New Technologies

AI Act: nuovi scenari nella regolamentazione dell’intelligenza artificiale.

L'AI ACT, il regolamento europeo sull'Intelligenza Artificiale, è stato approvato dal Parlamento europeo il 14 giugno e sarà sottoposto all’esame dei Paesi UE in Consiglio, con l’obiettivo di diventare legge entro la fine del 2023. L’AI Act adotta un approccio basato sul rischio e prevede sanzioni fino a Euro 30.000.000 o fino al 6 % del fatturato mondiale totale annuo dell'esercizio precedente.

La proposta di regolamento dell'UE sull'intelligenza artificiale mira a creare un quadro giuridico per l'IA affidabile, basato sui valori e sui diritti fondamentali dell'UE, con l'obiettivo di garantire un utilizzo sicuro dell'IA, prevenendo rischi e conseguenze negative per le persone e la società.

Il testo fissa regole armonizzate per lo sviluppo, l'immissione sul mercato e l'utilizzo di sistemi di IA nell'UE, attraverso un approccio basato sul rischio, che prevede diverse obbligazioni di conformità a seconda del livello di rischio (basso, medio o elevato) che i software e le applicazioni intelligenti possono comportare per i diritti fondamentali delle persone: maggiore è il rischio, maggiori sono i requisiti di conformità e le responsabilità per i fornitori delle applicazioni intelligenti.

In ragione di questo approccio basato sul rischio, l’AI Act distingue tra:

-          "Pratiche di Intelligenza Artificiale Vietate", che creano un rischio inaccettabile, ad esempio perché violano i diritti fondamentali dell’UE. Rientrano in questa nozione i sistemi:

o   che utilizzano tecniche subliminali che agiscono senza che una persona ne sia consapevole o che sfruttano vulnerabilità fisiche o mentali e che siano tali da provocare danni fisici o psicologici;

o   in uso alle autorità pubbliche, di social scoring, di identificazione biometrica in tempo reale a distanza negli spazi accessibili al pubblico, di polizia predittiva sulla base della raccolta indiscriminata e di riconoscimento facciale, se non in presenza di esigenze specifiche o di autorizzazione giudiziale.

 

-          "Sistemi di IA ad Alto Rischio", che presentano un rischio alto per la salute, la sicurezza o i diritti fondamentali delle persone, quali i sistemi che permettano l’Identificazione e la categorizzazione biometrica di persone fisiche, di determinare l'accesso agli istituti di istruzione e formazione professionale, di valutare prove di ammissione o di svolgere attività di selezione del personale, utilizzati per elezioni politiche e diverse altre ipotesi indicate espressamente dalla normativa.

 

L’immissione sul mercato e l’utilizzo di questa tipologia di sistemi, non è quindi vietata ma richiede il rispetto di specifici requisiti, quali:

-          la creazione e il mantenimento di un sistema di gestione del rischio: è obbligatorio sviluppare e mantenere attivo un sistema di gestione del rischio per i sistemi di intelligenza artificiale (IA);

-          l’adozione di criteri qualitativi per dati e modelli: i sistemi di IA devono essere sviluppati seguendo specifici criteri qualitativi per quanto riguarda i dati utilizzati e i modelli implementati, al fine di garantire l'affidabilità e l'accuratezza dei risultati prodotti.

-          la produzione di documentazione su sviluppo e funzionamento: è richiesta una documentazione adeguata riguardo allo sviluppo di un determinato sistema di IA e al suo funzionamento, anche al fine di dimostrare la conformità del sistema alle normative vigenti.

-          la trasparenza verso gli utenti: è obbligatorio fornire agli utenti informazioni chiare e comprensibili sul funzionamento dei sistemi di IA, per renderli consapevoli delle modalità di utilizzo dei dati e di come i risultati sono generati.

-          la supervisione umana: i sistemi di IA devono essere progettati in modo da poter essere supervisionati da persone fisiche.

-          L’accuratezza, robustezza e cibersicurezza: è obbligatorio garantire che i sistemi di IA siano affidabili, accurati e sicuri. Ciò implica l'adozione di misure per prevenire errori o malfunzionamenti che potrebbero causare danni o risultati indesiderati.

 

In alcuni casi, la valutazione della conformità può essere effettuata autonomamente dal produttore dei sistemi di IA, mentre in altri casi potrebbe essere necessario coinvolgere un organismo esterno.

 

-          "Sistemi di IA a Rischio Limitato", che non comportano pericoli considerevoli e per i quali sono previsti requisiti generali di informazione e trasparenza verso l’utilizzatore. Ad esempio, i sistemi che interagiscono con le persone (e.g. assistente virtuale), che sono utilizzati per rilevare emozioni o che generano o manipolano contenuti (e.g. Chat GPT), devono rendere adeguatamente noto l’utilizzo dei sistemi automatizzati, anche al fine di permettere l’adozione di scelte informate o di rinunciare a determinate soluzioni.

Il testo in esame è strutturato in modo flessibile e permette di essere applicato - o in caso adeguato - ai diversi casi che lo sviluppo tecnologico può raggiungere. Il regolamento tiene inoltre conto e garantisce l’applicazione di normative complementari, come ad esempio la disciplina privacy, di tutela del consumatore e di Internet Of Things (IoT).

Il regolamento prevede, in caso di violazione, sanzioni fino ad un valore massimo di Euro 30 milioni o fino al 6 % del fatturato mondiale totale annuo dell'esercizio precedente.

Come detto, il testo approvato dal Parlamento Europeo sarà sottoposto all’esame del Consiglio, con l’obiettivo di essere approvato entro la fine del 2023. In tal caso sarà la prima normativa che a livello mondiale affronta in modo tanto diffuso e dettagliato le possibili problematiche derivanti dall’immissione sul mercato di sistemi AI.

Sarà nostra cura fornire aggiornamenti sulle future evoluzioni normative

Per dettagli e informazioni contattare David Ottolenghi di Clovers

 

La privacy by default in pratica secondo il Garante spagnolo.

Andrea Antognini - Of Counsel

markus-spiske-iar-afB0QQw-unsplash.jpg

Il GDPR è un testo, salvo eccezioni, identico in tutta Europa ed il Garante spagnolo ha detto la sua sul principio generale di protezione dei dati by default, un concetto in astratto chiaro ma difficile da declinare in concreto:

il titolare del trattamento (l’azienda) deve trattare, per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento. Esattamente l’opposto di quando, nel form online, vedete che la casella per la ricezione della newsletter è “preflaggata”.

La guida del Garante spagnolo [https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf] offre una visione pratica per aiutare ad applicare questo principio al trattamento dei dati in conformità con le disposizioni del GDPR e le linee guida adottate dal Comitato europeo per la protezione dei dati.

I destinatari del presente documento sono i titolari del trattamento dei dati, i DPO ma anche gli sviluppatori o i fornitori, nella misura in cui forniscono prodotti e servizi ai titolari del trattamento e cercano di garantire che questi siano conformi ai requisiti del GDPR.

Il concetto di privacy per default impone la necessità di segmentare l'utilizzo dell'insieme dei dati tra le diverse operazioni di trattamento e tra le diverse fasi del trattamento, in modo tale che non tutte le operazioni effettuate nell'ambito di un'operazione di trattamento siano effettuate su tutti i dati, ma solo su quelli necessari e nei momenti in cui è strettamente necessario.

Il trattamento dovrà essere minimamente intrusivo (quantità minima di dati personali, estensione minima del trattamento, periodo minimo di conservazione e accessibilità minima ai dati personali) e senza necessità di intervento del soggetto i cui dati sono trattati.

L'esecuzione di queste misure si concentra su strategie di ottimizzazione, configurabilità e limitazione.

L'obiettivo dell'ottimizzazione è quello di analizzare il trattamento dal punto di vista della protezione dei dati, il che significa applicare misure in relazione alla quantità di dati raccolti, all'estensione del trattamento, alla loro conservazione e alla loro accessibilità.

La seconda strategia è la configurazione di servizi, sistemi o applicazioni, che devono permettere di stabilire parametri o opzioni che determinano il modo in cui l'elaborazione deve essere effettuata, e che sono suscettibili di essere modificati dall’azienda e anche dall'utente.

Infine, la limitazione garantisce che, per default, il trattamento sia il più possibile rispettoso della privacy, in modo che le opzioni di configurazione siano adeguate, a quei parametri che limitano la quantità di dati raccolti, l'estensione del trattamento, la sua conservazione e la sua accessibilità.

Nella guida si trova anche un documento operativo e modificabile con le misure da adottare per l'attuazione delle strategie di protezione dei dati di default in lingua spagnola e comprende anche un capitolo sulla documentazione e la revisione contabile, necessarie per dimostrare la conformità alla norma.

Il principio di privacy by default non deriva dal risultato di un'analisi dei rischi per i diritti e le libertà, ma si tratta di misure e garanzie che devono essere stabilite ogni volta che vi sia un trattamento di dati personali.

Tecnologia 5G: velocità, profitto e liabilities.

Stiamo celebrando gli indubbi aspetti positivi legati all’utilizzo di questa nuova strabiliante tecnologia, da declinare in molteplici ed eterogenei campi di applicazione, nondimeno sappiamo che l’introduzione della telefonia mobile di quinta generazione darà luogo a nuovi scenari di esposizione della popolazione ai campi elettromagnetici a radiofrequenza che saranno emessi in bande di frequenza (694-790 MHz, 3,6-3,8 GHz e 26,5-27,5 GHz) molto diverse da quelle utilizzate attualmente per la telefonia mobile (da 800 MHz a 2,6 GHz).

Fermo restando l’impatto di grande innovazione, utilità e di profitto su larga scala (l’asta, ad esempio, porterà allo Stato 6,4 miliardi di euro in 4 anni), intendiamo svolgere qualche considerazione in ottica preventiva sul tema dei possibili effetti nocivi del 5G sui beni primari della salute e dell’ambiente.

Infatti, gli studi istituzionali pubblicati in subiecta materia nulla di certo ci dicono in relazione all’impatto ed ai rischi nel medio-lungo periodo, limitandosi ad un poco preciso “i dati disponibili non fanno ipotizzare particolari problemi per la salute della popolazione connessi all’introduzione del 5G - quindi non in termini di certezza nè di robusta probabilità della sua innocuità - solo nel breve. (cfr. Emissioni elettromagnetiche del 5G e rischi per la salute di Alessandro Polichetti - Centro Nazionale per la Protezione dalle Radiazioni e Fisica Computazionale, Istituto Superiore di Sanità, Roma).

Questo deriva sicuramente dal fatto che le frequenze che verranno utilizzate per il 5G sono state oggetto di un numero di studi inferiore rispetto a quelle utilizzate dalle attuali tecnologie per le telecomunicazioni e per le trasmissioni radiotelevisive.

Pertanto è, in primo luogo, fondamentale che l’introduzione di questa tecnologia sia affiancata da un attento monitoraggio dei livelli di esposizione (come del resto avviene già per le attuali tecnologie di telefonia mobile) e che proseguano, possibilmente aumentando, le ricerche sui possibili effetti a lungo termine.

Rispetto alle attuali tecnologie, la rete 5G si basa su un numero straordinariamente elevato di antenne pianificate (small cells), l’altissima energia di uscita utilizzata per garantirne la diffusione, le frequenze straordinariamente alte, le apparenti interazioni di alto livello della frequenza 5G sugli ioni, compresi i gruppi responsabili delle pompe ioniche cellulari. Perciò da più parti – a torto o a ragione – viene sostenuta la sua possibile pericolosità per la salute e l’ambiente.

Le conclusioni del Consiglio Europeo sull’importanza del 5G per l’economia europea e sulla necessità di attenuare i relativi rischi per la sicurezza (14517/19 del 3.12.2019) stabiliscono inter alia che l'approccio alla sicurezza della rete 5G deve essere globale e basato sul rischio. La sicurezza del 5G è considerata un processo continuo che inizia con la selezione dei fornitori e dura per tutta la fase di produzione degli elementi di rete e il tempo di vita utile delle reti.

Pare che oggi ci si trovi ancora distanti da un giudizio di innocuità o di probabile innocuità nel medio-lungo periodo, muovendoci piuttosto all’interno dello spinoso perimetro del giudizio basato sul rischio che, attualmente, sembrerebbe dai più battezzato come remoto ma che, in assenza di dati certi, ben potrebbe – negli anni – “salire” a rischio possibile se non probabile.


Ora, l’Organizzazione Mondiale della Sanità, la Commissione Europea e l’Istituto Superiore di Sanità, ad esempio, non sembra abbiano ancora tenuto in adeguata considerazione il “rischio possibile”, rispettando il principio di precauzione, quando i risultati disponibili circa l’esistenza di effetti biologici da esposizione a campi elettromagnetici – compreso il 5G – e la valutazione scientifica che non permette di determinare con certezza il rischio, molto probabilmente sono già sufficienti per applicare detto principio, definire i soggetti esposti come potenzialmente vulnerabili e rivalutare, quantomeno parzialmente, le conclusioni istituzionali correnti.

Su queste basi, sarebbe probabilmente auspicabile una moratoria per l’implementazione del 5G su tutto il territorio nazionale sino a quando non sia adeguatamente pianificato quantomeno un coinvolgimento attivo degli enti pubblici deputati al controllo ambientale e sanitario (Ministero Ambiente, Ministero Salute, ISPRA, ARPA, Dipartimenti di Prevenzione), non siano messe in atto valutazioni preliminari di rischio secondo metodologie codificate e un piano di monitoraggio dei possibili effetti sanitari sui soggetti esposti i quali dovrebbero essere in ogni caso opportunamente ed adeguatamente informati dei potenziali rischi ovvero dell’attuale tasso di non conoscenza sul medio-lungo periodo.

In altre parole, i players e le istituzioni dovrebbero evitare che quello del 5G possa rivelarsi una sorta di esperimento sul lungo periodo perché ciò porterebbe una pesante conseguenza in dote: le liabilities a carico dello Stato e degli operatori stessi che, tra qualche anno, potrebbero essere chiamati a risarcire in solido una folta platea di soggetti per le lesioni e i danni eziologicamente derivati (o concausati), secondo un giudizio probabilistico, dalle emissioni nocive e dai campi elettromagnetici ad alta frequenza del 5G, se ed in quanto venga effettivamente accertata la loro nocività per la salute e l’ambiente.

In uno scenario per certi versi assimilabile mutatis mutandis - quarant’anni fa si trattava di sangue e plasma, oggi di campi elettromagnetici – lo Stato e gli enti ospedalieri hanno dovuto, e continuano a, risarcire i soggetti danneggiati e i loro parenti per centinaia di milioni di euro, fondamentalmente per non aver vigilato in modo adeguato e per aver colposamente omesso di applicare le norme che comunque imponevano (nella loro posizione di garanzia ed in virtù del principio di precauzione) il controllo del sangue, degli emoderivati e lo screening dei donatori.

Questo dato economico, oltre al costo sociale della violazione di beni assoluti, indisponibili e di rango primario, dovrebbe essere preso in adeguata e tempestiva considerazione accanto a quello dei profitti miliardari delle aste e della velocità di interazione della nuova rete.

Come “trasformare” una società in una “start-up innovativa” ed usufruire dei relativi benefici.

E’ ormai noto che per start-up innovativa si intende una società che ha, quale oggetto sociale esclusivo o prevalente, lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico. Altrettanto noti sono i requisiti di costituzione ed i concreti benefici connessi a questa particolare tipologia societaria.

Non tutti sanno però che esiste la possibilità, per chi abbia già costituito una società di capitali, di trasformarla in una start-up innovativa e di beneficiare dei relativi vantaggi.

La “trasformazione” è possibile a condizione che siano rispettati determinati requisiti.

La modifica in questione non costituisce peraltro una vera e propria trasformazione societaria e non è quindi necessario seguire la complessa e costosa procedura prevista per questa specifica operazione straordinaria (spese notarili, adempimenti pubblicitari, ecc.).

È però indispensabile verificare il rispetto di determinati requisiti e procedere alla preliminare verifica di tutte le fasi del processo di “trasformazione”.

  • Verifica dell’oggetto sociale

Il primo aspetto da verificare è relativo all’oggetto sociale della società esistente, in quanto è necessario valutare l’eventuale modifica dello stesso prima di perfezionare la variazione. La normativa in vigore prevede, infatti, quale requisito per la start-up innovativa, di possedere “quale oggetto sociale esclusivo o prevalente, lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico”.

Questa analisi è particolarmente delicata ma, se viene condotta scrupolosamente, permette di risparmiare i costi connessi all’atto notarile di modifica dell’oggetto sociale.

  • Requisiti generali e termine per la “trasformazione”

Al tempo stesso è necessario che la società proceda alla trasformazione non oltre 5 anni (60 mesi) dalla data di costituzione e che sia in possesso dei requisiti delle comuni start-up innovative (ad esempio non distribuire e non aver distribuito utili), impegnandosi allo stesso tempo a non superare 5 milioni di fatturato annuo ed a continuare a non distribuire utili per tutto il periodo durante il quale mantiene tale forma societaria.

Esistono altri tre requisiti richiesti dalla normativa in vigore:

  1. rispetto di una predeterminata percentuale di spese in ricerca e sviluppo;

  2. 2/3 dipendenti con laurea magistrale;

  3. Società depositaria o licenziataria di un brevetto o diritto di privativa industriale.

E però sufficiente che sia configurabile uno solo di questi per poter procedere con la relativa variazione in start-up innovativa.


  • La procedura

Il processo di trasformazione non richiede particolari adempimenti burocratici ed è interamente telematico, anche se è ovviamente consigliabile l’assistenza da parte di un professionista con adeguata esperienza normativa.

Il primo passaggio consiste infatti nella compilazione telematica da parte del legale rappresentante della società del modello di autodichiarazione di startup innovativa. Una volta compilato il modello, per iscrivere la società nella sezione speciale del Registro Imprese, il modulo deve essere firmato digitalmente ed inviato telematicamente insieme alla Comunicazione Unica al Registro Imprese.

È bene ricordare che questa dichiarazione deve essere rinnovata periodicamente depositandola entro 30 giorni dall’approvazione di ogni bilancio e in ogni caso entro sei mesi dalla chiusura di ciascun esercizio sociale al fine di attestare la permanenza dei requisiti di legge.

Quanto alla Comunicazione Unica, nella sezione “VARIAZIONE” andranno inseriti numerosi dati relativi a titolo esemplificativo all’attività svolta, all’oggetto sociale ed all’attività di ricerca ed anche queste informazioni dovranno essere aggiornate tempestivamente in caso di modifica.

Si precisa infine che, ai fini dell’iscrizione nella sezione speciale del registro imprese, la start-up innovativa si considera automaticamente iscritta alla sezione speciale del registro delle imprese a seguito della compilazione e presentazione della domanda in formato elettronico.

Smart Contract e Blockchain: cosa sono, come funzionano e la loro conformità al GDPR.

Secondo la definizione dell’art. 1321 del codice civile un contratto è “l’accordo tra due o più parti per costituire, modificare o estinguere un rapporto giuridico patrimoniale”. Uno smart contract è invece un “pezzo di codice” – un software - che esegue un accordo tra le sue parti se determinate condizioni sono soddisfatte.

Sulla base di queste semplici definizioni è facile rilevare che mentre i contratti intesi nel senso giuridico del termine richiedono alle parti un ruolo attivo – cioè il compimento di azioni specifiche per l’adempimento delle obbligazioni - i contratti smart sono “self- executing” poiché, una volta che le condizioni sono soddisfatte, l'esito della transazione desiderata è automaticamente ottenuta sulla base dei termini incorporati nel codice. E’ possibile pertanto constatare che in uno smart contract – a differenza di quanto potrebbe accadere in un contratto legale - un ritardo o un mancato adempimento delle obbligazioni è tecnicamente impossibile.

Sulla base di tali considerazioni si può sostenere che in uno smart contract non è necessario che sussista una pregressa fiducia tra le parti e che vi sia un soggetto terzo a cui venga affidato il potere di imporre coercitivamente l'adempimento in caso di violazione. Tutto questo è possibile perché alla componente fiduciaria – al centro del contratto legale - è sostituita la trasparenza implicita dell’infrastruttura Blockchain sulla quale sono posti e operano gli smart contract.

Blockchain: trasparenza e mancanza di autorità

La Blockchain può essere definita come un insieme di blocchi collegati tra loro in modo immutabile e che registrano informazioni utilizzando un sistema crittografico. Tale infrastruttura consente a soggetti tra cui non sussistono pregressi rapporti contrattuali (e quindi di fiducia) di effettuare transazioni in modo sicuro e senza la supervisione o il controllo di un'autorità centralizzata.

Lo sviluppo della tecnologia blockchain ha contribuito alla diffusione degli smart contract esaltandone alcune loro fondamentali caratteristiche.

Essendo memorizzate nel sistema pubblico e distribuito, le transazioni che avvengono in Blockchain possono essere verificate e convalidate da tutti i partecipanti al network. Da ciò consegue che la sicurezza del sistema è notevolmente aumentata, poiché qualsiasi modifica, alterazione, cancellazione di una transazione dovrebbe essere replicata in ogni registro distribuito. Pertanto, gli smart contact implementati sulla Blockchain sono praticamente immutabili e non sono soggetti ad alcuna interferenza esterna.

Questi meccanismi consentono anche a soggetti sconosciuti di effettuare transazioni senza la necessità di un terzo fidato su cui i partecipanti alla rete dovrebbero altrimenti fare affidamento per eseguire e far rispettare gli obblighi reciproci. La mancanza di una terza parte centralizzata comporta anche una riduzione dei costi di transazione, in quanto non vengono trattenute commissioni da nessun intermediario (si pensi ad esempio agli istituti finanziari).

Ricorrere a smart contract implementati su blockchain è ormai una realtà in molti settori, tra cui i mercati finanziari e assicurativi, il settore immobiliare, gli accordi commerciali e la gestione dei diritti d'autore.

Anche contratti di locazione potrebbero beneficiare della tecnologia blockchain: il locatore potrebbe fornire al locatario una chiave digitale da consegnare in cambio di un pagamento elettronico. L’operazione sarebbe da considerarsi estramamente sicura poiché solo nel caso in cui sia la chiave elettronica che il pagamento vengano effettivamente resi disponibili (come verificato da centinaia di partecipanti al sistema blockchain) la transazione sarà effettuata.

Oracle: ponte tra virtuale e reale

Nella maggior parte dei casi, l'esecuzione degli smart contract viene attivata attraverso la ricezione di informazioni raccolte da fonti istituzionali collocate nel mondo reale e che vengono immesse nel sistema Blockchain attraverso un “ponte” – chiamato oracle.

L’oracle è una struttura che collega ciò che è nella catena di blocchi da ciò che invece è fuori da essa, fungendo da ponte tra eventi off-chain e on-chain. I dati esterni utilizzati da un oracle possono derivare sia da eventi nel mondo "reale” (ad esempio, il tracciamento di una spedizione) che dall'ambiente digitale (dati di borsa e altri indici pubblici).

Per comprendere il funzionamento degli “oracle” è interessante analizzare l’impiego che viene fatto degli smart contract nel mercato assicurativo. Una polizza volta a garantire la copertura delle perdite derivanti da terremoti potrebbe beneficiare di una componente di contratto smart. In questa situazione l’oracle avrebbe la funzione di reperire le informazioni rilevanti nel mondo reale - ad esempio il valore relativo alla magnitudo sismica direttamente fonti governative ufficiali - e le farebbe confluire in Blockchain. In questo modo, l'importo dell'indennità da pagare all’assicurato potrebbe essere determinato automaticamente senza la necessità che alcuna documentazione venisse prodotta dal soggetto assicurato. Tale meccanismo è idoneo ad essere riprodotto anche in altri contesti come quello dell'assicurazione per i voli ritardati o cancellati.

Blockchain, Smart Contract e GDPR

Tutti i dati immessi in Blockchain sono pseudonimizzati (idonei a rivelare l'identità degli utenti attraverso un processo di reidentificazione) e pertanto rientrano nell'ambito di applicazione del considerando 26 del GDPR, che impone l'applicazione del regolamento europeo a tutte le informazioni relative a persone identificabili.

Nonostante le previsioni della normativa è facilmente rilevabile che l'effettiva applicazione delle disposizioni GDPR all’infrastruttura Blockhchain solleva una serie di problematiche.

Uno degli aspetti principali della Blockchain è la mancanza di un'autorità centralizzata: ogni partecipante infatti ha la possibilità di creare, verificare e avere accesso al registro pubblico delle transazioni e a tutti i dati pertinenti. In un contesto decentralizzato come quello della Blockchain è pertanto impossibile definire i ruoli di titolare e responsabile del trattamento (figure cardine della normativa europea).

Inoltre è da rilevare che i dati immessi in Blockchain sono per natura immutabili, mentre il GDPR presuppone che ogni dato possa essere modificato o cancellato su istanza dell’interessato, quando voglia esercitare il diritto alla rettifica delle informazioni o il diritto all'oblio, ai sensi degli articoli 16 e 17.

Neanche il principio della minimizzazione dei dati può essere facilmente applicato al sistema blockchain: i registri infatti includono i dati relativi a tutte le transazioni precedenti che sono in continua espansione e che sono memorizzate nei device di tutti partecipanti al network. Ciò è in aperto contrasto con le disposizioni del GDPR che prevedono che i dati personali siano trattati solo quando necessari per scopi specifici preventivamente individuati.

Auto, Sneakers e Social Media: Ferrari vs. Philipp Plein.

plein-ferrari.jpg

L’origine della causa tra il cavallino di Maranello e Philipp Plein risale allo scorso agosto a seguito di alcuni post (foto e video) pubblicati dallo stilista tedesco sul suo profilo Instagram ufficiale.

Le immagini oggetto della controversia sono alcune foto pubblicate da Philipp Plein che mostrano una delle sue Ferrari con un paio di sneakers (modello Moneybeast della collezione 2019 in vendita a circa 5000€) appoggiate sul cofano dell’auto.

Solo pochi giorni dopo la pubblicazione dei post, gli avvocati di Ferrari diffidano Plein invitandolo a rimuovere entro 48 ore i suddetti contenuti per illecito utilizzo del marchio Ferrari.

Ferrari accusa dunque Philipp Plein di aver sfruttato la notorietà del proprio marchio per fare pubblicità ai suoi prodotti e di confondere il consumatore portandolo a presumere l’esistenza di una partnership tra Ferrari e il brand di Plein in relazione a quello specifico modello di scarpe.

La casa di Maranello riteneva inoltre che i post pubblicati da Plein tramite il suo profilo social fossero offesivi, “strumentalizzassero” il corpo femminile e pertanto non fossero in linea con i valori condivisi da Ferrari che non intendeva essere associata alla divulgazione di quel tipo di contenuto.

In risposta Plein si è rivolto direttamente al CEO di Ferrari dichiarandosi un cliente insoddisfatto e di non voler procedere alla rimozione dei post in questione.

Sulla vicenda è stato chiamato a pronunciarsi il Tribunale di Milano che a giugno 2020 ha condannato Philipp Plein alla rimozione di tutti i post in cui era stato illegittimamente raffigurato il marchio Ferrari e al pagamento di 300.000€ a titolo di risarcimento del danno.

Ogni utente per fare un uso consapevole dei social network non può prescindere dalla consapevolezza che un post pubblicato online potrebbe costituire una violazione dei diritti di proprietà intellettuale di terze parti.

Questa consapevolezza dovrebbe essere propria dell’utente “comune” ma dovrebbe essere maggiore per gli influencer e per coloro che godono di popolarità online e sarebbero tenuti a prestare estrema attenzione nel pubblicare contenuti che raffigurano segni distintivi senza l’espressa autorizzazione del titolare.

Il profilo Instagram di Philipp Plein conta più di 2 Milioni di followers e pertanto i post in violazione del marchio Ferrari hanno potenzialmente diffuso il contenuto illecito ad un numero elevatissimo di utenti, non raggiungibile attraverso i media tradizionali.

Ciò che funge da elemento di discrimine per determinare l’illiceità dei contenuti condivisi sui social media raffiguranti segni distintivi altrui senza consenso del titolare, è la finalità commerciale e pubblicitaria per cui viene effettuato il singolo post.

Il Tribunale di Milano ha ritenuto che i post pubblicati su Instagram da Plein avessero finalità commerciale (nonostante fossero sul profilo personale del designer e mostrassero un’auto di sua proprietà) e che vi fosse la volontà di approfittare della notorietà del marchio Ferrari per promuovere il prodotto “Moneybeast” che accostato al cavallino rampante sarebbe apparso più esclusivo e desiderabile.

Cloud Computing: caratteristiche dell’infrastruttura e profili giuridici.

cloudrossogrigio.jpeg.png

L’Agenzia Europea per la sicurezza delle reti e dell’informazione (ENISA) definisce il Cloud Computing come l’infrastruttura che un Provider mette a disposizione dell’utente per consentirgli di accedere a risorse, spazi, software o ambienti di sviluppo accessibili tramite server remoti di proprietà di terze parti.

In termini di volume, il mercato del Cloud Computing registra ogni anno un’importante crescita. Solo in Italia il livello di spesa stimato per il 2020, supera i 2.5 miliardi di euro.

Il successo della tecnologia Cloud è dovuto alla flessibilità dei sistemi che non necessitano di complesse configurazioni e semplificano in maniera sostanziale la gestione e la fruizione delle risorse aziendali senza richiedere importanti investimenti economici.

Tipologie di Cloud Computing

Esistono 3 diverse tipologie di strutture Cloud:

  • Infrastructure as a Service (Iaas): si tratta dell’infrastruttura hardware che è alla base di ogni sistema Cloud. Il provider mette a disposizione dell’utente un hardware senza che sia lui stesso a dover provvedere alla sua effettiva gestione. Un esempio di IaaS è lo spazio di archiviazione messo a disposizione dal Provider.

  • Platform as a Service (Paas): sono concepite come piattaforme “ponte” tra una struttura IaaS e una struttura SaaS in cui il Provider mette a disposizione la struttura ma spetta all’utente procedere all’installazione e all’implementazione del software. Questa tipologia di Cloud è normalmente rivolta ai developer che ricorrono al Paas per sfruttare specifiche funzionalità di automazione ed evitare di dover scrivere un codice ad hoc.

  • Software as a Service (SaaS): è la struttura Cloud maggiormente utilizzata e che offre un servizio facilmente accessibile anche a soggetti non professionisti. L’utente finale, infatti, non ha bisogno di alcuna competenza tecnica e può usufruire dei servizi erogati dal Provider per mezzo di qualsiasi dispositivo.

Il Provider che eroga un servizio SaaS via web mette a disposizione degli utenti una serie di servizi applicativi che possono essere direttamente utilizzati dai clienti finali.

Sono infrastrutture SaaS i sistemi che consentono di utilizzare via web fogli di calcolo o le applicazioni che permettono di inserire moduli e-commerce a siti web che originariamente non li prevedevano.

Modelli di Cloud Computing

  • Private Cloud Computing: si tratta di una struttura Cloud che viene creata dal Provider per rispondere alle specifiche esigenze del singolo cliente ed è destinata al suo uso esclusivo. Le aziende di grandi dimensioni talvolta optano per un modello Cloud privato al fine di mantenere un maggiore controllo sui dati esportati: nel Cloud interno, infatti, i dati archiviati rimangono presso le strutture organizzative su cui l’utente ha pieno ed esclusivo controllo. Adottando questo sistema, il patrimonio dei dati personali e sensibili viene trattato direttamente all’interno dell’organizzazione stessa. Nel sistema di Private Computing si ha la possibilità di negoziare il contratto che disciplina il rapporto tra l’azienda utilizzatrice del servizio ed il Provider.

  • Ibrid Cloud Computing: è il modello spesso usato dalle pubbliche amministrazioni e rappresenta una via di mezzo tra il Private Cloud Computing e il Public Cloud Computing. Ricorrere ad un modello ibrido di Cloud consente all’utilizzatore di demandare ad un sistema Cloud pubblico i servizi o le applicazioni che coinvolgono il trattamento di dati non sensibili, mentre determinati processi che interessano dati sensibili ed esigono misure di sicurezza rafforzate, restano gestiti unicamente all’interno dell’organizzazione.

  • Public Cloud Computing: è l’infrastruttura di proprietà del Cloud Provider il cui uso non è dedicato ad un singolo utente ma ad una molteplicità di fruitori indeterminati. Nel Public Cloud Computing non si ha la possibilità di negoziare termini e condizioni di uso perché ci si trova di fronte ad un servizio “as it is”. L’utente infatti può avere accesso al servizio mediante la sua adesione ad un contratto standardizzato predisposto unilateralmente dal Provider.

Il Contratto Cloud come contratto atipico

Il contratto Cloud si caratterizza per non avere una struttura propria, ma può essere definito ricorrendo a due diversi schemi negoziali tipici: l’appalto di servizi e il contratto di licenza.

  • Appalto di servizi: si sostanzia in un “facere”, cioè nell’obbligo - in capo all’appaltatore - di fornire un servizio a fronte di un corrispettivo determinato. Se si prende in considerazione un sistema SaaS, è facile rilevare che la sua principale caratteristica è proprio quella di rendere accessibile una struttura informatica esterna a quella privata o aziendale e di permettere all’utente di usufruire di servizi software gestiti da terzi. Pare quindi semplice ricondurre un contratto con un Provider di SaaS alla fattispecie prevista dall’art. 1665 cc.

  • Contratto di licenza: è uno strumento legale che consente l’utilizzo di un prodotto (software) e stabilisce le modalità di utilizzazione del prodotto stesso mediante l’imposizione di vincoli e limiti per l’utilizzatore.

    Poiché i contratti Cloud presentano caratteristiche comuni sia del contratto di licenza che dell’appalto di servizi non è parso conveniente optare drasticamente per l’una o per l’altra soluzione, ma sembra più adeguato configurare il contratto Cloud come contratto atipico.  Oltre alle condizioni generali di servizio, i contratti Cloud necessitano di alcune peculiari documentazioni come il Service Legal Agreement ed il Service Legal Objective.

  • Il Service Legal Agreement è uno specifico documento che contiene i parametri di riferimento per l’erogazione del servizio del Cloud Provider e per il monitoraggio del livello di qualità di servizio effettivamente erogato.

  • Il Service Level Objective è invece il documento in cui vengono concordati i parametri per misurare le prestazioni del fornitore in modo da limitare l’insorgere di controversie tra le due parti sulla qualità e quantità del servizio erogato.

Cloud Provider e GDPR: come scegliere il Cloud Provider

Il regolamento europeo in materia di data protection (2016/679) stabilisce che qualora un trattamento debba essere effettuato per conto del titolare, quest'ultimo deve rivolgersi unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto tutte le misure tecniche ed organizzative adeguate che soddisfino i requisiti del regolamento e garantiscano la tutela dei diritti dell'interessato.

Sarebbe buona norma quindi che il titolare del trattamento, prima di sottoscrivere il contratto con il Cloud Provider, verifichi l’adesione di quest’ultimo ad un codice di condotta di cui all'articolo 40 GDPR o a altro un meccanismo di certificazione.

L’adesione ad un codice di condotto può infatti essere valutata come garanzia della sufficiente affidabilità del provider. Ad esempio, Il codice di condotta CISPE (Cloud Infrastructure Services Provider in Europe) è una coalizione di oltre 20 fornitori di infrastrutture Cloud che operano nel territorio degli Stati Membri e garantisce la conformità al GDPR e alle migliori pratiche di sicurezza nel trattamento dei dati.

Oltre all’adesione ad un codice di condotta, prima di sottoscrivere un contratto con il Cloud Provider, è importante assicurarsi che quest’ultimo garantisca:

  • La portabilità dei dati cioè la transizione dei dati da un Provider ad un altro in caso di necessità (ad esempio nell’eventualità in cui il fornitore inserisca nei T&C una modifica peggiorativa e unilaterale delle condizioni di servizio e il cliente voglia recedere dal contratto)

  • L’adozione di strumenti per la crittografia dei dati o la loro pseudonimizzazione

  • La conservazione e dei dati all’interno dell’EU poiché è sempre preferibile affidarsi a Provider che effettuino il trattamento dei dati all’interno dell’Unione Europea o in Paesi nei confronti dei quali è intervenuta una decisione di adeguatezza.

E-commerce. Il vostro sito rispetta la normativa sulle vendite online?

mike-petrucci-c9FQyqIECds-unsplash.jpg

L’aumento esponenziale dello shopping online, in un mondo segnato dalla pandemia causata dal Covid-19 dovrebbe convincere molti operatori a valutare la conformità legale dei propri siti di e-commerce. Ciò anche alla luce del fatto che l’Agicom, il Garante della Privacy e le autorità giudiziarie sono certamente più attive nei momenti di grande espansione di Internet ed è più facile che arrivino controlli da parte delle autorità su segnalazioni di clienti o concorrenti che possono comportare l’applicazione di sanzioni spesso elevate.

Da parte nostra abbiamo individuato cinque macro aree in cui potrebbe essere utile pensare ad un “check up legale” per evitare sanzioni da parte delle autorità competenti.

1.   Condizioni generali di contratto

Nel caso in cui il titolare di un online shop intenda introdurre particolari clausole nei rapporti con i consumatori queste devono sempre essere specificate nelle condizioni generali di contatto. Le condizioni generali di contratto devono riportare i termini e le condizioni generali di vendita, così come tutte le informazioni concernenti il diritto di recesso, le modalità di restituzione della merce, tempi di consegna ed i costi della merce e della spedizione, nel pieno rispetto delle diposizioni previste dal codice del consumo.

2.   Privacy e Cookie Policy

La Privacy Policy è un documento che informa gli utenti di un sito circa il trattamento dei loro dati personali, essa è obbligatoria per legge anche in caso di tracciamento delle visite per mezzo di strumenti di web analytics.

Purtroppo, molte società dedicano ancora poca attenzione agli obblighi in materia di trattamento dei dati personali, ma se non si vuole incorrere in sanzioni pecuniarie significative da parte del Garante della privacy è importante che il vostro sito aziendale sia a norma di legge.

I decreti legislativi n. 69/2012 e 70/2012 hanno sancito l’obbligo di inserire un banner all’apertura del sito web, con il quale si richiede all’utente il consenso al trattamento dei dati, al fine di poter proseguire con la navigazione. Il consenso sarà necessario anche quando si intenda condividere i dati del proprio cliente con soggetti terzi.

Inoltre, se il sito utilizza alcune tipologie di cookie per la profilazione dell’utente, è obbligatorio inserire uno specifico banner informativo sulla natura dei cookie utilizzati.

3.   Indicazione dei dati societari

Il titolare di un e-commerce deve sempre inoltre indicare alcuni dati come: nome, sede legale, indirizzo di posta elettronica, numero di iscrizione al REA o al registro delle imprese. Per le società di capitali si deve sempre indicare il capitale sociale versato (o indicare lo stato di liquidazione).

4.   Partiva IVA e comunicazioni registro imprese

Salvo il caso di attività puramente occasionale e di guadagni inferiori ai 5.000 euro, l’apertura di un negozio online comporta l’apertura di una partita iva e l’iscrizione nel Registro delle Imprese, presso la Camera di Commercio.

5.   Diritto d’autore e privative industriali

Un sito internet (vetrine, blog, e-commerce, portali etc.) si compone di molteplici elementi che possono essere protetti sotto il profilo della proprietà industriale:

·         il nome di dominio;

·         il logo;

·         la configurazione grafica;

·         la concezione strutturale e organizzata che emerge navigando tra le vostre pagine: paragonabile alla "scenografia" del sito;

·         i testi e le immagini delle pagine.

È importate verificare che il vostro sito rispetti la normativa in materia di diritto d’autore e non violi le privative industriali di terzi.

L’Antitrust detta le linee guida nei rapporti tra clienti, agenzie e microinfluencer.

influencer-1-e1544542658891.jpg

Il 15 marzo si è concluso un procedimento avviato dall’Antitrust che ha coinvolto per la prima volta 9 micro influencer che si sono occupati del lancio della crema da spalmare “Pan di Stelle”.

Da tempo oramai l’autorità antitrust si sta occupando, come del resto di sua competenza, di diverse segnalazioni per pubblicità occulta diffusa con i nuovi media, come nel recente caso Alitalia / Alberta Ferretti.

Anche in questo caso l’Antitrust non ha irrogato alcuna sanzione nei confronti dei soggetti coinvolti, accettando gli impegni che Barilla e i micro-influencer si sono resi disponibili ad assumersi.

L’Antitrust ha valutato positivamente gli impegni assunti dalle parti coinvolte nel procedimento che iniziano a delinearsi come delle vere e proprie linee guida, tanto per le società lanciano la campagna di influencer marketing quanto per gli influencer che promuovono i prodotti/servizi oggetto della campagna e per le agenzie che mediano il rapporto tra cliente ed influencer.

Le linee guida che emergono dalla decisione dell’Autorità Antitrust possono riassumersi come segue:

Quanto alle aziende:

1.       dovrebbero utilizzare nei rapporti con influencer uno standard contrattuale che contenga delle clausole sanzionatorie (quali riduzione di corrispettivi e/o penali e/o sospensione di pagamenti) nei confronti degli influencer;

2.       dovrebbero inserire nel contratto tra cliente ed agenzie delle clausole volte a responsabilizzare le agenzie stesse. Queste dovranno vigilare attentamente sull’operato degli influencer attivandosi tempestivamente, anche su segnalazione del cliente, per garantire l’osservanza delle Linee Guida.

Quanto ai micro-influencer costoro dovrebbero:

1.       inserire, nei post contenenti l’immagine o la menzione di prodotti ricevuti dai brand nei cui confronti non hanno assunto obblighi di svolgere attività di promozione, hashtag quali #suppliedbybrand o #brandgift o #fornitodabrand, o altra dicitura simile;

2.       inserire, nei post pubblicati nell’ambito di un rapporto di collaborazione con il brand, gli hashtag #pubblicitàbrand o #sponsorizzatodabrand o #advertisingbrand o #inserzioneapagamentobrand;

3.       non ripubblicare i contenuti autorizzati e selezionati dai brand committenti, a meno che il contratto non lo preveda espressamente con i relativi vincoli.

Questa decisione che traccia delle linee guida che danno maggiore certezza nei rapporti contrattuali tra imprese ed influencer.

Come la blockchain potrà aiutare i titolari dei marchi non registrati.

unnamed.png

Come molti sapranno, la blockchain permette di registrare le transazioni tra le persone che le effettuano, e la tecnologia sottostante verifica che tutti gli utenti tengano dei registri corrispondenti alle transazioni effettuate.

La tecnologia blockchain può quindi garantire e documentare la prova del primo e continuo utilizzo e ciò sta aprendo molteplici forme di applicazione soprattutto nel campo della protezione dei diritti di privativa industriale.

La blockchain in quanto strumento che certifica la titolarità di un diritto di privativa industriale, potrà in futuro essere uno strumento utile per gli uffici nazionali che si occupano del processo di registrazione.

In generale, nel settore dei marchi, la tecnologia blockchain sembra avere almeno due forme di utilizzo immediatamente applicabili:

  • la creazione di registrazioni basate su blockchain come sistema di registrazione più sicuro e affidabile per dimostrare l'uso del marchio; e

  • la possibilità di dimostrare la provenienza e la legittimità dei beni in un’ottica di lotta alla contraffazione.

Tuttavia, il marchio registrato può comportare costi elevati se la domanda viene presentata in diverse giurisdizioni. Pertanto, per motivi squisitamente di budget, molte imprese preferiscono non depositare il tutti i segni distintivo avendo nel proprio portafoglio uno o più marchi non registrati.  

Come è noto, il codice della proprietà industriale riconosce i diritti sui marchi non registrati, cioè quei marchi utilizzati per distinguere prodotti e servizi, ma appunto mai registrati.

Orbene la tecnologia blockchain offre la possibilità di creare dei “timestamp” immutabili che in relazione a tutti i segni distintivi, possono fornire la prova certificata del primo uso e dell'uso continuato.

Tutto ciò potrebbe a breve portare alla creazione di un database di marchi non registrati che si potrà affiancare ai registri nazionali gestiti dai vari uffici con dei costi e dei tempi di gran lunga inferioriai marchi registrati.

Nike ottiene il primo brevetto per abbinare la Blockchain alle proprie scarpe

nike-lead-1562962246.jpg

Nike ha ottenuto di recente un brevetto per la creazione di versioni digitali delle sue scarpe da parte dell'USPTO.

Nike riferisce che i suoi clienti potranno ora registrare l'acquisto delle loro scarpe con un numero di identificazione unico. Una versione digitale equivalente della scarpa sarà creata attraverso un portafoglio di valuta criptata collegato con l'ID univoco dell'utente. e la Blockchain aiuterà gli utenti a verificare l'autenticità delle scarpe che i clienti stanno acquistando.

La versione digitale delle scarpe conterrà un gettone crittografico basato sulla piattaforma Ethereum. Inoltre, avrà anche informazioni sulle caratteristiche fisiche del prodotto, tra cui il colore, il materiale utilizzato, i dettagli di produzione e il loro fattore di "ecosostenibilità".

La registrazione del prodotto su blockchain permetterebbe agli utenti di "vendere o scambiare in modo sicuro" la forma tangibile delle scarpe. Si noti che i "diritti" sulle scarpe da ginnastica possono essere conservati in un portafoglio digitale insieme alla criptovaluta. Inoltre, con l'aiuto dei media digitali, Nike sarà in grado di controllare i volumi di vendita di CryptoKicks. L'azienda non ha ancora annunciato la data di lancio.