Innovation Law Insights
24 gennaio 2025Pubblicazione
Report di DLA Piper sulle sanzioni e violazioni di dati GDPR:edizione 2025
La settima edizione annuale della GDPR Fines and Data Breach Survey di DLA Piper ha evidenziato un altro anno significativo per l'enforcement della protezione dei dati, con un totale complessivo di 1,2 miliardi di euro di multe erogate in tutta Europa nel 2024. Leggete il report completo QUI.
Podcast
DORA è applicabile:Agite ora per evitare i rischi di non conformità
Il Digital Operational Resilience Act (DORA) è pienamente applicabile a partire dal 17 gennaio 2025, apportando cambiamenti radicali alla cybersecurity nel settore finanziario. In questa puntata del podcast Diritto al Digitale, Giulio Coraggio, avvocato specializzato in tecnologia e dati presso lo studio legale DLA Piper, illustra le misure urgenti che le imprese devono adottare per conformarsi ai severi requisiti di DORA. Dalle banche ai fornitori di criptovalute e di ICT, nessuno è esente. Scoprite come colmare le lacune di conformità, proteggere le vostre operazioni ed evitare il rischio di rimanere indietro. Ascolta l'episodio su Apple Podcasts, Google Podcasts, Spotify e Audible.
Data Protection & Cybersecurity
La comunicazione della Banca d’Italia sul Regolamento DORA: punti chiave e impatti per le entità finanziarie
Lo scorso 17 gennaio è entrato in vigore il Digital Operational Resilience Act (c.d. “Regolamento DORA”).
Ora, gli operatori economici soggetto al Regolamento, dovranno poter dimostrare di aver tempestivamente attivato tutti quei processi volti ad adeguare le proprie strutture interne e i rapporti con le terze parti ai diversi requisiti previsti dal Regolamento.
Tuttavia, occorre considerare che il quadro normativo previsto da DORA non è del tutto completo. Diversi standard tecnici, sebbene già adottati dalla Commissione Europea, devono ancora entrare in vigore (e non si possono escludere del tutto eventuali modifiche o aggiustamenti). Inoltre, occorre considerare che l’applicazione del Regolamento dipenderà in parte anche dall’interpretazione che ne daranno le diverse autorità di settore in ciascuno stato membro.
In questo senso, può essere sicuramente d’aiuto la comunicazione al mercato di Banca d’Italia dello scorso 30 dicembre, con cui ha inteso porre l’attenzione su alcuni profili del Regolamento DORA, per i quali ritiene necessario fornire un’interpretazione che ne garantisca un’applicazione uniforme.
In particolare, i profili esaminati dalla Banca d’Italia sono:
- La collocazione della funzione di controllo dei rischi ICT
Ai sensi dell’articolo 16 del Regolamento, le entità finanziarie attribuiscono la responsabilità della gestione dei rischi informatici ad una funzione di controllo dedicata che, tra l’altro, deve possedere un livello appropriato di indipendenza.
La Banca d’Italia specifica che, in assenza di indicazioni diverse nel quadro regolatorio di DORA, la funzione di controllo ICT ben può coincidere con la funzione di risk management o con quella di compliance. Chiarisce, tuttavia, che la funzione in questione non può essere attribuita in ogni caso alla struttura che gestisce anche la funzione di internal audit.
- La comunicazione all’autorità competente di accordi con controparti esterne a supporto di funzioni essenziali o importanti
Nel ricordare che a partire dal 17 gennaio, le entità finanziarie devono informare l’autorità competente degli accordi contrattuali previsti per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti, l’Autorità chiarisce che le diverse discipline settoriali in materia di esternalizzazioni ICT non troveranno applicazione (fornendo altresì l’elenco di tali norme).
Resta comunque fermo il potere di intervento della Banca d’Italia qualora gli accordi segnalati dovessero presentare particolari profili di criticità e incongruenza con la normativa.
- Segnalazione dei gravi incidenti ICT e delle minacce informatiche significative
La Banca d’Italia ricorda che la vigente disciplina in materia di segnalazione degli incidenti di sicurezza sarà abrogata (senza pregiudizio naturalmente per tutte le disposizioni in materia di violazioni di dati personali) e che la stessa sarà sostituita dalle previsioni di DORA e dei relativi standard tecnici.
Inoltre, viene chiarito che le entità finanziarie dovranno utilizzare il modello incluso nell’apposito Regolamento Delegato e che la segnalazione dovrà essere fatta attraverso la piattaforma “Infostat”.
- Test di penetrazione guidati dalle minacce (TLPT)
Da ultimo, con riferimento ai TLTP, la Banca d’Italia informa che il processo di identificazione dei soggetti che saranno tenuti a svolgere tali test è ancora in corso. Sarà tuttavia la stessa Autorità ad informare i soggetti interessati una volta terminata l’analisi e a definire insieme a questi ultimi un piano di attuazione dei test.
Per maggiori informazioni sul Regolamento DORA e per una guida sulla relativa normativa secondaria è possibile consultare il seguente video-incontro: DORA: RTS su incidenti, gestione del rischio e servizi ICT.
Autore: Edoardo Bardelli
Intellectual Property
UPC: un bilancio dei procedimenti dall'inaugurazione ad oggi
Il primo dell'anno l'UPC ha pubblicato un nuovo report che fornisce una rassegna sui procedimenti instaurati sin dall'avvio dei lavori del Tribunale a giugno 2023.
Con riguardo alla Corte di prima istanza, il numero di vertenze promosso ha visto una crescita costante e ad oggi si possono contare in totale 635 procedimenti; tra questi, 239 sono azioni di contraffazione, nella maggior parte delle quali sono state promosse domande riconvenzionali di nullità. Ancora una volta, almeno con riferimento ai procedimenti per contraffazione, le Divisioni Locali tedesche sono protagoniste e, analogamente a quanto già evidenziato nei precedenti resoconti redatti dall'UPC, i tribunali maggiormente coinvolti risultano essere quello di Monaco, Düsseldorf, Mannheim e Amburgo. Per quanto riguarda il nostro Paese, la Divisione locale di Milano ha visto ad oggi promosse 13 azioni per contraffazione.
Tra gli altri procedimenti di primo grado, 62 riguardano l'emissione di misure cautelari. Nessuna novità sotto il profilo delle azioni di risarcimento dei danni: si registra ancora un solo procedimento, così come già riportato negli ultimi case load approfonditi in questa rubrica.
Quanto alle azioni di nullità proposte in via principale, ad oggi i procedimenti promossi sono 55, la maggior parte dei quali instaurati avanti la Divisione Centrale di Parigi, che si conferma nuovamente la prima per il numero di procedimenti, con un lieve incremento di domande rispetto all'ultimo report da noi analizzato lo scorso ottobre (da 39 a 40). Benché le Divisioni Centrali di Milano e Monaco si posizionino rispettivamente al secondo e terzo posto per le azioni di nullità, lo stacco tra la sede parigina e quelle meneghina e bavarese è ancora significativo, essendo state presentate soltanto 8 e 7 domande innanzi a questi ultimi tribunali. Da notare è come la Divisione Centrale di Milano, pur essendo operativa solo da qualche mese, conta più procedimenti della Divisione Centrale tedesca, che ha avviato i lavori dal giugno 2023.
Degna di nota è poi l'attività della Corte d'Appello dell'UPC, innanzi alla quale sono stati fino ad ora instaurati oltre 180 procedimenti, la maggior parte dei quali riguardanti l'appellabilità delle decisioni ai sensi della Rule 220 RoP.
Per quanto riguarda il regime linguistico, l'inglese e il tedesco continuano a essere le lingue predominanti nei procedimenti avviati presso la Corte di prima istanza. Si registra un lieve calo nell'uso della lingua tedesca, con una diminuzione dal 41% dei procedimenti avviati in questa lingua a ottobre al 39% attuale. In senso contrario, si assiste ad un lieve incremento delle cause promosse in inglese (52% a ottobre, 53% oggi).
Quanto agli altri idiomi, il ricorso al francese e all'italiano, per quanto modesto, risulta in leggero aumento, pur rimanendo del tutto secondario.
Con riferimento ai settori industriali maggiormente interessati, spiccano i brevetti relativi alla classe H (Electricity) dell'IPC (International Patent Classification), relativamente ai quali è promosso il maggior numero di procedimenti. La seconda classe di invenzioni maggiormente coinvolta è ancora una volta la A della medesima classificazione, relativa alle cd. "human necessities".
In conclusione, un auspicio per l'anno appena cominciato è che il sistema dell'UPC, già realtà di riferimento nel contesto brevettuale europeo, continui ad acquisire rilievo e assurga ad alternativa valida e accessibile non solo alle grandi, ma anche alle piccole e medie imprese, ancora piuttosto in ombra in questo panorama giudiziario. Inoltre, confidiamo che la Divisione Centrale di Milano attragga un numero sempre più significativo di procedimenti, contribuendo a rafforzare la centralità del nostro Paese nell'ordinamento dell'UPC.
Su un argomento simil può essere d'interesse l'articolo: "UPC: la Divisione centrale di Milano chiarisce i presupposti per l’intervento dei terzi nei procedimenti cautelari"
Autore: Massimiliano Tiberio
Legal Design
Trick #4: Come generare una “idea”
Tradurre problemi complessi in soluzioni semplici: il potere della fase di ideazione nel Legal Design
Nel Legal Design, la fase di generazione delle idee è fondamentale per trasformare problemi legali complessi, individuati nella fase precedente (se te lo sei perso, leggi il Trick #4 su "Come definire il problema"), in soluzioni innovative, accessibili e centrate sull’utente.
Come fare?
Una volta individuato un problema, la fase di ideazione apre la strada a nuove prospettive. Grazie a tecniche creative, puoi progettare strumenti e servizi legali più efficaci.
Pronto a scoprire le tecniche più utili?
- Brainstorming: le idee prendono il volo
Una sessione di gruppo per raccogliere quante più idee possibili su come risolvere un problema legale.
Come fare?
- Raduna il team in presenza o online e invita tutti a pensare dal punto di vista dell’utente finale.
- Nessuna idea è sbagliata: accogli anche quelle più stravaganti!
- Usa strumenti visivi come post-it o whiteboard digitali per dare spazio alla creatività.
- Mind Mapping: organizza la tua creatività
Una tecnica per strutturare e collegare il problema a più soluzioni, evidenziando rischi e vantaggi di ogni opzione in modo intuitivo.
Come fare?
- Parti dal problema centrale (ad esempio, semplificare un contratto).
- Disegna frecce e ramificazioni per ogni idea, esplorando anche opzioni ibride.
- Usa colori e immagini per rendere il processo più coinvolgente.
- Envisioning: guarda al futuro
Una tecnica di visualizzazione per immaginare scenari ideali, come una giustizia accessibile o un’esperienza cliente priva di complicazioni.
Come fare?
- Disegna la tua idea, anche con schizzi semplici, per evidenziare pro e contro.
- Prova a rispondere a questa domanda: “Come vorrei che questa soluzione cambiasse la vita dell’utente?”
Facciamo un esempio!
Un cliente desidera migliorare i propri modelli di contratto per renderli chiari e intuitivi.
- Brainstorming: Con il team legale, raccogli idee come grafici per illustrare le clausole, glossari interattivi e riassunti semplificati.
- Mind Mapping: Visualizza tutte le opzioni e identifica quelle più efficaci.
- Envisioning: Disegna la nuova struttura del contratto, immaginando l’esperienza di chi lo utilizzerà.
Lo sapevi?
Le tecniche di generazione delle idee sono già utilizzate in settori creativi come il design industriale e la pubblicità. In particolare,
- Il brainstorming è stato ideato da Alex Osborn negli anni ’50 per stimolare la creatività nei team pubblicitari.
- L'Envisioning è stato utilizzato anche nella progettazione delle interfacce utente dei primi smartphone, rivoluzionando l’interazione uomo-macchina.
Non perderti il prossimo Trick!
Continua a seguirci e scopri nel Trick #6 come "prototipare" le tue idee per renderle ancora più concrete.
Puoi vedere l'infografica QUI.
Autrice: Deborah Paracchini
Life Sciences
La nuova era della valutazione delle tecnologie sanitarie: il Regolamento HTA diventa applicabile
L'Unione Europea ha inaugurato una nuova fase per la valutazione delle tecnologie sanitarie. Il 12 gennaio 2025 è infatti divenuto applicabile il Regolamento (UE) 2021/2282, noto come Regolamento HTA (Health Technology Assessment). Il Regolamento HTA introduce un approccio armonizzato per valutare farmaci, dispositivi medici e altre tecnologie sanitarie, con l'obiettivo di garantire ai pazienti un accesso più rapido e uniforme a trattamenti innovativi in tutta l'UE.
Obiettivi e implementazione del Regolamento HTA
Il Regolamento HTA definisce un quadro comune per la valutazione delle tecnologie sanitarie, i.e., medicinali, dispositivi medici, procedure mediche e altre misure per la prevenzione, la diagnosi o la cura delle malattie. Il Regolamento poggia su tre pilastri fondamentali:
- Cooperazione europea: un sistema condiviso tra gli Stati membri per evitare duplicazioni e favorire sinergie nella valutazione delle tecnologie sanitarie;
- Valutazioni cliniche congiunte (Joint Clinical Assessment, JCA): metodologie uniformi per analizzare efficacia, sicurezza e benefici delle innovazioni sanitarie;
- Dossier unico: gli sviluppatori delle tecnologie sanitarie presenteranno una sola documentazione per la JCA a livello UE, semplificando i processi.
L'HTA mira essenzialmente a valutare i vantaggi di una certa tecnologia sanitaria (quale un medicinale o un dispositivo medico) rispetto a quelle già esistenti e disponibili sul mercato. In ultima istanza, questa valutazione mira a svolgere un ruolo fondamentale nelle scelte di politica economico-sanitaria degli Stati membri, ivi incluso in tema di prezzo e rimborsabilità dei prodotti. A tal fine, l’HTA si basa su evidenze scientifiche e considera sia aspetti clinici sia aspetti non clinici, come costi, impatti etici, sociali e organizzativi. Questo garantisce decisioni più informate e risposte migliori alle esigenze dei pazienti.
L'introduzione del dossier unico europeo consentirà alle aziende di presentare un’unica documentazione per tutte le valutazioni cliniche congiunte (JCA), eliminando processi ridondanti e frammentati. Un’altra novità è il coinvolgimento attivo di pazienti, medici e altri stakeholder nel processo di valutazione, rendendo le decisioni più inclusive e mirate alle reali necessità dei pazienti.
L’implementazione del Regolamento HTA avverrà gradualmente, permettendo agli Stati membri e agli stakeholder di adattarsi progressivamente al nuovo sistema. A partire da gennaio 2025, le nuove norme riguarderanno i medicinali oncologici e le terapie avanzate, con un'estensione prevista per il 2026 ai dispositivi medici ad alto rischio. Dal 2028, anche i medicinali orfani saranno inclusi nel processo di valutazione, mentre entro il 2030 tutte le nuove tecnologie sanitarie dovranno essere sottoposte a valutazioni cliniche congiunte.
Questa transizione progressiva è intesa per permettere agli Stati membri e ai vari attori di adattarsi al nuovo sistema senza compromettere l’efficienza delle procedure, concentrando inizialmente gli sforzi su settori terapeutici prioritari.
Il ruolo dell’EMA
L’Agenzia europea per i medicinali (EMA) svolgerà un ruolo centrale nell’attuazione del Regolamento HTA. Oltre a fornire dati regolatori essenziali per supportare le valutazioni cliniche, l'EMA collaborerà con il gruppo di coordinamento HTA per garantire la coerenza scientifica e informerà la Commissione Europea per assicurare il rispetto delle procedure e la conduzione trasparente e puntuale dei lavori, in particolare per le domande di autorizzazione all'immissione in commercio di medicinali nell’ambito della valutazione clinica congiunta.
L’EMA avrà anche il compito di effettuare horizon scanning, identificando tecnologie emergenti e supportando la pianificazione delle future valutazioni. Questo approccio favorirà un’integrazione ottimale tra esigenze regolatorie e valutazioni scientifiche, contribuendo a una maggiore efficienza complessiva.
Attuazione dell'HTA in Italia
Anche l’Italia sta adeguando il proprio quadro normativo al Regolamento HTA. Già in passato, strumenti come il Patto per la Salute 2014-2016 e la Legge 190/2014 avevano posto le basi per l’HTA nel nostro Paese consolidati poi, per quanto riguarda i dispositivi medici, dai Decreti Legislativi 137 e 138 del 2022.
In linea con le disposizioni del Regolamento HTA, nel 2023 il Ministero della Salute ha adottato il Programma nazionale di HTA per i dispositivi medici (PNHTA 2023-2025) con l’obiettivo di:
- integrare l’HTA nei processi decisionali a livello nazionale, regionale e aziendale;
- utilizzare l’HTA lungo l’intero ciclo di vita delle tecnologie, dalla progettazione all’obsolescenza;
- migliorare l’efficienza nell’allocazione delle risorse sanitarie.
La Legge di Bilancio 2025 prevede l’aggiornamento del PNHTA da parte del Ministero della Salute entro il 30 giugno 2025.
Nel settore farmaceutico, l’Agenzia Italiana del Farmaco (AIFA) svolge un ruolo primario. La Commissione Scientifica e Economica del Farmaco (CSE), istituita nel 2024, fornisce pareri sui parametri di valutazione clinica, al fine di garantire un allineamento tra le politiche nazionali e il quadro normativo europeo.
Un sistema sanitario europeo più innovativo e trasparente
Il Regolamento HTA rappresenta un passo fondamentale verso un sistema sanitario europeo più integrato, trasparente ed equo. Le procedure semplificate e i criteri condivisi consentiranno un accesso più rapido alle terapie innovative, migliorando al contempo l’efficienza del sistema.
Grazie alla collaborazione tra Stati membri, istituzioni e stakeholder, l’UE sta creando un modello di governance sanitaria orientato al futuro. Al centro di questo cambiamento vi sono i pazienti che potranno beneficiare di trattamenti più rapidi ed efficaci, e un sistema sanitario più moderno, sostenibile e inclusivo.
Su un argomento simile, può essere di interesse l'articolo "Il Consiglio dell’UE approva il regolamento sulle sostanze di origine umana"
Autori: Nicola Landolfi, Nadia Feola
La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Noemi Canova, Gabriele Cattaneo, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Federico Toscani, Giulia Zappaterra.
Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.
Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.
Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.
È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.
DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.
Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.