Regolamentazione e rischi collegati all’utilizzo dei sistemi di intelligenza artificiale
Come noto, il 21 aprile 2021 la Commissione Europea finalizzava una proposta di regolamento (di seguito per comodità “Regolamento”) al fine di introdurre un sistema di norme armonizzate per lo sviluppo, immissione e utilizzo di sistemi di intelligenza artificiale “IA” all'interno dell'Unione Europea. In quell’occasione, veniva previsto un “periodo di grazia”, vale a dire un periodo di due anni in cui tutti gli operatori del settore avrebbero avuto il tempo di conformarsi al Regolamento, nonché di adottare decisioni in base alle regole in esso contenute.
Visto il proliferarsi di sistemi di intelligenza artificiale, è lecito domandarsi se durante il citato periodo di grazia gli stessi si siano effettivamente conformati alle norme del Regolamento.
Per rispondere a tale quesito, è necessario anzitutto elencare di seguito i sistemi di intelligenza artificiale specificamente vietati dal Regolamento:
- quelli che utilizzano tecniche subliminali capaci di distorcere il comportamento di un soggetto;
- quelli che sfruttano la vulnerabilità di un gruppo specifico di persone;
- quelli che permettono alle autorità pubbliche di creare una classificazione delle persone basata su un punteggio sociale;
- quelli che utilizzano sistemi di identificazione biometrica in tempo reale, salvo nei casi previsti dalla legge.
In aggiunta a quanto sopra, la Commissione Europea ha altresì individuato tre tipologie di rischio in relazione al tipo di sistema di intelligenza artificiale in uso che vengono riportate di seguito:
- “rischio inaccettabile” qualora il sistema di IA sia da considerarsi una minaccia per la sicurezza, i mezzi di sostegno e i diritti individuali; un tale sistema è da ritenersi proibito in base al Regolamento;
- "alto rischio” qualora i sistemi di IA siano utilizzati in settori che coinvolgono diritti fondamentali dell’uomo; un tale sistema può essere utilizzato e implementato solo adottando una serie precauzioni di cui si parlerà di seguito;
- “rischio limitato” qualora i sistemi di IA comportino rischi considerati minori, come ad esempio nel campo dei videogiochi, dove vengono imposti unicamente obblighi di trasparenza.
Sulla base di queste dovute premesse, proviamo ad analizzare una fattispecie concreta di intelligenza artificiale – vale a dire la guida autonoma della nota casa automobilistica “Tesla” in relazione alla quale lo Studio ha già pubblicato un articolo - per comprendere se essa sia o meno conforme al Regolamento e, soprattutto, che tipo di rischio potrebbe derivare dal suo utilizzo.
È ragionevole considerare come elevato il rischio che tale sistema di IA potrebbe comportare per il pubblico e ne sono prova gli oltre 700 incidenti provocati dalla stessa al di fuori dell’Unione Europea, con danni sia a persone che a veicoli di terzi.
È altrettanto ragionevole affermare che un sistema di guida autonoma come quello in questione necessiterebbe di una doppia regolamentazione, vale a dire sia le norme del citato Regolamento in relazione all’uso / implementazione del sistema di intelligenza artificiale, sia nuove e precipue regole del codice della strada necessitate dalla circolazione di veicoli senza conducente che comunicano tra di loro attraverso segnali e suoni non comprensibili per l’essere umano (risulta che tale ultima regolamentazione sia già a buon punto in Francia, Germania e Stati Uniti).
Ora, pare ragionevole inquadrare tale sistema di IA c.d. “self-driving car” all’interno della seconda tipologia di rischio, ossia quello ritenuto “alto”; sulla base del Regolamento, questo livello di rischio richiede al produttore di tale sistema di intelligenza artificiale (“Tesla”) di svolgere una preliminare valutazione di conformità del sistema nonché di fornire una dettagliata analisi dei relativi rischi, il tutto mediante una serie di test che dovranno dimostrare la totale assenza di errori di tali sistemi. In aggiunta, l’art. 10 del Regolamento prevede un ulteriore obbligo a carico dell’azienda utilizzatrice del sistema di IA riguardante la corretta conservazione e governance dei dati degli utenti trattati dai sistemi in questione.
Il Regolamento in esame prevede dunque una serie di requisiti e obblighi piuttosto rigidi che, ad opinione di chi scrive, saranno difficilmente soddisfatti da parte dei sistemi di intelligenza artificiale oggi in circolazione e, difatti, non sono mancate le critiche da parte di coloro che auspicano l’introduzione di criteri meno stringenti in modo da facilitare un maggior utilizzo di tali sistemi.
Un altro esempio concreto di intelligenza artificiale, di cui abbiamo già parlato nell’articolo dello scorso mese, è ChatGPT che in Italia è stata bloccata dal Garante della Privacy per inosservanza delle norme europee sui dati personali.
Proprio ChatGPT dimostra come sia alquanto complesso inquadrare e classificare i diversi dispositivi di intelligenza artificiale pur applicando i criteri e principi definiti dal Regolamento. Difatti, ad una prima e superficiale analisi, ChatGPT potrebbe rientrare nei sistemi di IA con un rischio minore (terzo livello) in quanto non sembra coinvolgere diritti fondamentali.
C’è tuttavia da domandarsi se questo sia valido anche qualora si chiedesse all’applicazione ChatGPT di rintracciare e divulgare i dati di una persona ovvero di predisporre un saggio ovvero ancora di rielaborare un’opera protetta dal diritto d’autore.
La risposta a tale quesito non potrà che essere negativa, atteso che tale utilizzo dell’applicazione in esame rischierebbe di violare non solo i diritti fondamentali relativi alla protezione dei dati personali di ciascun individuo ma anche quelli appartenenti agli autori delle opere protette dal diritto d’autore. Tutto questo ci impone di classificare ChatGPT nella categoria dei sistemi IA ad “alto rischio”, con tutte le conseguenze che ne derivano.
Sotto questo profilo, bisogna inoltre evidenziare che il Regolamento prevede severi controlli in relazione ai sistemi di IA ad “alto rischio”, nonché l’applicazione di sanzioni amministrative che possono arrivare fino a 30 milioni di euro ovvero al 6% di fatturato dell’azienda interessata. Non è tuttavia chiaro, o comunque non è stato ancora individuato, quale sarà l’organo deputato a svolgere i controlli circa il rispetto delle norme del Regolamento.
In conclusione e sulla base delle considerazioni svolte sopra, chi scrive ritiene opportuno che in fase di approvazione definitiva del Regolamento vengano meglio definiti i principi e criteri per la classificazione dei vari sistemi di intelligenza artificiale in quanto attualmente troppo generici e spesso insufficienti a classificare correttamente i sistemi di IA più complessi (tra i quali “ChatGPT”).
È inoltre auspicabile che venga creata ed istituita un’autorità indipendente ed imparziale per ciascuno stato membro capace di svolgere la funzione di controllo e verifica di corretta applicazione delle norme del Regolamento al fine di una migliore tutela dei diritti fondamentali dei singoli individui.
ChatGPT e Copyright: implicazioni e rischi
Recentemente si è sentito parlare molto di Chat GPT, acronimo di Chat Generative Pre-trained Transformer, un particolare chatbot sviluppato da OpenAI, società di ricerca impegnata nello sviluppo e nell’evoluzione dell’intelligenza artificiale.
Chat GPT è stata presentata al pubblico come un “friendly Ai o Fai” (un tipo di intelligenza artificiale “amichevole”), vale a dire un’intelligenza capace di contribuire al bene dell’umanità. Nonostante ciò, il suo utilizzo ha destato non poche preoccupazioni e critiche da parte di molti, con delle implicazioni importanti soprattutto sotto il profilo della proprietà intellettuale.
Infatti, grazie alla sua avanzata tecnologia di apprendimento automatico, denominata Deep Learning, Chat GPT è capace di generare il testo in maniera autonoma, imitando il linguaggio umano. In tal modo, esso può essere impiegato non solo per rispondere brevemente alle domande, ma anche per la scrittura automatica di un testo.
Specificatamente, Chat GPT è in grado di creare testi ex novo su richiesta dell’utente, ma anche di elaborare riassunti o documenti partendo da opere già esistenti e quindi di proprietà altrui.
Tuttavia, l’attuale assenza di una specifica regolamentazione circa il suo utilizzo rischia di mettere a repentaglio il copyright dei contenuti “creati” da Chat GPT: da un lato incrementando significativamente i casi di copiatura e plagio e, dall’altro lato, rendendo più complessa per il titolare del diritto d’autore la difesa dei propri diritti.
Per comprendere appieno la problematica poc’anzi esposta, bisogna innanzitutto considerare che, ai sensi della legge sul diritto d’autore, l’idea in quanto tale non può essere protetta, bensì solo la sua forma di espressione (quindi, nel caso di Chat GPT, il testo creato).
Bisogna altresì considerare che una volta riconosciuta la paternità di un testo o opera, ne è vietata qualsiasi riproduzione impropria, compresa la copiatura integrale, la sua parafrasi e a volte anche la sua rielaborazione mediante l’impiego di altre e diverse parole, quando le differenze appaiano minime e di lieve rilevanza. In buona sostanza, il plagio sussiste in caso di riproduzione parziale dell’opera nonché, sulla base di una recente giurisprudenza della Cassazione, anche in caso di “plagio evolutivo”, vale a dire quando l’opera “nuova” non può essere semplicemente considerata ispirata all’originale poiché le differenze, meramente formali, la rendono un’abusiva ed una rielaborazione non autorizzata di quest’ultima.
È utile inoltre precisare che, per costante giurisprudenza, affinché possa ravvisarsi una violazione del diritto di autore, gli elementi ritenuti essenziali di un’opera originale non devono essere ripresi e quindi essere coincidenti con quelli dell’opera frutto di trasposizione.
Pur in assenza di specifica regolamentazione sul punto, è ragionevole sostenere che i suddetti principi trovino applicazione anche con riguardo ai testi generati da Chat GPT, perché il suo o l’utilizzo di qualsiasi altra forma di intelligenza artificiale non può di certo derogare alle norme della legge sul diritto d’autore. Di conseguenza bisogna prestare molta attenzione laddove si richieda a Chat GPT di riassumere o parafrasare un testo altrui, in quanto, se questi sono diffusi senza il permesso dell’autore originario, quest’ultimo potrebbe richiedere il pagamento dei diritti di riproduzione, oltre il risarcimento del danno eventualmente causato. Sotto questo profilo, è lecito domandarsi se non sia il caso che sia lo stesso sistema di intelligenza artificiale a rifiutare una tale richiesta qualora rischi di violare diritti altrui.
Va poi considerata un’altra ipotesi che potrebbe configurarsi e cioè qualora il testo predisposto ex novo da Chat GPT sia meritevole di tutela ai sensi del diritto d’autore. In questo caso, la domanda da porsi è se possano essere riconosciuti diritti d’autore in capo a Chat GPT.
Per rispondere a tale quesito, bisogna innanzitutto considerare che ai sensi della legge italiana i sistemi di intelligenza artificiale sono privi di personalità giuridica, motivo per cui essi non possono essere titolari di alcun diritto, incluso quelli d’autore. Questo sembra essere altresì confermato dalla legge sul diritto d’autore che, nell’elencare i soggetti nei cui confronti essa può essere trovare applicazione, non cita alcun prodotto di intelligenza artificiale, tantomeno Chat GPT. E non potrebbe essere altrimenti atteso che si tratta di una legge del lontano 1941.
Di conseguenza, perché un’opera di Chat GPT sia ritenuta meritevole di protezione ai sensi della legge sul diritto d’autore deve necessariamente ravvisarsi un contributo creativo di una persona fisica che, allo stato, pare tuttavia mancare.
In conclusione, l’assenza di una normativa ad hoc che disciplini l’utilizzo di Chat GPT espone a seri rischi di violazione di opere altrui e mette così a repentaglio i diritti degli autori. Questo anche in quanto non pare che Chat GPT allo stato abbia adottato sistemi di verifica e controllo idonei ad evitare violazione dei diritti altrui.
Visto l’utilizzo sempre più massiccio di questa nuova tecnologia e i dubbi poc’anzi discussi, chi scrive auspica che il legislatore disciplini al più presto tale fenomeno in modo da definirne in maniera chiara il perimetro e gli eventuali diritti (diritti che non sembra possano essere riconosciuti in favore di Chat GPT).
Si confida inoltre che Chat GPT riesca presto ad implementare sistemi efficaci di controllo e segnalazione per la protezione dei diritti di proprietà intellettuale, i quali con ogni probabilità necessiteranno dell’aiuto e dell’assistenza proprio dei titolari dei diritti (al pari di quanto accade per la piattaforma Amazon), ma che potrebbero concretamente salvaguardare le opere creative altrui.
Il brevetto europeo con effetto unitario: quali possibili vantaggi e svantaggi?
Fino ad oggi, a livello europeo, i brevetti sono stati disciplinati dalla Convenzione di Monaco, la quale prevede una procedura unica e centralizzata per la concessione dei brevetti affidata all’Ufficio Europeo dei Brevetti (EPO).
Se unitaria è la procedura sotto il profilo della concessione del brevetto, altrettanto non si può dire per la tutela dello stesso; il brevetto europeo concesso deve infatti essere convalidato in ogni Stato, facente parte della Convenzione, in cui si intende ottenere tutela. Si usa dire che il brevetto europeo corrisponde ad un “fascio” di brevetti nazionali: in sostanza, a seguito della concessione, il brevetto europeo conferisce al titolare gli stessi diritti che deriverebbero da un brevetto nazionale e ai giudici nazionali è rimessa ogni questione relativa alla validità e contraffazione del brevetto.
La situazione è destinata a cambiare.
Brevetto europeo con effetto unitario
Come noto, il 1° giugno 2023 entrerà in vigore l’Accordo sul Tribunale Unificato dei Brevetti e a quel punto sarà operativo il brevetto europeo con effetto unitario, il quale conferirà una tutela uniforme in tutti gli Stati europei che hanno scelto di aderire a questo nuovo sistema.
È bene chiarire che il brevetto europeo con effetto unitario non si sostituirà al brevetto europeo “tradizionale”, al contrario si affiancherà a quest’ultimo permettendo al titolare della privativa di scegliere a quale sistema aderire.
Al pari di quanto accade per il brevetto europeo “tradizionale”, sarà sempre l’EPO l’ufficio competente a rilasciare i titoli di privativa unitari; inoltre, il nuovo sistema non ha mutato le modalità di rilascio del brevetto. Molto semplicemente, al termine della procedura di concessione del brevetto europeo, il titolare avrà la facoltà di richiedere l’effetto unitario entro un mese e lo dovrà fare nella lingua del procedimento.
Attualmente a questo sistema hanno scelto di partecipare venticinque Stati europei (grande assente è la Spagna); solo diciassette, tuttavia, hanno ratificato l’Accordo.
Questo significa che, nel momento in cui il sistema entrerà in vigore, la tutela uniforme si estenderà unicamente ai diciassette stati ratificanti. La domanda da porsi è quindi: poi cosa succederà? Nel momento in cui altri Stati ratificheranno l’Accordo, la tutela unitaria si estenderà automaticamente a questi ultimi?
Per quanto possa essere sorprendente, la risposta è negativa.
Nel tempo si creeranno infatti diverse “generazioni” di brevetti unitari con una diversa copertura territoriale a seconda del numero di stati ratificanti l’Accordo. Almeno in prima battuta, quindi, non ci sarà un brevetto davvero unitario in tutti gli stati aderenti al sistema.
Posto che si tratta di un sistema alternativo, come si potrà scegliere di non aderirvi?
È già possibile farlo. A partire dal 1° marzo 2023 è iniziato infatti il c.d. periodo di sunrise, ossia un arco temporale della durata di tre mesi, durante il quale i titolari dei brevetti europei già concessi, i titolari di domande di brevetto europeo e di certificati complementari di protezione rilasciati per un prodotto protetto da brevetto europeo possono richiedere l’esclusione di questi ultimi dal sistema e conseguentemente sottrarli alla competenza del Tribunale Unificato dei Brevetti (si parla di opt-out, così come previsto dall’art. 83 dell’Accordo). L’opt-out potrà essere esercitato anche durante il periodo transitorio (sette anni). Tuttavia, è bene effettuare in questi tre mesi la scelta in quanto, qualora dopo il 1° giugno si fosse coinvolti in un’azione giudiziaria avanti il Tribunale Unificato, l’opt-out non sarà più consentito. Se si sceglie di effettuare l’opt-out si resta per sempre esclusi dal sistema? No, è possibile cambiare idea e scegliere di effettuare l’opt-in, questa scelta non potrà però essere più revocata di nuovo.
Quali vantaggi apporterà concretamente il nuovo sistema?
I vantaggi sembrano plurimi. Innanzitutto, si avrà la possibilità di ottenere una protezione uniforme in tutti gli stati che hanno ratificato l’Accordo e l’EPO rappresenterà l’unico ufficio a cui sottoporre le domande di registrazione (non solo, l’EPO gestirà centralmente le fasi post-registrazione). Inoltre, i titolari dei brevetti unitari pagheranno un’unica tassa annuale di mantenimento e non saranno ovviamente più sostenuti i costi relativi alla fase di convalida del brevetto. Si aggiunga che le controversie che insorgeranno in relazione al brevetto unitario saranno sottoposte alla giurisdizione esclusiva del Tribunale Unificato dei Brevetti, le cui decisioni avranno effetto in tutti gli Stati interessati dall’effetto unitario (questo renderà più facile per il titolare del brevetto interrompere le attività contraffattive in corso in tutti gli stati interessati).
Tuttavia, anche il brevetto europeo con effetto unitario sembra presentare alcuni limiti. In primo luogo, ha potenzialmente una copertura territoriale meno ampia del brevetto europeo. Il nuovo sistema coinvolge unicamente gli stati facenti parte dell’Unione europea che hanno ratificato l’Accordo (a differenza di quanto previsto per la CBE a cui aderiscono anche stati terzi quali, ad esempio, Svizzera e Turchia). Si aggiunga che il nuovo sistema rappresenta, in certi casi, un’arma a doppio taglio. Da un lato è sì prevista un’applicazione uniforme del diritto, dall’altro il titolare del brevetto potrebbe essere esposto ad un più alto rischio: qualora il Tribunale Unificato dei Brevetti giudicasse nulla una privativa, questa lo sarebbe in tutti gli stati interessati dall’effetto unitario.
Quindi, conviene aderire al nuovo sistema oppure no?
La risposta non può essere univoca. Sembra imprescindibile effettuare una valutazione che tenga conto delle peculiarità di ogni singolo caso. Ad esempio, bisognerà preliminarmente considerare il brevetto di cui si tratta e la sua “forza”. Ma anche la posizione processuale che si assume in un’eventuale azione giudiziale; difatti, nella veste di attore potrebbe essere utile ottenere un’unica decisione per tutti i territori aderenti al sistema del brevetto con effetto unitario (con evidente risparmio di tempo e costi), mentre nella veste di convenuto, viceversa, potrebbe essere utile difendersi in stati diversi, e quindi davanti a Giudici differenti, guadagnando così tempo, ed evitando che una decisione sfavorevole abbia effetto su tutti i territori dell’UPC contemporaneamente, inibendo così la vendita del prodotto ritenuto in contraffazione nei 17 paesi aderenti all’Accordo.
Non bisogna inoltre dimenticare che il sistema è nuovo e i titolari delle privative saranno “esposti” a questa novità. La tenuta e l’efficienza delle norme verrà messa veramente alla prova una volta che il sistema entrerà in vigore. Del pari, non sono ovviamente noti gli orientamenti giurisprudenziali del nuovo Tribunale. È stato anche fatto notare da più parti come il brevetto unitario garantisca una minor flessibilità; non potrà, ad esempio, essere effettuato il c.d. abbandono selettivo, ipotesi che è invece praticabile per il brevetto europeo “tradizionale” (il brevetto unitario dovrà essere mantenuto o abbandonato in tutti i paesi). Non sarà inoltre possibile cedere il brevetto solo in alcuni stati.
Conclusioni
In conclusione, il brevetto unitario presenta certamente vantaggi da un lato ma anche svantaggi dall’altro che vanno attentamente soppesati a seconda del caso concreto. Nel caso dell’opt-out questo è il momento opportuno per iniziare ad effettuare le prime valutazioni. Per tutto il resto, si dovrà attendere l’entrata in vigore di questo nuovo sistema per comprendere la sua effettiva portata e l’efficienza operativa dello stesso.
Il “Magic Avatar” e il mondo dell’intelligenza artificiale: luci e ombre di un fenomeno che “rivoluziona” privacy e copyright
Il 7 dicembre 2022 “Lensa” è risultata l’app più popolare per iPhone sull’Apple store. Il motivo? Sebbene “Lensa” sia presente sul mercato dal 2018, lo scorso novembre ha lanciato una nuova funzionalità denominata “Magic Avatar”: sfruttando l’intelligenza artificiale, tale funzionalità consente all’utente – dietro pagamento di un corrispettivo – di trasformare i propri selfie in avatar virtuali.
A primo impatto, non si coglie il problema derivante dalla circostanza che l’avatar in questione mostra il viso (seppur migliorato) del soggetto del selfie; tuttavia, ad una più attenta analisi, sono diverse le questioni giuridiche sottese all’utilizzo di tale funzionalità dell’applicazione “Lensa”.
Difatti, l’applicazione in esame opera grazie all’intelligenza artificiale e sulla base di un insieme di dati (cd. “dataset”) che vengono immagazzinati ed utilizzati per migliorare le prestazioni della suddetta applicazione. Nella stragrande maggioranza dei casi, tali dataset non sono altro che immagini raccolte a caso nel web e sulle quali manca ovviamente un vero controllo a monte sull’esistenza di eventuali diritti. Ed ecco svelata la prima problematica: la circolazione e raccolta di illustrazioni senza il preventivo consenso degli artisti che le hanno in precedenza create, con conseguente violazione dei diritti di copyright. Gli autori non solo restano privi di qualsiasi contribuito o riconoscimento per tali opere – che, invece, ai sensi della cd. Legge sul diritto d’autore (L. 633/1941 e successive modifiche) andrebbe loro garantito – ma si ritrovano a competere con sistemi artificiali che sono in grado di “emulare” il loro stile in pochi minuti.
Il problema – si ripete – non riguarda l’avatar che è generato dall’applicazione “Lensa”, ma il numero massiccio di immagini estrapolate da internet, su cui il sistema si allena e dal quale deve “imparare” per poi riprodurre l’avatar. Le conseguenze di tale fenomeno non devono sottovalutarsi poiché è lecito domandarsi se tali intelligenze artificiali non possano un giorno sostituire in toto l’attività dell’uomo. Tale poco auspicabile scenario non è poi così inverosimile se si considera che, per la prima volta, il trattamento delle opere visive create mediante l’impiego di intelligenza artificiale è attualmente allo studio presso l’US Copyright Office.
Per fronteggiare (parzialmente) tale problematica, è stato creato il sito “Have I Been Trained” che aiuta i content creator ad effettuare ricerche al fine di comprendere se i dataset usati dalle intelligenze artificiali impieghino illecitamente le loro creazioni.
Vi è poi un secondo e più preoccupante aspetto che riguarda il trattamento dei dati personali da parte dell’applicazione “Lensa”. A fronte del pagamento di un corrispettivo irrisorio al fine di generare l’avatar, le persone forniscono all’applicazione dati e informazioni personali che possono essere utilizzati anche per scopi profondamente diversi rispetto al mero generare “immagini filtrate” e che hanno perciò un valore economico rilevante. Questa è una delle accuse principali che sono state rivolte all’app in questione e cioè che, una volta installata, “Lensa” raccoglie più dati rispetto a quelli necessari al suo funzionamento, trasferendoli in server situati negli USA (ove ha sede l’azienda che ha sviluppato l’applicazione). Il che è sufficiente per affermare che il trattamento dei dati non risulta conforme rispetto a quanto previsto dal GDPR.
In realtà, in base all’informativa sulla privacy dell’applicazione “Lensa” si afferma che i dati biometrici degli utenti (definiti all'art. 4, par. 1, n. 14 GDPR come quelli “relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”) verrebbero cancellati dai server una volta che l’app li ha impiegati per generare il Magic Avatar.
Il punto è che, come spesso accade, la privacy policy di “Lensa” è lunga e complessa, cioè impiega un linguaggio giuridico di difficile comprensione per l’utente; ad esempio, si legge che “Lensa” non utilizza i “dati facciali” per motivi diversi dall’applicazione di filtri, salvo che l’utente non presti il consenso per utilizzare le foto e i video per uno scopo diverso. Ciò potrebbe apparire confortante, peccato che, ad una lettura più approfondita dei termini e delle condizioni, emerge che “Lensa” si riserva poteri ben più ampi – di distribuzione, utilizzazione, riproduzione, creazione – sull’opera derivata dai contenuti degli utenti, soggetti al “consenso esplicito” eventualmente aggiuntivo richiesto dalla legge applicabile (cioè, dalle varie leggi nazionali).
Ma da dove si evince tale “consenso esplicito”? La risposta è semplice: condividendo l’avatar pubblicamente o taggando “Lensa” sui social, anche tramite hashtag per esempio, l’utente presta il consenso ad utilizzare quel contenuto e autorizza quindi la società alla riproduzione, distribuzione e modifiche dello stesso. Tale licenza d’uso – che si esaurisce con la cancellazione dell’account – viene giustificata nella privacy policy di “Lensa” sulla base del cd. “legitimate interest” (i.e. “It is our legitimate interest to make analytics of our audience as it helps us understand our business metrics and improve our product”). Tuttavia, tale dichiarazione desta non poche perplessità, specie alla luce della decisione emessa dal Garante della Privacy italiano in relazione al social “Clubhouse”, secondo cui il “legittimo interesse” della società non è la base giuridica corretta per trattare tali dati e dunque non è corretta né per svolgere analisi dei dati, né per il processo di “training” dei sistemi.
In conclusione, se da una parte l’intelligenza artificiale rappresenta senza dubbio un’evoluzione tecnologica epocale, dall’altra il suo utilizzo può comportare una serie di rischi che si traducono nella compressione dei diritti dei singoli utenti; del resto, è da tempo allo studio un Regolamento Europeo sull’intelligenza artificiale volto a definire il perimetro e le condizioni del suo utilizzo.
Sotto questo profilo, si auspica quindi che l’applicazione “Lensa” poc’anzi esaminata si adoperi al più presto per proteggere i diritti dei creatori delle illustrazioni utilizzate dalla stessa app mediante il riconoscimento agli stessi di un compenso, sia affinché i dati degli utenti vengano raccolti e trattati in maniera corretta secondo le normative privacy applicabili.
Finalmente protetta l’espressione “Pizza Napoletana”
Il 18 dicembre 2022 è entrato in vigore il nuovo Regolamento di esecuzione (UE) n. 2022/2313 mediante il quale la Commissione Europea ha ufficializzato l’iscrizione della “Pizza Napoletana” nel registro delle “Specialità Tradizionali Garantite” (STG).
Da tale data, pertanto, l’espressione “pizza napoletana” potrà essere utilizzata solo per contraddistinguere prodotti che rispettino esattamente le caratteristiche di preparazione definite nel documento ufficiale approvato dalla Commissione (c.d. Disciplinare) su proposta dell’AVPN (Associazione Verace Pizza Napoletana) e dell’APN (Associazione Pizzaiuoli Napoletani).
Che la Pizza Napoletana sia una Specialità Tradizionale Garantita non costituisce tuttavia una novità.
La pizza napoletana è presente, infatti, nel registro delle STG già dal 2010 senza riserva del nome, con la conseguenza che sino all’entrata in vigore del nuovo Regolamento chiunque poteva utilizzare l’espressione “pizza napoletana” per contraddistinguere il celebre piatto della tradizione italiana, senza tuttavia poterci apporre la sigla “STG”.
Il suddetto Regolamento introduce invece nuove regole e cioè richiede che l’utilizzo dell’espressione “pizza napoletana” sia condizionato al rispetto di determinate requisiti di cui al Disciplinare, con la conseguenza che, in mancanza degli stessi, la pizza non potrà più essere identificata e denominata nei menù dei ristoranti ovvero sulle insegne degli stessi come “Napoletana”, pena l’applicazione di sanzioni, oltre che, chiaramente, l’inibizione all’uso dell’espressione.
Ma a cosa serve esattamente la certificazione STG?
A tal riguardo, occorre innanzitutto far riferimento alla disciplina delle certificazioni STG contenuta nel Regolamento (UE) n. 1151/2012, che riguarda in generale regimi di qualità dei prodotti agricoli e alimentari.
Il regime di qualità è garantito da tre certificazioni (D.O.P., I.G.P., STG) europee, che possono essere attribuite a prodotti alimentari o a preparazioni con determinate caratteristiche legate al territorio.
Gli obiettivi della Certificazione “STG”
Il Regolamento in parola si pone come obiettivo quello di salvaguardare metodi di produzione e ricette tradizionali aiutando i produttori a comunicare agli acquirenti le caratteristiche e le modalità di produzione di tali prodotti, anche al fine di garantire la trasparenza delle informazioni e la concorrenza leale tra i produttori.
Si pensi ad esempio all’ipotesi in cui un consumatore intenda acquistare una pizza (o qualsiasi altro prodotto tipico): quest’ultimo potrebbe essere attratto da uno slogan che riporti l’espressione “la vera pizza napoletana”.
Tale espressione potrebbe quindi ingenerare confusione nel pubblico dei consumatori e conseguentemente favorire ingiustamente un’impresa piuttosto che un’altra qualora utilizzata in assenza dei requisiti previsti per la “vera pizza napoletana” certificata STG.
Lo scopo della certificazione è quindi quello di tutelare i produttori e garantire l’equilibrio di mercato.
I requisiti di accesso alla tutela STG e il “Disciplinare” della pizza napoletana
Un nome può beneficiare della registrazione come STG se designa un prodotto ottenuto con un metodo di produzione che corrisponde a una pratica tradizionale e/o se è ottenuto con materie prime o ingredienti utilizzati tradizionalmente (art. 18).
Al fine di ottenere la registrazione, deve essere presentato un cd. “Disciplinare” che, ai sensi dell’art. 19, deve indicare:
- il nome per cui è proposta la registrazione (nel nostro caso, per l’appunto, “pizza napoletana”);
- la descrizione del prodotto, comprese le principali caratteristiche fisiche, chimiche, a dimostrazione della specificità del prodotto;
- gli elementi fondamentali che ne attestino il carattere tradizionale.
I requisiti della pizza napoletana STG riguardano, come è ovvio, le materie prime, la forma e il sapore, nonché l’impasto e la cottura.
Quanto alle materie prime esse sono la farina di grano tenero, il lievito di birra, acqua naturale potabile, pomodori pelati e/o pomodorini freschi, sale marino o sale da cucina, olio d’oliva extravergine. Altri ingredienti che possono rientrare nella lista sono: aglio e origano, Mozzarella di Bufala Campana Dop, basilico fresco e Mozzarella Stg.
Non sono però solo gli ingredienti a identificare il prodotto.
Il Disciplinare prevede infatti che la forma debba essere “ondeggiante”, che il diametro non superi i 35 cm e che il bordo rialzato non superi i 2 cm di altezza.
Altri requisiti riguardano invece la consistenza, prevedendo che l’impasto debba risultare morbido, elastico e non appiccicoso, e il sapore, che deve essere “sapido” e mescolato all’acidulo tipico del pomodoro e della mozzarella cotta.
Quanto alla lievitazione deve essere di due ore nella prima fase e, dopo la formazione dei panetti, altre 4-6 ore. Con riferimento alla cottura invece, il pizzaiolo deve utilizzare una pala di legno e adoperare esclusivamente forni a legna a 485° e il tempo non deve superare i 60-90 secondi.
Conclusioni
Grazie all’iscrizione nel registro delle SGT è adesso possibile inibire l’utilizzo dell’espressione “pizza napoletana” a chiunque non faccia pizze secondo le regole del suddetto Disciplinare, con sanzioni (anche pesanti) a carico dei trasgressori.
Ciò potrebbe portare alla conseguenza (quasi paradossale) che molte delle pizzerie storiche napoletane potrebbero essere costrette a rimuovere dalle insegne e dai menù la denominazione “pizza napoletana”.
Alla luce della nuova normativa, pertanto, tutti i pizzaioli e ristoranti italiani (e anche italiani all’estero) dovranno prestare particolare attenzione a come identificare le proprie pizze e la propria attività al fine di evitare le sanzioni previste dalla normativa in caso di violazione.
Non solo. Un altro aspetto a cui bisogna prestare particolare attenzione riguarda i diritti di proprietà intellettuale.
In particolare, in sede di registrazione di un marchio è indispensabile, non solo che un marchio non entri in conflitto con marchi anteriori identici e/o simili, ma anche con tutti i termini che hanno la certificazione STG (o DOP, IGP), come appunto la denominazione “pizza napoletana”.
Pur potendo comportare diverse limitazioni per tutti quei soggetti che non si sono mai preoccupati di adeguare il proprio prodotto alle tradizionali caratteristiche della pizza napoletana, riteniamo che il nuovo Regolamento sia condivisibile in quanto conferisce finalmente la giusta tutela ad un prodotto tipico e apprezzato in tutto il mondo, nonché al suo vasto pubblico di consumatori.
Droni e Privacy: un binomio imperfetto
Se fino a qualche anno fa l’uso dei droni era appannaggio dei video editor e del settore militare, oggigiorno, complice l’evoluzione tecnologica e l’abbassamento dei costi, questi piccoli aeromobili dalle dimensioni compatte rappresentano sempre più spesso dispositivi ludici grazie ai quali effettuare suggestive riprese di paesaggi.
Proprio grazie alla loro capacità di mostrare il mondo come non si era mai visto, da una prospettiva originale ed insolita, l’inconfondibile ronzio percepibile a decine di metri di distanza inizia a sentirsi anche nelle città, sulle spiagge o semplicemente in occasione di eventi organizzati.
La dotazione presente in qualsiasi drone include almeno un GPS ed una videocamera anche se la configurazione può diventare più ricca ove richiesto; difatti, nei droni più evoluti figurano anche telecamere con visori notturni, scanner 3D, termocamere, dispositivi WiFi e Bluetooth e così via.
Dunque, la domanda che tutti si pongono è fino a che punto l’uso di tali strumenti è lecito? La risposta non è scontata soprattutto se si considera che un drone è dotato non solo di videocamera, ma anche di memoria interna capace di raccogliere e conservare i dati e le informazioni relativi a persone fisiche che si trovano nell’area sorvolata.
La natura di tali mezzi e le avanzate tecnologie di cui sono dotati, li rende strumenti intrinsecamente idonei ad acquisire dati anche particolarmente “sensibili”. È chiaro che un uso poco accorto del drone, anche se solo per finalità ludiche, potrebbe entrare in contrasto con il diritto alla riservatezza delle persone riprese e della privacy.
Per rispondere a tale quesito bisogna innanzitutto esaminare il Regolamento Europeo 2016/679, conosciuto anche con l’acronimo GDPR.
Non tutti i droners sono esperti di privacy per cui potrebbe accadere che chi decida di utilizzarne uno, anche in un momento di libero svago e divertimento tra amici, ignori di dover applicare determinate norme e buone pratiche per evitare una violazione della normativa sulla privacy, ma non solo. Infatti, è bene tenere a mente che un uso incauto dello stesso potrebbe avere dei risvolti anche in ambito civile, oltre che penale.
Al riguardo, quindi, entrano in gioco due differenti questioni: quella della riservatezza delle persone riprese (sotto il profilo dell’acquisizione dei dati) e quella della protezione dei dati personali (sotto il profilo del successivo utilizzo).
Come noto, è, in primo luogo, necessario sapere che non può essere violato il diritto alla riservatezza di terze persone effettuando dall’alto riprese di private dimore o di luoghi chiusi al pubblico. Tale infrazione, infatti, legittima il soggetto leso ad obbligare il videomaker a distruggere le immagini raccolte impedendogli di effettuare ulteriori video, fermo restando la facoltà di agire in giudizio per ottenere il risarcimento del danno eventualmente sofferto (Art. 10 del Codice civile).
Il tema diventa maggiormente delicato quando non ci limitiamo ad effettuare filmati, ma decidiamo anche di diffondere le riprese e immagini ormai in nostro possesso postandole, ad esempio, sui nostri social network o in Internet. In tali ipotesi è indispensabile adottare tutte le misure imposte dal GDPR al fine di ridurre al minimo il rischio di incorrere nelle sanzioni, talvolta anche pesanti, che il Garante della Privacy potrebbe infliggere.
Innanzitutto, il Garante della privacy sottolinea che quando si fa volare un drone munito di fotocamera in un luogo pubblico come parchi, strade o spiagge, bisogna evitare di invadere gli spazi personali e l'intimità delle persone o, comunque, evitare di captare immagini contenenti dati personali come targhe di automobili o indirizzi di residenza.
Non solo. Qualora, infatti, si decidesse di divulgare le riprese, come prima cosa, è indispensabile raccogliere il consenso alla pubblicazione delle immagini da parte dei soggetti coinvolti che costituisce la base legale per renderne lecita la propagazione (Art. 6 GDPR). Tale consenso non è richiesto solo se, per la distanza delle riprese, i volti dei soggetti non sono riconoscibili o, comunque, gli stessi vengano oscurati.
Sempre il GDPR considera lecite anche le riprese necessarie all’esecuzione del contratto concluso con la persona che acquisti un prodotto consegnato a domicilio dal venditore per mezzo di un drone.
I piloti, inoltre, dovranno sempre osservare i principi sul trattamento dei dati enunciati dall’art. 5 del GDPR che esige il rispetto della adeguatezza, pertinenza e non eccedenza dei dati con riguardo alle finalità per cui sono stati catturati. Il Droner, pertanto, nel rispetto dei suddetti principi dovrebbe favorire una tecnologia proporzionata e prediligere tecniche di anonimizzazione che, attraverso sfocature o altri effetti grafici, consentano di oscurare automaticamente le immagini al fine di evitare l’identificazione delle persone laddove non sia necessario.
Per i piloti più scaltri si sottolinea che è estremamente rischioso giustificare la raccolta di dati sensibili invocando la non applicabilità del GDPR al trattamento dei dati personali “effettuati da una persona fisica per l’esercizio di attività̀ a carattere esclusivamente personale o domestico” (Art. 3 GDPR). I giudici della Corte di Giustizia dell’Unione Europea, infatti, interpretano tale norma restrittivamente e, pertanto, in via generale tale articolo non costituisce una esenzione dal GDPR (Sentenza della Quarta Sezione dell’11 dicembre 2014, František Ryneš contro Úřad pro ochranu osobních údajů).
Non va tralasciato, infine, l’aspetto penale nel quale può ricadere il pilota che decida di effettuare un uso più sfrontato del drone procurandosi riprese, visive o sonore, contenenti dati attinenti alla quotidianità delle persone che si svolgono nelle dimore private. Il rischio è quello di essere punito con la reclusione da sei mesi a quattro anni (Artt. 614 e 615 bis del Codice penale).
Anche in tale ipotesi la legge è più severa quando le riprese sono indebite intendendo come tali tutte quelle effettuate senza il consenso della persona ripresa. Emerge ancora una volta, dunque, l’importanza dell’acquisizione del consenso che potrebbe essere per il Droner l’unico esimente per scongiurare una condanna certa, unitamente a ragioni oggettive di ordine superiore che giustifichino tali riprese (per esempio, esigenze di ordine pubblico).
In conclusione, dunque, si può evidenziare come la tutela della privacy va attentamente valutata in ragione delle enormi potenzialità tecnologiche dei droni e degli interessi economici sottostanti. È facile ipotizzare che il crescente impiego dei droni in attività a forte impatto sociale renderanno sempre più vivace e centrale il tema della tutela della privacy delle persone. Buon senso e prudenza, in fondo, rimangono i migliori principi nell’impiego responsabile delle nuove tecnologie. Sarebbe sufficiente richiamarsi ad essi per risolvere molti dubbi e controversie.
Proprietà Intellettuale sui Meme
Chi di noi non ha mai ricevuto un’immagine o una fotografia di un personaggio (anche rinomato), accompagnata da una didascalia capace di strapparci un sorriso?
Ebbene, questi elementi vengono comunemente definiti “Meme”[1] ed hanno la capacità di diffondersi rapidamente sfruttando mezzi di comunicazione di massa.
Al di là della capacità comunicativa di tali Meme, c’è da domandarsi se gli stessi ricevano una qualche forma di protezione legale ovvero se siano da ritenersi di dominio pubblico e dunque liberamente utilizzabili dagli utenti del web. Per rispondere a tale quesito, è prima di tutto opportuno interrogarsi sull’inquadramento normativo dei Meme.
Come detto, il Meme non è altro che una rielaborazione in chiave ironica di un’opera originale (di norma fotografica) già protetta dal diritto d’autore. Ne deriva quindi che il Meme – se dotato del grado di creatività richiesto dalla legge sul diritto d’autore - può considerarsi un’opera derivata (ex art. 4 L. 22 aprile 1941 n. 633[2]), vale a dire un’opera creata sulla base di un’opera preesistente.
Tutto questo comporta che il titolare dei diritti sull’opera principale – quindi sulla fotografia o immagine creata - avrà il diritto di rielaborarla e di creare opere derivate, tra cui appunto i “Meme”, e di sfruttarle con fini commerciali.
Inoltre, sulla base delle considerazioni di cui sopra, chiunque avesse intenzione di creare e/o sfruttare commercialmente dei “Meme” dovrà previamente ottenere il consenso dal titolare dell’opera originaria e quindi richiedere una licenza dietro pagamento di un corrispettivo.
Ma allora c’è da domandarsi per quale motivo tali Meme circolano sul web e/o via Whatsapp liberamente e senza alcuna licenza?
Per quanto concerne l’Unione Europea, la risposta a tale quesito va ricercata nella direttiva europea n. 2019/790 sul diritto d'autore nel mercato unico digitale che ha l'obiettivo di armonizzare il quadro normativo comunitario del diritto d'autore nell'ambito delle tecnologie digitali e in particolare di Internet.
In particolare, l’art. 17, comma VII, di tale direttiva recita quanto segue: “(…) gli Stati membri provvedono affinché gli utenti in ogni Stato membro possano avvalersi delle seguenti eccezioni o limitazioni esistenti quando caricano e mettono a disposizione contenuti generati dagli utenti tramite i servizi di condivisione di contenuti online:
- a) citazione, critica, rassegna;
- b) utilizzi a scopo di caricatura, parodia o pastiche.”
Viene dunque espressamente previsto che gli Stati Membri possano usufruire ed applicare – entro determinati limiti – eccezioni che consentano la libera utilizzabilità di contenuti protetti dal diritto d’autore via internet.
La ratio del citato articolo è evidentemente quella di concedere una discreta libertà per gli utenti del web di poter condividere contenuti digitali, anche protetti dal diritto d’autore, con la sola condizione che tale utilizzo non abbia neppure indirettamente un fine / scopo di lucro, ma solo uno scopo satirico.
In Italia, il diritto di satira, pur non essendo espressamente contemplato dalla legge, ha trovato nel tempo diffusa applicazione in giurisprudenza[3]. Il Meme può, dunque, essere considerato quale espressione del diritto di satira che, tuttavia, deve essere esercitato entro un perimetro ben definito e cioè in totale assenza di scopo di lucro.
Questo in quanto il titolare dei diritti sul Meme detiene tutti i diritti di sfruttamento economico sull’opera stessa e, di conseguenza, può impedire a chiunque di ottenere profitti dal loro utilizzo. Non sono per questo motivo mancate le azioni legali promosse dai titolari dei loro diritti sui Meme, specialmente negli Stati Uniti[4].
In conclusione, in ragione della rapida evoluzione digitale e del mondo Internet cui stiamo assistendo, non può che essere accolto favorevolmente il descritto intervento del legislatore europeo che ha inteso facilitare lo scambio di contenuti tra gli internet- user e salvaguardare la loro libertà di espressione.
Tale direttiva europea sembra riuscita per il momento a garantire un giusto equilibrio tra la libertà di espressione degli utenti del web e la salvaguardia del diritto d’autore. Si auspica, a riguardo, che il legislatore nazionale segua tale direzione.
[1] “I memi digitali sono contenuti virali in grado di monopolizzare l’attenzione degli utenti sul web. Un video, un disegno, una foto diventa meme quando la sua «replicabilità», che dipende dalla capacità di suscitare un’emozione, è massima.” Questa la definizione di “Meme” fornita dal Vocabolario Treccani.
[2] “Senza pregiudizio dei diritti esistenti sull'opera originaria, sono altresì protette le elaborazioni di carattere creativo dell'opera stessa, quali le traduzioni in altra lingua, le trasformazioni da una in altra forma letteraria od artistica, le modificazioni ed aggiunte che costituiscono un rifacimento sostanziale dell'opera originaria, gli adattamenti, le riduzioni, i compendi, le variazioni non costituenti opera originale.”
[3] Cassazione n° 23144/2013: […] la satira costituisce una modalità corrosiva e spesso impietosa del diritto di critica e può realizzarsi anche mediante l’immagine artistica, come nel caso di vignette o caricature, consistenti nella consapevole ed accentuata alterazione dei tratti somatici, morali e comportamentali delle persone raffigurate. Si differenzia dalla cronaca per essere sottratta al parametro della verità in quanto esprime, mediante il paradosso e la metafora surreale, un giudizio ironico su un fatto, rimanendo assoggettata al limite della continenza e della funzionalità delle espressioni o delle immagini rispetto allo scopo perseguito. Nella formulazione del giudizio critico possono quindi utilizzarsi espressioni di qualsiasi tipo, anche lesive della reputazione altrui, purché siano strumentalmente collegate alla manifestazione di un dissenso ragionato dall’opinione o comportamento preso di mira e non si risolvano in un’aggressione gratuita e distruttiva dell’onore e della reputazione del soggetto interessato.”
[4] Si ricorda a tal proposito il caso di Pepe the Frog, un personaggio cartonato creato dal fumettista Matt Furie. L’autore intraprese un’azione legale nel 2014 nei confronti del sito web Infowars e al suo proprietario per aver utilizzato l’immagine allo scopo di realizzare Meme dallo sfondo sessista, xenofobo e addirittura razzista.
L’intelligenza artificiale viaggia veloce con il pilota automatico
Guida autonoma, profilazione, social scoring, bias, chatbot e riconoscimento biometrico sono alcuni dei termini entrati nella nostra quotidianità. Essi si riferiscono alle tecnologie di intelligenza artificiale (“IA”), vale a dire le abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività[1]. Oggi più che mai l’IA ha un forte impatto sulle persone e la loro sicurezza. Si pensi solamente al caso che ha coinvolto in Australia il conducente della vettura Tesla “Model 3” che ha investito un’infermiera di 26 anni[2] con il pilota automatico attivo.
In relazione al tragico episodio poc’anzi descritto viene spontaneo domandarsi chi debba rispondere delle gravi condizioni della povera infermiera. Il conducente, nonostante non fosse tecnicamente al volante al momento dell’incidente? Il produttore dell’autovettura che concretamente ha investito l’infermiera? O ancora il produttore / sviluppatore del software che fornisce le istruzioni all’autovettura su come comportarsi quando sul proprio tragitto compare un essere umano?
Per il momento il conducente dell’autovettura – pur essendo stato rilasciato dalle autorità mediante versamento di una cauzione – è stato accusato di aver causato il sinistro stradale. Ciò non toglie che – qualora tale accusa verrà confermata all’esito del processo che è ancora pendente – il conducente avrà poi il diritto di rivalersi per gli eventuali danni sul produttore / sviluppatore di IA.
Il caso poc’anzi descritto merita certamente un approfondimento, specialmente per quanto concerne il panorama europeo in tema di intelligenza artificiale.
È bene da subito evidenziare che, malgrado il progressivo aumento dell’IA nei più disparati ambiti della nostra vita quotidiana[3], ad oggi manca una legge, direttiva o regolamento relativa alla responsabilità civile derivante dall’utilizzo dell’IA.
A livello UE, la Commissione Europea sembra aver per prima affrontato seriamente il tema della responsabilità civile derivante da sistemi di intelligenza artificiale ed averne evidenziato la lacunosità della relativa disciplina, pubblicando, tra le altre cose, una proposta di Regolamento che stabilisce regole armonizzate sull’IA[4].
Da tale proposta di Regolamento si ricavano, anche per analogia, tre diverse definizioni di responsabilità civile: responsabilità da prodotto difettoso, responsabilità del produttore e responsabilità vicaria.
Nel caso in esame rileva la responsabilità da prodotto difettoso, che muove dall’assunto secondo cui la macchina è priva di personalità giuridica[5].
Dunque, com’è ovvio, qualora un sistema di IA cagioni un danno a terzi, la responsabilità dello stesso dovrà essere imputata al produttore della stessa e non invece al dispositivo / sistema che la utilizza.
Tornando al caso in esame, spetterebbe dunque allo sviluppatore del sistema di IA (i.e. l’azienda americana Tesla) risarcire l’infermiera ferita, qualora quest’ultima sia in grado di provare il nesso fra danno / lesioni causate e il difetto del sistema di IA. Dal canto suo, lo sviluppatore del sistema di IA potrebbe escludere il danno solo qualora sia in grado di provare il c.d. “rischio da sviluppo”, vale a dire fornire la prova che il difetto riscontrato era totalmente imprevedibile sulla base delle circostanze e modalità in cui è avvenuto l’incidente.
Taluni hanno osservato sul punto che il produttore sarebbe in realtà in grado di controllare il sistema di IA a distanza e prevedere, grazie agli algoritmi, condotte non programmate al momento della sua commercializzazione[6]. Peraltro, come sappiamo, gli algoritmi presenti nei sistemi di IA installati nelle autovetture sono in grado di raccogliere nel tempo informazioni e quindi auto apprendere e studiare particolari condotte e/o movimenti degli esseri umani, riducendo sempre più il rischio di incidenti.
Sotto questo profilo, il produttore avrebbe quindi un onere ancora più stringente per escludere ogni ipotesi di responsabilità e cioè quello di dimostrare di aver adottato tutte le misure di sicurezza idonee ad evitare il danno.
A tal proposito, il Parlamento europeo ha peraltro elaborato la “Risoluzione recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale” che introduce la categoria delle cd. “IA ad alto rischio”, ossia quei sistemi di intelligenza artificiale operanti in contesti sociali particolari quali, ad esempio, l’educazione, ovvero quelle tecnologie che raccolgono dati particolari (come avviene nel caso del riconoscimento biometrico), la selezione del personale (che rischierebbe di ricadere nel social scoring o in altri atti discriminatori) o, ancora, le tecnologie usate nell’ambito della sicurezza e della giustizia (attraverso le quali potrebbe verificarsi il rischio di bias: pregiudizi della macchina sul soggetto giudicato). È stato osservato che per tali sistemi di “IA ad alto rischio” sussiste in caso di evento dannoso una responsabilità oggettiva del produttore, salvo che quest’ultimo sia in grado di dimostrare la sussistenza di un caso di forza maggiore.
In conclusione, malgrado i primi sforzi profusi da parte prima della Commissione e poi dal Parlamento Europeo in merito alla disciplina dei sistemi di IA, restano numerosi interrogativi ancora da risolvere in merito ai profili di responsabilità ad essi connessi.
Ad esempio, bisognerebbe meglio comprendere come vadano inquadrati e disciplinati i sistemi di IA non ritenuti ad “alto rischio”, quali appunto quelli di guida autonoma di cui si è discusso nel presente articolo. O ancora, quale soglia di responsabilità applicare se in un futuro non lontano un dispositivo di IA potrà essere equiparato, quanto a capacità di ragionamento, ad un essere umano (come di recente rivendicato da un dipendente di Google in riferimento al suo sistema di IA[7]).
Certo è che, come spesso capita per qualsiasi innovazione tecnologica, solo una significativa integrazione e adozione nella nostra società dei sistemi di intelligenza artificiale riuscirà a delineare ipotesi concrete di responsabilità e applicabili in contesti di ordinaria operatività.
Si auspica in ogni caso che il citato Regolamento – la cui data di entrata in vigore non è ancora nota – riuscirà a fornire una disciplina che sia più completa possibile e che riduca soprattutto i rischi e le responsabilità degli utilizzatori dei sistemi di IA ed aumenti, dall’altra parte, gli oneri a carico dei costruttori degli stessi per garantirne la sicurezza.
[1] https://www.europarl.europa.eu/news/it/headlines/society/20200827STO85804/che-cos-e-l-intelligenza-artificiale-e-come-viene-usata
[2] https://www.drive.com.au/news/melbourne-hit-and-run-blamed-on-tesla-autopilot-could-set-legal-precedent-for-new-tech/
[3] Considerando (2), Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[4] Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[5] Barbara Barbarino, Intelligenza artificiale e responsabilità civile. Tocca all’Ue, Formiche.net, 15/05/2022
[6] Ut supra nota 5
[7] https://www.theguardian.com/technology/2022/jun/12/google-engineer-ai-bot-sentient-blake-lemoine
Smart contracts
Si sente spesso parlare di “smart contract”, ma non è sempre chiara l’utilità e gli ambiti di applicazione dei medesimi.
Partiamo col dire che, in breve, lo smart contract non è altro che un protocollo di operazioni computerizzato che esegue i termini e le condizioni di un contratto. Lo scopo di tali strumenti è quello di automatizzare e semplificare alcuni processi.
Si pensi ad esempio al caso delle polizze assicurative per eventuali ritardi dei voli aerei; normalmente, al verificarsi dell’evento assicurato (i.e. il ritardo), l’assicurato deve rivolgersi alla compagnia assicurativa al fine di ricevere, all’esito dell’istruttoria e salvo contestazioni, l’indennizzo previsto con tempi variabilmente lunghi.
Lo scopo dello smart contract in questo caso è quello di automatizzare il processo di denuncia del danno e liquidazione dell’indennizzo. In concreto, assicurato e assicuratore negoziano i termini del contratto (ad es., la gravità del ritardo, l’entità del ristoro, etc), e poi traducono le clausole negoziate in istruzioni informatiche (algoritmi), che vengono “attivate” in maniera automatica al verificarsi dell’evento. Semplificando, l’indennizzo arriverà dunque automaticamente sul conto dell’assicurato non appena l’informazione relativa al ritardo dell’aereo verrà registrata dallo smart contract.
Tuttavia, affinché lo smart contract realizzi l’effetto di automaticità ricercato, è necessario che venga comunicato il verificarsi dell’evento dedotto in contratto, vale a dire il ritardo dell’aereo. Senza questo fondamentale passaggio, infatti, le clausole non potrebbero attivarsi e resterebbero solamente una linea di codice su un dispositivo isolato. Proprio per tale motivo, l’affidabilità della fonte di informazioni cui viene legata l’esecuzione delle clausole è un aspetto cruciale nella fase di negoziazione tra le parti, poiché una volta selezionata non sarà più possibile contestarne l’affidabilità e l’imparzialità nel corso del rapporto.
Una volta che la fase di negoziazione si è conclusa, si pone poi il tema della correttezza dell’implementazione dello smart contract e della sua verificabilità. Per diverso tempo, infatti, la diffusione su larga scala di questi strumenti è stata frenata dalla mancanza di un terzo intermediario che certificasse l’effettiva rispondenza delle linee di codice – la cui scrittura è necessariamente affidata ad un tecnico – alla volontà delle parti, così come l’inalterabilità delle istruzioni nel tempo e la loro pronta verificabilità da tutti i soggetti interessati. Questa funzione, che nei contratti tradizionali è svolta da figure come avvocati e notai, i quali garantiscono con il proprio operato l’ufficialità di quanto pattuito e la tutela degli interessi dei propri assistiti, di per sé è estranea al mondo degli algoritmi.
Quanto sopra, tuttavia, è cambiato con l’avvento della blockchain. Quest’ultima, infatti, è un registro di informazioni raggruppate in “blocchi” che è quasi impossibile alterare e che è accessibile potenzialmente a qualunque soggetto interessato a verificarne il contenuto.
Inserendo lo smart contract in un blocco della catena tramite il versamento di una “commissione” in criptovaluta, si realizza dunque il duplice risultato della verificabilità delle informazioni inserite (che quindi vengono sottratte all’esclusiva sfera di controllo del programmatore) e della certezza di tali informazioni, che non possono essere alterate e manipolate ad insaputa di una delle parti. In sostanza, la blockchain svolge la funzione di un notaio digitale, archiviando e cristallizzando la volontà delle parti al momento della stipula del contratto. Successivamente, al verificarsi dell’evento ivi dedotto, i c.d. “oracle” – blocchi che servono a trasmettere le informazioni provenienti dal mondo alla blockchain – lo comunicano al contratto registrato, il quale eseguirà le istruzioni per cui è stato programmato.
Oltre al campo assicurativo, altri ambiti in cui questi strumenti possono trovare applicazione sono l’M&A – si pensi ad esempio alla possibilità di ottenere immediatamente l’accredito delle somme presenti su un conto escrow al verificarsi dell’evento dedotto nell’atto di acquisizione – nonché l’ambito finanziario, dove il grado di informatizzazione è già molto elevato e dove le informazioni rilevanti già vengono scambiate attraverso applicazioni informatiche che hanno un effetto immediato sul valore dei titoli. A titolo di esempio, il verificarsi di un evento bellico in un dato Paese provoca quasi contestualmente un crollo del valore dei relativi titoli di stato, così come le dichiarazioni dei presidenti delle banche centrali vengano immediatamente registrati dal sistema finanziario risollevando o deprimendo l’andamento della borsa internazionale nell’arco di una giornata.
Dagli esempi riportati sopra si intuisce l’indubbia utilità degli smart contract in taluni ambiti, sebbene sia ancora allo stato prematuro affermare che essi sono destinati a sostituire i contratti “tradizionali”.
Questo perché non tutte le clausole di un contratto possono essere applicate e interpretate attraverso automatismi (si pensi alle clausole che rinviano agli usi), né tutti i contratti prevedono obbligazioni che possono essere eseguite da un computer. Basti pensare alle clausole che subordinano il rinnovo del contratto al superamento di un periodo prova – necessariamente legato anche a valutazioni di natura personale non sempre codificabili ex ante – ovvero ad eventi di forza maggiore che per loro natura non possono essere disciplinati ab origine.
A ciò si deve aggiungere che non è ancora chiaro come sia possibile modificare uno smart contract che contenga degli errori o che non corrisponda più esattamente alla volontà delle parti, specie dal momento della sua registrazione su blockchain. Il paradosso che si verrebbe a creare in tali casi sarebbe l’esecuzione automatica e potenzialmente “infinita” di un assetto di interessi non più gradito agli stessi contraenti. Anche tale aspetto rende poco probabile che gli smart contract possano essere utilizzati per regolare ad esempio rapporti di durata, proprio perché l’intrinseca incertezza collegata al mutare delle condizioni nel tempo risulterebbe incompatibile con la determinazione ex ante di ogni possibile conseguenza contrattuale.
Ferme tali importanti considerazioni, c’è tuttavia da evidenziare il grande vantaggio in termini di abbattimento dei costi di transazione che una diffusa adozione di questa innovazione tecnologica può portare. Questo soprattutto in tutti quei casi dove le esigenze da soddisfare non richiedono una complessa negoziazione; non è quindi inverosimile che gli smart contract inizino ad essere implementati in tutti quei casi dove le parti prediligono la rapidità e la certezza dell’esecuzione automatica di un’obbligazione rispetto alla rinegoziabilità o alla flessibilità del rapporto.
In conclusione, non è in discussione l’utilità e il risparmio economico che si possono ottenere attraverso l’utilizzo degli smart contract. Certo è che, come spesso capita per qualsiasi innovazione tecnologica, tali vantaggi saranno concretamente percepiti solo quando vi sarà una significativa integrazione e adozione nella nostra società di tali strumenti.
Sin d’ora è possibile però affermare che gli smart contract troveranno ampio spazio e applicazione specialmente con riferimento a quei rapporti standard dove è richiesto un contributo minimo in termini di creatività e personalizzazione delle soluzioni contrattuali.
Sotto diverso profilo, una concreta sfida per i professionisti del diritto potrebbe essere quella di saper integrare tali strumenti all’interno dei contratti tradizionali al fine di migliorare e potenziare l’efficacia della tutela legale garantita. Questo sì potrebbe essere un obiettivo realmente “smart” da raggiungere.
Libero trasferimento dei dati personali verso la Repubblica di Corea: in arrivo una storica decisione di adeguatezza
Il Comitato europeo per la protezione dei dati personali (“European Data Protection Board”) ha emanato il proprio parere in merito alla bozza di decisione di adeguatezza pubblicata dalla Commissione Europea lo scorso 16 giugno 2021 (disponibile qui) relativa al trasferimento dei dati verso la Repubblica di Corea.
Si tratta di una decisione che, una volta entrata in vigore, permetterà agli operatori economici del mercato europeo – pensiamo, in primis, ai fornitori di servizi di comunicazione elettronica, ai cloud provider e alle multinazionali - di trasferire liberamente i dati personali dall’Europa alla Repubblica di Corea senza dover adottare né le garanzie adeguate (ad es., “Standard Contractual Clauses”) né le condizioni supplementari (ad es. il consenso degli interessati) richieste dal capo V del Regolamento UE n. 679/2016 (“GDPR”).
Infatti, ai sensi degli artt. 44 e ss. del GDPR, i trasferimenti di dati personali verso i Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia espressamente riconosciuta tramite decisione della Commissione.
Esaminiamo quindi in dettaglio le osservazioni del Comitato europeo contenute nel summenzionato parere.
In primo luogo, si è osservato come il quadro normativo in materia di protezione dei dati personali vigente in Repubblica di Corea sia sostanzialmente allineato a quello europeo, soprattutto per quanto concerne le principali definizioni presenti nel testo di legge (“dati personali”, “trattamento” e “interessato”), i requisiti di liceità del trattamento, i principi generali e le misure di sicurezza.
Questo è stato possibile non solo grazie alla presenza di un’efficace legge privacy (i.e., “Personal Information Protection Act” o “PIPA” entrato in vigore nel 2011) bensì anche in ragione di una serie di “notifiche” (tra cui la “Notifica n. 2021-1”) emanate dall’Autorità garante per la protezione dei dati personali coreana (i.e., “Personal Information Protection Commissioner” o “PIPC”) che hanno il merito di interpretare e rendere agevolmente comprensibili le disposizioni del PIPA.
Inoltre, come rilevato dal Comitato, la Repubblica di Corea è parte di diversi accordi internazionali che garantiscono il diritto alla riservatezza dei dati personali (tra cui la “Convenzione internazionale sui diritti civili e politici”, la “Convenzione sui diritti delle persone con disabilità” e la “Convenzione ONU sui diritti dell’infanzia”), il che fornisce un’ulteriore conferma dell’attenzione che la Repubblica di Corea rivolge ormai da diversi anni alla protezione delle informazioni personali.
L'analisi del Comitato si è poi focalizzata su alcuni aspetti chiave del PIPA che differiscono leggermente rispetto a quanto previsto dal GDPR e che richiedono quindi maggiore attenzione - quali, in particolare, l’assenza di un generale diritto degli interessati di revocare il consenso fornito, ad esempio, per attività di marketing.
Secondo il Comitato, nonostante l’art. 37 del PIPA conferisca agli interessati il diritto di chiedere la “sospensione” del trattamento dei propri dati personali – diritto esercitabile anche in caso di direct marketing, come espressamente chiarito dal Considerando 79 alla decisione di adeguatezza della Commissione europea - nel PIPA il diritto alla revoca del consenso viene menzionato solo in due specifici casi:
- relativamente ai trasferimenti di dati personali effettuati nell’ambito di operazioni societarie straordinarie (i.e., fusioni, acquisizioni, ecc.);
- con riferimento al trattamento dei dati per finalità di marketing da parte dei fornitori di servizi di comunicazione elettronica.
Il Comitato ha quindi ritenuto necessario richiamare l’attenzione della Commissione sui summenzionati aspetti affinché analizzi più approfonditamente le conseguenze che, alla luce del quadro normativo coreano, potrebbe comportare per gli interessati la mancanza di un simile diritto e chiarisca, nella decisione di adeguatezza, l’effettiva portata del summenzionato diritto alla “sospensione” del trattamento.
In secondo luogo, il Comitato ha rilevato che, ai sensi dell’art. 58 del PIPA, una parte sostanziale di tale testo di legge – compresi i capi III, IV e V, che disciplinano rispettivamente i principi generali per il trattamento dei dati, le misure di sicurezza e i diritti degli interessati – non si applica a tutta una serie di trattamenti di dati personali (tra i quali rientrano quelli necessari per far fronte ad urgenti esigenze di tutela della sicurezza e della salute pubblica).
Il Comitato osserva che il termine “urgenti” presente nel PIPA esprime un concetto estremamente ampio che necessita di essere limitato e contestualizzato, anche con l’ausilio di esempi pratici, al fine di non compromettere la riservatezza dei dati degli interessati.
Inoltre, il Comitato, alla luce dell’attuale contesto emergenziale provocato dalla pandemia da Covid-19, ha richiamato l’attenzione della Commissione sulla necessità di garantire un livello di protezione adeguato anche ai dati personali trasferiti in Repubblica di Corea per finalità connesse alla tutela della salute pubblica.
Ciò in quanto le informazioni “sensibili” relative ai cittadini europei (ad es., lo stato di vaccinazione), una volta giunte in Repubblica di Corea, dovrebbero ricevere un livello di protezione almeno pari a quello previsto dal GDPR. In questo senso, il Comitato ha quindi invitato la Commissione a monitorare attentamente l’applicazione delle deroghe previse dall’art. 58 del PIPA.
Infine, il Comitato ha ritenuto opportuno focalizzare la propria attenzione sulla possibilità di accedere ai dati personali dei cittadini europei da parte delle autorità pubbliche coreane per finalità di sicurezza nazionale. A tal proposito, manca uno specifico obbligo in capo alle autorità coreane di informare gli interessati dell’avvenuto accesso ai loro dati personali, specie quando gli interessati non siano cittadini coreani.
Tuttavia, pur in assenza di tale obbligo, il bilanciamento tra le esigenze di tutela della sicurezza nazionale e la protezione dei diritti e delle libertà fondamentali degli interessati può rinvenirsi nella stessa legge coreana che tutela la riservatezza delle comunicazioni interpersonali (the “Communications Privacy Protection Act” – cfr. anche il Considerando 187 alla decisione di adeguatezza) ai sensi della quale l’accesso ai dati personali dei cittadini europei per finalità di sicurezza nazionale può essere effettuato solo in presenza di determinati presupposti di legge (ad es., qualora si tratti di comunicazioni intercorse tra “agenzie, gruppi o cittadini stranieri sospettati di essere coinvolti in attività che minaccino la sicurezza della nazione”).
Il Comitato europeo osserva che, ad ulteriore garanzia della riservatezza delle comunicazioni oggetto di accesso da parte delle autorità coreane, la costituzione sudcoreana sancisce principi essenziali in materia di protezione dei dati applicabili proprio a questo settore.
Alla luce del favorevole parere emesso dal Comitato europeo per la protezione dei dati personali è certamente auspicabile, oltre che probabile, l’adozione di una decisione di adeguatezza da parte della Commissione relativamente alla Repubblica di Corea.
In un’economia globale sempre più data driven basata sul valore economico delle informazioni personali e sullo scambio dei dati, tale decisione di adeguatezza aprirebbe le porte alla liberalizzazione degli scambi commerciali con l’oriente anche da un punto di vista privacy.
Un intervento normativo, quello oggetto del presente contributo, tanto dovuto quanto atteso, che si pone certamente sulla scia dell’“Accordo di libero scambio” tra UE e Corea del Sud in vigore dal 2011 che è stato in grado di aumentare esponenzialmente gli scambi bilaterali tra i due paesi (basti pensare che nel 2015 il valore commerciale delle transazioni si attestava intorno ai 90 miliardi di euro).
L’auspicio è naturalmente quello che, con il passare degli anni, le valutazioni di adeguatezza da parte della Commissione Europea abbiano ad oggetto sempre più ordinamenti in modo che il trasferimento internazionale di dati personali possa rappresentare un reale e concreto strumento in grado di favorire l’economia e l’innovazione in tutto il mondo.