L’avv. Pelino relatore alla III edizione del Privacy Symposium

Il Privacy Symposium giunge alla III edizione. L’evento, tra i più attesi nel panorama italiano e internazionale, si terrà come da tradizione a Venezia, dal 10 al 14 giugno 2024.

In programma ci sono oltre 100 sessioni con 300 relatori, selezionati tra gli esperti della materia e tra i rappresentanti di autorità di tutto il mondo.

Tra gli argomenti dominanti dell’edizione c’è naturalmente l’intelligenza artificiale, soprattutto alla luce dell’AI Act.

L’avvocato Pelino, partner del nostro studio, ne parlerà in veste di panelist l’11 giugno alle 16:00 nella cornice della cinquecentesca Ca’ Dolfin, presso l’aula magna dell’Università Ca’ Foscari di Venezia.

Affronterà, in particolare, la relazione complessa tra GDPR, AI Act e DSA, concentrandosi sul controverso tema del controllo dell’informazione. Controllo, appunto, e trasparenza sono i due poli attorno ai quali si articola la struttura delle tutele normative apprestate dal diritto dell’Unione e la loro credibilità.

La sessione, affidata alla conduzione di prestigio del collega avv. Rocco Panetta, vede la partecipazione di panelist attivamente coinvolti nel settore: Serena Alvino, Piercosma Bisconti, Marta Staccioli.

Seconda edizione del commentario Giuffrè sulla protezione dei dati personali. Il nostro apporto

E’ in libreria la seconda edizione del commentario edito da Giuffrè sulla normativa a tutela dei dati personali, nella collana dei Codici commentati. E’ un’opera riveduta e ampliata di 1668 pagine.

Immagine dal sito dell’editore Giuffrè

Ne siamo orgogliosi, perché, come per la prima edizione, registra un apporto significativo dei partner del nostro studio legale.

Gli avvocati Luciana Grieco ed Enrico Pelino hanno contribuito alla redazione dei commenti a disposizioni chiave del GDPR (applicazione territoriale, nozioni fondamentali, diritti, per fare solo alcuni esempi), del Codice privacy (articoli 2-ter, 2-sexies, diverse altre norme iniziali, tutele amministrative e giudiziali, per menzionarne alcune) e del d.lgs. 101/2018.

Inoltre, l’avv. Enrico Pelino ha condiviso la curatela e la direzione dell’opera con il collega Luca Bolognini, presidente dell’Istituto italiano per la privacy e la valorizzazione dei dati.

La prima edizione del 2019 aveva ricevuto ampio riconoscimento tra gli esperti della disciplina per l’approfondimento esegetico e l’ampiezza delle fonti censite. L’auspicio è che anche questa nuova ampliata pubblicazione divenga un apprezzato strumento di lavoro e di studio.

Le principali novità della seconda edizione

Le novità sono molte: le fonti sono state ulteriormente arricchite, i principali commenti rivisitati in profondità e talvolta riscritti. Si è tenuto conto delle sostanziali evoluzioni della normativa (es. AI ACT, DSA), della dottrina, della tecnologia e soprattutto della giurisprudenza. Sono stati, in particolare, valorizzati gli apporti decisivi della Corte di giustizia dell’Unione.

Si è deciso di modificare anche la struttura interna dell’opera, creando un lavoro che, per riassetto interno, costituisce più di una mera seconda edizione. Ha contribuito allo studio e alla redazione, prossima ai dieci milioni di battute, una squadra imponente di giuristi, ventisei Autrici e Autori. Come per la prima edizione, i commentatori hanno avuto ampia libertà intellettuale nel proporre chiavi di lettura ragionatamente personali, pur nel rispetto di una regia unitaria.

Per chi voglia approfondire

Sono liberamente consultabili l’indice e un breve estratto (link esterni al sito dell’Editore).

L’avvocato Pelino relatore sul DSA

Locandina DSA-DMA

L’avvocato Enrico Pelino è intervenuto venerdì 15 marzo 2024 presso la prestigiosa Sala Consiliare del Comune di Pescara per presentare alcune delle novità introdotte dal Digital Services Act (reg. UE 2022/2065) e dal Digital Markets Act (reg. UE 2022/1925).

L’evento formativo, accreditato dall’Ordine degli Avvocati di Pescara, con il patrocinio di AIGA, Giuffrè e dell’Associazione Cultura&Finanza, ha visto la presentazione del volume Digital Services Act e Digital Markets Act – Definizioni e prime applicazioni dei nuovi regolamenti europei.

I tre curatori dell’opera, gli avvocati Bolognini, Pelino, Scialdone, hanno esaminato le ragioni giuridiche, economiche e sociali alla base dei due atti normativi, tracciando brevemente i lineamenti della strategia europea dei dati e i criteri di legistica adottati nei due regolamenti.

Hanno quindi presentato, con esempi concreti, i primi effetti in termini di contendibilità del DMA e le applicazioni del DSA in termini di moderazione dei contenuti, tutela dei minori, sistemi di raccomandazione, segnalatori attendibili, con un approfondimento sulle necessarie garanzie per il processo elettorale.

Su quest’ultimo tema, di stringente attualità, in vista delle elezioni europee di giugno, l’avv. Pelino ha tracciato brevemente gli obblighi di valutazione del rischio imposti a VLOP e VLOSE dall’art. 34 DSA e commentato la recentissima richiesta di chiarimenti formulata dalla Commissione europea ad alcuni dei più influenti prestatori di servizi intermediari, quelli cioè che avranno presumibilmente un ruolo centrale nel prevenire abusi e manipolazioni ai danni degli elettori.

Al centro vi è l’attenzione per eventuali usi distorti di sistemi di intelligenza generativa. Il convegno è stato l’occasione di un’interessante tavola rotonda che ha affrontato la recentissima adozione dell’AI Act il 13 marzo scorso da parte del Parlamento europeo e le intersezioni della nuova disciplina con GDPR e DSA.

Sanzioni GDPR, facciamo chiarezza sulla pronuncia Cass. 27189/2023

Ne ha parlato oggi per la Radio dell’Avvocatura – IusLaw Web radio l’avvocato Enrico Pelino. Di seguito una breve sintesi dei passaggi principali.

Due milioni e seicentomila euro: è l’ammontare della sanzione decisa nel 2021 dal Garante per la protezione dei dati personali nei confronti di Foodinho s.r.l., società del gruppo Glovo.

La vicenda affronta uno dei grandi temi contemporanei: la gestione completamente automatizzata del lavoro. Fino a che punto e con quali limiti è consentita? Sia permesso, in materia, rimandare anche al breve approfondimento già apparso in questo blog: Sorveglianza algoritmica e diritti dei lavoratori

Nella vicenda Foodinho, l’autorità di controllo sui dati personali aveva contestato rilevanti violazioni del GDPR e in particolare rilevato il contrasto con l’art. 22.

Tale disposizione, com’è noto, introduce il divieto generale di decisioni significative unicamente automatizzate, fatte salve alcune ben circoscritte eccezioni.

L’annullamento da parte del Tribunale di Milano

La società di food delivery aveva in seguito ottenuto – sorprendentemente – l’annullamento della sanzione avanti al Tribunale di Milano, facendo leva su due principali tesi difensive:

  • la sanzione comminata corrisponde al 7,29% del fatturato mondiale dell’esercizio precedente, laddove il massimo di legge sarebbe il 4% ;
  • il giudice non potrebbe ridurre la somma entro il limite di legge, per asserita carenza di una norma che lo consenta.

Ma è davvero così? In realtà, nessuno di questi rilievi trova conforto nel diritto applicabile. Lo ha chiarito la Suprema Corte nell’ordinanza in commento, cassando la decisione di merito in accoglimento del ricorso del Garante.

Il giudice di legittimità ha precisato con l’occasione tre rilevanti principi.

Primo principio – Vale il caso singolo

L’art. 83 del GDPR prevede e disciplina le condizioni generali per infliggere sanzioni amministrative pecuniarie stabilendo una regola preliminare imputata alla rilevanza del caso singolo, sicché ogni autorità di controllo deve provvedere affinché le sanzioni amministrative pecuniarie inflitte in relazione alle violazioni del regolamento siano in ogni singolo caso ‘effettive, proporzionate e dissuasive'”.

Nulla di nuovo rispetto alla formulazione testuale dell’art. 83, par. 1 GDPR. Il principio tuttavia non impedisce la formulazione di ben motivati rilievi costruiti sulla clausola di proporzionalità, dunque su un confronto preciso e argomentato rispetto a casi analoghi, come la Suprema corte ha modo di precisare in un passaggio della motivazione. Appare questo lo spunto di maggiore interesse.

Secondo principio – Concorrenza tra massimo statico e massimo dinamico

[… I]l totale della sanzione non deve superare ‘l’importo specificato per la violazione più grave’, […] è prevista alternativamente, per il caso di imprese, una sanzione proporzionale (fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per il par. 4, ovvero fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per il par. 5), ma solo se superiore’ rispetto alla sanzione edittale variabile entro il massimo assoluto”.

Ne segue che il riferimento alla sanzione proporzionale non è posto dal GDPR in funzione mitigatoria del limite edittale stabilito con la sanzione variabile ordinaria, ma rappresenta un limite edittale ulteriore e distinto, al quale occorre riferirsi solo se superiore (esso in quanto tale) al massimo della sanzione suddetta”.

Anche in tal caso nulla di nuovo. “Se superiore” è precisazione contenuta nel disposto normativo. La regola è cioè che nel determinare il massimo editale, per le imprese, si tiene conto dell’importo più alto tra il limite statico (10 o 20 milioni, a seconda delle ipotesi) e il limite dinamico (2% o 4% del fatturato mondiale annuo dell’esercizio passato).

Terzo principio – Il giudice può rimodulare l’importo della sanzione

Poiché, per effetto dell’implicito richiamo contenuto nell’art. 166 del codice privacy, si applica l’art. 6 del D. lgs. n. 150 del 2011 anche in materia sanzioni amministrative per violazione delle norme relative ai dati personali, il coordinamento di questa norma con l’art. 10 del D. lgs. stesso comporta che si estende al procedimento di opposizione la regola dettata dal comma 12 dell’art. 6 medesimo”.

Ne segue che “con la sentenza che accoglie l’opposizione il giudice, anche nelle controversie in materia di dati personali, può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale”.

Questo è il principio certamente di maggiore interesse, ancorché direttamente desumibile dalle disposizioni citate. Si pone solo, semmai, il tema della composizione dell’art. 10 d.lgs. 150/2011 con l’art. 6 dello stesso atto normativo.

Conclusioni

Decisione storica della Cassazione, come hanno scritto in molti? L’ordinanza costituisce certamente una delle principali occasioni di chiarimento sull’applicazione dell’art. 83 GDPR, tuttavia non apporta alcuna reale novità.

I tre principi menzionati appaiono infatti applicazioni testuali della formulazione normativa né risultano disputati in dottrina. La decisione si pone dunque semmai nel senso di una conferma, tanto più opportuna in quanto sussistono, come si è visto, orientamenti difformi nella giurisprudenza di merito.

Per completezza, occorre menzionare che l’ordinanza enuncia altri due principi in tema di competenza del Garante e di verifica della sussistenza di un trattamento transfrontaliero, tale cioè da coinvolgere più Stati membri nei termini descritti dall’art. 4.23) GDPR.

Sul primo passaggio (natura del trattamento trasfrontaliero), né il giudice di merito né la Cassazione si diffondono, sul rilievo che il trattamento nel caso di specie appariva svolto in piena autonomia dalla società italiana. L’argomento costituisce approfondimento di merito, non suscettibile perciò di esame in sede di legittimità.

Presentazione del libro sul DSA-DMA

Oggi il nostro partner di studio, avv. Enrico Pelino, presenterà a Roma dalle 17:00 alle 19:00, presso Binario F, in Via Marsala 29H, il recentissimo volume dedicato al Digital Services Act e al Digital Markets Act, di cui è co-curatore e coautore. Qui la locandina.

E’ possibile collegarsi online all’evento, concepito anche come webinar, via Zoom al seguente link: https://us02web.zoom.us/j/82306974459.

Saranno presenti anche gli avvocati Luca Bolognini e Marco Scialdone, a loro volta co-curatori e coautori dell’opera.

Interverranno i Colleghi Maria Vittoria La RosaMassimiliano Nicotra e Fulvio Sarzana di Sant’Ippolito, che hanno firmato numerosi contributi di pregio del volume.

L’incontro, significativamente intitolato DSA+DMA:GDPR=X, si propone come prima riflessione degli impatti dei nuovi regolamenti europei sulla normativa in materia di protezione dei dati personali. Mai finora il legislatore dell’Unione aveva affrontato in maniera così organica e profonda i meccanismi di controllo dell’informazione digitale. I riflessi sociali, economici e perfino politici sono enormi.

Si pensi alla diffusione virale di contenuti, alla libera espressione delle idee, alla moderazione sulle piattaforme online, agli algoritmi di raccomandazione, alla pubblicità microprofilata, alla cessazione di fenomeni come lo shadow banning, ma anche al rapporto tra gatekeeper (ossia piattaforme di base, per così dire “infrastrutturali”) e libera concorrenza, dunque, per es., al ruolo dei marketplace.

Al webinar saranno inoltre presenti relatori di META, società multinazionale ampiamente interessata dal DSA e dal DMA, ponendo così le premesse per un dibattito attualissimo e aperto sul recepimento dei nuovi corpi normativi da parte di uno principali attori del mercato digitale.

Il Digital Services Act e il Digital Markets Act – in libreria

DSA e DMA sono i due pilastri normativi nella nuova disciplina europea dei mercati e degli spazi digitali. Che cosa prevedono, come si coordinano con le leggi esistenti, come incidono sull’economia, sulla manifestazione del pensiero, sulla manipolazione dei contenuti? Quali opportunità offrono e quali limiti, invece, espongono?

Sulla complessa tematica, di estrema attualità, siamo lieti di segnalare l’uscita del primo volume italiano di commento, per la collana “Tech e-Law” dell’editore Giuffrè.

L’opera, curata dall’avvocato Enrico Pelino, nostro partner di studio, assieme ai colleghi Luca Bolognini e Marco Scialdone, raccoglie, oltre ai contributi dei curatori, che sono anche co-autori, le riflessioni di firme d’eccellenza del diritto “digitale”.

I contenuti

Il volume tocca temi d’avanguardia come la disciplina dello shadow banning, sostanzialmente incompatibile con il DSA, delle tecniche di moderazione, dei cd. trusted flagger, ossia i segnalatori attendibili, dei dark pattern.

Volume_DSA-DMA

Cerca inoltre di tracciare i rapporti, ancora tutti da saggiare nell’esperienza applicativa, tra la nuova disciplina e il GDPR, ossia uno dei principali strumenti normativi attraverso i quali sono stati finora affrontati questi temi.

L’opera esamina in profondità l’argomento centrale del DSA, ossia l’accountability di piattaforme e motori di ricerca rispetto ai rischi sistemici dell’ambiente digitale, si pensi alla manipolazione dell’offerta informativa determinata dai sistemi di raccomandazione e dall’innesco, talvolta, di dinamiche di diffusione virale dei contenuti.

Qui: l’indice dell’opera e un breve estratto.

Ambizioni e realtà

Quella introdotta dal DSA è realmente la “nuova Costituzione digitale”, come enfaticamente sostenuto in occasione dell’entrata in vigore, oppure si tratta di un intervento normativo regressivo in tema di diritti? Il libro affronta luci e ombre del complesso corpo di regole.

E inoltre esamina in dettaglio la disciplina dei gatekeeper, ossia dei “guardiani” delle infrastrutture virtuali attraverso le quali viaggiano le iniziative imprenditoriali. Il DMA impone realmente regole di neutralità e di ripristino di una leale concorrenza? La risposta offerta da questa prima riflessione sistematica sul tema rivela al lettore un assetto ricco di sfumature e distinguo.

Buona lettura!

International School in Digital Governance: docenza dell’avvocato Pelino

Il nostro partner di studio, avvocato Enrico Pelino, ha aperto questa mattina la seconda edizione dell’International School in Digital Governance dell’Università di Pavia, con una docenza in materia di diritto alla protezione dei dati personali e diritto alla privacy.

L’International School in Digital Governance costituisce un corso di eccellenza nell’approfondimento della normativa di settore.

L’intervento ha affrontato differenze e aree di sovrapposizione dei questi due diritti fondamentali, ed esaminato i pilastri essenziali della disciplina collocandoli in una ricca casistica applicativa.

L’occasione è stata anche utile per tracciare gli elementi essenziali dei rapporti tra il GDPR e la vastissima legislazione recente dell’Unione europea in materia di strategia digitale e di data driven economy, dunque l’enorme crescita in complessità che sta registrando il diritto digitale.

In particolare, vanno menzionati il fondamentale pacchetto sui servizi digitali, composto dal DSA (Digital Services Act, reg. UE 2022/2065) e dal DMA (Digital Markets Act, reg. UE 2022/1925) e il DGA (Digital Governance Act, reg. UE 2022/868) in materia di condivisione e riutilizzo di informazioni.

Il quadro è completato dalle proposte di DA (Data Act) e soprattutto di AI Act. Quest’ultimo strumento di disciplina, su cui si concentra un vivace dibattito, darebbe all’Unione il primato mondiale nella regolamentazione organica dei servizi di intelligenza artificiale.

AI Act, l’avv. Pelino intervistato dalla Radiotelevisione svizzera

L’intelligenza artificiale costituisce il fattore di cambiamento più profondo e più radicale che attraversa oggi il mondo del lavoro, della medicina, dell’economia, dei rapporti sociali e politici. Le opportunità sono senza precedenti, ma per la stessa ragione lo sono anche i rischi: la stessa facilità con cui si traduce un testo senza la collaborazione di un traduttore professionista è la ragione per cui il traduttore professionista vede ridursi la propria attività, e la collettività subisce uno svuotamento di risorse e competenze umane.

Di fatto, l’intelligenza artificiale oggi mette in crisi interi settori lavorativi, rende improvvisamente fragili diritti consolidati (si pensi al diritto d’autore), può determinare l’innesco di lacerazioni sociali estreme, alcune delle quali sono già in atto proprio ad esito dell’impiego di strumenti di manipolazione basati su una riproduzione digitale dell’intelligenza umana: deep fake, bot farm, polarizzazioni drammatiche generate da schemi algoritmici.

L’Unione europea è il primo grande attore internazionale ad avere progettato una normativa sistematica sull’intelligenza artificiale, la proposta di AI Act. Il processo legislativo è ancora in corso. Il 14 giugno 2023 il Parlamento europeo, sullo slancio di un’accresciuta consapevolezza, ha profondamente modificato la formulazione iniziale, rendendola più prossima a un atto normativo di tutela dei diritti, rispetto al “black box” act (sia permessa l’espressione) cui in partenza assomigliava.

L’avv. Enrico Pelino, partner dello studio legale, parla della complessiva tematica e delle sue implicazioni in un’intervista per il secondo canale della Radiotelevisione svizzera – RSI, andata in onda il 14 luglio scorso: l’intervista può essere ascoltata qui.

Le allucinazioni dell’intelligenza artificiale

Allucinazioni dei modelli generativi_Intervento Avv Pelino al PrivacySymposium2023

Allucinazioni dell’intelligenza artificiale: una delle maggiori criticità dei modelli generativi, come GPT-4, sono le cd. “hallucination”, vale a dire la creazione di fatti in realtà inesistenti.

Prendiamo il caso del professore universitario Jonathan Turley, che secondo ChatGPT sarebbe stato accusato di molestie sessuali. La notizia, generata falsamente dal chatbot, costituisce un esempio molto preoccupante di allucinazione.

E’ evidente l’impatto reputazionale e sociale, ed è altrettanto chiaro che, una volta proiettata in rete la fake news da allucinazione, sarà estremamente complesso bloccarne la propagazione.

Quali tutele

Ma quali tutele fornisce la normativa in proposito? E’ questo il contenuto dell’intervento presentato dall’avvocato Enrico Pelino al Privacy Symposium 2023, nella splendida cornice dell’auditorium Santa Margherita di Venezia – Università Ca’ Foscari (foto qui in basso).

Si può leggerne qui, pubblicato da Agenda Digitale, il testo integrale, esposto in versione più sintetica durante il convegno.

Allucinazioni dei modelli generativi_Intervento Avv Pelino al PrivacySymposium2023

In tema di tutele, appaiono fondamentali due istituti del GDPR: il diritto a non essere sottoposti a una decisione unicamente basata su un trattamento automatizzato (art. 22) e il diritto alla trasparenza, declinato come diritto a una spiegazione.

Entrambi questi istituti presentano vulnerabilità, discusse dall’autore, e dunque andrebbero potenziati e adattati al contesto attuale, in modo da sintonizzarli sugli avanzamenti nel settore dell’AI.

Del resto, proprio l’interazione del sistema giuridico con i progressi della società digitale ha prodotto formulazioni giuridiche oggi fondamentali come il diritto all’oblio. Senza l’eterno presente delle informazioni su Internet, sarebbe cioè mancata l’esigenza di imporre la loro progressiva deindicizzazione. E’ dunque auspicabile che altrettanto accada nel settore dell’intelligenza artificiale.

Le lacune della proposta di AI Act

Non può non notarsi come costituisca invece una delusione il principale corpo normativo progettato dall’Unione europea nella materia in questione, il cd. AI Act. Più esattamente, la proposta di regolamento era subito apparsa molto deficitaria, sia nel senso di “catturare” le novità tecnologiche sia in quello di apprestare mezzi di ricorso.

Il testo aveva ad esempio sottovalutato la rilevanza dei large language model e dell’intelligenza generativa, ossia di quelle applicazioni di cui ChatGPT costituisce oggi uno dei principali esempi. Non prevedeva inoltre rimedi giuridici specifici per i soggetti vulnerati e neppure obblighi proattivi adeguati, quali valutazioni d’impatto sui diritti fondamentali.

Si è tuttavia recentemente intervenuti, sia pure frettolosamente e su un testo carente, a completare molte lacune, come rivela la bozza di compromesso divulgata proprio in data odierna. Il testo dovrà essere adottato tuttavia dal Parlamento europeo in sessione plenaria e quindi sottoposto alla procedura di “trilogo” con il Consiglio e la Commissione.

L’avvocato Pelino al Privacy Symposium 2023

L’avv. Enrico Pelino, partner dello studio, parteciperà nuovamente come speaker invitato al Privacy Symposium di Venezia, evento internazionale che riunisce esperti in materia di protezione dei dati personali.

Privacy Symposium 2023
Privacy Symposium avv. Enrico Pelino

Nel panel specifico, che si terrà il 18 aprile alle 14:30 presso l’Auditorium Santa Margherita, sarà affrontato uno dei temi di maggiore attualità, il rapporto tra protezione dei dati personali e intelligenza artificiale: Artificial Intelligence vs Privacy: Possible Solutions to Support Innovation, Enhancing Data Protection.

Il panel vede la partecipazione di specialisti del settore e di due esponenti del Garante per la protezione dei dati personali. Proprio in questi giorni l’Autorità è al centro di un vivace dibattito per avere disposto, con provvedimento d’urgenza assunto ai sensi dell’art. 58.2.f) GDPR, la limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti in Italia da parte di OpenAI LLC (ChatGPT).

Dunque, l’incontro si prospetta atteso e coinvolgente. Oltre prevedibilmente al recente provvedimento, saranno affrontate altre tematiche di notevole seguito: ad esempio, l’uso di dati sintetici, i limiti di trasparenza dei prodotti di AI (es. l’accesso e la spiegazione alla logica dei risultati prodotti), l’intervento umano nelle decisioni automatizzate, l’individuazione di idonea base giuridica per l’elaborazione massiva di dati da parte dei sistemi di intelligenza artificiale.

Sarà anche un’occasione per ragionare sui limiti e contemporaneamente sulla tenuta del GDPR (si pensi al fondamentale art. 22) dinanzi a un’accelerazione tecnologica travolgente, e sull’adeguatezza effettiva della proposta di regolamento sull’intelligenza artificiale, un testo che rischia di nascere superato.