|

Aggiungi un segnalibro per cominciare

Ulteriori informazioni
Abstract_Lights_P_0152
9 gennaio 202518 minuti di lettura

Innovation Law Insights

9 gennaio 2025
Podcast

Decennio Digitale UE: Come affrontare l'ondata regolatoria del 2025?

Il Decennio Digitale dell’UE è arrivato e il 2025 porta con sé un’ondata di normative senza precedenti che le aziende devono gestire, dall’AI Act e la Direttiva NIS 2 al Data Act e al DORA. In questa puntata di Diritto al Digitale, Giulio Coraggio approfondisce le complessità di queste leggi, scopre i temi chiave della conformità e delinea un quadro pratico per semplificare gli obblighi e aumentare l’efficienza. Scoprite come trasformare queste sfide in opportunità strategiche e prosperare nell’era della trasformazione digitale dell’Unione Europea. Ascolta il podcast qui.

 

Artificial Intelligence

Quando un sistema di Intelligenza Artificiale è anonimo? Le implicazioni privacy

Il 18 dicembre 2024, il Comitato Europeo per la Protezione dei Dati ("EDPB") ha pubblicato un'opinione che affronta alcune tematiche centrali relative all'intersezione tra il Regolamento (UE) 2018/679 (GDPR) e l'intelligenza artificiale tra le quali l'anonimizzazione dei sistemi di IA. L'opinione fornisce un quadro di riferimento importante per comprendere quando un sistema di IA può essere considerato anonimo e quali sono i rischi per i soggetti coinvolti nel trattamento dei dati personali legati all'utilizzo di sistemi di IA non correttamente anonimizzati. 

Definizione di anonimizzazione

Secondo l’Opinione, un sistema di IA può essere considerato anonimo quando la probabilità di estrarre dati personali o di re-identificare individui utilizzando “mezzi ragionevoli” è insignificante. Questa definizione è particolarmente rilevante perché sottolinea che non è sufficiente eliminare i dati personali dal dataset: è necessario che il sistema non consenta in alcun modo l’estrazione di tali dati.

Nel contesto dei sistemi di IA generativa, che producono output testuali o grafici, tale anonimizzazione è garantita solo quando:

  • Il sistema non rileva accidentalmente dati personali durante il suo normale funzionamento.
  • È progettato per resistere a prompt mirati, ovvero richieste specifiche degli utenti volte a estrapolare informazioni personali o dettagli su uno o più soggetti.

L'anonimizzazione non si limita, dunque, alla rimozione dei dati personali dal dataset, ma coinvolge anche la progettazione stessa del modello e delle sue funzionalità. In questo senso, anche un sistema che è stato addestrato illegittimamente potrebbe raggiungere la piena anonimizzazione, se viene garantita la non esfiltrazione dei dati personali ivi contenuti.

Implicazioni lato privacy

L’opinione dell’EDPB colloca la definizione di sistema anonimo nel contesto delle conseguenze privacy derivanti da un eventuale trattamento illecito durante la fase di training e il successivo utilizzo del sistema di IA. Questo tema assume grande rilevanza, considerando che molte aziende utilizzano sistemi di IA sviluppati da terze parti, assumendo il ruolo di titolari del trattamento per le operazioni effettuate durante l'uso del sistema (e.g. i dati raccolti durante l'utilizzo del sistema di IA da parte degli utenti).

L'Opinione distingue due scenari principali.

Se il sistema di IA è effettivamente anonimo, i dati personali non sono più presenti nel modello e non possono essere estratti in alcun modo. In tal caso, anche se durante la fase di training ci fosse stato un trattamento illecito, il successivo funzionamento del modello non comporterebbe il trattamento dei dati personali utilizzati durante la fase di training, e dunque non influenzerebbe l’utilizzo successivo del modello. Questo significa che, per chi utilizza un sistema anonimo, non vi sono rischi legati a eventuali irregolarità commesse nella fase di training. Chiaramente, per le ulteriori attività realizzate durante la fase di utilizzo, si applicheranno tutti i principi del GDPR.

Se il sistema di IA non fosse anonimo e trattenesse informazioni relative a persone identificate o identificabili, le violazioni commesse durante la fase di training potrebbero avere impatti sul trattamento successivo. Per esempio, se il trattamento iniziale dichiarato illegittimo si basava sul legittimo interesse, potrebbe risultare impattata anche la successiva attività di trattamento.

L'Opinione sottolinea dunque la necessità di condurre un'accurata due diligence sul sistema di IA sviluppato da terzi parti al fine di verificare che il modello non sia stato sviluppato attraverso il trattamento illecito di dati personali. Tra i criteri da considerare figurano:

  • La provenienza dei dati utilizzati per il training
  • Eventuali accertamenti da parte di autorità o tribunali che abbiano stabilito che il modello deriva da una violazione del GDPR.

Queste valutazioni sono cruciali perché, anche dopo il completamento della fase di training, le irregolarità iniziali possono continuare a rappresentare un rischio per coloro che si qualifichino quali titolari del trattamento durante l’utilizzo del sistema.

Conclusioni

L’opinione dell’EDPB chiarisce l'importanza di garantire la conformità al GDPR sia nella fase di addestramento che in quella di utilizzo dei sistemi di IA. Viene evidenziata non solo la responsabilità dei titolari del trattamento durante l’addestramento, ma anche quella di chi utilizza sistemi di IA non anonimi sviluppati da terzi.

Per questo motivo, è fondamentale che sviluppatori e utilizzatori adottino solide salvaguardie in ambito privacy. Recenti sanzioni contro noti fornitori di sistemi di IA generativa dimostrano quanto sia importante prevenire eventuali violazioni, anche attraverso approfondite verifiche delle attività di training.

Autore: Federico Toscani

 

Intellectual Property

Protezione dei segreti commerciali e PMI: il toolkit per la prevenzione dei furti informatici della Commissione Europea

In un contesto digitale in rapida evoluzione come quello odierno, la protezione dei segreti commerciali (trade secrets) dalle minacce informatiche è diventata una priorità sempre più cruciale per le piccole e medie imprese (PMI). Infatti, in un’economia globalizzata, in cui le informazioni possono diffondersi rapidamente, la capacità di tutelare e sfruttare a pieno i propri segreti commerciali rappresenta un aspetto cruciale per assicurare il successo a lungo termine di un'impresa, oltre che una componente essenziale della strategia di valorizzazione della proprietà intellettuale. In risposta a questa esigenza, la Commissione Europea ha reso disponibile un toolkit per la prevenzione dei furti informatici, volto a fornire alle PMI gli strumenti e le risorse essenziali per proteggere efficacemente i propri segreti commerciali.

I segreti commerciali sono asset fondamentali per le società e svolgono un ruolo determinante nel garantire e mantenere un vantaggio competitivo rispetto imprese concorrenti. Come previsto dalla definizione introdotta dalla Direttiva (UE) 2016/943 sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali), recepita all'art. 98 del Codice della Proprietà Industriale (Decreto Legislativo n. 30/2005), un'informazione può beneficiare della protezione riservata ai segreti commerciali se: (a) è segreta, nel senso che non è generalmente nota né facilmente accessibile agli esperti e operatori del settore; (b) possiede un valore commerciale proprio perché segreta; (c) è stata oggetto, da parte del legittimo titolare, di misure ragionevoli per mantenerla segreta.

Pertanto, a differenza di altre privative, come ad esempio i brevetti, i trade secrets non richiedono una divulgazione pubblica per essere protetti, consentendo alle imprese di tutelare informazioni di grande valore, come formule, processi di produzione o elenchi di clienti, a tempo indeterminato, a condizione che rimangano confidenziali. L'utilizzo del regime di protezione riservato ai segreti commerciali permette di ridurre rischi e costi associati alla registrazione formale di altri diritti di proprietà intellettuale, offrendo un vantaggio significativo per startup e PMI con risorse limitate. Tramite i propri segreti commerciali, che devono essere adeguatamente protetti da solide misure di sicurezza, le imprese riescono, quindi, a garantirsi un vantaggio competitivo duraturo e a favorire l'innovazione tramite tecnologie e strategie, che non sono facilmente replicabili.

Nonostante l’importanza della protezione dei segreti commerciali, molte imprese si trovano a dover affrontare sfide comuni in tutta Europa. Secondo i dati pubblicati dalla Commissione Europea, solo il 30% delle PMI considera fondamentale l’uso di software di gestione della proprietà intellettuale per prevenire furti informatici di informazioni aziendali e appena il 40% dispone di un piano specifico per la gestione della protezione dei segreti commerciali, incluse policy dedicate e procedure correlate. Inoltre, solo il 26% delle PMI tiene traccia dei propri segreti commerciali documentandoli in un registro interno, e solo il 55% ha adottato misure per limitare l’accesso alle informazioni riservate dai dispositivi personali dei dipendenti. Preoccupante è il dato che ha rilevato che solo il 40% delle PMI percepisce il rischio di appropriazione indebita e furto di segreti commerciali come basso, evidenziando una significativa mancanza di consapevolezza sulle attuali tendenze degli attacchi informatici. Inoltre, molte PMI lamentano la mancanza nella normativa nazionale di linee guida chiare sui requisiti essenziali di cybersecurity.

Per affrontare queste sfide, la Commissione Europea ha messo a disposizione delle PMI un toolkit che comprende una serie di risorse, tra cui linee guida sulle migliori pratiche per proteggere i segreti commerciali e aumentare la consapevolezza sui rischi correlati ai furti informatici, corsi di formazione per i dipendenti volti a identificare e prevenire le minacce informatiche, e strumenti interattivi che forniscono approfondimenti sulle motivazioni dei cyber-criminali, sul potenziale grave impatto di furti informatici, che possono comportare significative perdite finanziarie e danni alla reputazione, e sulle diverse tipologie e metodi di attacchi informatici.

In particolare, le linee guida della Commissione Europea per la protezione dei segreti commerciali sottolineano l’importanza per un'azienda di identificare i propri trade secrets, individuando quali informazioni determinano un vantaggio competitivo sul mercato di riferimento e quali, se perse o rubate, potrebbero danneggiare l’organizzazione. Inoltre, le PMI devono valutare i rischi strategici, esaminare la sicurezza della propria catena di fornitura di prodotti e servizi e stabilire una governance chiara rispetto alla protezione di dati e informazioni rilevanti, assicurandosi al contempo che il personale sia formato per gestire informazioni sensibili. Le aziende dovrebbero essere particolarmente attente alle minacce interne, educare i dipendenti a riconoscere tentativi di sottrazione di informazioni e controllare l'accesso agli ambienti dove si trovano e sono conservati dati riservati. È fondamentale aggiornare regolarmente le difese di sicurezza e i piani di risposta ad eventuali incidenti, prevedendo solide difese contro le minacce informatiche che prendono di mira i segreti commerciali.

Data la grande attenzione riservata alla protezione dei segreti commerciali, soprattutto delle PMI, gli esperti di segreti commerciali di DLA Piper hanno sviluppato il Trade Secrets Scorebox, uno strumento multi-giurisdizionale, basato sul diritto dell’Unione Europea, che ha l’obiettivo di fornire una panoramica del livello di maturità di un'organizzazione rispetto alla tutela dei trade secrets. Questo tool permette un'analisi guidata di diverse aree di interesse, tra cui la consapevolezza riguardo all'esistenza di segreti commerciali all'interno dell'impresa e l’implementazione di una strategia dedicata per la protezione delle informazioni e dati più importanti e significativi. Il Trade Secrets Scorebox è liberamente accessibile a questo link.

Utilizzando queste risorse, le imprese possono efficacemente pianificare come rafforzare la protezione dei propri segreti commerciali, anche considerando l'implementazione di difese contro minacce informatiche, assicurando, così, la sostenibilità delle loro attività in un mondo sempre più digitale.

Su un simile argomento potrebbe interessarti: Approvato il Data Act: Cosa cambia sulla tutela dei trade secret dei dispositivi IoT.

Autrice: Chiara D’Onofrio

 

L'Ufficio dell’Unione europea per la proprietà intellettuale ha pubblicato il suo report più recente sulla violazione online del copyright nell'UE

L'Ufficio dell’Unione europea per la proprietà intellettuale ("EUIPO") ha pubblicato il suo report più recente sulla violazione online del copyright, intitolato "Online copyright infringement in the European Union" e incentrato su film, musica, pubblicazioni, software e contenuti televisivi (il "Report").

Questo Report segue diversi studi dell'EUIPO sull'evoluzione della violazione online del copyright (infatti, precedenti report su questi temi sono già stati pubblicati nel 2019, 2021 e 2023) e approfondisce le complessità della violazione online del copyright, tenendo conto delle tendenze e dei dati più recenti fino al 2023.

Il Report 2024 offre un'analisi dettagliata del consumo illegale via web di contenuti protetti, musica, film, software e pubblicazioni negli Stati membri dell'UE, introducendo anche un focus triennale (2021-2023) sulla pirateria di software e pubblicazioni, temi che in precedenza non erano al centro dell'attenzione dell'EUIPO.

Il Report è strutturato in due segmenti principali: uno dedicato a un'analisi descrittiva dei dati, che permette ai lettori di comprendere i modelli di pirateria digitale, e un altro focalizzato sull'analisi econometrica dei dati raccolti, che presenta un esame statistico delle variabili socioeconomiche che influenzano la pirateria negli Stati membri dell'UE.

Secondo i dati analizzati dall'EUIPO, l'entità della pirateria televisiva negli Stati membri dell'UE si è stabilizzata nel 2023 a 5,1 accessi per utente internet al mese. Tuttavia, questi dati, basati sull'intera UE, non rappresentano una situazione omogenea, poiché i dati e le circostanze materiali variano notevolmente tra i diversi Stati membri. Lo streaming rimane il mezzo di violazione più comune, mentre i dispositivi desktop vengono utilizzati più frequentemente dei dispositivi mobili per accedere ai contenuti televisivi piratati, rappresentando circa il 60% degli accessi totali.

Significativamente, la pirateria cinematografica nell'UE è diminuita di circa il 25% nel 2023, con una media di 0,9 accessi per utente internet al mese. In questo contesto, lo streaming rimane il metodo di violazione dominante, rappresentando il 74% degli accessi, seguito dal torrenting. I desktop sono i dispositivi preferiti, ma i dispositivi mobili seguono da vicino secondo le evidenze numeriche ottenute dai ricercatori.

Contrariamente a quanto sopra, e non sorprendentemente, la pirateria del software nell'UE è aumentata del 6% nel 2023, con una media di 0,9 accessi per utente internet al mese. I mobile software, inclusi i giochi, costituiscono il genere più piratato.

Infine, i ricercatori hanno valutato che la pirateria musicale si è chiusa nel 2023 con 0,6 accessi per utenti internet al mese nell'UE, leggermente al di sopra dei livelli del 2022. Il metodo preferito per accedere alla musica piratata è il ripping, che rappresenta quasi la metà di tutti gli accessi alla musica piratata nel 2023. Tuttavia, esistono differenze significative riguardo ai metodi preferiti per il consumo di musica piratata nei 27 Stati membri dell'UE.

Il Report ha confermato che la violazione online del copyright è un fenomeno complesso e sfaccettato, con tendenze che cambiano nel tempo e che, secondo l'analisi econometrica condotta dall'EUIPO, fattori economici e sociali possono influenzare l'aumento o la diminuzione della pirateria online.

Un'altra conclusione che può essere tratta da questo rilevante Report e che dovrebbe essere presa in considerazione nel dibattito sulla violazione del copyright è che il volume delle offerte legali disponibili negli Stati membri contribuisce a ridurre la pirateria in quasi tutti i domini.

Su di un simile argomento può essere interessante leggere: L’Ufficio dell’Unione europea per la proprietà intellettuale ha pubblicato il proprio report sulle misure penali adottate dagli Stati dell’Unione Europea in materia di proprietà intellettuale.

Autore: Federico Maria Di Vizio

 

Legal Tech Bites - Approfondimenti degli esperti sulle ultime tendenze e innovazioni

L'implementazione dell'IA nelle operazioni legali è una sfida complessa e al tempo stesso un'opportunità straordinaria per i team legali interni. Per sfruttarne appieno il potenziale, è essenziale affrontare l'IA in modo strategico, individuando le aree in cui può realmente migliorare l'efficienza, pur mantenendo gli elevati standard del lavoro forense.

Nel 2024 ho avuto il privilegio di progettare e testare diverse soluzioni basate sull'IA, trasformando il nostro spazio di lavoro in un terreno di sperimentazione innovativo. Di seguito, condivido i principali casi d'uso che ho personalmente sviluppato e sperimentato in versione beta per i test interni. Queste soluzioni sono già operative e dimostrano come l'IA possa rivoluzionare la professione legale, snellire i processi e offrire un vantaggio competitivo tangibile.

Calcolatore del ROI per gli investimenti in LegalTech: per ottenere l'approvazione degli investimenti in LegalTech è necessario essere in grado di calcolare con precisione i potenziali benefici, ma i calcoli tradizionali del ROI non riuscivano a cogliere tutti i vantaggi unici della tecnologia legale. Ho quindi sviluppato una metodologia di calcolo del ROI delle tecnologie legali e un calcolatore specializzato che tiene conto sia dei risparmi sui costi diretti sia dei vantaggi più difficili da quantificare, come la riduzione dei rischi e il miglioramento dei servizi legali. Lo strumento:

  • Esegue un'analisi completa dei costi, comprese le licenze, il tempo di ricerca, la dimostrazione (cd. "proof of concept"), la formazione e l'implementazione.
  • Valuta i benefici attraverso diverse metriche, tra cui l'aumento della produttività, la riduzione dei rischi e la soddisfazione dei clienti.
  • Genera proiezioni dettagliate del ROI e relazioni per i diversi interlocutori.

Può essere utile per: i team legali interni spesso faticano a giustificare gli investimenti tecnologici al management. Questo strumento fornisce una metodologia strutturata per quantificare i benefici tangibili e intangibili delle soluzioni LegalTech, facilitando l'approvazione degli investimenti strategici e consentendo il monitoraggio del loro effettivo ritorno nel tempo.

Visualizzazione delle informazioni sulle tendenze normative: L'analisi delle relazioni annuali dell'Autorità Garante per la protezione dei dati personali dal 2021 al 2023 richiede molto tempo a causa della loro lunghezza e complessità. L'identificazione di modelli significativi nelle decisioni di applicazione e nelle aree di interesse richiede uno sforzo significativo. Per questo ho creato uno strumento di visualizzazione dei dati che trasforma queste relazioni complesse in chiari approfondimenti, estraendo e analizzando automaticamente i punti chiave dei dati per rivelare le tendenze emergenti nell'applicazione della privacy e le priorità normative. La piattaforma:

  • elabora e visualizza automaticamente le statistiche sull'applicazione delle norme dai rapporti del Garante
  • Genera confronti dinamici di multe, violazioni e aree di interesse tra i vari anni
  • fornisce pannelli interattivi che mostrano l'evoluzione delle priorità normative
  • consente un'analisi dettagliata di specifici modelli di applicazione e dei relativi motivi decisionali.

Può essere utile per: un'efficace visualizzazione dei dati è fondamentale per comunicare le tendenze e le intuizioni al management e agli stakeholder. Questo strumento può essere adattato per monitorare qualsiasi tipo di dati legali rilevanti, dalle statistiche sulle controversie ai KPI di conformità, rendendo immediatamente comprensibili informazioni complesse e facilitando i processi decisionali.

Lista di controllo interattiva per la verifica dell'intelligenza artificiale: dopo che l'EDPB ha rilasciato il suo quadro di riferimento per la verifica dell'intelligenza artificiale, ho notato quanto fosse dispendioso in termini di tempo completare manualmente queste valutazioni per ogni sistema di intelligenza artificiale in uso. Il processo era soggetto a incongruenze ed era difficile tenere traccia dei progressi compiuti in più audit. Ho quindi creato un sistema automatizzato che:

  • guida gli utenti attraverso un flusso di lavoro di audit strutturato
  • genera automaticamente i punteggi di rischio in base ai dati immessi
  • mantiene tracce di audit e documentazione complete
  • fornisce criteri di valutazione e ponderazioni configurabili.

Può essere utile per: con l'aumento dell'utilizzo dell'intelligenza artificiale nelle aziende, i team legali devono garantire la conformità di un numero crescente di sistemi. Questo strumento automatizza e standardizza il processo di audit, riducendo significativamente il tempo necessario per le valutazioni e garantendo un approccio coerente e documentato alla conformità dell'IA.

Nel 2025, il nostro laboratorio continuerà a esplorare nuovi modi per applicare l'IA nel settore legale, concentrandosi sulla ricerca dei casi d'uso più pratici e innovativi. I professionisti interessati a saperne di più sono invitati a contattarmi per una dimostrazione pratica dei nostri strumenti e per unirsi agli sforzi in corso del laboratorio. Nel prossimo aggiornamento, condivideremo altri casi d'uso e nuovi spunti su come l'IA sta trasformando la professione legale.

Autore: Tommaso Ricci

 

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Noemi CanovaGabriele Cattaneo, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Nadia FeolaLaura Gastaldi, Vincenzo GiuffréNicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Federico ToscaniGiulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia PernaMatilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su Transfer, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.

Competenze correlate

Consumer Goods, Food and RetailLife SciencesMedia, Sport and EntertainmentTechnologyIntellectual Property
    Cookie PolicyNote legaliModern SlaveryPrivacy PolicyWhistleblowingMappa del sito

    DLA Piper è uno studio legale internazionale che opera attraverso diversi soggetti giuridici distinti e separati. Per ulteriori informazioni su tali soggetti e sulla struttura di DLA Piper, si prega di fare riferimento alla pagina delle Note legali su questo sito Internet. Tutti i diritti riservati. Avviso legale.

    © 2025 DLA Piper