Regolamentazione Digitale

AI

L'AI Act (Regolamento (UE) 2024/1689) è un regolamento europeo che introduce regole sia per lo sviluppo sia per l'uso dell'Intelligenza Artificiale. Ecco alcuni (dei tanti) aspetti pratici da tenere in considerazione:

• Classificazione sulla base del rischio: l'AI Act suddivide i sistemi di AI sulla base del rischio, cioè distingue tra pratiche di AI vietate, sistemi di AI ad alto rischio ed altri sistemi. Ad esempio, è una pratica di AI vietata quella consistente nell'utilizzo di tecniche subliminali per indurre una persona ad assumere una determinata decisione commerciale che altrimenti non avrebbe preso, mentre un esempio di sistemi ad alto rischio è rappresentato dai sistemi di riconoscimento biometrico.
• Istituzione di un sistema di gestione dei rischi e redazione di documentazione tecnica: sono requisiti che si applicano ai fornitori di sistemi AI ad alto rischio, ma che servono a garantire che i tool di AI siano utilizzati correttamente lungo tutta la filiera.
• Uso corretto dei tool di AI: i deployer devono garantire che i sistemi di AI siano utilizzati correttamente secondo le istruzioni d'uso del fornitore.
• Valutazione di impatto e monitoraggio continuo: i deployer devono fare un'analisi dei rischi e devono intervenire prontamente se ravvisano malfunzionamenti o potenziali rischi.
• Trasparenza: obblighi di informazione anche per i c.d. deployer, ad esempio nel caso in cui l'utente interagisca con un AI chatbot o sistemi di scoring basati su modelli AI.
• Sanzioni: sanzioni pecuniarie fino a €35 milioni o fino al 7% del  fatturato globale annuo, se superiore.

Non c'è solo l'AI Act: compliance AI sulla base della normativa esistente

Quando si procede alle valutazioni legali su tool AI sviluppati o utilizzati dall'azienda, adeguarsi all'AI Act è (o meglio, sarà) solo una porzione delle attività di compliance. In determinati casi, infatti, è già opportuno effettuare un risk assessment sulla base della normativa esistente, ad esempio in materia di:

• Proprietà intellettuale
• Protezione dei consumatori
• Protezione dei dati personali
• Sicurezza di prodotto
• Responsabilità contrattuale ed extracontrattuale

In linea generale, per tutto quel che concerne la futura regolamentazione digitale, rimangono valide le regole già vigenti in materia di protezione dati personali, tutela consumatori e pratiche commerciali scorrette.

Per saperne di più, puoi accedere ai seguenti contenuti: Succeeding with AI.

Internet of Things e dati

Il Data Act (Regolamento (UE) 2023/2854) rappresenta una vera rivoluzione nel settore dell'Internet delle Cose (IoT) e dei servizi cloud. Questo regolamento permetterà, tra le altre cose, agli utenti di accedere a e condividere i dati ottenuti e generati dai loro dispositivi connessi (smartwatch, auto connesse, persino macchinari industriali, etc.), sia dati personali che dati non personali, obbligando i provider a mettere questi dati a disposizione degli utenti (con alcune limitate eccezioni, ad esempio in relazione ai segreti commerciali). Inoltre, il Data Act favorirà il passaggio tra servizi di trattamento dei dati (principalmente cloud e edge) e l'interoperabilità degli stessi. 

Novità più salienti del Data Act:

• Accesso e condivisione dei dati anche non personali
• Nuovi diritti che si applicano anche a utenti business
• Possibilità di condividere dati dei dispositivi connessi con terzi, anche per scopi commerciali
• Maggiore facilità di passaggio ed interoperabilità tra servizi di trattamento dei dati.
   

Il Data Act sembra messo in ombra dall'AI Act ma rappresenta un regolamento altrettanto dirompente nell'ambito della regolamentazione digitale. 

Per saperne di più, puoi accedere ai seguenti contenuti: Insight: Data Act Pills; Webinar Data Act: nuovi diritti di accesso ai dati nel mondo IoT e di condivisione dei dati con terzi; Webinar Data Act: clausole contrattuali abusive, passaggio tra servizi di trattamento dei dati e interoperabilità di dati, servizi di condivisione dei dati e spazi di dati. 

Servizi di intermediazione dei dati

Il Data Governance Act (Regolamento (UE) 2022/868) crea un quadro giuridico per facilitare la condivisione dei dati nell'UE, attraverso diverse misure:

• Accesso ai dati protetti delle Pubbliche Amministrazioni (PA): fino ad ora, le PA hanno (non sempre con successo) pubblicato dataset di cui sono in possesso, nella misura in cui non sono riservati o protetti (ad esempio, da diritti di proprietà intellettuale). Col Data Governance Act, la PA è spinta a fornire accesso anche a questi dati riservati o protetti, nel rispetto di determinate condizioni. Ciò dovrebbe permettere alle aziende e ai ricercatori di accedere più facilmente a tali dati e poterli riutilizzare, potenzialmente portando a nuovi servizi e scoperte scientifiche.
• Intermediari dei dati: per creare davvero un mercato dei dati, nasceranno nuovi servizi di intermediazione dei dati, ad esempio dei veri e propri marketplace dei dati, dove aziende metteranno determinati dati a disposizione di altre aziende (o dietro corrispettivo o in cambio di altre utilità). Di fatto, quindi, nuovi player emergeranno come "broker di dati", aiutando a connettere chi ha i dati con chi ne ha bisogno. Il Data Governance Act regola questi servizi e impone obblighi di notifica alle autorità competenti e una serie di ulteriori requisiti (ad esempio, in relazione al formato, ai servizi aggiuntivi, all'interoperabilità).
• Altruismo dei dati: il Data Governance Act include disposizioni volte ad agevolare la condivisione volontaria dei dati senza la ricezione di un compenso, ad esempio per la ricerca medica.
   

Accessibilità

La Direttiva (UE) 2019/882, nota come European Accessibility Act, mira ad incrementare l'inclusività digitale. Questa direttiva assicura che determinati prodotti e servizi siano accessibili alle persone con disabilità. In Italia, la direttiva è già stata recepita con il Decreto Legislativo n. 82/2022. 

Non tutto ciò che riguarda l'ambiente digitale è oggetto di questa normativa. I principali prodotti e servizi a cui essa si riferisce sono:

• Computer, tablet e smartphone
• E-reader e dispositivi per la lettura digitale
• Siti web di e-commerce
• Servizi bancari online
• Sportelli automatici per servizi al pubblico
• E-book e contenuti digitali

Questa normativa ha un impatto concreto sulla UX/UI dei prodotti e servizi digitali. Di fatto, in molti casi imporrà di rivedere o addirittura ripensare il design dei prodotti e servizi a cui si riferisce e di certificarlo: ad esempio, il rispetto dei requisiti di accessibilità diventa condizione essenziale per apporre sui prodotti la marcatura CE e, per quanto concerne i servizi, il fornitore è tenuto a presentare una serie di informazioni relative all'accessibilità nelle condizioni generali di contratto o in un documento equivalente.

Per saperne di più, puoi accedere ai seguenti contenuti: EU Accessibility Act - È ora di avviare i progetti interni di compliance. 

Passaporto Digitale dei Prodotti

Il Regolamento (UE) 2024/1781 sulla progettazione ecocompatibile dei prodotti introduce il concetto di "passaporto digitale" del prodotto. Questo strumento innovativo permetterà la condivisione elettronica di informazioni aggiornate sulle caratteristiche dei prodotti tra imprese, autorità e consumatori. Scansionando un QR Code (o altro data carrier) posto direttamente sul prodotto, sarà possibile accedere alle informazioni utili a ricostruire l'intera filiera del prodotto, dalla sua produzione o importazione fino allo smaltimento. 

Caratteristiche del passaporto digitale:

• Informazioni sulla sostenibilità e l'impatto ambientale del prodotto: il passaporto digitale consentirà ad operatori economici e autorità di verificare la conformità del prodotto ai requisiti di durabilità, riparabilità, riutilizzabilità, riciclabilità ed efficienza energetica richiesti dal regolamento e aiuterà i consumatori a compiere scelte d'acquisto consapevoli.
• Obbligatorietà: i prodotti potranno essere immessi sul mercato o messi in servizio solo se accompagnati dal relativo passaporto digitale. Le specifiche tecniche dei passaporti digitali saranno definite dalla Commissione Europea mediante l'adozione di atti delegati, a cui gli operatori economici dovranno adeguarsi entro 18 mesi.
• Istruzioni per la riparazione e il riciclo: tra gli altri, i riparatori professionisti, i ricondizionatori, i rifabbricanti, i riciclatori e i rivenditori avranno accesso (diretto e gratuito) ai passaporti digitali di prodotto.
• Tracciabilità lungo tutta la catena di fornitura: il passaporto digitale sarà associato a dei codici univoci identificativi del prodotto, dell'operatore e del sito di fabbricazione, che saranno conservati in un registro digitale, da istituire entro il 19 luglio 2026. Inoltre, verrà creato un portale web accessibile al pubblico, tramite il quale i portatori di interessi potranno ricercare e confrontare le informazioni contenute nei passaporti digitali di prodotto.

Per saperne di più, puoi accedere ai seguenti contenuti: Il passaporto digitale di prodotto (DPP): cos'è e chi riguarda.

Sicurezza dei prodotti nell'era digitale e responsabilità

Il Regolamento (UE) 2023/988 sulla sicurezza generale dei prodotti aggiorna le norme esistenti per l'era digitale. Queste nuove regole assicurano – tra le altre cose – che i prodotti venduti online siano sicuri, proprio come quelli nei negozi fisici.

Punti chiave del regolamento:

• Si applica a prodotti non coperti da normative specifiche di settore
• A differenza della precedente normativa, si applica espressamente anche alla vendita online dei prodotti
• Impone obblighi specifici ai fornitori di marketplace online. 

Inoltre, la Direttiva (UE) 2024/2853 sulla responsabilità per danno da prodotti difettosi rappresenta una riforma della normativa sui danni da prodotti difettosi. Questa normativa ha importanti implicazioni:

• I software stessi sono considerati come "prodotti", quindi viene estesa la responsabilità anche ai software, sia integrati in altri prodotti che standalone
• Estensione della definizione di danno per ricomprendere anche i danni psicologici riconosciuti da un punto di vista medico e i danni derivanti dalla perdita o corruzione di dati non usati esclusivamente a fini professionali
• Estensione della responsabilità a tutti i soggetti della filiera di commercializzazione del prodotto e non solo al produttore, quando rilevante. 

Direttiva NIS2 / Cybersicurezza

La Direttiva 2022/2555 (Direttiva NIS2) mira a migliorare la sicurezza informatica in vari settori:

• "ad alta criticità", ad esempio la sanità, le infrastrutture digitali (per esempio, fornitori di servizi di cloud computing), l'acqua potabile, l'energia elettrica, i trasporti e
• "critici", ad esempio, i servizi postali, la fabbricazione di dispositivi medici, computer e veicoli, i marketplace online, i social network e la ricerca. 

A seconda del settore, della dimensione e di altri parametri, la direttiva distingue tra "soggetti essenziali" e "soggetti importanti" e gli obblighi di sicurezza scaturenti dalla direttiva possono variare nei singoli Stati Membri a seconda della categoria in cui una società ricade.

I principali obblighi previsti dalla direttiva includono l'adozione di misure di sicurezza robuste, la gestione del rischio, la segnalazione tempestiva di incidenti di sicurezza e la cooperazione tra le autorità nazionali. La direttiva è stata recepita in Italia con il Decreto Legislativo n. 138/2024.

Cyber-resilienza

Il Regolamento (UE) 2024/2847 (Cyber Resilience Act) mira a rendere i prodotti fisici con elementi digitali (ad esempio, un macchinario industriale connesso, uno smartwatch, un tablet) più resistenti agli attacchi informatici..

Principali aspetti del regolamento:

• Obblighi di sicurezza per i produttori di dispositivi con elementi digitali
• Requisiti di sicurezza informatica integrati nella fase di progettazione e sviluppo del prodotto
• Maggiore trasparenza sulle caratteristiche di sicurezza dei prodotti
• Introduzione del "principio di minimizzazione" per l'uso dei dati (che si estende a tutti i dati trattati nell'ambito dei prodotti con elementi digitali, non solo ai dati personali).

Ti possiamo aiutare ad identificare le normative applicabili ai prodotti/servizi offerti o utilizzati ed i relativi obblighi, stabilire le priorità e redigere un piano d'azione concreto, che tenga conto sia della parte legale sia della parte IT.

Cerchiamo di accompagnare i clienti con un approccio olistico, in quanto:

•    compliance ad oggi non significa esclusivamente aggiornare i contratti o redigere policy. Molte delle norme richiedono adeguamenti dell'infrastruttura tecnologica, dei codici sorgente, delle interfacce (UI) e della user experience (UX). Legali e tecnici (cioè esperti della tecnologia, come programmatori, data architect, data scientist, etc.) devono collaborare;

•    riteniamo che qualsiasi azione di compliance non possa prescindere da una visione d'insieme. Le normative sono tante e altrettanto numerosi sono i punti da chiarire e i rischi di sovrapposizione. Ad esempio, non sarà possibile aggiornare UX/UI di un prodotto per conformarsi al Data Act, senza tenere presenti anche gli obblighi di cybersicurezza previsti dal Cyber Resilience Act e le limitazioni circa il trattamento dei dati personali derivanti dal GDPR.

Per saperne di più, trovi di seguito la nostra Digital Regulatory Timeline e il Piano d'Azione che suggeriamo.