In evidenza Archivi

Whistleblowing: il 17 dicembre si avvicina!

Posted on 6 Dicembre 20236 Dicembre 2023 by Camilla Schiocchet

Il 17 dicembre è il termine ultimo per adeguarsi alla normativa, e dato che qualche mese fa avevamo introdotto il tema whistleblowing focalizzando l’attenzione sui necessari adempimenti in materia di protezione dei dati, ripercorriamo brevemente insieme i punti salienti del D.lgs. n. 24/2023 (“Decreto“), anche alla luce dei recenti contributi di ANAC e Confindustria in tale ambito.

Ambito di applicazione soggettivo

I soggetti destinatari della normativa whistleblowing sono quelli elencati agli artt. 2 e 3 del Decreto. Per il settore pubblico si annoverano le amministrazioni pubbliche, le autorità amministrative indipendenti, gli enti pubblici economici, i concessionari di pubblico servizio, le imprese a controllo pubblico e le imprese in house, anche se quotate. Per il settore privato invece, come già accennato nel precedente articolo, rientrano le aziende che:

hanno impiegato in media nell’ultimo anno, almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
si occupano di specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
le imprese che adottano il modello di organizzazione e gestione previsto al D.lgs.231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

In merito al computo della media annua dei lavoratori impiegati nel settore privato, le linee guida ANAC (“LG ANAC“) hanno precisato che bisognerà fare riferimento all’ultimo anno solare precedente a quello in corso, salvo per le imprese di nuova costituzione per le quali si farà riferimento all’anno 2023. Confindustria, tuttavia, ha ribadito in più occasioni (da ultimo anche nel manuale operativo) che la norma di riferimento per il computo dei lavoratori è l’art. 27 D.lgs. 81/2015 secondo il quale “ è necessario tenere conto del numero medio mensile di lavoratori a tempo determinato, compresi i dirigenti, impiegati negli ultimi due anni, sulla base dell’effettiva durata dei loro rapporti di lavoro“, adeguando in questo caso la durata da due anni, come prevede la norma citata, a un anno come invece prescritto dall’art. 2 comma 1, lett. q) n.1) del Decreto.

Ambito di applicazione oggettivo

Ai sensi dell’art. 1 del Decreto, oggetto di segnalazione sono tutte le violazioni di disposizioni normative nazionali e dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui i soggetti segnalanti siano venuti a conoscenza in un contesto lavorativo pubblico o privato. Per maggiori dettagli sulle diverse tipologie di violazione si rimanda all’elencazione presente nelle LG ANAC.

Sono escluse dall’ambito di applicazione della normativa le segnalazioni:

aventi ad oggetto le contestazioni a carattere personale del segnalante (quali ad esempio conflitti inerenti il rapporto di lavoro individuale, possibili discriminazioni, conflitti interpersonali tra colleghi o superiori ecc.);
in materia di sicurezza e difesa nazionale;
aventi ad oggetto violazioni già regolamentate in via obbligatoria in alcuni settori speciali (servizi finanziari, prevenzione, riciclaggio, terrorismo, sicurezza nei trasporti, tutela dell’ambiente. Si rimanda alle LG ANAC sul punto.

Resta ferma la normativa in materia di informazioni classificate, segreto medico e forense, segretezza delle deliberazioni degli organi giurisdizionali (art. 1, comma 3 del Decreto) e quella relativa alle norme di procedura penale sull’obbligo di segretezza delle indagini, disposizioni sull’autonomia e indipendenza della magistratura, difesa della nazione e di ordine e sicurezza pubblica, nonché di esercizio del diritto dei lavoratori di consultare i propri rappresentanti o i sindacati (art. 1, comma 4 del Decreto).

La segnalazione

Oggetto di segnalazione sono tutte quelle informazioni inerenti a fatti, atti o omissioni commessi o ancora da commettere cui il soggetto segnalante (whistleblower) viene a conoscenza nel contesto di lavoro, sia esso pubblico o privato. L’accezione “contesto di lavoro” non deve essere però interpretata in senso restrittivo. La stessa normativa estende la tutela dei soggetti segnalanti anche ai seguenti soggetti:

collaboratori, liberi professionisti, consulenti, tirocinanti
azionisti (sul punto le LG ANAC chiariscono che rientrano in questa categoria “coloro che siano venuti a conoscenza di violazioni oggetto di segnalazione nell’esercizio dei diritti di cui sono titolari in ragione del loro ruolo di azionisti rivestito nella impresa”)
persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Il rapporto di lavoro può essere già terminato al momento della segnalazione, non essere ancora iniziato (come ad esempio nella fase preselettiva di nuovo personale) oppure trovarsi nel cosiddetto “periodo di prova”.

Circa il suo contenuto, il manuale operativo di Confindustria precisa che le informazioni contenute nella segnalazione devono essere il più possibile dettagliate. Dovranno quindi contenere le generalità del segnalante, le circostanze di tempo e luogo in cui si è verificato il fatto e ogni altra informazione utile ad individuare il soggetto che ha commesso l’illecito. Più circostanziate sono le informazioni, più è alta la probabilità di superare il vaglio di ammissibilità per la presa in carico e successiva lavorazione della segnalazione da parte del gestore.

Tipologie di segnalazioni

La normativa whistleblowing disciplina tre diversi canali di segnalazione:

un canale di segnalazione intern0 all’ente pubblico o privato;
un canale di segnalazione esterno alla struttura pubblica o privata e gestito dall’ANAC nei casi soli casi previsti dalla normativa;
la divulgazione pubblica.

Resta ferma la competenza dell’autorità giudiziaria in tutte le ipotesi in cui è richiesto o è possibile adire al suo intervento.

Il Decreto non prevede espressamente una priorità di utilizzo “tassativa” dei diversi canali di segnalazione. Tuttavia, le LG ANAC precisano che il canale di segnalazione interna deve essere quello da prediligere, ove presente. Infine, le LG specificano quali siano i presupposti per l’attivazione del canale di segnalazione esterna (residuale) e le condizioni necessarie per l’utilizzo della divulgazione pubblica.

Le sanzioni

Il regime sanzionatorio contemplato dal Decreto, già affrontato nel precedente scritto in materia di whistleblowing, prevede sanzioni da 10.000 a 50.000 euro, al verificarsi delle seguenti ipotesi:

mancata istituzione dei canali di segnalazione;
mancata adozione delle procedure per effettuare e gestire le segnalazioni;
adozione di procedure non conformi a quelle fissate dal Decreto;
mancato svolgimento dell’attività di verifica e dell’analisi delle segnalazioni ricevute;
comportamenti ritorsivi;
ostacoli alla segnalazione o tentativi di ostacolarla;
violazione dell’obbligo di riservatezza circa l’identità del segnalante (si veda nostro articolo “GDPR e la nuova normativa Whistleblowing“).

E’ prevista anche una sanzione da 500 a 2.500 euro che ANAC può applicare al segnalante, nei cui confronti venga accertata anche con sentenza di primo grado, la responsabilità civile per diffamazione o calunnia nei casi di dolo o colpa grave nei confronti del trasgressore.

Brevi cenni conclusivi

Con questo breve scritto, lo Studio Legale Princivalle Apruzzi Danielli ha voluto solo anticipare a grandi linee la normativa whistleblowing, con l’obbiettivo di approfondire ulteriori tematiche inerenti o anche solo connesse con tale materia, grazie alla pubblicazione di periodici contributi sul tema.

Stay tuned!

E-commerce = sicurezza Informatica, conformità GDPR ed etica del web

Posted on 27 Ottobre 202327 Ottobre 2023 by Valentina Apruzzi

Nell’era digitale in cui viviamo, la gestione della sicurezza informatica, la conformità al GDPR e l’etica web sono elementi importanti per qualsiasi sito internet, ma se parliamo di offerta di prodotti e servizi diventano milestones.

Nel nostro studio assistiamo da anni aziende e professionisti che si approcciano all’e-commerce accompagnandoli in un percorso virtuoso verso la massima sicurezza dei dati, il rispetto della normativa sulla protezione dei dati e l’offerta di un’esperienza utente eticamente corretta, evitando l’utilizzo di dark patterns.

Sicurezza Informatica: La priorità assoluta

La sicurezza informatica è un pilastro fondamentale per proteggere il sito web, i dati personali e la reputazione del business. La progettazione del sito web per l’attività di e-commerce deve necessariamente fare i conti con una blindatura del sistema informatico sotteso alla piattaforma, front end incluso, attraverso alcuni fondamentali steps:

Studio del contesto: esame del progetto di vendita, studio del mercato e dei rischi attinenti noti nel mercato di riferimento.
Selezione di asset e fornitori di comprovata affidabilità.
Analisi funzionale del ciclo di offerta e delle vulnerabilità: valutazione approfondita per individuare possibili falle di sicurezza e i punti deboli del sito.
Pianificazione della sicurezza: creazione di strategie personalizzate per proteggere il sito da minacce online, dagli errori umani, dal rischio della supply chain.
Risposta agli incidenti: preparazione e assistenza in caso di violazioni dei dati o attacchi informatici.
Recovery: progettazione di un sistema di recupero rapido ed efficace del sito e dei suo contenuti in caso di incidente
Formazione per il personale: educazione e cultura alla sicurezza per garantire che tutti i membri del team siano a conoscenza delle best practices in materia di sicurezza informatica e restino sensibili ad ogni segnale di anomalia.

Conformità GDPR: proteggere i dati e rispettare la normativa è un obbligo ma anche un bel biglietto da visita!

Il GDPR è un obbligo legale che riguarda qualsiasi sito web che raccoglie, elabora o conserva dati personali dei cittadini europei. La non conformità, oltre ad esporre a pesanti sanzioni da parte delle autorità di controllo denota un atteggiamento di trascuratezza e mancanza di rispetto dei diritti degli utenti.

Il giusto approccio alla compliance passa attraverso:

Analisi del rischio specifico ed eventuale valutazione di impatto: quale che sia il metodo utilizzato, norme ISO, metodo ENISA o altro, il rischio connesso ai trattamenti effettuati dal sito internet è la base per l’adozione delle misure tecniche e organizzative adeguate.
Una valutazione della conformità: identificazione delle aree in cui il sito potrebbe non essere in linea con le disposizioni del GDPR e pianificazione delle attività da compiersi, anche sulla base degli sviluppi evolutivi del sito.
La documentazione legale: redazione delle informative sulla privacy, della privacy policy e degli accordi con i responsabili del trattamento.
La gestione dei cookies: individuazione e categorizzazione dei cookies, redazione della policy nel rispetto anche delle linee guida dell’Autorità di controllo.
Gestione dei consensi: corretta raccolta dei consensi degli interessati per le attività di marketing e profilazione e gestione della loro valida archiviazione o revoca.
Gestione delle violazioni: inclusione del sito nel perimetro dell’incident response report.

Etica Web: Addio ai Dark Patterns

L’attività di vendita on-line però non richiede “solo” il rispetto della legge, presuppone, ad avviso del nostro studio una progettazione etica quale requisito imprescindibile per costruire un rapporto di fiducia con gli utenti. I dark patterns, pratiche ingannevoli che influenzano negativamente l’esperienza dell’utente, danneggiano la reputazione del sito. Il supporto fornito dal nostro studio agli operatori promuove l’etica web nel tentativo di avere un approccio corretto, trasparente e rispettoso verso gli utenti che costituiscono il motore e il bene più prezioso del business on-line.

Dei dark patterns abbiamo già avuto modo di occuparci in precedenza, ma vale la pena ricordare che l’indirizzo tracciato dal legislatore europeo con il regolamento del 2022 è di netta denuncia di questi “sotterfugi” e il loro utilizzo non passa inosservato né agli utenti, né alle associazioni dei consumatori e tanto meno alle varie autorità di controllo, dal Garante per la protezione dei dati all’AGCM (Autorità Garante della Concorrenza e del Mercato).

In conclusione, la sicurezza informatica, la conformità GDPR e l’etica web sono i pilastri fondamentali sui quali si basa il successo di un sito web. Crediamo che la fiducia degli utenti sia il capitale più prezioso online, e seguire le best practices in sicurezza, compliance normativa ed etica sia il modo migliore per costruirla e preservarla.

Privacy dei minori e intelligenza artificiale

Posted on 26 Ottobre 202326 Ottobre 2023 by Camilla Schiocchet

Oramai non si fa altro che parlare di intelligenza artificiale e di come un utilizzo consapevole di tale strumento possa migliorare e far progredire la nostra società, completamente proiettata verso un futuro sempre più digitalizzato.

Di recente gli esperti del settore hanno iniziato ad interrogarsi su come l’intelligenza artificiale debba essere disciplinata rispetto alla normativa privacy e alla tutela dei dati personali che inevitabilmente vengono trattati durante il suo utilizzo, soprattutto quando l’uso delle applicazioni ad essa connessa venga sfruttata da soggetti minori che non avrebbero la capacità giuridica (o limitata capacità) di farne uso in base alla legge nazionale e a quella europea.

Vediamo il perché.

Il contesto normativo

Quando si parla di minori è necessario partire dalla definizione contenuta nell’art. 2 del codice civile relativa alla cosiddetta capacità di agire, ovvero l’idoneità di un soggetto di porre in essere atti negoziali che producono effetti nella propria sfera giuridica e che si acquista con la maggiore età; il minore con età compresa tra 14 e 18 anni ha una capacità giuridica attenuata, mentre il minore di 14 anni non ha alcuna capacità giuridica.

In materia di data protection, la prima parte del Considerando (38) del Regolamento europeo 2016/679 (GDPR) precisa che “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali.”

L’art. 8 GDPR contiene, infatti, specifici requisiti relativi al consenso dei minori rispetto al trattamento dei loro dati personali. Senza parlare di vera e propria capacità di agire, il Regolamento ha previsto che, nel caso in cui vi sia un’offerta diretta di servizi della società dell’informazione a soggetti minori, il trattamento dei dati è lecito, previo loro consenso, se questi hanno almeno 16 anni. In caso contrario sarà necessario che il consenso venga prestato o autorizzato dal titolare la responsabilità genitoriale (comma 1).

Allo stato attuale, come è facilmente intuibile, non è previsto un metodo univoco per verificare il consenso del minore, senza rischiare, da un lato, di introdurre sistemi di verifica eccessivamente burocratici, dall’altro, viceversa, aumentando il rischio di falsificazioni da parte dei minori stessi.

L’intervento dell’autorità di controllo italiana

Ed è proprio in un contesto come questo, di continua ascesa dell’era digitale, che il Garante della privacy ha concentrato maggiormente i suoi interventi. Nel 2022 l’Autorità di controllo italiana ha infatti emesso più di 400 provvedimenti collegiali, anche in considerazione del fatto che il sistema socio-economico italiano è sempre più fondato sul trattamento dei dati personali e come tale necessita di essere adeguatamente guidato, istruito e alle volte addirittura sanzionato.

Da ciò deriva una maggiore attenzione da parte del Garante, anche e soprattutto, per la tutela dei minori che entrano a contatto con le grandi piattaforme, con le applicazioni che utilizzano l’intelligenza artificiale generativa, come ad esempio ChatGPT (la famosa chatbot creata dalla società statunitense OpenAI), con il metaverso e le relative problematiche connesse allo sviluppo degli algoritmi.

Intelligenza artificiale e tutela dei minori: parla il Garante

Particolarmente significativi sono stati gli interventi del Garante sugli applicativi che utilizzano l’intelligenza artificiale: il più noto (provvedimento n. 112 del 30.03.2023) che ha portato alla sospensione provvisoria di ChatGPT di proprietà della software house americana Open AI, ha però permesso di indirizzarne lo sviluppo in una direzione più compatibile con la tutela dei diritti fondamentali delle persone, specialmente se minori.

Con il provvedimento cautelare d’urgenza, il Garante privacy ha evidenziato, per quanto qui di interesse, che:

il servizio di ChatGPT (secondo quanto indicato dagli stessi termini di servizio pubblicati sul sito della società sviluppatrice) è riservato esclusivamente alle persone che abbiano compiuto almeno 13 anni, ma manca qualunque sistema che permetta al titolare del trattamento di verificare l’effettiva età degli utenti;
l’assenza di tali strumenti di verifica dell’età effettiva degli utenti espone i soggetti minori di anni 13 al rischio di ricevere risposte dall’intelligenza artificiale dell’applicazione che siano del tutto inidonee rispetto al grado di sviluppo e alla autoconsapevolezza di detti soggetti.

Di risposta, OpenAI si è dimostrata da subito sensibile al rispetto della normativa in materia di data protection, anche rispetto a quella garantita ai soggetti minori. Nei mesi a seguire ha infatti implementato il sistema di verifica dell’età dell’utente al momento di accesso alla piattaforma online di ChatGPT sino ad introdurre un vero e proprio sistema di age verification.

All’atto della registrazione dell’utente, la piattaforma ha quindi inserito la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti minori di 13 anni e prevedendo, in caso di utenti maggiori di tredici anni, ma sempre minorenni, che debbano confermare di avere il consenso dei genitori all’uso del servizio.

Considerazioni finali

Recentemente, il Governo ha emanato il D.L. Caivano n. 123 del 15.09.2023 recante “Misure urgenti di contrasto al disagio giovanile, alla povertà educativa e alla criminalità minorile, nonché per la sicurezza dei minori in ambito digitale”, introducendo una serie di norme in materia di parental control (artt. da 13 a 15 del decreto legge).

In particolare, il controllo parentale prevede la possibilità di limitare e controllare, da parte dei genitori o di coloro che esercitano la responsabilità genitoriale, l’accesso ai contenuti e/o alla rete da parte dei minori, mediante la scelta degli spazi digitali e dei tempi di utilizzo.

L’intento del legislatore, di pari passo con l’autorità garante della privacy, sembrerebbe proprio quello di costruire un articolato sistema di protezione che tenga in seria considerazione anche le categorie deboli di soggetti, come i minori, che potrebbero essere più facilmente colpite dal mondo digitale se non adeguatamente tutelate.

L’uso dei sistemi di intelligenza artificiale e la protezione del diritto d’autore

Posted on 3 Ottobre 20233 Ottobre 2023 by Valentina Apruzzi

L’Intelligenza artificiale (IA) sta rivoluzionando il modo in cui vengono creati, consumati e condivisi i contenuti digitali. Tuttavia, questa evoluzione solleva rilevanti questioni di natura giuridica ed etica, in particolare per quanto riguarda il necessario bilanciamento tra l’uso dell’intelligenza artificiale e il diritto d’autore dei contenuti utilizzati per nutrire gli algoritmi e di quelli prodotti dall’algoritmo stesso o dal fruitore tramite l’algoritmo.

1. Breve inquadramento

L’intelligenza artificiale (IA), il cui primo regolamento è stata approvato in giugno da parte del Parlamento UE, è generalmente intesa come l’abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività.

Come noto, tra gli usi diffusi di questa tecnologia ci sono il riconoscimento di immagini, la traduzione automatica, la composizione musicale, la creazione di testi, calcoli, video, voci etc.

Questi sistemi utilizzano algoritmi, informazioni e dati per generare contenuti “originali”, ma ciò solleva due sostanziali domande: come sono tutelati gli autori dei contenuti utilizzati per nutrire il sistema di intelligenza artificiale? chi detiene i diritti d’autore su questi contenuti generati dall’IA?

Per questi temi, da qualche tempo, alcuni clienti si rivolgono al nostro team.

2. Creazione di contenuti da parte dell’IA

Un sistema di IA è in grado di generare una serie di contenuti, testi narrativi, disegni, composizioni musicali. Tuttavia, la legge sul diritto d’autore tradizionalmente assegna la titolarità del diritto d’autore relativo alle opere realizzate ad autori persone fisiche. Questo solleva una serie di questioni giuridiche di complessa soluzione.

2.1. IA Autore o macchina?

Uno dei principali dibattiti in ambito giuridico è se considerare l’IA un creatore “autonomo” dei contenuti o uno strumento (macchina) utilizzato dagli esseri umani per esprimere la propria creatività e realizzare opere degne di tutela.

2.2. Ruolo dell’uomo nell’addestramento dell’IA e uso dei data set

Molti sistemi di IA sono addestrati su enormi data set di opere protette da copyright. In questo processo, gli sviluppatori forniscono il materiale di addestramento attingendo o creando data set e l’IA sviluppa la sua capacità creativa. Ciò solleva la questione di chi debba essere considerato il vero creatore: l’umano che ha fornito il materiale o l’IA che ha prodotto l’opera finale? E ancora, chi garantisce che i data set non violino diritti di terze parti?

Esistono studi in rete che mettono in discussione anche legittimità dei modelli open source realizzati da noti provider USA e, a riprova di questo, arrivano da oltreoceano notizie di class actions intentate da alcuni autori.

2.3. Il possibile Opt-out degli autori

Ed è notizia degli ultimi giorni che il primo operatore di intelligenza artificiale generativa abbia messo a disposizione degli autori un form on-line per effettuare l’opt-out delle proprie opere dai data set utilizzati per addestrare il sistema. Non sono ancora noti dati rispetti all’efficacia di tale strumento, tuttavia, l’opt-out presuppone in ogni caso un precedente utilizzo non autorizzato dall’autore, circostanza che non previene né l’utilizzo illecito né la potenziale responsabilità e conseguente risarcimento del danno.

Ammesso che questo sistema possa divenire uno strumento di tutela utile da parte degli autori, dovrebbe per logica poter essere utilizzato da tutti i potenziali autori di un contenuto immesso sul web e utilizzato per addestrare l’intelligenza artificiale, incluse le piattaforme social popolate di un volume enorme di contenuti e informazioni personali e per i quali è già prevista una cessione dei diritti da parte degli utenti iscritti.

2.4. Diritto d’autore e creatività artificiale

Attualmente, il diritto d’autore protegge le opere creative umane per un lungo periodo di tempo (in Italia fino a 70 anni dopo la morte dell’autore). Dovremmo estendere queste protezioni alle opere generate artificialmente dall’IA? E, in caso affermativo, per quanto tempo dovrebbero durare questi diritti e a chi spetterebbero?

3. Il quadro normativo attuale

Attualmente, le normative in molte giurisdizioni non affrontano direttamente la questione dell’intelligenza artificiale e diritto d’autore, non riconoscendo l’IA come possibile creatore. Tuttavia, esistono alcune leggi e regolamenti che possono essere applicati a questa situazione. Il Parlamento Ue nel 2019 ha approvato una Risoluzione sui diritti di proprietà intellettuale per lo sviluppo di tecnologie di intelligenza artificiale [P9_TA(2020)0277] con cui ha evidenziato la necessità di procedere ad una regolamentazione su base comunitaria, che possa superare la frammentazione legislativa dei singoli stati e giungere a distinguere tra le creazioni umane, ottenute con l’ausilio dell’IA, e quelle generate autonomamente dall’IA e regolare paternità e remunerazione.

3.1. L’Uso delle opere protette da copyright per l’addestramento dell’IA

L’addestramento degli algoritmi di IA utilizzando opere protette da copyright solleva da più parti preoccupazioni sulla possibile violazione dei diritti d’autore. Tuttavia, in alcune giurisdizioni, come gli Stati Uniti, esiste il concetto di “fair use” (uso equo) che potrebbe teoricamente consentire l’uso di tali opere a fini di addestramento, a condizione che sia rispettato un equilibrio tra gli interessi delle parti coinvolte (Sec.107 Copyright Act).

3.2. Protezione dei Dati dell’Utente

Nel contesto dell’IA, non dobbiamo neanche dimenticare che spesso vengono utilizzati anche dati personali per addestrare gli algoritmi. Le leggi sulla protezione dei dati personali, con particolare riferimento al GDPR in UE, possono limitare il modo il cui questi dati possono essere utilizzati e trattati. E’ di fondamentale importanza che le aziende che operano in questo settore, startup e società di grandi dimensioni, tengano nella dovuta considerazione gli obblighi nascenti dalla protezione dei dati personali, adottando un approccio basato sul rischio e sulla trasparenza.

3.3. Accordi di Licenza

Molti autori e aziende stipulano contratti e accordi di licenza che regolamentano l’uso dell’IA nella creazione di contenuti. Questi accordi possono definire chi detiene i diritti d’autore e come saranno distribuiti i proventi generati dalla vendita o dalla condivisione dei contenuti creati dall’IA. Tenendo in considerazione l’origine dei data set, è prevedibile che tali accordi siano stipulati anche con le GAFAM, che a loro volta introdurranno nelle condizioni generali d’uso licenze “gratuite” da parte degli utenti.

4. Soluzioni proposte per contemperare intelligenza artificiale e diritto d’autore

Di fronte a questa complessa situazione e alle questioni giuridiche e etiche scatenate dall’uso dell’IA, si sono velocemente formate alcune fazioni di giuristi, esperti e filosofi che hanno prospettato differenti scenari.

4.1. Riconoscimento dell’IA come creatore

Alcuni sostenitori dell’IA hanno proposto di riconoscere legalmente l’IA come un creatore autonomo, con diritti d’autore associati alle opere da essa generate. Questa posizione osteggiata da accademici e riviste scientifiche come Science e Nature solleva la questione di come gestire i diritti d’autore e i proventi in modo equo tra l’IA e gli esseri umani coinvolti nel processo creativo.

Lo stesso ChatGTP interrogata sul tema risponde in questo modo “No, io, come un modello di linguaggio AI, non reclamo né ho diritti d’autore su nessun testo o contenuto generato da me. Sono un programma creato da OpenAI per assistere con la generazione di testo e fornire informazioni, ma non ho personalità, proprietà intellettuale o capacità di rivendicare diritti d’autore su ciò che produco. Gli utenti sono liberi di utilizzare il testo o il contenuto generato da me come ritengono opportuno, ma devono prendere in considerazione le leggi sul diritto d’autore e le normative applicabili quando si tratta di questioni di proprietà intellettuale”

4.2. Creazione di un Registro di Opere Generate dall’IA

Alcune giurisdizioni stanno anche considerando l’idea di creare un registro dedicato per le opere generate dall’IA, con l’intento di aiutare a determinare chi detiene i diritti d’autore e a semplificare le questioni connesse alla tutela legale.

4.3. Esclusione delle Opere d’Arte dall’IA

In alcuni casi e contesti, c’è chi ritiene che sarebbe ragionevole escludere le opere d’arte create da/con l’IA dalla protezione del diritto d’autore. Questo potrebbe consentire un accesso più ampio e una condivisione libera di tali opere.

5. Considerazioni finali

Intelligenza artificiale e diritto d’autore non sembrano, al momento, andare a braccetto. La protezione del diritto d’autore correlata all’uso dei sistemi di Intelligenza Artificiale è una sfida complessa e in continua evoluzione poiché la tecnologia travalica i confini, genera nuovi modelli, impone una interpretazione delle norme esistenti e una riflessione attenta e ponderata da parte dei legislatori, degli sviluppatori e degli utenti.

La mancanza di una regolamentazione costituisce spesso un disincentivo all’utilizzo di questa tecnologia e un soffocamento delle sue innovative applicazioni che, a parere di chi scrive, la moderna società non può permettersi.

L’equilibrio tra la promozione dell’innovazione e la tutela dei diritti d’autore è essenziale per garantire che l’IA continui a contribuire positivamente alla nostra società.

Immagine mikemacmarketing, CC BY 2.0 <https://creativecommons.org/licenses/by/2.0>, via Wikimedia Commons

I CLIENTI PREDILIGONO “LEGAL ON DEMAND”

Posted on 1 Settembre 20236 Settembre 2023 by Valentina Apruzzi

Legal On Demand: La flessibilità nella consulenza legale

Nel mondo degli affari, la consulenza legale è spesso un elemento essenziale per garantire il successo e la conformità alle leggi. Tuttavia, l’assunzione di un team legale interno può risultare costosa e poco pratica, specialmente per le piccole e medie imprese. Ecco perché lo Studio Legale Princivalle Apruzzi Danielli presenta “Legal On Demand”, una formula innovativa che offre consulenza legale specializzata solo quando il cliente ne ha bisogno, garantendo massima flessibilità e controllo sui costi.

Cosa è Legal On Demand?

Legal On Demand è una formula innovativa offerta dallo Studio Legale Princivalle Apruzzi Danielli che rivoluziona il modo in cui le aziende accedono alla consulenza legale. Con Legal On Demand, si può attingere alla vasta esperienza e competenza dei nostri professionisti solo quando è necessario, senza dover mantenere un team legale interno costoso.

Legal On Demand garantisce competenza e flessibilità

Una delle caratteristiche distintive di Legal On Demand è la sua flessibilità. Con questa formula, il cliente può sospendere e riattivare la consulenza legale a proprio piacimento. Questo implica che paga solo per ciò di cui ha bisogno, senza vincoli contrattuali a lungo termine. Per affrontare situazioni come riforme normative, complesse operazioni aziendali o affanni nella tua struttura interna, può contare sulla consulenza legale di cui ha bisogno attivando o sospendendo all’occorrenza.

Massima specializzazione

Lo Studio Legale Princivalle Apruzzi Danielli è noto per la sua competenza e specializzazione in una gamma settoriale di aree legali tutte focalizzate a supportare il cliente impresa. Con Legal On Demand, il cliente ha accesso a un team di professionisti altamente qualificati e specializzati che possono affrontare qualsiasi questione legale agendo come un consulente interno all’azienda.

Controllo dei costi

Con Legal On Demand, il cliente ha il controllo completo sui costi legali. Non deve preoccuparsi di stipendi, benefit o spese accessorie associate a un team legale interno; paga solo per le ore effettivamente utilizzate e l’assistenza ricevuta. Questo consente di allocare il budget in modo più efficiente e di concentrarsi sullo sviluppo del business, sapendo di avere a disposizione una consulenza legale multidisciplinare e di alta qualità ogni volta che ne ha bisogno.

Il futuro della consulenza legale

L’esperienza con i nostri clienti ci lascia pensare che la formula Legal On Demand rappresenti il futuro della consulenza legale. La sua flessibilità, specializzazione e controllo sui costi rendono questa modalità un’opzione ideale per le imprese di tutte le dimensioni, dalla start-up alla grande impresa, Legal On Demand può adattarsi alle esigenze specifiche.

Legal On Demand può migliorare la strategia legale di ogni impresa.

Gli istituti di pagamento

Posted on 11 Luglio 202320 Luglio 2023 by PAD

Cosa sono gli istituti di pagamento?

Gli istituti di pagamento costituiscono una categoria di soggetti vigilati dalla Banca d’Italia talvolta poco conosciuta ai più. Si tratta di entità autorizzate alla prestazione di uno o più servizi di pagamento, i quali, semplificando un po’, si può dire abbiano ricevuto la loro prima organica regolamentazione nella direttiva PSD1, poi sostituita dalla direttiva PSD2.

La regolamentazione

La regolamentazione degli istituti di pagamento in Italia è ora principalmente recepita nel Testo Unico Bancario (TUB), cui si affiancano un certo numero di regolamenti attuativi e le Istruzioni di vigilanza e altri provvedimenti emanati dalla Banca d’Italia.

Sebbene i testi sopra citati costituiscano un’ottima base per comprendere le norme alla base di queste entità, siamo di fronte senza dubbio a un complesso normativo molto corposo e suddivisa in tanti provvedimenti che può spesso apparire difficile da padroneggiare.

Il processo autorizzativo

Il processo autorizzativo di un istituto di pagamento, in sé lineare, è reso complesso dalla necessità di fornire alla Vigilanza informazioni dettagliate e accurate da raccogliersi in un articolato programma di attività.
Requisiti specifici sono richiesti in capo ai soci dell’istituto e in capo a coloro che svolgono funzioni di amministrazione, direzione e controllo.
Qualche semplificazione organizzativa e autorizzativa è prevista solo per gli istituti che intendano prestare i servizi di disposizione di ordini di pagamento (PIS, payment initiation services) o di informazione sui conti (AIS, account information services).

GDPR e la nuova normativa in materia di Whistleblowing

Posted on 10 Luglio 202320 Luglio 2023 by admpad

Il 15 luglio entra in vigore la nuova normativa in materia di whistleblowing con i relativi adempimenti GDPR.

L’obiettivo del legislatore è garantire una maggiore tutela per coloro che segnalano comportamenti illeciti, sia nel settore pubblico che in quello privato, che danneggiano l’interesse pubblico o l’integrità dell’amministrazione o dell’ente privato in ambito lavorativo.

Allo stesso tempo, sono state introdotte importanti novità in materia di privacy per proteggere i segnalanti e gestire correttamente il processo di segnalazione e i rischi ad esso connessi.

Ambito di applicazione

Le imprese del settore privato che dovranno adeguarsi alla nuova disciplina sono quelle che:

hanno impiegato in media nell’ultimo anno, almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
si occupano di specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
le imprese che adottano il modello di organizzazione e gestione previsto al D.lgs.231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

Si precisa che le imprese che hanno impiegato nell’ultimo anno una media di 249 lavoratori subordinati avranno tempo fino al 17 dicembre 2023 per adeguarsi ai nuovi obblighi e adottare adeguati canali di segnalazione interna, oltre all’adozione di una serie di adempimenti GDPR.

Adempimenti GDPR

Con particolare riferimento agli adempimenti in materia di data protection, spicca quello relativo alle modalità di conservazione dei dati personali dei soggetti coinvolti nella segnalazione (segnalanti, persone coinvolte nella segnalazione o facilitatori) nel rispetto del “principio di minimizzazione dei dati” (art. 5 GDPR).

I soggetti incaricati di ricevere le segnalazioni dovranno infatti eliminare immediatamente tutti i dati non utili alla segnalazione ai sensi dell’art. 13, comma 2 decreto whistleblowing.

Nella pratica, se la segnalazione viene fatta oralmente, sarà necessario il consenso del segnalante per la trascrizione o la redazione del verbale da parte del personale addetto a riceverla. Il segnalante potrà verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.

Per quanto riguarda il canale di segnalazione da adottare, saranno i titolari del trattamento che dovranno individuare, in anticipo, adeguate misure tecniche e organizzative per mitigare il rischio per i diritti e le libertà dei soggetti interessati nel rispetto del principio privacy by design (art.25 GDPR).

Nell’iter di selezione del fornitore del servizio di segnalazione e/o del prodotto tecnologico si dovrà valutare il rispetto dei requisiti di sicurezza prescritti dalla normativa (art. 32 GDPR).

A tal proposito sarà quindi obbligatorio effettuare la cosiddetta DPIA (valutazione di impatto) del sistema di segnalazione interna, già in fase di progettazione del relativo disegno organizzativo (art. 35 GDPR).

L’obbiettivo della normativa è proprio quello di predisporre un canale di segnalazione in grado di rispettare tanto la riservatezza del segnalante, quanto l’esattezza del processo instaurato (art. 25 GDPR).

Qualora la gestione delle segnalazioni avvenga in maniera condivisa (per quanto attiene alle risorse per il ricevimento e la gestione della segnalazione) dovranno essere conclusi accordi di contitolarità tra i diversi titolari del trattamento coinvolti (art. 26 GDPR).

Una volta adottato il sistema di segnalazione, anche l’elenco delle nomine a responsabile esterno (ovvero colui che tratta i dati personali per conto del titolare del trattamento) dovrà essere aggiornato e in questo caso dovranno sottoscrivere i cosiddetti DPA (data protection agreement) (art. 28 GDPR) anche:

il fornitore del sistema informatico del canale di segnalazione;
l’ADS (amministratore di sistema) o
il fornitore dell’eventuale piattaforma per la gestione delle segnalazioni.

Tra le nomine non bisogna dimenticare anche quella del “referente del titolare del trattamento” a favore di tutti i soggetti incaricati dal titolare di ricevere e gestire le segnalazioni interne alla realtà aziendale (art. 29 GDPR).

Infine, sarà necessario aggiungere uno specifico trattamento relativo alla procedura di whistleblowing nel relativo registro dei trattamenti (art. 30 GDPR), senza dimenticare di predisporre e pubblicare anche un’informativa dedicata o eventualmente integrando quella già in essere. (art. 12 GDPR).

I dati trattati devono essere conservati solo per il tempo strettamente necessario al relativo trattamento sempre nel rispetto del principio di minimizzazione dei dati, e comunque non oltre il termine di 5 anni a decorrere dalla comunicazione dell’esito finale della procedura di segnalazione (articoli 5 e 12 GDPR).

Il nuovo regime sanzionatorio

Abbiamo anticipato che i soggetti destinatari della normativa sono tenuti ad adeguarsi entro il 15 luglio 2023 o al più tardi entro e non oltre il 17 dicembre 2023 agli obblighi a loro imposti.

Senza considerare altri profili responsabilità (civile, penale, amministrativa, contabile), il decreto whistleblowing ha infatti previsto sanzioni rigorose per coloro che non si adeguano alle prescrizioni imposte dalla legge.

L’organismo preposto a irrogarle (ANAC) potrà erogare sanzioni quando le imprese abbiano commesso ritorsioni nei confronti dei soggetti segnalanti o quando:

abbiano ostacolato o tentato di ostacolare la segnalazione o violato l’obbligo di riservatezza;
hanno omesso di istituire canali di segnalazione;
hanno omesso di adottare procedure per l’effettuazione e la gestione delle segnalazioni;
l’adozione o la loro implementazione non è stata conforme alla normativa;
hanno omesso di svolgere l’attività di verifica e analisi delle segnalazioni ricevute.

In tutti questi casi, l’ANAC può irrogare fino a 50.000 euro di sanzioni in caso di violazione.

Qualora la violazione riguardi l’identità del segnalante la sanzione potrà arrivare a 2.500 euro.

Considerazioni finali

Da una prima analisi del decreto whistleblowing, si evince come la norma sia stata pensata in stretta connessione con quella in materia di GDPR. La norma va rispettata sia sotto il profilo della riservatezza dei dati sia per i numerosi adempimenti da adottare per trattare correttamente le informazioni selezionate e raccolte.

In quest’ottica si ricorda che gli illeciti in materia di privacy sono stati ricompresi all’interno dell’elenco delle fattispecie che potranno essere oggetto di segnalazione.

Si auspica quindi che anche grazie al nuovo decreto whistleblowing si diffonda una maggiore consapevolezza in materia di data protection e conseguente volontà di miglioramento della cultura della privacy compliance su tutto il territorio nazionale.

Dark Patterns: questi sconosciuti…

Posted on 15 Giugno 202310 Luglio 2023 by admpad

Cosa ne sappiamo dei dark patterns e perché il legislatore europeo ha emanato un regolamento per contrastarli?

Secondo il considerando 67 del REGOLAMENTO (UE) 2022/2065 (Digital Services Act “DSA”), i dark patterns sono “percorsi oscuri” (e già la traduzione italiana rende l’idea dello scopo della normativa) sulle interfacce delle piattaforme online, pratiche che distorcono o compromettono in misura rilevante, intenzionalmente o di fatto, la capacità dei destinatari del servizio di compiere scelte o decisioni libere e informate. Lo scopo è convincere gli utenti, mediante un inganno, ad adottare comportamenti o decisioni indesiderate che possono avere conseguenze negative per gli stessi.

A pensarci bene siamo tutti vittime di dark patterns, ogni volta che acquistiamo un prodotto o un servizio on-line e dobbiamo tenere alta l’attenzione per non cadere in trappole confezionate ad hoc: l’assicurazione per il volo non richiesta, il conto alla rovescia del tempo massimo per effettuare l’acquisto, il costo maggiorato di spedizione, il recesso dall’abbonamento difficilmente esercitabile, le promozioni già scadute, il call center irraggiungibile. Tutti esempi che la Commissione Europea ha classificato in uno studio del 2022 che trovate qui.

Il DSA punta l’attenzione sulla necessità di trasparenza, sulle eliminazione delle pratiche pubblicitarie scorrette e sulla progettazione delle piattaforme in linea con la normativa. Ad esempio vieta ai fornitori di piattaforme online di adottare pratiche tese a ingannare o esortare i destinatari del servizio e distorcere o limitare l’autonomia, il processo decisionale o la scelta dei destinatari del servizio attraverso la struttura, la progettazione o le funzionalità di un’interfaccia online o di una parte della stessa, ad esempio anche presentando le scelte in maniera non neutrale, attribuendo maggiore rilevanza a talune scelte attraverso componenti visive, auditive o di altro tipo nel chiedere al destinatario del servizio di prendere una decisione (art.25).

I destinatari del Regolamento sono i fornitori di servizi internet (ISP), definiti secondo la classificazione già in uso con la Direttiva e-commerce in fornitori di servizi di mere conduit, di memorizzazione temporanea e non di informazioni. Alcuni dei quali, integrando piattaforme on line di grandi dimensioni sono già stati individuati dalla Commissione Ue in 17 operatori (Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando) e due motori di ricerca (Google e Bing).

Il Regolamento, che prevede ampi poteri di indagine da parte della Commissione Europea o da una delle autorità preposte nei singoli stati membri, troverà applicazione prima tra questi operatori di grandi dimensioni i quali dovranno adeguarsi entro agosto 2023, successivamente (entro il 17 febbraio 2024) per tutti gli altri.

Riguardo a termini e condizioni del contratto che regola i servizi è prescritto che gli ISP forniscano informazioni sulle restrizioni che impongono in relazione all’uso dei loro servizi, includendo le politiche, le procedure, le misure e gli strumenti utilizzati ai fini della moderazione dei contenuti, compresi il processo decisionale algoritmico e la verifica umana, nonché le regole del sistema di gestione dei reclami. Informazioni da fornire con un linguaggio chiaro, semplice, comprensibile, facilmente fruibile e privo di ambiguità e disponibili al pubblico in un formato facilmente accessibile e leggibile meccanicamente (in linea con le migliori pratiche sull’accessibilità dei servizi).

Per i servizi rivolti ai minori l’ISP dovrà adeguare il contenuto informativo e lo stile spiegando in modo comprensibile le condizioni e le restrizioni che si applicano all’utilizzo del servizio.

Il rispetto dei diritti fondamentali dei destinatari del servizio, quali la libertà di espressione, la libertà e il pluralismo dei media, e altri diritti e libertà fondamentali sanciti dalla Carta è tenuto nella massima considerazione dal legislatore Europeo.

Gli ISP e i motori d ricerca di dimensioni molto grandi dovranno anche mettere a disposizione una sintesi concisa delle condizioni generali, di facile accesso e leggibile meccanicamente, compresi le misure correttive e i mezzi di ricorso disponibili, in un linguaggio chiaro e privo di ambiguità e pubblicare le loro condizioni generali nelle lingue ufficiali di tutti gli Stati membri in cui offrono i loro servizi.

I destinatari del servizio (intesi sia come persone fisiche che persone giuridiche), nonché gli organismi, le organizzazioni o le associazioni rappresentative, hanno il diritto di presentare reclamo nei confronti dei fornitori presso il coordinatore dei servizi digitali dello Stato membro in cui il destinatario del servizio è situato o è stabilito, aprendo un procedimento in contraddittorio tra le parti. (Art.53)

Le sanzioni – pesantissime – possono arrivare fino al 6% dell’ultimo fatturato annuo mondiale del fornitore.