fibra per il collegamento delle torri esistenti e di nuova realizzazione unitamente ai ponti radio di ultima generazione.

La Commissione ritiene inoltre che, al fine di garantire una copertura rapida del Paese, sia necessario ricorrere ad una soluzione basata su un “mix di tecnologie” che prediliga l’impiego di connessioni FTTH nelle aree più popolate e che si avvalga invece di soluzioni FWA 4G o 5G nelle aree più remote nelle quali risulta più oneroso e meno efficiente ricorrere a soluzioni fisse.

A parere della Commissione, nelle aree grigie sarebbe necessario sostenere l’utilizzo complementare di tecnologie FTTH-FWA 5G, attraverso bandi di gara suddivisi in molteplici lotti e rimettendo la scelta sul “mix tecnologico” ai partecipanti ai bandi. In tal modo, non solo si ridurrebbero i tempi di realizzazione delle reti ma aumenterebbe anche la disponibilità di risorse da investire, il tutto garantendo costantemente un adeguato livello di concorrenza nel mercato. Per velocizzare la realizzazione di nuove reti nelle aree bianche, la Commissione propone altresì di conferire ai presidenti di Regione la nomina di commissari straordinari per il digitale, “anche per l’acquisizione di permessi concessori da parte di enti e società”. Con riferimento al completamento dell’infrastruttura in fibra ottica FTTH, la Commissione auspica una sempre maggiora semplificazione delle procedure autorizzatorie, anche a livello di regolamentazione locale.

Infine, con riferimento alle comunicazioni in tecnologia satellitare, la Commissione ritiene utile investire “nelle nuove costellazioni globali di decine di migliaia di satelliti miniaturizzati a bassa orbita”. Ciò favorirebbe – ad avviso della Commissione – lo sviluppo di infrastrutture mondiali utili per l’implementazione delle reti 6G.

Su un simile argomento può essere interessante l’articolo “Transizione verso il 5G e gestione dei Big Data: i risultati dell’indagine conoscitiva della Commissione Trasporti, Poste e Telecomunicazioni”.

Intellectual Property

Il Tribunale di Milano sulla liceità della riproduzione di opere letterarie attraverso App

Con una recente decisione, il Tribunale di Milano, sezione specializzata in materia di imprese, si è pronunciato sulla questione della violazione dei diritti di esclusiva detenuti su un’opera letteraria in caso di riproduzione di sue parti su di una applicazione per dispositivi mobili.

Nel caso di specie, una società editrice aveva sottoscritto un contratto di edizione di durata decennale atto a regolare la pubblicazione e la cessione dei diritti di sfruttamento economico su di un’opera letteraria. In tale contesto, successivamente alla sottoscrizione del contratto di edizione, l’autore dell’opera pubblicava alcune pagine della propria opera attraverso un’applicazione per dispositivi mobili, la quale conteneva anche inserzioni pubblicitarie, nonché sul proprio profilo Instagram e all’interno di una nota agenda per studenti (riproducendo in quest’ultima anche una foto del relativo libro edito dalla società editrice). La società editrice ha convenuto in giudizio l’autore dell’opera letteraria in questione, asserendo che il convenuto avesse posto in essere tali condotte senza ottenerne il necessario consenso da parte dell’attrice.

Secondo il Tribunale di Milano, la liceità di tale forma limitata di riproduzione va valutata, tra l’altro, alla luce delle singole obbligazioni contrattuali coinvolte. Nel caso in questione, lette le relative disposizioni contrattuali sottoscritte dalle parti, il Collegio ha ritenuto che la riproduzione di alcune pagine dell'opera letteraria non può costituire alcuna forma di elaborazione della stessa, risolvendosi sostanzialmente nella sola riproduzione di alcune frasi dell’opera originale. In tale scenario, l’iniziativa oggetto di lite, secondo il Tribunale, non è in grado di costituire nemmeno un’opera autonoma, idonea a porsi in diretta competizione con quella già edita: la sola circostanza che tale forma di riproduzione sia stata effettuata tramite un’applicazione per dispositivi mobili che include inserzioni pubblicitarie non può infatti, a detta del Collegio, costituire dimostrazione della circostanza che tale utilizzazione abbia avuto l'intento e/o l'effetto di porsi in concorrenza con l'opera oggetto del contratto di edizione già stipulato tra le parti.

Il Tribunale rigettava dunque le domande proposte dalla società editrice, affermando l’inesistenza della violazione dei diritti di esclusiva sull’opera letteraria coinvolta.

Su un simile argomento può essere interessante l’articolo "Secondo l’AG gli operatori di piattaforme online non sono direttamente responsabili per le violazioni di copyright".

Il Tribunale di Roma sulla tutela delle fotografie semplici

Il Tribunale di Roma si è recentemente pronunciato circa la tutela garantita dalla Legge sul Diritto d’Autore (LDA) ai diversi tipi di fotografie, statuendo che l'autore di una c.d. "fotografia semplice" ha diritto al risarcimento del danno derivante dalla pubblicazione della fotografia non autorizzata da parte di terzi.

Come noto, la Legge sul Diritto d'Autore opera una distinzione tra le cd. opere fotografiche, ossia fotografie dotate di carattere creativo, tutelate come opere dell'ingegno a tutti gli effetti ai sensi dell'art. 2, comma 7, LDA, e le cd. fotografie semplici, che non hanno carattere creativo ma sono comunque contraddistinte da un contributo personale del fotografo, le quali godono della tutela dei diritti connessi ai sensi dell’art. 87 LDA. Infine, nessuna tutela è prevista per le fotografie documentarie, ossia mere riproduzioni fotografiche di documenti, oggetti materiali, disegni tecnici e prodotti simili.

Nel caso deciso dal Tribunale di Roma, l’attore vantava di aver realizzato una fotografia notturna della città di Frosinone, attraverso una particolare tecnica che faceva sembrare la città un dipinto, la quale sarebbe stata pubblicata dal convenuto su un noto social network senza il consenso dell’attore. L’autore della fotografia chiedeva quindi al giudice di accertare che si trattava di un'opera fotografica ai sensi dell'articolo 2, comma 7, LDA e di condannare il convenuto al risarcimento del danno per violazione dei propri diritti di sfruttamento nonché dei propri diritti morali. Il giudice non condivideva l’inquadramento operato dell’attore e classificava la fotografia come "semplice fotografia". Godendo come tale dei diritti connessi, anche la semplice fotografia non può essere riprodotta da terzi, senza il consenso del fotografo. Inoltre, il giudice chiarisce che sebbene i diritti morali siano esclusi nel caso di fotografia semplice, deve comunque essere riconosciuto al fotografo il diritto di paternità dell’opera, ossia il diritto ad essere riconosciuto come autore, sulla base degli articoli 90.1, 91 e 98 LDA.

In conclusione, quindi, il Tribunale ha accertato la violazione del diritto di paternità del fotografo e dei diritti connessi, condannando il convenuto al risarcimento dei danni.

Su un simile argomento può essere interessante l’articolo “Un’opera protetta da copyright non costituisce comunicazione al pubblico nei procedimenti civili".


La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Giordana Babini, Benedetta Cordova, Filippo Grondona, Lara Mastrangelo, Andrea Michelangeli, Giuseppe Modugno, Alessandra Tozzi e Giacomo Vacca.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea e Giulia Zammataro.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Alessandro Ferrari, Gualtiero Dragotti, Roberto Valenti, Marco de Morpurgo e Alessandro Boso Caretta.

È possibile leggere le legal predictions per il 2021 dei professionisti del dipartimento di Intellectual Property and Technology di DLA Piper qui, acquistare il volume redatto dai professionisti del dipartimento di Intellectual Property and Technology di DLA Piper in materia di intelligenza artificiale e digital transformation qui e consultare una pubblicazione di DLA Piper che illustra la normativa sugli Esports di 45 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Martina Di Leva.