L’intelligenza artificiale viaggia veloce con il pilota automatico

Guida autonoma, profilazione, social scoring, bias, chatbot e riconoscimento biometrico sono alcuni dei termini entrati nella nostra quotidianità. Essi si riferiscono alle tecnologie di intelligenza artificiale (“IA”), vale a dire le abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività[1]. Oggi più che mai l’IA ha un forte impatto sulle persone e la loro sicurezza. Si pensi solamente al caso che ha coinvolto in Australia il conducente della vettura Tesla “Model 3” che ha investito un’infermiera di 26 anni[2] con il pilota automatico attivo.

In relazione al tragico episodio poc’anzi descritto viene spontaneo domandarsi chi debba rispondere delle gravi condizioni della povera infermiera. Il conducente, nonostante non fosse tecnicamente al volante al momento dell’incidente? Il produttore dell’autovettura che concretamente ha investito l’infermiera? O ancora il produttore / sviluppatore del software che fornisce le istruzioni all’autovettura su come comportarsi quando sul proprio tragitto compare un essere umano?

Per il momento il conducente dell’autovettura – pur essendo stato rilasciato dalle autorità mediante versamento di una cauzione – è stato accusato di aver causato il sinistro stradale. Ciò non toglie che – qualora tale accusa verrà confermata all’esito del processo che è ancora pendente – il conducente avrà poi il diritto di rivalersi per gli eventuali danni sul produttore / sviluppatore di IA.

Il caso poc’anzi descritto merita certamente un approfondimento, specialmente per quanto concerne il panorama europeo in tema di intelligenza artificiale.

È bene da subito evidenziare che, malgrado il progressivo aumento dell’IA nei più disparati ambiti della nostra vita quotidiana[3], ad oggi manca una legge, direttiva o regolamento relativa alla responsabilità civile derivante dall’utilizzo dell’IA.

A livello UE, la Commissione Europea sembra aver per prima affrontato seriamente il tema della responsabilità civile derivante da sistemi di intelligenza artificiale ed averne evidenziato la lacunosità della relativa disciplina, pubblicando, tra le altre cose, una proposta di Regolamento che stabilisce regole armonizzate sull’IA[4].

Da tale proposta di Regolamento si ricavano, anche per analogia, tre diverse definizioni di responsabilità civile: responsabilità da prodotto difettoso, responsabilità del produttore e responsabilità vicaria.

Nel caso in esame rileva la responsabilità da prodotto difettoso, che muove dall’assunto secondo cui la macchina è priva di personalità giuridica[5].

Dunque, com’è ovvio, qualora un sistema di IA cagioni un danno a terzi, la responsabilità dello stesso dovrà essere imputata al produttore della stessa e non invece al dispositivo / sistema che la utilizza.

Tornando al caso in esame, spetterebbe dunque allo sviluppatore del sistema di IA (i.e. l’azienda americana Tesla) risarcire l’infermiera ferita, qualora quest’ultima sia in grado di provare il nesso fra danno / lesioni causate e il difetto del sistema di IA. Dal canto suo, lo sviluppatore del sistema di IA potrebbe escludere il danno solo qualora sia in grado di provare il c.d. “rischio da sviluppo”, vale a dire fornire la prova che il difetto riscontrato era totalmente imprevedibile sulla base delle circostanze e modalità in cui è avvenuto l’incidente.

Taluni hanno osservato sul punto che il produttore sarebbe in realtà in grado di controllare il sistema di IA a distanza e prevedere, grazie agli algoritmi, condotte non programmate al momento della sua commercializzazione[6]. Peraltro, come sappiamo, gli algoritmi presenti nei sistemi di IA installati nelle autovetture sono in grado di raccogliere nel tempo informazioni e quindi auto apprendere e studiare particolari condotte e/o movimenti degli esseri umani, riducendo sempre più il rischio di incidenti.

Sotto questo profilo, il produttore avrebbe quindi un onere ancora più stringente per escludere ogni ipotesi di responsabilità e cioè quello di dimostrare di aver adottato tutte le misure di sicurezza idonee ad evitare il danno.

A tal proposito, il Parlamento europeo ha peraltro elaborato la “Risoluzione recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale” che introduce la categoria delle cd. “IA ad alto rischio”, ossia quei sistemi di intelligenza artificiale operanti in contesti sociali particolari quali, ad esempio, l’educazione, ovvero quelle tecnologie che raccolgono dati particolari (come avviene nel caso del riconoscimento biometrico), la selezione del personale (che rischierebbe di ricadere nel social scoring o in altri atti discriminatori) o, ancora, le tecnologie usate nell’ambito della sicurezza e della giustizia (attraverso le quali potrebbe verificarsi il rischio di bias: pregiudizi della macchina sul soggetto giudicato). È stato osservato che per tali sistemi di “IA ad alto rischio” sussiste in caso di evento dannoso una responsabilità oggettiva del produttore, salvo che quest’ultimo sia in grado di dimostrare la sussistenza di un caso di forza maggiore.

In conclusione, malgrado i primi sforzi profusi da parte prima della Commissione e poi dal Parlamento Europeo in merito alla disciplina dei sistemi di IA, restano numerosi interrogativi ancora da risolvere in merito ai profili di responsabilità ad essi connessi.

Ad esempio, bisognerebbe meglio comprendere come vadano inquadrati e disciplinati i sistemi di IA non ritenuti ad “alto rischio”, quali appunto quelli di guida autonoma di cui si è discusso nel presente articolo. O ancora, quale soglia di responsabilità applicare se in un futuro non lontano un dispositivo di IA potrà essere equiparato, quanto a capacità di ragionamento, ad un essere umano (come di recente rivendicato da un dipendente di Google in riferimento al suo sistema di IA[7]).

Certo è che, come spesso capita per qualsiasi innovazione tecnologica, solo una significativa integrazione e adozione nella nostra società dei sistemi di intelligenza artificiale riuscirà a delineare ipotesi concrete di responsabilità e applicabili in contesti di ordinaria operatività.

Si auspica in ogni caso che il citato Regolamento – la cui data di entrata in vigore non è ancora nota – riuscirà a fornire una disciplina che sia più completa possibile e che riduca soprattutto i rischi e le responsabilità degli utilizzatori dei sistemi di IA ed aumenti, dall’altra parte, gli oneri a carico dei costruttori degli stessi per garantirne la sicurezza.

[1] https://www.europarl.europa.eu/news/it/headlines/society/20200827STO85804/che-cos-e-l-intelligenza-artificiale-e-come-viene-usata
[2] https://www.drive.com.au/news/melbourne-hit-and-run-blamed-on-tesla-autopilot-could-set-legal-precedent-for-new-tech/
[3] Considerando (2), Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[4] Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[5] Barbara Barbarino, Intelligenza artificiale e responsabilità civile. Tocca all’Ue, Formiche.net, 15/05/2022
[6] Ut supra nota 5
[7] https://www.theguardian.com/technology/2022/jun/12/google-engineer-ai-bot-sentient-blake-lemoine


Smart contracts

Si sente spesso parlare di “smart contract”, ma non è sempre chiara l’utilità e gli ambiti di applicazione dei medesimi.

Partiamo col dire che, in breve, lo smart contract non è altro che un protocollo di operazioni computerizzato che esegue i termini e le condizioni di un contratto. Lo scopo di tali strumenti è quello di automatizzare e semplificare alcuni processi.

Si pensi ad esempio al caso delle polizze assicurative per eventuali ritardi dei voli aerei; normalmente, al verificarsi dell’evento assicurato (i.e. il ritardo), l’assicurato deve rivolgersi alla compagnia assicurativa al fine di ricevere, all’esito dell’istruttoria e salvo contestazioni, l’indennizzo previsto con tempi variabilmente lunghi.

Lo scopo dello smart contract in questo caso è quello di automatizzare il processo di denuncia del danno e liquidazione dell’indennizzo. In concreto, assicurato e assicuratore negoziano i termini del contratto (ad es., la gravità del ritardo, l’entità del ristoro, etc), e poi traducono le clausole negoziate in istruzioni informatiche (algoritmi), che vengono “attivate” in maniera automatica al verificarsi dell’evento. Semplificando, l’indennizzo arriverà dunque automaticamente sul conto dell’assicurato non appena l’informazione relativa al ritardo dell’aereo verrà registrata dallo smart contract.

Tuttavia, affinché lo smart contract realizzi l’effetto di automaticità ricercato, è necessario che venga comunicato il verificarsi dell’evento dedotto in contratto, vale a dire il ritardo dell’aereo. Senza questo fondamentale passaggio, infatti, le clausole non potrebbero attivarsi e resterebbero solamente una linea di codice su un dispositivo isolato. Proprio per tale motivo, l’affidabilità della fonte di informazioni cui viene legata l’esecuzione delle clausole è un aspetto cruciale nella fase di negoziazione tra le parti, poiché una volta selezionata non sarà più possibile contestarne l’affidabilità e l’imparzialità nel corso del rapporto.

Una volta che la fase di negoziazione si è conclusa, si pone poi il tema della correttezza dell’implementazione dello smart contract e della sua verificabilità. Per diverso tempo, infatti, la diffusione su larga scala di questi strumenti è stata frenata dalla mancanza di un terzo intermediario che certificasse l’effettiva rispondenza delle linee di codice – la cui scrittura è necessariamente affidata ad un tecnico – alla volontà delle parti, così come l’inalterabilità delle istruzioni nel tempo e la loro pronta verificabilità da tutti i soggetti interessati. Questa funzione, che nei contratti tradizionali è svolta da figure come avvocati e notai, i quali garantiscono con il proprio operato l’ufficialità di quanto pattuito e la tutela degli interessi dei propri assistiti, di per sé è estranea al mondo degli algoritmi.

Quanto sopra, tuttavia, è cambiato con l’avvento della blockchain. Quest’ultima, infatti, è un registro di informazioni raggruppate in “blocchi” che è quasi impossibile alterare e che è accessibile potenzialmente a qualunque soggetto interessato a verificarne il contenuto.

Inserendo lo smart contract in un blocco della catena tramite il versamento di una “commissione” in criptovaluta, si realizza dunque il duplice risultato della verificabilità delle informazioni inserite (che quindi vengono sottratte all’esclusiva sfera di controllo del programmatore) e della certezza di tali informazioni, che non possono essere alterate e manipolate ad insaputa di una delle parti. In sostanza, la blockchain svolge la funzione di un notaio digitale, archiviando e cristallizzando la volontà delle parti al momento della stipula del contratto. Successivamente, al verificarsi dell’evento ivi dedotto, i c.d. “oracle” – blocchi che servono a trasmettere le informazioni provenienti dal mondo alla blockchain – lo comunicano al contratto registrato, il quale eseguirà le istruzioni per cui è stato programmato.

Oltre al campo assicurativo, altri ambiti in cui questi strumenti possono trovare applicazione sono l’M&A – si pensi ad esempio alla possibilità di ottenere immediatamente l’accredito delle somme presenti su un conto escrow al verificarsi dell’evento dedotto nell’atto di acquisizione – nonché l’ambito finanziario, dove il grado di informatizzazione è già molto elevato e dove le informazioni rilevanti già vengono scambiate attraverso applicazioni informatiche che hanno un effetto immediato sul valore dei titoli. A titolo di esempio, il verificarsi di un evento bellico in un dato Paese provoca quasi contestualmente un crollo del valore dei relativi titoli di stato, così come le dichiarazioni dei presidenti delle banche centrali vengano immediatamente registrati dal sistema finanziario risollevando o deprimendo l’andamento della borsa internazionale nell’arco di una giornata.

Dagli esempi riportati sopra si intuisce l’indubbia utilità degli smart contract in taluni ambiti, sebbene sia ancora allo stato prematuro affermare che essi sono destinati a sostituire i contratti “tradizionali”.

Questo perché non tutte le clausole di un contratto possono essere applicate e interpretate attraverso automatismi (si pensi alle clausole che rinviano agli usi), né tutti i contratti prevedono obbligazioni che possono essere eseguite da un computer. Basti pensare alle clausole che subordinano il rinnovo del contratto al superamento di un periodo prova – necessariamente legato anche a valutazioni di natura personale non sempre codificabili ex ante – ovvero ad eventi di forza maggiore che per loro natura non possono essere disciplinati ab origine.

A ciò si deve aggiungere che non è ancora chiaro come sia possibile modificare uno smart contract che contenga degli errori o che non corrisponda più esattamente alla volontà delle parti, specie dal momento della sua registrazione su blockchain. Il paradosso che si verrebbe a creare in tali casi sarebbe l’esecuzione automatica e potenzialmente “infinita” di un assetto di interessi non più gradito agli stessi contraenti. Anche tale aspetto rende poco probabile che gli smart contract possano essere utilizzati per regolare ad esempio rapporti di durata, proprio perché l’intrinseca incertezza collegata al mutare delle condizioni nel tempo risulterebbe incompatibile con la determinazione ex ante di ogni possibile conseguenza contrattuale.

Ferme tali importanti considerazioni, c’è tuttavia da evidenziare il grande vantaggio in termini di abbattimento dei costi di transazione che una diffusa adozione di questa innovazione tecnologica può portare. Questo soprattutto in tutti quei casi dove le esigenze da soddisfare non richiedono una complessa negoziazione; non è quindi inverosimile che gli smart contract inizino ad essere implementati in tutti quei casi dove le parti prediligono la rapidità e la certezza dell’esecuzione automatica di un’obbligazione rispetto alla rinegoziabilità o alla flessibilità del rapporto.

In conclusione, non è in discussione l’utilità e il risparmio economico che si possono ottenere attraverso l’utilizzo degli smart contract. Certo è che, come spesso capita per qualsiasi innovazione tecnologica, tali vantaggi saranno concretamente percepiti solo quando vi sarà una significativa integrazione e adozione nella nostra società di tali strumenti.

Sin d’ora è possibile però affermare che gli smart contract troveranno ampio spazio e applicazione specialmente con riferimento a quei rapporti standard dove è richiesto un contributo minimo in termini di creatività e personalizzazione delle soluzioni contrattuali.

Sotto diverso profilo, una concreta sfida per i professionisti del diritto potrebbe essere quella di saper integrare tali strumenti all’interno dei contratti tradizionali al fine di migliorare e potenziare l’efficacia della tutela legale garantita. Questo sì potrebbe essere un obiettivo realmente “smart” da raggiungere.


Libero trasferimento dei dati personali verso la Repubblica di Corea: in arrivo una storica decisione di adeguatezza

Il Comitato europeo per la protezione dei dati personali (“European Data Protection Board”) ha emanato il proprio parere in merito alla bozza di decisione di adeguatezza pubblicata dalla Commissione Europea lo scorso 16 giugno 2021 (disponibile qui) relativa al trasferimento dei dati verso la Repubblica di Corea.

Si tratta di una decisione che, una volta entrata in vigore, permetterà agli operatori economici del mercato europeo – pensiamo, in primis, ai fornitori di servizi di comunicazione elettronica, ai cloud provider e alle multinazionali - di trasferire liberamente i dati personali dall’Europa alla Repubblica di Corea senza dover adottare né le garanzie adeguate (ad es., “Standard Contractual Clauses”) né le condizioni supplementari (ad es. il consenso degli interessati) richieste dal capo V del Regolamento UE n. 679/2016 (“GDPR”).

Infatti, ai sensi degli artt. 44 e ss. del GDPR, i trasferimenti di dati personali verso i Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia espressamente riconosciuta tramite decisione della Commissione.

Esaminiamo quindi in dettaglio le osservazioni del Comitato europeo contenute nel summenzionato parere.

In primo luogo, si è osservato come il quadro normativo in materia di protezione dei dati personali vigente in Repubblica di Corea sia sostanzialmente allineato a quello europeo, soprattutto per quanto concerne le principali definizioni presenti nel testo di legge (“dati personali”, “trattamento” e “interessato”), i requisiti di liceità del trattamento, i principi generali e le misure di sicurezza.

Questo è stato possibile non solo grazie alla presenza di un’efficace  legge privacy (i.e.,Personal Information Protection Act” o “PIPA” entrato in vigore nel 2011) bensì anche in ragione di una serie di “notifiche” (tra cui la “Notifica n. 2021-1”) emanate dall’Autorità garante per la protezione dei dati personali coreana (i.e.,Personal Information Protection Commissioner” o “PIPC”) che hanno il merito di interpretare e rendere agevolmente comprensibili le disposizioni del PIPA.

Inoltre, come rilevato dal Comitato, la Repubblica di Corea è parte di diversi accordi internazionali che garantiscono il diritto alla riservatezza dei dati personali (tra cui la “Convenzione internazionale sui diritti civili e politici”, la “Convenzione sui diritti delle persone con disabilità” e la “Convenzione ONU sui diritti dell’infanzia”), il che fornisce un’ulteriore conferma dell’attenzione che la Repubblica di Corea rivolge ormai da diversi anni alla protezione delle informazioni personali.

L'analisi del Comitato si è poi focalizzata su alcuni aspetti chiave del PIPA che differiscono leggermente rispetto a quanto previsto dal GDPR e che richiedono quindi maggiore attenzione - quali, in particolare, l’assenza di un generale diritto degli interessati di revocare il consenso fornito, ad esempio, per attività di marketing.

Secondo il Comitato, nonostante l’art. 37 del PIPA conferisca agli interessati il diritto di chiedere la “sospensione” del trattamento dei propri dati personali – diritto esercitabile anche in caso di direct marketing, come espressamente chiarito dal Considerando 79 alla decisione di adeguatezza della Commissione europea - nel PIPA il diritto alla revoca del consenso viene menzionato solo in due specifici casi:

  1. relativamente ai trasferimenti di dati personali effettuati nell’ambito di operazioni societarie straordinarie (i.e., fusioni, acquisizioni, ecc.);
  2. con riferimento al trattamento dei dati per finalità di marketing da parte dei fornitori di servizi di comunicazione elettronica.

Il Comitato ha quindi ritenuto necessario richiamare l’attenzione della Commissione sui summenzionati aspetti affinché analizzi più approfonditamente le conseguenze che, alla luce del quadro normativo coreano, potrebbe comportare per gli interessati la mancanza di un simile diritto e chiarisca, nella decisione di adeguatezza, l’effettiva portata del summenzionato diritto alla “sospensione” del trattamento.

In secondo luogo, il Comitato ha rilevato che, ai sensi dell’art. 58 del PIPA, una parte sostanziale di tale testo di legge – compresi i capi III, IV e V, che disciplinano rispettivamente i principi generali per il trattamento dei dati, le misure di sicurezza e i diritti degli interessati – non si applica a tutta una serie di trattamenti di dati personali (tra i quali rientrano quelli necessari per far fronte ad urgenti esigenze di tutela della sicurezza e della salute pubblica).

Il Comitato osserva che il termine “urgenti” presente nel PIPA esprime un concetto estremamente ampio che necessita di essere limitato e contestualizzato, anche con l’ausilio di esempi pratici, al fine di non compromettere la riservatezza dei dati degli interessati.

Inoltre, il Comitato, alla luce dell’attuale contesto emergenziale provocato dalla pandemia da Covid-19, ha richiamato l’attenzione della Commissione sulla necessità di garantire un livello di protezione adeguato anche ai dati personali trasferiti in Repubblica di Corea per finalità connesse alla tutela della salute pubblica.

Ciò in quanto le informazioni “sensibili” relative ai cittadini europei (ad es., lo stato di vaccinazione), una volta giunte in Repubblica di Corea, dovrebbero ricevere un livello di protezione almeno pari a quello previsto dal GDPR. In questo senso, il Comitato ha quindi invitato la Commissione a monitorare attentamente l’applicazione delle deroghe previse dall’art. 58 del PIPA.

Infine, il Comitato ha ritenuto opportuno focalizzare la propria attenzione sulla possibilità di accedere ai dati personali dei cittadini europei da parte delle autorità pubbliche coreane per finalità di sicurezza nazionale. A tal proposito, manca uno specifico obbligo in capo alle autorità coreane di informare gli interessati dell’avvenuto accesso ai loro dati personali, specie quando gli interessati non siano cittadini coreani.

Tuttavia, pur in assenza di tale obbligo, il bilanciamento tra le esigenze di tutela della sicurezza nazionale e la protezione dei diritti e delle libertà fondamentali degli interessati può rinvenirsi nella stessa legge coreana che tutela la riservatezza delle comunicazioni interpersonali (the “Communications Privacy Protection Act” – cfr. anche il Considerando 187 alla decisione di adeguatezza) ai sensi della quale l’accesso ai dati personali dei cittadini europei per finalità di sicurezza nazionale può essere effettuato solo in presenza di determinati presupposti di legge (ad es., qualora si tratti di comunicazioni intercorse tra “agenzie, gruppi o cittadini stranieri sospettati di essere coinvolti in attività che minaccino la sicurezza della nazione”).

Il Comitato europeo osserva che, ad ulteriore garanzia della riservatezza delle comunicazioni oggetto di accesso da parte delle autorità coreane, la costituzione sudcoreana sancisce principi essenziali in materia di protezione dei dati applicabili proprio a questo settore.

Alla luce del favorevole parere emesso dal Comitato europeo per la protezione dei dati personali è certamente auspicabile, oltre che probabile, l’adozione di una decisione di adeguatezza da parte della Commissione relativamente alla Repubblica di Corea.

In un’economia globale sempre più data driven basata sul valore economico delle informazioni personali e sullo scambio dei dati, tale decisione di adeguatezza aprirebbe le porte alla liberalizzazione degli scambi commerciali con l’oriente anche da un punto di vista privacy.

Un intervento normativo, quello oggetto del presente contributo, tanto dovuto quanto atteso, che si pone certamente sulla scia dell’“Accordo di libero scambio” tra UE e Corea del Sud in vigore dal 2011 che è stato in grado di aumentare esponenzialmente gli scambi bilaterali tra i due paesi (basti pensare che nel 2015 il valore commerciale delle transazioni si attestava intorno ai 90 miliardi di euro).

L’auspicio è naturalmente quello che, con il passare degli anni, le valutazioni di adeguatezza da parte della Commissione Europea abbiano ad oggetto sempre più ordinamenti in modo che il trasferimento internazionale di dati personali possa rappresentare un reale e concreto strumento in grado di favorire l’economia e l’innovazione in tutto il mondo.


Insight pubblica sulla rivista "Mitteilungen der deutschen Patentanwälte"

Insight Studio Legale è lieto di annunciare che è ora online all’interno della rivista Mitteilungen der deutschen Patentanwälte l’articolo di Alessandro Merolla intitolato “La dottrina degli equivalenti nella violazione dei brevetti: la Corte di Cassazione italiana si pronuncia sulla rilevanza della prosecution history dei brevetti nel quadro giuridico europeo”.

Table of contents November issue


Esports: una sfida globale

Nel 2020 l’industria dei videogiochi ha generato solo in Italia ricavi pari a 2.2 miliardi di euro, con una crescita del 21,9% rispetto al 2019 e del 100% rispetto al 2016[1]. Nel mondo, il fatturato generato dall’industria dei videogiochi nel 2020 ha raggiunto quota 159.3 miliardi di dollari[2], di fatto arrivando quasi a superare i ricavi dell’industria del cinema e dello sport nordamericano considerati insieme[3].

Per quanto riguarda specificamente il settore degli esports, ovvero competizioni e tornei con un pubblico di spettatori in cui singoli giocatori o squadre si sfidano ai videogiochi più popolari, i ricavi generati a livello globale hanno raggiunto 947,1 milioni di dollari nel 2020 e si prevede che nel 2021 supereranno il miliardo di dollari, con un trend di crescita annuo pari al 14,5%[4]. Sulla base di recenti dati risulta inoltre che in Italia ci siano ol­tre 1,6 milioni di persone appassionate ad eventi e competizioni di esports[5].

Tali dati evidenziano come il mondo del gaming si stia sempre più consolidando quale punto fermo della realtà economica del nostro paese. Basti pensare al numero di eventi e iniziative organizzati solo nel 2021, un anno in cui l’Italia ha intrapreso un lento percorso di ripresa dopo il traumatico evento della pandemia che l’ha colpita duramente.

Infatti, in ordine cronologico, si è appena conclusa la recentissima “Milan Games Week & Cartoomics”, ovvero l’ambiziosa unione della Milan Games Week e di Cartoomics in unico evento dedicato ai videogiochi, agli esports e al digital entertainment in generale, oltre naturalmente al mondo del fumetto. Tra i tanti momenti videoludici in programma, spiccano inoltre le finali di due importanti tornei nazionali[6], nonché una serie di incontri come “in my shoes”, un'iniziativa organizzata da PG Esports per discutere e riflettere di come si possano lanciare efficacemente nuovi modelli di inclusione all'interno dell'industria del gaming.

È inoltre ancora in corso la Amazon University Esports, torneo disputato tra le varie università italiane e sponsorizzato da Amazon con in palio diversi premi, oltre alla possibilità per i vincitori di accedere successivamente ai tornei internazionali. Proprio questa iniziativa mostra come questo settore abbia finalmente attirato l’interesse anche delle istituzioni italiane che, in partnership con grandi colossi dell’industria tech, ne hanno colto il potenziale in termini di visibilità e autopromozione.

Tutti questi esempi mostrano come gli esports e in generale il variegato mondo del gaming rappresentino un settore con un altissimo potenziale economico. Ed infatti i tornei già esistenti sono numerosissimi e continuano ad aumentare anno dopo anno. Le competenze richieste per partecipare a tali tornei sono alla portata di chiunque e questo consente il continuo ingresso di nuovi giocatori, che a loro volta alimentano la platea di soggetti potenzialmente interessati all’acquisto di nuove console, oggetti virtuali da usare durante il gioco, pubblicità mirate.

Esistono inoltre moltissime tipologie di torneo, dai tornei online a quelli organizzati in location fisiche, e il loro successo dipende principalmente dalla capacità degli organizzatori di creare eventi interessanti e in grado di intrattenere giocatori e spettatori. Si pensi ad esempio alla possibilità di ospitare concerti e sfilate di moda nel contesto dei tornei, come dimostra la collaborazione tra Louis Vuitton e Riot Games in occasione dei mondiali di League of Legends del 2019.

La crescita del settore appare dunque esponenziale sotto ogni prospettiva, e i grandi investitori se ne stanno rendendo conto.

Proprio i rilevanti interessi economici in gioco rendono tuttavia evidente l’assenza di un contesto regolatorio ad hoc, che sappia tutelare da un lato gli investitori e dall’altra giocatori e spettatori. Al momento, infatti, non esiste in Italia una specifica disciplina del fenomeno in questione.

Chi si avvicina a questo settore deve pertanto affidarsi a professionisti che sappiano comprendere le singole problematiche, dai diritti d’autore sui nuovi giochi sviluppati sino alla redazione di un contratto di sponsorship.

A tal proposito, sono certamente da seguire con interesse le recenti iniziative promosse dal CONI (Comitato Olimpico Nazionale Italiano) per il riconoscimento degli esports quali discipline sportive a tutti gli effetti.

È infatti evidente che, una volta ottenuto il riconoscimento ufficiale quale disciplina sportiva, il passo successivo per gli esports sarà quello di individuare e prevedere regole condivise e concepite specificamente per tale settore. Tale coraggiosa iniziativa è stata tuttavia oggetto di critiche ed infatti è stato sollevato da più parti il dubbio di una superficiale assimilazione degli esports alle canoniche competizioni sportive, gestite da entità nazionali e soggette a regole rigide che non sembrano essere in linea con un contesto creativo e innovativo, qual è quello dei videogiochi.

Il nostro auspicio è che il legislatore colga quanto prima l’importanza di garantire un contesto regolatorio chiaro e di facile applicazione per un settore in continuo cambiamento, che sappia cioè dettare chiare direttive su ciò che è ammissibile – si pensi ad esempio al fiorente mercato delle scommesse sportive – e allo stesso tempo sappia cogliere le peculiarità del contesto tecnologico che ha permesso agli esports di diventare un fenomeno globale.

 

[1] https://www.censis.it/sites/default/files/downloads/Rapporto%20Integrale.pdf
[2] https://www.wepc.com/news/video-game-statistics/
[3] https://www.marketwatch.com/story/videogames-are-a-bigger-industry-than-sports-and-movies-combined-thanks-to-the-pandemic-11608654990
[4]  https://newzoo.com/insights/trend-reports/newzoos-global-esports-live-streaming-market-report-2021-free-version/
[5]  Vedi supra alla nota 1
[6]  PG Six Nationals Winter 2021 e Italian Rocket Championship


Direttiva Copyright: una sfida ancora aperta

Il percorso che sta portando all’attuazione della direttiva Copyright è stato lungo e pieno di battute d’arresto. Infatti, solo lo scorso 6 agosto, con due mesi di ritardo rispetto al termine ultimo fissato dalla stessa direttiva, il Consiglio dei Ministri ha approvato la bozza di Decreto Legislativo di attuazione della medesima, ora nuovamente al vaglio del Parlamento.

Uno degli elementi che ha contribuito a rallentare l’iter legislativo di questo nuovo testo è l’obiettivo che la direttiva si propone di perseguire, vale a dire quello di riequilibrare i rapporti, da un lato, tra le grandi piattaforme digitali che diffondono e aggregano contenuti creativi e, dall’altro, quelli tra produttori, autori ed esecutori di tali contenuti.

In questa prospettiva sono state quindi introdotte diverse novità, qui di seguito elencate, che hanno suscitato non poche perplessità:

  • Articolo 13: creazione di un organismo imparziale che assista i creatori di opere audiovisive nella negoziazione di accordi di licenza con le piattaforme di servizi video on demand (come Netflix, Prime Video, Disney Plus, etc.). Si tratta quindi di uno strumento a protezione degli autori e dei loro diritti che ha quale unico scopo quello di limitare l’enorme potere negoziale che le piattaforme digitali sfruttano a proprio vantaggio nei confronti di tali soggetti;
  • Articolo 14: libero utilizzo degli atti di riproduzione di opere delle arti visive che siano divenute di dominio pubblico poiché risulta scaduta la protezione del diritto d’autore. In buona sostanza, se cade in pubblico dominio un’opera delle arti visive, come ad esempio un quadro o un film, ed essa viene riprodotta in un video o con qualsiasi altra forma di comunicazione da parte di un terzo, quest’ultimo non potrà vantare alcun diritto su tale atto di riproduzione, salvo che esso costituisca una creazione intellettuale autonoma dell’autore e proteggibile come tale;
  • Articolo 15: introduzione di un nuovo diritto connesso a favore degli editori di pubblicazioni giornalistiche in ragione del quale gli stessi dovranno essere remunerati per lo sfruttamento online (riproduzione e messa a disposizione del pubblico) di tali pubblicazioni da parte delle piattaforme digitali, come ad. es. Google, Bing, Yahoo; il medesimo articolo prevede inoltre l’obbligo degli stessi editori di corrispondere una quota ragionevole dei proventi realizzati in favore degli autori delle pubblicazioni. Proprio tale equa remunerazione ha suscitato non poche perplessità e ciò in quanto il decreto in esame invece di limitarsi a prevedere il diritto degli editori di negoziare una remunerazione (come previsto dal testo della Direttiva), ha previsto l’obbligo di negoziare un equo compenso in tal senso. Peraltro, è stato previsto che qualora le parti in questione non riescano a trovare un accordo sul punto, sarà l’AGCOM (Autorità per le garanzie nelle comunicazioni) a fungere da “arbitro” nell’individuazione di tale compenso;
  • Articolo 17: obbligo dei servizi di condivisione di contenuti online, come Facebook, YouTube, Telegram, di ottenere da parte dei titolari dei diritti l’autorizzazione alla diffusione di contenuti protetti sulle loro piattaforme. I servizi di condivisione saranno dunque responsabili in prima persona per le violazioni dei diritti d’autore commesse attraverso le proprie piattaforme, a meno che non dimostrino di aver ottenuto l’autorizzazione da parte dei titolari dei diritti alla diffusione delle opere protette o quantomeno di aver compiuto “best efforts” per ottenerla o per rimuovere i contenuti non autorizzati.

L’utilizzo del termine “best efforts” per valutare se la condotta delle piattaforme sia sanzionabile o meno creerà certamente diversi problemi soprattutto di natura interpretativa; per il momento questo termine è stato tradotto nel decreto in esame come l’obbligo di adottare i “massimi sforzi”, con ciò prediligendo un’interpretazione estensiva e quantitativa dello stesso che impone e richiede quindi un maggiore sforzo e controllo da parte delle piattaforme;

  • Articolo 17: introduzione di meccanismi di reclamo e di ricorso celere per gli utenti qualora sorgano controversie in merito alla rimozione dei contenuti o alla disabilitazione degli account da parte delle piattaforme, così come obblighi informativi a carico delle piattaforme stesse in merito ai presupposti e condizioni per la rimozione dei contenuti caricati.

Le novità elencate sopra costituiscono senza dubbio una grande sfida e ciò in virtù degli interessi economici coinvolti nella questione. L’obiettivo della direttiva è certamente coraggioso ed infatti essa si propone di cambiare le regole del gioco al fine di ridistribuire il valore generato dall’attività delle piattaforme e “restituirlo” ai creatori e autori dei contenuti.

Sotto questo profilo, l’obbligo degli editori di accordarsi con le grandi piattaforme di aggregazione di informazioni come Google per ottenere un compenso per l’utilizzo delle proprie pubblicazioni è una modifica legislativa storica, ma che rischia di sancire la predominanza dei poli editoriali che posseggono le risorse economiche per sostenere tale negoziazione. Tale squilibrio risulta ancor più accentuato se si considera che l’art. 1, c. I,  lett. b 8) del decreto identifica tra i criteri di quantificazione di tale compenso quelli del maggior numero di visualizzazioni o la notorietà dell’editore stesso.

Del pari rilevante è la previsione del “massimo sforzo” a carico delle piattaforme di condivisione nella rimozione dei contenuti illeciti caricati dagli utenti. Tuttavia, la scelta da parte del legislatore italiano di preferire il criterio quantitativo nella traduzione del termine “best efforts”, che sembra far riferimento al numero e alla pervasività dei controlli effettuati, non può che far presagire un rischio di rimozione indiscriminata di contenuti da parte di algoritmi di rilevazione estremamente “sensibili”, ciò che di certo contrasta con uno degli obiettivi dichiarati dalla direttiva, ovvero quello di preservare il diritto di critica e satira degli utenti. Si sarebbe viceversa potuta adottare un’interpretazione “qualitativa” di tale obbligo e cioè di un “miglior sforzo” da parte delle piattaforme, vale a dire proporzionato alla gravità delle violazioni e alla loro diffusione.

La scelta del Governo italiano di discostarsi in parte dal testo – e dallo spirito – della direttiva è stata perciò oggetto di un lungo dibattito tanto da aver sollevato in più di un soggetto il dubbio di un eccesso di delega o del c.d. “gold plating”, vale a dire il fenomeno per cui il legislatore nazionale si spinge al di là di quanto richiesto dalla normativa europea, pur mantenendosi formalmente all’interno del perimetro della propria discrezionalità.

Si auspica tuttavia che nella versione definitiva del decreto il legislatore italiano ponga maggiore attenzione alla finalità di armonizzazione che tutte le direttive europee perseguono, circostanza che impone nel caso in esame di adottare e definire un “approccio europeo” comune al diritto d’autore digitale dei prossimi anni. Tale approccio consentirà infatti ai singoli Paesi dell’Unione di poter poi efficacemente interloquire con i c.d. “giganti del web” e finalmente assumere contro quest’ultimi una posizione di forza (che ad oggi è mancata del tutto).


Il Garante Privacy a tutela dei “rider”: quanto cose ci insegna la sanzione milionaria irrogata a Foodinho?

A prima vista, potrebbe sembrare una delle usuali sanzioni irrogate dal Garante Privacy negli ultimi tempi. In realtà  l’ordinanza di ingiunzione del Garante Privacy emessa lo scorso 10 giugno nei confronti di Foodinho costituisce un’importante opportunità per ripercorre, in meno di 50 pagine, i principi fondamentali previsti dal GDPR e dalla normativa privacy vigente in materia di trattamento dei dati dei dipendenti (e non solo).

Difatti, l’attività ispettiva del Garante Privacy - svolta in collaborazione con l’Agencia Española de Protección de Datos (AEPD) nel rispetto della procedura, ancora non del tutto conclusa, di cooperazione e assistenza reciproca prevista dal GDPR - ha avuto ad oggetto i trattamenti dei dati di circa 18 mila rider di Foodinho effettuati nel contesto di nuove tecnologie innovative basate (anche) su algoritmi automatizzati.

Emergono nel provvedimento interessanti spunti circa il rispetto dei principi fondamentali del trattamento e dei principi di privacy by design e by default, l’adozione di idonee misure di sicurezza e la predisposizione di una DPIA nel contesto di trattamenti e processi decisionali automatizzati, la corretta tenuta di un Registro del trattamento e l’individuazione dei tempi di conservazione dei dati.

Riteniamo quindi utile riassumere schematicamente qui di seguito le innumerevoli condotte illecite e infrazioni accertate nel provvedimento del Garante, riportando altresì i passaggi più rilevanti del medesimo.

***

1.  Condotta illecita: i rider non sono stati correttamente informati in merito alle concrete modalità di trattamento dei dati relativi alla loro posizione geografica, né tantomeno circa la tipologia di tutti i dati raccolti da Foodinho (ivi incluse le comunicazioni via chat/e-mail/telefono e le valutazioni espresse dai clienti).

Violazione accertata: mancato rispetto dei principi di trasparenza e correttezza del trattamento [art. 5.1, lett. a) GDPR].

Secondo il Garante: “Non rileva che i rider fossero semplicemente consapevoli dell’attività di geolocalizzazione in quanto vedono loro stessi il percorso suggerito sulla mappa dell’applicazione. Evidente è la differenza tra l’eventuale mera conoscenza della possibilità di essere geolocalizzati e la piena consapevolezza in merito allo specifico trattamento effettuato”.


2.  Condotta illecita: la società non ha fornito ai rider specifiche indicazioni in merito ai tempi di conservazione di tutti i loro dati personali; inoltre, alcuni dati di geolocalizzazione venivano conservati dalla società per periodi di tempo non congrui rispetto alle finalità.

Violazione accertata: rilascio di un’informativa privacy inidonea [art. 13.2, lett. a) GDPR], mancato rispetto del principio di limitazione della conservazione dei dati [art. 5.1, lett. e) GDPR].

Secondo il Garante: “La società ha omesso di individuare distinti tempi di conservazione dei dati riferiti ai rider oggetto di trattamento in relazione alle distinte e specifiche finalità perseguite”.


3.  Condotta illecita: la società non ha comunicato ai rider che i loro dati personali avrebbero potuto essere oggetto di trattamenti automatizzati, compresa l’attività di profilazione, preordinati all’assegnazione di un punteggio.

Violazione accertata: rilascio di un’informativa privacy inidonea [art. 13.2, lett. f) GDPR].


4.  Condotta illecita: i sistemi informatici della società sono stati configurati in modo tale da consentire l’accesso ad un numero indiscriminato di dati personali dei rider non necessari per le finalità del trattamento, senza l’indicazione di uno specifico criterio d’accesso.

Violazione accertata: mancato rispetto del principio di minimizzazione dei dati

[art. 5.1, lett. c) GDPR], mancato rispetto dei principi di privacy by design e by default [art. 25 GDPR], mancata adozione delle misure di sicurezza [art. 32 GDPR].

Secondo il Garante: “La possibilità di accesso di default ad un numero rilevante di dati personali da parte peraltro di un numero significativo di addetti alla gestione dei sistemi con ampia gamma di mansioni relative all’operatività dei rider, non consente di assicurare “su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi”, tenuto conto dei concreti rischi occasionati dalla “perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali”.


5.  Condotta illecita: la società non ha effettuato una valutazione di impatto sulla protezione dei dati nonostante l’utilizzo di tecnologie (e., una piattaforma digitale) innovative per il trattamento dei dati personali dei rider per finalità di profilazione che si basano su funzioni algoritmiche (cfr. anche successivo punto 9).

Violazione accertata: mancata predisposizione di una obbligatoria valutazione d’impatto sulla protezione dei dati [art. 35 GDPR].

Secondo il Garante: “L’utilizzo innovativo di una piattaforma digitale, della raccolta e memorizzazione di una molteplicità di dati personali relativi alla gestione degli ordini compresa la localizzazione geografica e delle comunicazioni avvenute tramite chat e email nonché della possibilità di accedere al contenuto di telefonate tra i rider e il customer care, dalla effettuazione di attività di profilazione e trattamenti automatizzati nei confronti di un numero rilevante di interessati “vulnerabili” (in quanto parti di un rapporto di lavoro), presenta “un rischio elevato per i diritti e le libertà delle persone fisiche”.


6.  Condotta illecita: la società non ha rispettato quanto previsto dall’art. 4 dello Statuto dei Lavoratori nonostante effettui, attraverso una pluralità di strumenti tecnologici (la piattaforma digitale, l’app e i canali utilizzati dal customer care), trattamenti di dati personali che consentono un’attività di minuzioso controllo sulla prestazione lavorativa svolta dai rider.

Violazione accertata: mancato rispetto del principio di liceità del trattamento [art. 5.1, lett. a) GDPR], mancato rispetto dell’art. 4 della L. 300/1970.

Secondo il Garante: “Si rileva che la società effettua un minuzioso controllo sulla prestazione lavorativa svolta dai rider attraverso la geolocalizzazione del dispositivo effettuata con modalità che vanno oltre quanto necessario per assegnare l’ordine in ragione della distanza del rider dal punto di ritiro e di consegna”.

Diversamente da quanto sostenuto dalla società, la scelta del rider in merito al se e quando effettuare la prestazione non è senza conseguenze nell’ambito del rapporto di lavoro e pertanto non può definirsi “libera”.


7.  Condotta illecita: mancata indicazione nel Registro del trattamento di informazioni complete ed aggiornate in merito a tutti i trattamenti di dati personali effettuati dalla società, dei termini di conservazione dei dati e delle misure di sicurezza adottate.

Violazione accertata: tenuta di un registro del trattamento incompleto [art. 30 GDPR].


8.  Condotta illecita: non sono stati pubblicati e comunicati al Garante Privacy i dati di contatto del DPO nominato a livello di gruppo.

Violazione accertata: mancata pubblicazione e comunicazione dei dati del DPO [art. 37.7 GDPR].

Secondo il Garante: “Nel caso in cui il DPO venga nominato a livello di gruppo, resta fermo l’obbligo, in capo alle singole entità del gruppo in qualità di titolari o responsabili del trattamento, di pubblicare i dati di contatto del RPD e di comunicarli all’Autorità di controllo competente”.


9.  Condotta illecita: sono stati posti in essere trattamenti automatizzati dei dati personali dei rider tali da incidere sulla loro possibilità di scegliere se e quando svolgere l’attività lavorativa e contestualmente non sono state adottate misure idonee per consentire ai rider l’esercizio dei loro diritti attraverso canali dedicati.

È importante notare che il Garante Privacy ha focalizzato la sua attenzione sulle conseguenze negative che l’utilizzo di algoritmi simili a quelli utilizzati dalla società può comportare per i rider, arrivando ad affermare che la scelta del rider in merito al se e quando effettuare la prestazione lavorativa non è senza conseguenze nell’ambito del rapporto di lavoro e che tale prestazione, pertanto, non può definirsi “libera”.

L’assegnazione degli ordini dei clienti è infatti gestita direttamente dalla società tramite un algoritmo che individua il rider sulla base di una pluralità di parametri (vicinanza al luogo di consegna, carica della batteria del cellulare, ecc.) e premia i rider con il maggior numero di ordini accettati e consegnati.

Violazione accertata: mancata adozione delle misure previste dall’art. 22.3 GDPR [art. 22.3 GDPR].

Secondo il Garante: “Attraverso il punteggio la società valuta pertanto l’operato del rider e produce, in tal modo, un effetto significativo sulla sua persona proponendo o negando l’accesso alle fasce orarie e la relativa possibilità di effettuare la prestazione (consegna di cibo o altri beni) oggetto del contratto”.

Dall’esame del meccanismo di assegnazione del punteggio emerge, quindi, da un lato che la società effettua una attività di profilazione che incide in modo significativo sugli interessati determinando – mediante l’accesso agli slot - la possibilità di ricevere o meno ordini attraverso la piattaforma e dunque di ottenere una opportunità di impiego”.

Si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate volte alla verifica periodica della correttezza e accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori e di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/2015”.


Non Fungible Tokens: un’occasione unica, ma per chi?

Da qualche mese a questa parte, c’è una questione che suscita grande interesse tra i professionisti della finanza, Youtuber e le più famose gallerie d’arte: gli NFT, acronimo per “Non Fungible Tokens”.

Per comprendere cosa sono gli NFT, è necessario preliminarmente partire dalla tecnologia che vi sta alla base, ovvero la blockchain.

In estrema sintesi, per blockchain si intende un database, quindi un insieme di dati organizzati secondo criteri determinati, costituito da “blocchi”, cioè sequenze di informazioni individualmente identificabili, che invece di essere immagazzinato in un unico server centrale è distribuito in repliche identiche sui terminali di chiunque abbia installato il relativo protocollo informatico.

Chi accede e partecipa alla blockchain, che è aperta e liberamente consultabile da chiunque, può vedere una serie di informazioni, espresse in forma di sequenze numeriche, che acquistano valore in quanto sono certe e pressoché inalterabili. Questo risultato è ottenuto attraverso diversi livelli di protezione, primo fra tutti il fatto che per alterare un singolo blocco è necessario “riprogrammare” in sequenza l’intera catena, il che è reso ancora più difficile dalla presenza di strumenti crittografici.

L’inalterabilità dei singoli blocchi di informazioni garantisce l’affidabilità delle transazioni che si realizzano scambiando i blocchi, senza la necessità di un ente esterno che le certifichi o approvi preventivamente.

È chiaro, dunque, perché questa tecnologia ha trovato un primo largo utilizzo nell’ambito della moneta elettronica: ogni transazione effettuata su blockchain viene infatti registrata nei singoli blocchi, senza timore di furti o manipolazioni e in perfetta trasparenza.

In questo contesto, gli NFT svolgono un’ulteriore funzione, cioè permettono di trasferire la certezza attribuibile ai singoli blocchi della blockchain a contenuti informatici di diversa natura, come immagini, video, GIF. Invece di scambiare qualcosa di simile ad una moneta, che esprime un certo valore ma che può essere scambiata indifferentemente, grazie agli NFT è possibile trasferire un bene appunto infungibile (si pensi ad un pezzo da collezione).

È evidente il vantaggio che può avere una tecnologia che elimina la necessità di lunghi controlli per stabilire l’autenticità di un’informazione o contenuto digitale, soprattutto se si considera l’importanza che tuttora rivestono le banche dati digitali gestite da enti pubblici.

Perciò, alcuni artisti affermati e altri soggetti notori hanno iniziato a mettere in vendita sulle piattaforme digitali a ciò dedicate propri video, creazioni artistiche di vario genere e perfino semplici tweet, “trasformandoli” in NFT.

Il riscontro del pubblico è andato oltre ogni aspettativa, permettendo di realizzare ingenti ricavi, talvolta anche milionari[1]. In cambio, gli acquirenti hanno acquisito la titolarità di quel frammento di video, immagine etc..

Gli NFT sembrano quindi introdurre un nuovo orizzonte di possibilità per il mondo della produzione artistica, perché sono in grado di garantire nel mondo digitale, che per sua stessa definizione è un mondo di copie identiche e riproducibili a piacimento, l’esistenza di un unico originale inalterabile nel tempo.

Grazie agli NFT, i creatori di contenuti dispongono quindi di una fonte di guadagno e di uno strumento di facile utilizzo che permette loro di dimostrare la paternità delle proprie opere e allo stesso tempo di trasferirne il diritto di titolarità in capo ad altri soggetti.

Un ambito in cui gli NFT vengono già utilizzati è quello del gaming online, dove viene reso possibile ai giocatori acquistare armi o altri oggetti “unici” da utilizzare o scambiare durante l’attività di gioco. Ma è ragionevole ipotizzarne un ampio utilizzo anche nel diritto industriale, basti pensare alla possibilità di utilizzare tale strumento per dimostrare il preuso di una macchina industriale e invalidare un brevetto altrui, trasformando in NFT il relativo video di YouTube che costituisce la prova inalterabile e inattaccabile della divulgazione anteriore del macchinario sul mercato.

Vi sono però alcuni profili da approfondire e tenere in considerazione per quanto concerne tali strumenti.

Innanzitutto, l’autenticità e la titolarità del contenuto degli NFT si basano a loro volta su dichiarazioni dei soggetti interessati, che in linea di principio dovrebbero esserne gli autori o comunque i titolari, ovvero i licenziatari, dei diritti di sfruttamento economico dell’opera. Allo stato, quindi, a garantire la trasparenza circa tale effettiva titolarità, chiedendo agli utenti di registrarsi, sono le piattaforme che permettono di eseguire le transazioni, ma in linea teorica chiunque potrebbe creare un NFT che incorpori un contenuto digitale di titolarità altrui. Non vi è dunque alcuna attività di verifica a monte sull’effettiva titolarità del bene che l’utente intende trasferire mediante gli NFT. Circostanza dalla quale potrebbero scaturire contenziosi circa l’effettiva proprietà del contenuto trasferito.

Appare inoltre necessario che venga da subito chiarito il regime fiscale cui sono soggetti tali strumenti (specie per quanto concerne le eventuali plusvalenze ottenute dalle successive vendite tramite NFT), prima che diventino uno strumento di largo utilizzo nel mondo artistico.

Infine, va considerato un ulteriore profilo che riguarda segnatamente i diritti dei consumatori ed infatti quest’ultimi, dopo aver effettuato l’acquisto, non hanno la possibilità di tornare sui propri passi esercitando il diritto di ripensamento che, come noto, è previsto per gli acquisti effettuati a distanza (tra i quali rientrano naturalmente quelli online).

A parere di scrive, aldilà dell’euforia – a tratti propriamente speculativa – che si è creata attorno a questi nuovi strumenti, gli NFT rappresentano effettivamente una potenziale svolta nella nostra vita ed in particolare con riferimento a tutti quei servizi e beni che presuppongono e necessitano di una certificazione dell’autenticità delle informazioni e contenuti digitali, quali ad esempio titolarità, provenienza, diritti di utilizzo temporaneo.

Tuttavia, perché questo strumento diventi largamente utilizzato, è necessario, da una parte, che le piattaforme introducano e garantiscano un sistema efficiente di controllo circa la titolarità del bene ceduto per evitare possibili dispute in merito e, dall’altra, che il legislatore “scenda” in campo per introdurre specifiche garanzie per l’acquirente (quale appunto il diritto di ripensamento) e comunque una disciplina organica ad hoc (che preveda, tra le altre cose, un trattamento fiscale adeguato alle caratteristiche dello strumento).

[1] Famoso il caso dell’artista Beeple, che ha venduto attraverso la casa d’asta Christie’s la propria opera “Everydays: The First 5000 Days” al prezzo di oltre 69 milioni di USD, oppure quello di Jack Dorsey, il fondatore di Twitter, che ha venduto il primo tweet della storia per 2,9 milioni di USD.


Certificato Verde Europeo: libertà di muoversi in Europa in tempo di pandemia

Si chiama “Certificato verde” europeo, si legge “Pass Covid-19”. Ha lo scopo di facilitare la circolazione dei cittadini all’interno dell’Unione Europea, nonché di contribuire alla limitazione della diffusione del virus Sars-CoV-2.

Proviamo a comprendere quali sono le caratteristiche del certificato verde, chi potrà rilasciarlo e quali garanzie sono previste per la tutela dei dati personali, anche di natura sensibile, in esso contenuti.

1. Premessa

Lo scorso 17 marzo 2021, la Commissione Europea ha proposto l’introduzione di un “Certificato verde” europeo che ha come scopo quello di consentire, durante la pandemia da Covid-19, l'esercizio del diritto di libera circolazione dei cittadini previsto dall’art. 21 del Trattato sul funzionamento dell'UE (TFUE). Esso verrebbe rilasciato da ogni Stato Membro, in formato digitale e/o cartaceo ed avrebbe lo stesso valore giuridico in tutta l’UE.

Tuttavia, parlare di “Certificato verde” (al singolare) non è corretto. Infatti, come previsto nella Proposta di Regolamento europeo pubblicata dalla Commissione[1], sono tre le diverse tipologie di certificati che potranno essere rilasciati:

i. “Certificato di vaccinazione”: attesta che una persona ha ricevuto un vaccino contro il Covid-19 autorizzato all’immissione in commercio nell’UE;

ii. “Certificato di test”: attesta che una persona ha effettuato un test Covid-19, antigenico o molecolare (purchè non autodiagnostico), che ha dato risultato negativo;

iii. “Certificato di guarigione”: attesta che una persona che aveva contratto il Covid-19 ne è successivamente guarita.

Ogni certificato sarà redatto nella lingua ufficiale dello Stato Membro da cui è rilasciato, oltre che in lingua inglese, sarà gratuito e sarà emesso dalle istituzioni/autorità debitamente autorizzate a tale scopo (si pensi, ad esempio, ad ospedali, centri di diagnosi/test o all’autorità sanitaria stessa).

2. Come funziona il certificato?

Il certificato possiede un “QR (Quick Response) code” contenente le informazioni essenziali relative al suo titolare, una firma digitale che ne impedisce la falsificazione ed un sigillo che ne garantisce l'autenticità.

Nel momento in cui un cittadino europeo farà ingresso in uno Stato membro diverso da quello di appartenenza, le istituzioni e/o autorità competenti di tale Stato procederanno alla scansione del QR code presente sul certificato ed alla verifica della firma digitale in esso contenuta. Tale verifica della firma digitale avverrà mediante confronto della stessa con le chiavi di firma possedute dalle istituzioni/autorità dello Stato di destinazione, le quali saranno conservate in una banca dati protetta di ciascuno Stato.

Sarà inoltre reso disponibile, a livello comunitario, un unico “gateway” gestito dalla Commissione, mediante il quale le firme digitali dei certificati verdi potranno essere verificate in tutta l'UE.

3. Il trattamento dei dati personali contenuti nel certificato

Ciascun certificato – che sia di vaccinazione, di test o di guarigione – conterrà al proprio interno una serie di informazioni relative alla persona cui si riferisce quali ad esempio: nome, cognome, data di nascita, data di vaccinazione, risultato del test antigenico/molecolare effettuato, malattia da cui si è guariti. Si tratta di informazioni che rientrano nella definizione di “dati personali” di cui all’art. 4 del Regolamento 679/2016 (“GDPR”) in quanto relative ad una persona fisica identificata e, per questa ragione, devono essere trattate nel rispetto dei principi e delle garanzie previste da tale Regolamento.

A tal riguardo, è opportuno sintetizzare i contenuti più importanti del parere del 31 marzo 2021 che il Comitato Europeo per la protezione dei dati (“EDPB”) ed il Garante Europeo per la protezione dei dati (“EDPS”) hanno fornito alla Commissione UE in merito al certificato verde.

a) Il trattamento dei dati personali contenuti nei certificati dovrebbe essere effettuato solo al fine di comprovare e verificare lo stato di vaccinazione, di negatività o di guarigione del titolare del certificato e, conseguentemente, di agevolare l'esercizio del diritto di libera circolazione all'interno dell'UE durante la pandemia.

b) Al fine di agevolare l’esercizio dei diritti privacy da parte degli interessati, sarebbe opportuno che ogni Paese rediga e renda pubblico un elenco dei soggetti autorizzati a trattare tali dati in qualità di titolari o responsabili e di coloro che riceveranno i dati stessi (oltre alle autorità/istituzioni di ciascuno Stato membro competenti al rilascio dei certificati, già individuate quali “titolari del trattamento” dalla proposta di Regolamento).

c) La base giuridica del trattamento dei dati personali presenti nei certificati dovrebbe essere costituita dall’adempimento di un obbligo di legge (art. 6, co. 1, lett. c GDPR) e da “motivi di interesse pubblico rilevante” (art. 9, co. 2, lett. g GDPR).

d) Nel rispetto del principio di “limitazione della conservazione” dei dati previsto dal GDPR, la conservazione degli stessi dovrebbe essere limitata a quanto necessario per il perseguimento delle finalità del trattamento (e. facilitare l'esercizio del diritto alla libera circolazione nell'UE durante la pandemia da Covid-19) e, in ogni caso, alla durata stessa della pandemia, il cui termine sarà dichiarato dall’OMS.

e) Non sarà in alcun modo consentita la creazione di banche dati a livello comunitario.

4. Considerazioni critiche e conclusioni

Al di là della portata innovativa della proposta di Regolamento, emergono alcuni aspetti che meritano di essere ulteriormente approfonditi o, quantomeno, chiariti dal legislatore europeo per garantire la corretta applicazione della nuova normativa europea.

a. Emissione e rilascio dei certificati

La proposta di Regolamento prevede che i certificati siano “rilasciati automaticamente o su richiesta degli interessati” (cfr. Considerando 14 e artt. 5 e 6). Ci si domanda, quindi, come altresì evidenziato dall’EDPB e dall’EDPS, se un certificato:

i. sarà generato e rilasciato all’interessato solo se espressamente richiesto da quest’ultimo;
ovvero se, al contrario
ii. sarà generato automaticamente dalle autorità competenti (ad es., all’esito della vaccinazione) ma consegnato all’interessato solo su espressa richiesta.

b. Il possesso di un certificato non impedisce agli Stati membri di imporre eventuali restrizioni all’ingresso

La proposta di Regolamento prevede che uno Stato membro possa comunque decidere di imporre al titolare di un certificato determinate misure restrittive (quali, ad esempio, l’obbligo di sottoporsi ad un regime di quarantena e/o a misure di auto-isolamento) nonostante l’esibizione del certificato stesso, purché tale Stato indichi i motivi, la portata ed il periodo di applicazione delle restrizioni, compresi i dati epidemiologici pertinenti a sostegno delle stesse.

Ci si domanda, tuttavia, se tali restrizioni e le loro condizioni di applicabilità saranno definite a livello europeo ovvero se l’individuazione delle stesse sarà demandata a ciascuno Stato, accettando - in quest’ultimo caso - il rischio di vanificare il tentativo di unificazione normativa perseguito dalla proposta di Regolamento.

c. La durata temporale del certificato

La proposta di Regolamento prevede che solo il “Certificato di guarigione” debba contenere anche l’indicazione del periodo di validità. E’ lecito domandarsi, quindi, quale sia la durata degli altri due certificati (“di vaccinazione” e “di test”) e come sia possibile garantire la veridicità di quanto attestato da un certificato dopo che sia trascorso un determinato lasso di tempo dalla data di rilascio (basti pensare, ad esempio, ai diversi casi di positività riscontrati dopo la somministrazione di un vaccino o ai cd. “falsi negativi/positivi”).

d. Gli obblighi del titolare del certificato

Quali obblighi è tenuto a rispettare il titolare di un certificato? Ad esempio, qualora sia stato rilasciato un certificato che attesti lo stato di negatività al Covid-19 e, a distanza di qualche mese, il titolare scopra di essere positivo, egli ha l’obbligo di rivolgersi alle competenti autorità/istituzioni del proprio Stato al fine di far revocare il certificato? E ancora: nell’ipotesi in cui il titolare tenti di utilizzare un certificato (non veritiero) per l’ingresso in uno Stato terzo, a quali sanzioni andrebbe incontro?

e. La protezione dei dati personali

La nuova proposta di Regolamento demanda alla Commissione il compito di adottare, mendiante atti di esecuzione, specifiche disposizioni finalizzate a garantire la sicurezza dei dati personali contenuti nei certificati.

Tuttavia, considerata la natura estremamente sensibile dei dati in oggetto, la Commissione chiederà anche un parere preventivo alle Autorità per la protezione dei dati personali dei singoli Stati membri? Sarebbe forse utile garantire, anche in questo contesto e con specifico riferimento alla documentazione privacy da fornire agli interessati prima del rilascio dei certificati, un approccio europeo pressochè unanime tale da impedire l’eventuale frammentazione delle garanzie previste dal Regolamento 679/2016 (“GDPR”).

In conclusione, si tratta di una proposta che se attuata con le dovute attenzioni potrebbe contribuire ampiamente al ritorno ad una vita quasi normale; si ha tuttavia il timore che in assenza di una disciplina particolarmente dettagliata in materia sia alto il rischio di rendere ancora più complessi gli spostamenti transfrontalieri, anche considerato che molto probabilmente ogni Stato adotterebbe ulteriori misure relative alla disciplina di tale certificato.

[1] https://eur-lex.europa.eu/resource.html?uri=cellar:38de66f4-8807-11eb-ac4c-01aa75ed71a1.0024.02/DOC_1&format=PDF.