|

Aggiungi un segnalibro per cominciare

Ulteriori informazioni
Abstract_Lights_P_0152
4 settembre 202419 minuti di lettura

Innovation Law Insights

5 settembre 2024
Artificial Intelligence

L'addestramento dell'IA al vaglio delle autorità europee per la privacy

La sospensione da parte di X del trattamento dei dati personali per l'addestramento del suo strumento di chatbot AI, Grok, in seguito all'ordine dell'Autorità irlandese per la privacy (Irish Data Protection Commission o DPC), rispecchia le azioni intraprese dal Garante italiano, dall'Autorità francese per la privacy (la Commission nationale de l'informatique et des libertés o CNIL) e dall'Autorità per la privacy di Amburgo negli ultimi mesi. Come reagiranno gli sviluppatori e gli utilizzatori di sistemi di intelligenza artificiale?

Come riportato dai colleghi irlandesi di DLA Piper nel proprio articolo, l'ultima notizia riguarda la controversia relativa al trattamento dei dati da parte di X per l'addestramento dell'AI del suo strumento di chatbot, che ha avuto origine da un reclamo delle associazioni dei consumatori.

X ha sostenuto di essersi basata sulla base giuridica dell'interesse legittimo ai sensi del GDPR, ma i ricorrenti hanno sostenuto che l'informativa sulla privacy di X - risalente al settembre 2023 - non era sufficientemente chiara su come questa si applicasse al trattamento dei dati degli utenti per l'addestramento di modelli di intelligenza artificiale come Grok.

In seguito a questa contestazione, l'Autorità irlandese per la privacy ha emesso un ordine di sospensione del trattamento dei dati per tali scopi. Uno scenario simile si era verificato qualche mese prima, a seguito di un reclamo di NOYB contro il ricorso di Meta al legittimo interesse per l'utilizzo dei dati per l'addestramento di modelli di intelligenza artificiale. Ciò ha portato all'impegno con il DPC e alla decisione finale di Meta, a giugno, di sospendere il trattamento dei dati in questione.

Questa catena di eventi è simile a quella che ha interessato OpenAI nel marzo 2023, quando il Garante italiano, ha ordinato la limitazione temporanea del trattamento dei dati degli individui italiani da parte di ChatGPT, portando a una sospensione di un mese del chatbot di AI in Italia. Successivamente, la limitazione temporanea è stata revocata, ma OpenAI ha dovuto impegnarsi, tra le altre cose, a individuare la corretta base giuridica del trattamento dei dati personali degli utenti per l'addestramento algoritmico, che OpenAI dovrebbe modificare.

Tutto ciò avviene mentre l'autorità per la privacy di Amburgo ha pubblicato il documento di discussione sui large language models e i dati personali, sostenendo, tra l'altro, che le informazioni memorizzate dai large language models non comportano il trattamento di dati personali. Questa posizione mostra un'apertura da parte delle autorità per la privacy dell'UE verso l'addestramento dell'IA conforme al GDPR, che potrebbe essere convalidata nell'attuale consultazione della CNIL sull'argomento.

Non c'è dubbio che la liceità dell'allenamento dell'IA e la sua conformità al GDPR possano essere meglio sostenute adottando un approccio più trasparente nei confronti degli individui per quanto riguarda:

  • come vengono trattati i loro dati personali nell'ambito di questo processo,
  • quale interesse legittimo è alla base del trattamento dei dati
  • perché tale interesse legittimo è fondato, tenendo conto delle misure tecniche necessarie per ridurre al minimo il trattamento dei dati.

E quanto sopra può essere ulteriormente migliorato implementando soluzioni di legal design che sono sempre più sostenute dalle autorità per la protezione dei dati, in quanto aiutano gli utenti a capire effettivamente cosa viene eseguito e perché tale pratica è conforme.

Siamo a un punto cruciale per lo sviluppo dell'intelligenza artificiale nell'Unione europea: si dovrà trovare un compromesso, ma è richiesto uno sforzo da parte di tutte le parti coinvolte. Questa pratica è abbastanza nuova per le autorità per la privacy che sono abituate a far rispettare semplicemente la normativa. Tuttavia, l'intelligenza artificiale generativa sarà probabilmente la tecnologia più importante del secolo e merita un trattamento speciale.

Su un argomento simile può essere di interesse l'articolo "Meta sospende i suoi piani per addestrare i modelli di intelligenza artificiale con i dati personali degli utenti".

Autore: Giulio Coraggio

 

Data Protection & Cybersecurity

Il recepimento della Direttiva NIS2 in Italia

Come noto, il 14 dicembre 2022, il Parlamento europeo e il Consiglio hanno adottato definitivamente la Direttiva NIS2. La Direttiva NIS2 mira a garantire una maggiore uniformità nel livello di sicurezza informatica all'interno dell'UE e rappresenta l'evoluzione della precedente Direttiva (UE) 2016/1148 (la cosiddetta Direttiva NIS1), che è stata recepita senza sostanziali modifiche dal legislatore italiano.

Il prossimo 17 ottobre la Direttiva NIS2 diventerà finalmente applicabile con un obbligo per gli Stati Membri dell'UE di recepirla.

Il recepimento della Direttiva NIS2 in Europa

Il recepimento della Direttiva, ad oggi, risulta frammentario.

Alcuni stati prevedono di adottare una normativa di recepimento entro l'inizio del 2025 (si fa ad esempio riferimento alla Germania o all'Olanda), mentre altri hanno solo pubblicato una prima bozza di documento interno. La maggioranza degli stati dell'unione non si sono però ancora mossi per l'implementazione della Direttiva, fatta eccezione per alcuni stati che hanno invece già adottato una propria normativa sul punto.

Ad esempio, il Belgio ha già adottato la norma nazionale di recepimento della Direttiva NIS2 imponendo dal prossimo 18 ottobre, un obbligo per le società che rientrano nell'ambito del perimetro di operatività della direttiva stessa, di registrare i propri servizi entro un periodo di 2 o 5 mesi, a seconda dei servizi, dall'entrata in vigore della nuova norma (lo stesso approccio sarà seguito dall’Italia, come vedremo in seguito).

E l’Italia?

Come noto, lo scorso febbraio, il Parlamento italiano ha delegato al Governo la relativa attuazione, emanando la Legge di delegazione europea n. 15/2024. Tale Legge di Delegazione prevedeva che il Governo dovesse adottare il decreto legislativo di recepimento della Direttiva entro il termine di quattro mesi antecedenti a quello indicato nella rilevante direttiva quindi, entro metà giugno 2024. L'approvazione in Consiglio dei Ministri è avvenuta però solo ad inizio agosto.

Quali sono le novità

Secondo le stime del direttore generale dell’Agenzia per la Cybersicurezza nazionale (ACN), Bruno Frattasi, i nuovi soggetti coinvolti nell'applicazione della Direttiva NIS2 in Italia sono circa 50mila che si devono considerare in aggiunta alla lista dei circa 400 operatori essenziali già individuati con la Direttiva NIS1.

Questo in quanto, ai sensi della Direttiva, è necessario considerare congiuntamente tre criteri:

  • Un criterio settoriale, ove la rilevante società fornisca i propri servizi o svolga attività in uno o più settori economici indicati negli allegati della Direttiva;
  • Un requisito dimensionale ove la società si qualifichi come media o grande impresa ai sensi dell'articolo 2 alla raccomandazione 2003/361/CE; e
  • Un requisito territoriale ove la società fornisca i propri servizi o svolga la propria attività all'interno dell'UE.

I tre criteri, che devono intendersi come cumulativi ad eccezione di casi di specifici casi in cui l'applicabilità della Direttiva sia prevista a prescindere (come, ad esempio, nei casi delle pubbliche amministrazioni).

Con specifico riferimento al requisito settoriale, la Direttiva NIS2 distingue tra soggetti appartenenti a “settori ad alta criticità”, quali energia, trasporti (aerei, idrici, ferroviari e stradali), mercati bancari e finanziari (in particolare, infrastrutture dei mercati finanziari), settore sanitario, acqua potabile e acque reflue, infrastrutture digitali, gestione di servizi ICT (in un contesto B2B), amministrazioni pubbliche e settore spaziale; e “altri settori critici”, quali servizi postali, gestione dei rifiuti, produzione e distribuzione di prodotti chimici, produzione, trasformazione e distribuzione di alimenti (ossia, imprese alimentari impegnate nella distribuzione all'ingrosso e nella produzione e trasformazione industriale), manifatturiero (con specifico riferimento, ad esempio, a dispositivi medici, computer e prodotti elettronici), fornitori di servizi digitali (con specifico riferimento ai fornitori di marketplace online, motori di ricerca online e piattaforme di social network) e ricerca.

A partire dal 18 ottobre 2024 le società che ritengono di rientrare nell'ambito di applicazione sopra richiamato, dovranno registrarsi in una apposita piattaforma in corso di attivazione da parte di ACN indicando un elenco delle proprie attività e servizi comprensivo di tutti gli elementi necessari alla categorizzazione in categorie di rilevanza.

Solo entro il 31 marzo 2025 ACN andrà a confermare le categorie di rilevanza nonché il processo per la finalizzazione della registrazione delle attività e dei servizi che dovranno essere riportati in piattaforma.

A seguire le società che rientrano nell'ambito di applicazione della NIS2 dovranno adeguarsi agli stringenti obblighi di sicurezza che dovranno però essere puntualmente codificati in vere e proprie policy interne per garantire la compliance aziendale in materia cyber. In particolare, le società saranno tenute a seguire gli obblighi di governance imposti dalla Direttiva, a adottare misure di gestione del rischio, a prevedere specifici obblighi di sicurezza per i terzi, valutando i contratti con i fornitori di servizi ICT e a notificare gli incidenti informatici nelle strette tempistiche previste dalla normativa.

Quali sono le sanzioni

La mancata conformità con gli obblighi sopra richiamati può comportare importanti sanzioni per gli operatori. In particolare, a seguito della segnalazione della mancanza di conformità da parte di ACN, potranno essere emanate dalle autorità competenti delle sanzioni amministrative fino ad EUR10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.

Onde evitare le sanzioni sopra richiamate le società devono analizzare quanto prima la applicabilità della Direttiva NIS2 alla loro realtà, anche in considerazione degli obblighi di comunicazione applicabili in Italia sin dal 18 ottobre del 2024 e, a seguire mappare attentamente la loro struttura cyber sia dal punto di vista tecnico che dal punto di vista della compliance al fine di adottare le misure necessarie non appena possibile.

Su un argomento simile può essere di interesse l'articolo "La Direttiva NIS2 si applica alla Vostra Azienda?"

Autrice: Giulia Zappaterra

 

Intellectual Property

Riconoscimento del Diritto d'autore nel Design di Moda: Un Caso Pionieristico in Danimarca

Il 9 agosto 2024, il Tribunale marittimo e commerciale di Copenaghen ha emesso una decisione storica che riconosce il diritto d'autore su un disegno di moda per la prima volta in Danimarca. Al centro della decisione c'è il famoso modello di scarpe “Buckle Ballerina” dell'azienda danese GANNI Il tribunale ha riconosciuto che il design delle scarpe è un'opera d'autore originale e l'ha ritenuto tutelabile dal diritto d'autore, in linea con la sentenza Cofemel della Corte di giustizia dell'Unione europea (“CGUE”). Pertanto, le scarpe “Grand Ave” di Steve Madden sono state considerate una violazione sia della legge sul diritto d'autore che della legge danese sulle pratiche di marketing.

GANNI aveva intentato una causa contro l'azienda statunitense Steve Madden, accusandola di aver copiato il design Buckle Ballerina con il modello di scarpe “Grand Ave”. Il tribunale danese ha stabilito che gli elementi distintivi del design, come la punta appuntita, il tacco basso e le fibbie metalliche, sono il risultato di scelte creative piuttosto che puramente funzionali e quindi giustificano la protezione del diritto d'autore.

Nel prendere la sua decisione, il tribunale ha tenuto conto non solo della creatività e dell'originalità del design, ma anche della posizione del marchio sul mercato e della distintività del modello GANNI. In effetti, ciò è ancora più interessante se si considera che i) GANNI non è stata in grado di documentare che il team di designer di Steve Madden si è ispirato principalmente al design delle scarpe di GANNI e ii) vi erano differenze tra i prodotti, compresa l'accettazione da parte del Tribunale del fatto che i prodotti concorrenti non rientravano nella stessa fascia di prezzo. Nonostante ciò, gli esperti di design hanno sostenuto la sentenza affermando che la somiglianza tra i due stili era tale da confondere i consumatori. Di conseguenza, a Steve Madden è stato vietato di vendere il modello “Grand Ave” in Danimarca.

Implicazioni globali: Un confronto tra Europa e Stati Uniti

Sebbene la decisione danese abbia per ora un impatto primario sulle vendite di Steve Madden in Danimarca, potrebbe avere implicazioni più ampie per l'industria della moda in Europa, dove la protezione dei disegni e modelli sta guadagnando sempre più attenzione, soprattutto dopo la sentenza Cofemel del 2021 della CGUE. Negli Stati Uniti, invece, l'applicazione del diritto d'autore nel settore della moda rimane complessa a causa della natura utilitaristica di abbigliamento e accessori, che limita la protezione del diritto d'autore per questi beni.

Su un argomento simile può essere di interesse l'articolo "La moda: dal catwalk alla tutela legale dell’IP".

Autrice: Maria Vittoria Pessina

L'Ufficio dell'Unione europea per la proprietà intellettuale ha pubblicato il proprio report sulle misure penali adottate dagli Stati dell'Unione Europea in materia di proprietà intellettuale

L'Ufficio dell'Unione europea per la proprietà intellettuale ("EUIPO") ha recentemente reso pubblico il suo report sulle misure legislative adottate dagli Stati membri dell'Unione Europea in relazione alle violazioni della proprietà intellettuale ("IP").

Il report si intitola "Misure legislative relative alle violazioni della proprietà intellettuale - Misure legislative penali nei casi di reati gravi e organizzati contro la proprietà intellettuale" (il "Report") e si avvale di diversi scenari pratici per evidenziare i diversi approcci e le sanzioni che caratterizzano i quadri legislativi adottati dagli Stati membri dell'Unione europea ("SM UE").

Il Report rappresenta la terza fase della serie "Studio delle misure legislative" dell'EUIPO ed è stato concepito per:

  • Fornire un'utile panoramica della regolamentazione nell'UE, presentando anche esempi significativi di paesi selezionati al di fuori dell'UE (tra gli altri, Regno Unito e Stati Uniti);
  • Aiutare a comprendere la portata della legislazione nazionale negli Stati membri dell'UE.

Esso fornisce una analisi pratica e orientata ai professionisti e si concentra in particolare sui termini massimi di reclusione previsti dai legislatori nazionali per i reati aventi ad oggetto la proprietà intellettuale ed analizzati dai ricercatori. Il Report diffonde inoltre informazioni rilevanti sulle sanzioni diverse dalla reclusione, sulla responsabilità delle società, sui termini di prescrizione e sui requisiti legali per avviare un procedimento penale negli Stati membri dell'UE.

Nel contesto del Report, è importante notare che nel 2021 la "criminalità legata alla proprietà intellettuale, la contraffazione di beni e valute" è stata inclusa tra le priorità dell'UE nella lotta alla criminalità organizzata per il periodo 2022-2025. Inoltre, il 19 marzo 2024, la Commissione Europea ("CE") ha emesso una raccomandazione sulle misure da adottare per combattere efficacemente la contraffazione e migliorare la difesa dei diritti di proprietà intellettuale. Tale raccomandazione ha sottolineato l'importanza per gli Stati membri dell'UE di adottare leggi e sanzioni penali dissuasive e ha incoraggiato gli Stati membri dell'UE a rivedere e rivalutare le misure penali per raggiungere tale obiettivo, concentrandosi anche sull'importanza del principio di proporzionalità della pena al reato.

Il Report analizzato fornisce una panoramica del panorama legislativo sui reati di PI negli Stati membri dell'UE, con particolare attenzione alla diversità delle sanzioni penali massime per un'ampia gamma di reati aventi ad oggetto la proprietà intellettuale, ed è stato redatto sulla base di informazioni ottenute da fonti pubblicamente disponibili fino a luglio 2023.

In particolare, il Report ha analizzato le conseguenze penali derivanti da violazioni gravi in materia di contraffazione di marchi, violazione di diritti d'autore e sottrazione di segreti commerciali negli Stati membri dell'UE e negli altri Paesi considerati, nonché i reati ad essi correlati come la frode, l'accesso non autorizzato ai sistemi informatici (hacking), il riciclaggio di denaro.

Uno dei principali risultati del Report è che, nonostante l'esistenza di diversi standard minimi internazionali, le legislazioni nazionali in materia di violazioni penali della proprietà intellettuale variano notevolmente, non solo a livello internazionale ma anche tra gli Stati membri dell'UE.

Infine, come evidenziato nel Report, queste differenze nei quadri legislativi nazionali possono talvolta essere sfruttate dai criminali e nel peggiore dei casi possono costituire un ostacolo a indagini e azioni penali efficaci e all'applicazione di sanzioni proporzionate e dissuasive.

Per questo motivo, alla luce del Report si può concludere che l'armonizzazione delle misure e delle sanzioni penali tra gli Stati membri, attesa da tempo, potrebbe migliorare l'efficacia della lotta contro i reati legati alla proprietà intellettuale, garantendo un approccio giuridico unitario ed efficiente.

Su un argomento simile può essere di interesse l'articolo "Studio EUIPO sull’impatto economico della contraffazione nei settori dell’abbigliamento, cosmetici e giocattoli"

Autore: Federico Maria Di Vizio

 

Technology Media and Telecommunication

Nuova disciplina concernente il servizio di assistenza clienti nel settore delle comunicazioni elettroniche

Lo scorso 8 agosto, l’Autorità per le Garanzie nelle Comunicazioni ("AGCom") ha pubblicato la delibera n. 255/24/CONS del 10 luglio, concernente la disciplina e gli indicatori di qualità del servizio di assistenza clienti nel settore delle comunicazioni elettroniche e dei servizi media audiovisivi.

Conformemente a quanto previsto dall'articolo 2 dell'Allegato A alla delibera, la nuova disciplina è volta a garantire agli utenti di servizi di comunicazioni elettroniche:

  • l'accessibilità del servizio di assistenza clienti;
  • la trasparenza e la tracciabilità delle procedure di gestione dei reclami;
  • la trasparenza e la comparabilità dei risultati di qualità del servizio di assistenza clienti.

La delibera in questione fa seguito alla consultazione pubblica avviata con delibera n. 375/19/CONS del 23 luglio 2019 (i cui esiti sono riportati nell'allegato 1 alla del. 255/24/CONS) ed è finalizzata ad aggiornare il precedente quadro regolamentare tracciato dalla delibera n. 79/09/CSP in materia di qualità dei servizi telefonici di contatto, cd. call center, nel settore delle comunicazioni elettroniche. L'AGCom – come specificato nel comunicato stampa relativo all'adozione della delibera in questione – nel delineare la nuova disciplina ha tenuto conto delle previsioni del nuovo Codice delle comunicazioni elettroniche di cui al d.lgs. 259/2003, come modificato dal d.lgs. 207/2021, nonché dei risultati di un'analisi di impatto regolamentare, che evidenziano una crescente tendenza da parte degli utenti all'utilizzo di modalità di contatto digitale per ricevere assistenza in materia di servizi di comunicazioni elettroniche.

A tal fine, con la delibera in questione sono state elaborate per la prima volta delle Linee guida sulla fornitura e la modalità di gestione dei canali di assistenza digitali.

Le previsioni di cui alla del. 255/24/CONS stabiliscono tra l'altro:

  • la gratuità dei servizi di assistenza clienti, già prevista dal previgente quadro regolamentare;
  • la necessità che l'erogazione del servizio telefonico di assistenza clienti con un operatore umano, per i servizi di comunicazioni elettroniche, sia garantita almeno nei giorni feriali tra le ore 8.30 e le ore 19.30 per le utenze di tipo business e fino alle 21.30 per le utenze di tipo consumer;
  • che le opzioni dell’albero "Interactive Voice Response" (IVR) – ossia un sistema interattivo di risposta capace di erogare informazioni ad un chiamante il quale può interagire tramite tastiera telefonica o riconoscimento vocale per poter colloquiare con un addetto dell'assistenza clienti – siano esplicite, trasparenti e comprensibili. È altresì previsto che debba essere introdotta nel primo livello dell'albero IVR, un'opzione dedicata alla presentazione dei reclami da parte degli utenti;
  • un termine di 30 giorni – e non più di 45 come previsto dalla precedente disciplina – per la gestione dei reclami presentati dagli utenti;
  • il diritto per il cliente di formulare il reclamo attraverso il canale telefonico, la raccomandata A/R, e il contatto digitale, laddove l’operatore metta tale modalità a disposizione del cliente;
  • l’obbligo in capo all'operatore di comunicare al cliente, una volta acquisito il reclamo, un codice identificativo dello stesso che abbia una configurazione logica e semplice, allo scopo di favorirne la memorizzazione da parte dell’utente;
  • che il “tempo medio di risposta dell’operatore” non deve essere superiore a 150 secondi e che il “tasso di chiamate verso operatore servite entro 20 secondi” non deve essere inferiore al 40%.

Come previsto dalla delibera in commento, le nuove disposizioni saranno attuate entro 12 mesi dalla pubblicazione del provvedimento.

Su un simile argomento può essere interessante l’articolo “Pubblicato il testo unico di revisione e semplificazione degli indicatori di qualità dei servizi di comunicazioni mobili e personali”.

Autrici: Flaminia Perna, Matilde Losa

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi, Alessandra Faranda, Nadia FeolaLaura Gastaldi, Vincenzo GiuffréNicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Rebecca Rossi, Roxana Smeria, Massimiliano TiberioGiulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su Transfer, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

Competenze correlate

Consumer Goods, Food and RetailLife SciencesTechnologyMedia, Sport and EntertainmentIntellectual Property
    Cookie PolicyNote legaliModern SlaveryPrivacy PolicyWhistleblowingMappa del sito

    DLA Piper è uno studio legale internazionale che opera attraverso diversi soggetti giuridici distinti e separati. Per ulteriori informazioni su tali soggetti e sulla struttura di DLA Piper, si prega di fare riferimento alla pagina delle Note legali su questo sito Internet. Tutti i diritti riservati. Avviso legale.

    © 2024 DLA Piper