Orrick Italy: DPO, valore economico dei dati e intelligenza artificiale (Milano, 25 giugno 2019)

my image

Digital Economy: i nuovi problemi giuridici. GDPR: una lettura innovativa e controcorrente del regolamento EU sulla privacy. Tutela del patrimonio informativo aziendale: vantaggi e svantaggi dei possibili strumenti giuridici. Intelligenza Artificiale e machine learning applicati al GDPR.

Speaker: Alessandro De Nicola, Francesco Pizzetti, Michele Bertani, Ivan Rotunno

(immagine: "Artificial Intelligence & AI & Machine Learning" by mikemacmarketing is licensed under CC BY 2.0)

Alessandro De Nicola

(cv, LinkedIn, Twitter)

L’incontro è stato aperto da Alessandro De Nicola - membro del Board mondiale di Orrick e Senior Partner delle sedi italiane di Milano e di Roma della firm - che ha sottolineato come l’incontro rappresenti una prima riflessione sul valore dei dati e sulle conseguenze giuridiche che il nuovo contesto della digital economy comporta. Viviamo ormai in un nuovo contesto digitale che ha rivoluzionato anche le modalità del business attraverso tecnologie disruptive quali block-chain, Internet-Of-Things, Artificial Intelligence, machine learning; ogni nuovo strumento che abilita il business crea infatti nuovi problemi giuridici e quindi le imprese devono sapersi adattare rapidamente ai nuovi contesti per essere in grado di difendersi da nuove potenziali minacce e anche per sfruttare le nuove opportunità. Le informazioni sono la nuova ricchezza tanto che si parla di “casseforti di dati”; oggi chi controlla tali “casseforti” non ha ancora il potere diretto di influenzare il mercato – e infatti questo aspetto al momento non è ancora preso in considerazione dalle Autorità per la concorrenza quando valutano nuove acquisizioni - ma è altrettanto vero che chi possiede i dati ha nuovi strumenti per influenzare il “diritto della concorrenza”. Se parliamo ad esempio di “prezzi discriminatori” è chiaro già oggi che chi ha le informazioni può facilmente “personalizzare” i propri prezzi per ciascun cliente; da questo punto di vista l’accesso ai dati è una sorta di nuove “essential facilities” (1) l’istituto giuridico di diritto industriale che impone l’obbligo al proprietario di una risorsa di concederne l'utilizzo a certe condizioni a terzi per garantire la concorrenza. Nel mercato finanziario il possesso di grandi quantità di dati facilita enormemente gli abusi potenziali di mercato: prima per manipolare il prezzo di una azione era necessario avere grandi capitali da investire oggi basta avere le informazioni giuste al momento giusto. Un primo punto per la riflessione comune è che se i dati sono una ricchezza servono misure per la loro protezione ha concluso De Nicola cedendo la parola agli altri relatori.

Franco Pizzetti

(cv, Twitter)

Franco Pizzetti - professore ordinario di diritto costituzionale a Torino e docente alla LUISS, Presidente dell’Autorità per la protezione dei dati personali dal 2005 al 2012 - ha proposto una lettura innovativa e controcorrente del GDPR(2) , il regolamento EU sulla privacy. Il punto di partenza per comprendere lo spirito della nuova disciplina EU sulla protezione dei dati è che esso è parte di un più vasto piano di azione per contrastare la grave crisi economica che l’Unione Europea sta affrontando (3) . L’Unione Europea è in profonda crisi perché ha sbagliato le proprie previsioni economiche e si è illusa che sarebbe bastato investire nella innovazione tecnologica per garantire la crescita economica ma così non è stato. Gli egoismi nazionali hanno infatti prevalso sugli interessi comuni e i singoli stati europei continuano a litigare tra loro su sciocchezze - come i polli di Renzi - ignorando le vere minacce che sono rappresentate dall’espansione economica e politica delle nuove potenze asiatiche. Il GDPR – ha sottolineato Pizzetti - fa parte di una iniziativa più ampia tesa a rafforzare i legami tra i paesi europei rafforzando e semplificando l’area comune anche per quanto riguarda i trattamenti dei dati. Pizzetti ha quindi ricordato la “Comunicazione” della Commissione UE del 10 gennaio 2017 sullo scambio dati personali (4) che spiega come il GDPR vada letto in modo globalizzato. In Italia al contrario spesso ha prevalso una lettura della disciplina dei dati personali intesa come “protezione dei dati” mentre già la Direttiva 95/46/CE (5) era stata pensata per garantire il libero scambio dei dati mentre la protezione dei trattamenti serviva solo a uniformare regole diverse nei diversi stati. Secondo Pizzetti quindi il GDPR è funzionale al digital single market e dunque la sua applicazione va fatta in modo dinamica garantendo sì la protezione dei dati ma anche la libera circolazione delle informazioni all’interno dell’Unione che come recita l’articolo 13 (6) non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e a tale proposito il professor Pizzetti ha ricordato che la protezione non riguarda i dati personali ma il trattamento dei dati. In un’altra “Comunicazione” della Commissione nel 2018 denominata “Verso uno spazio comune EU dei dati” (7) si parla invece di “libera circolazione dei dati non personali” e della sua regolamentazione con lo scopo di impedire che gli Stati blocchino la circolazione delle informazioni. Quindi il GDPR è la premessa necessaria ma non sufficiente per creare un’area EU dei dati. Illuminante secondo Pizzetti quanto la UE scrive ad esempio il 25 aprile 2018 sulla trasparenza dei dati (8) e sul tema dell’Intelligenza Artificiale (9) così come è importante la “Raccomandazione” della Commissione sull’accesso all’informazione scientifica e sulla sua conservazione (10) . Questa lettura del GDPR – ha ribadito infine Pizzetti - è confermata dalla lettura della “Comunicazione” (11) UE che indica i 5 settori su cui l’Unione Europea intende investire per quanto riguarda il digitale per 2021 2027:

  1. Supercalcolo
  2. Intelligenza Artificiale
  3. Cybersecurity
  4. Formazione scolastica su competenza digitale avanzate
  5. Riuso e utilizzo della tecnologia digitale.

Concludendo il suo intervento Pizzetti ha ribadito che serve una visione proattiva del GDPR e non solo una sua lettura burocratica perché la protezione dei dati è una condizione per lo sviluppo economico e digitale; è quindi necessario che le imprese europee ed italiane diventino protagoniste di un nuovo corso – anche con attività di lobbying trasparente - se si vuol rilanciare lo sviluppo in Europa.

Michele Bertani

(cv, LinkedIn)

Michele Bertani – avvocato, professore di diritto della proprietà intellettuale e concorrenza all’Università di Foggia – ha illustrato quali strumenti giuridici sono disponibili per proteggere il patrimonio informativo aziendale. Bertani ha per prima cosa sintetizzato quali sono le principali risorse informative aziendali:

  1. dati grezzi
  2. dati in relazione fra loro e relativi modelli (informazioni a valore aggiunto)
  3. database
  4. software
  5. algoritmi.

L’avvocato Bertani ha poi indicato gli strumenti giuridici che permettono di proteggere questi asset informativi:

  • trade secret (segreto industriale)
  • diritto d’autore
  • diritto sui generis
  • brevetto

spiegando e commentando per ciascun strumento quali sono i vantaggi e gli svantaggi della sua adozione. Bertani ha approfondito in particolare il tema della protezione dei database che - in quanto beni immateriali - sono ricompresi nell’ambito delle opere dell’ingegno e quindi godono della protezione del diritto d’autore - che riguarda solo il creatore dei contenuti del DB - e contemporaneamente del “diritto sui generis” che riguarda invece è il costitutore della banca di dati cioè quel soggetto che per mezzo di investimenti, tempo, denaro e lavoro ha “costruito” la vera e propria banca dati. Bertani ha anche citato la nuova Direttiva 2019/790 (12) del Parlamento europeo del 17 aprile 2019 sul diritto d’autore e sui diritti connessi nel mercato unico. Per quanta riguarda i brevetti l’interpretazione corrente è oggi che è brevettabile il software che rappresenti un contributo significativo e tecnico allo stato dell’arte: ad esempio è stato brevettato il software che crea immagini in formato jpg o comprime altri programmi o file in formato zip. Bertani ha però ricordato che la brevettabilità ha un contrappasso perché comporta una piena disclosure delle caratteristiche tecniche e quindi non è idonea in certi casi. Infine sul “trade secret” Bertani ha ricordato le 3 condizioni che devono essere soddisfatte:

  • un segreto non deve essere generalmente noto o facilmente accessibile a esperti del settore
  • le informazioni segrete hanno valore solo se rimangono segrete
  • un segreto deve essere sottoposto a misure di sicurezza adeguate cioè occorre dotarsi di una procedura interna riservata a garantire la segretezza.

Ivan Rotunno

(cv, LinkedIn)

Ivan Rotunno – componente del dipartimento M&A e Private Equity di Orrick, esperto di protezione dei dati e Data Protection Officer (DPO) di numerose società – ha illustrato una applicazione di Intelligenza Artificiale usata da Orrick in ambito giuridico per le verifiche relative alla privacy basata su Kira un sistema di Intelligenza Artificiale (IA) basato sul machine learning o apprendimento automatico capace di identificare, classificare e analizzare le informazioni presenti in documenti di natura giuridica.
Nella prima parte del suo intervento Rotunno ha mostrato come utilizzare Kira per le attività di verifica da parte del Data Protection Officer (DPO) inserendo una serie di norme e clausole (provision) rilevanti per il GDPR e in particolare relative alla “informativa”. Per far ciò Orrick ha analizzato i contenuti degli articoli 13 e 14 del nuovo “Regolamento Privacy” individuando per ogni contenuto prescrittivo una specifica provision che è stata inserita all’interno di un worksheet informativo in Kira. Le provision permettono la fase di addestramento del sistema permettendo a Kira di imparare qual è la “base giuridica” del GDPR, cos’è ad esempio un “Titolare del trattamento”, qual è la struttura dell’Informativa, eccetera.
L’addestramento di Kira è stato successivamente rafforzato scaricando esempi reali di “Informative Privacy” da Internet ed evidenziando per il sistema di I.A. quali parti del documento definiscono il concetto di titolare del trattamento. Dopo questa fase di addestramento di base Kira è stato in grado di analizzare ogni nuovo documento fornito individuando i match corretti tra le informazioni già fornite e quelle rintracciate in autonomia; nei casi dubbi o errati (false hit) si è intervenuto manualmente per chiarire meglio i concetti. Nella seconda parte del suo intervento Rotunno ha mostrato come Kira sia stata integrata nella piattaforma social “DPO Setter” realizzata da Orrick per gestire le attività e le verifiche del Data Protection Officer: è così possibile ad esempio far verificare al sistema tutte le informative da analizzare per controllare che siano presenti tutte le provision richieste. “DPO Setter” insieme a Kira permette al DPO di avere una visione di insieme su tutti gli elementi normativi che devono essere presenti nell’Informativa e conseguentemente procedere con attività di verifica specifica. Analogo ragionamento può essere fatto applicando sempre i principi di Kira per l’analisi dei data process agreement e di altri adempimenti GDPR.

Note al testo

  1. https://it.wikipedia.org/wiki/Essential_facilities
  2. https://www.garanteprivacy.it/il-testo-del-regolamento
  3. La BCE prevede per l’area euro una crescita del PIL nei prossimi anni di pochi decimali https://www.ecb.europa.eu/pub/projections/html/ecb.projections201903_ecbstaff~14271a62b5.it.html#toc2
  4. Costruire un’economia dei dati europea” qui in pdf , 19 pp.)
  5. https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=LEGISSUM:l14012&from=IT
  6. http://www.privacy-regulation.eu/it/r13.htm
  7. http://europa.eu/rapid/press-release_IP-18-3364_it.htm qui in pdf
  8. http://www.europafacile.net/Scheda/Documento/31227 qui in (https://ec.europa.eu/transparency/reg[]()doc/rep/1/2018/IT/COM-2018-237-F1-IT-MAIN-PART-1.PDF)
  9. http://europa.eu/rapid/press-release_IP-18-6689_it.htm
  10. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32018H0790 qui in pdf
  11. http://www.europarl.europa.eu/doceo/document/TA-8-2019-0403_IT.html “Risoluzione legislativa del Parlamento europeo del 17 aprile 2019 sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce il programma Europa digitale per il periodo 2021-2027 (COM(2018)0434 – C8-0256/2018 – 2018/0227(COD)) in http://www.europarl.europa.eu/doceo/document/TA-8-2019-0403_IT.pdf
  12. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32019L0790 La direttiva entra in vigore il 6 giugno 2019, mentre gli Stati membri hanno tempo fino al 7 giugno 2021 per adeguare le rispettive regole nazionali alle disposizioni UE. Qui il testo della Direttiva in pdf

Previous Post