Aspetti legali della trasformazione digitale

La protezione dei dati include misure tecniche e organizzative contro l’elaborazione e la distribuzione impropria dei dati. Le misure da evitare dipendono dal tipo di dati raccolti:

• dati personali;
• pseudonimmasi (una connessione personale può essere ripristinata);
• dati resi non adimati (una connessione personale non può essere ripristinata);
• dati personali (dati per prodotti e macchine);
• dati disponibili al pubblico.

Per i dati personali, la normativa generale sulla protezione dei dati (GDPR) si applica all’interno dell’Unione europea:

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

A causa della soluzione lex loci si tratta anche di società di copertura che non si trovano fisicamente in Europa, ma che offrono prodotti o servizi nell’Unione Europea. Il presente regolamento si applica anche alle domande di “Industry 4.0” con cui i dati personali vengono deliberatamente trattati (ad esempio quando si valuta il comportamento dei clienti con applicazioni di Big Data).

Nota: durante l’elaborazione di dati pseudonimi o resiati, è necessario assicurarsi che il contatto personale non possa essere ripristinato dal processore, altri, si applica il regolamento generale sulla protezione deidati.

Il regolamento generale sulla protezione dei dati costituisce il perimetro di protezione dei dati per i dati personali nell’Unione europea, insieme alla direttiva per la protezione dei dati nei settori della polizia e della giustizia:

DIRECTIVE (EU) 2016/680 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA

Anche i dati non personali (dati per prodotti e macchine) sono soggetti a un regolamento dell’UE per quanto riguarda la sua distribuzione:

REGULATION (EU) 2018/1807 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 November 2018 on a framework for the free flow of non-personal data in the European Union

Questo regolamento mira a salvaguardare il libero flusso di dati che non sono personali all’interno dell’Unione europea. Ormai questo tipo di dati è visto anche come un bene economico, ma ciò non significa che i diritti di proprietà e i diritti di proprietà intellettuale siano generalmente applicabili a questi dati. Piuttosto i diritti di utilizzare i dati, in altre parole il suo trattamento, sono lasciati a contratti redatti dagli operatori del mercato.

Dati pubblicamente disponibili, in altre parole dati che gli enti pubblici, nell’ambito dell’adempimento sovrano dei loro doveri, indagini, raccogliere, valutare, processare o sono informati, così come i dati di proprietà di entipubblici esocietà, possono anche essere di interesse per le aziende o le persone naturali.

Due direttive dell’UE sono rilevanti per il suo uso continuo:

DIRECTIVE 2013/37/EU OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 26 June 2013 amending Directive 2003/98/EC on the re-use of public sector information

DIRECTIVE (EU) 2019/1024 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 20 June 2019 on open data and the re-use of public sector information

La prima direttiva è già giuridicamente vincolante. La seconda direttiva deve essere attuata al più tardi nel diritto nazionale dagli Stati membri dell’UE entro il 17 giugno 2021.

Entrambe le direttive garantiscono che l’uso continuo dei dati disponibili pubblicamente sia possibile e che sianosostenuti, generando così incentivi per lo sviluppo di nuovi prodotti e servizi.

La sicurezza IT è un argomento chiave in un’economia digitalizzata. Gli archivi di dati e i sistemi collegati in rete devono offrire un certo livello di sicurezza per quanto riguarda l’integrità, l’affidabilità e la disponibilità dei sistemi. La direttiva per garantire un elevato livello comune di sicurezza dei sistemi di rete e dell’informazione (direttiva NIS) ha creato un quadro giuridico coerente per questo all’interno dell’Unione europea:

DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union

La direttiva NIS contiene un pacchetto completo di misure per rafforzare il livello di sicurezza dei sistemi di rete e di informazione (sicurezza informatica) e quindi per garantire servizi essenziali per l’economia e la società dell’UE. I paesi dell’UE devono

• nominare una o più autorità nazionali responsabili e squadre di risposta agli incidenti di sicurezza informatica (CSIRT) e designare un punto centrale di contatto in caso di diverse autorità responsabili;
• registrare l’operatore di servizi essenziali in settori critici, all’interno dei quali un attacco informatico potrebbe compromettere i servizi importanti;
• attuare una strategia nazionale per la cibersicurezza dei sistemi di rete e di informazione.

I settori critici sono:

• Energia (elettricità, petrolio greggio,gas natur al);
• Trasporti (traffico aereo, traffico ferroviario, trasporto marittimo, traffico stradale);
• Bancario;
• Infrastrutture dei mercati finanziari;
• Sanità (compresi ospedali e cliniche private);
• Consegna e fornitura di acqua potabile;
• Infrastrutture digitali (mercati online, motori di ricerca online, servizi di cloud computing).

Tra le altre cose, le strategie nazionali per la sicurezza informatica dovrebbero tener conto della:

• valutazione delle misure degli operatori dei servizi essenziali in materia di cibersicurezza;
• l’adesione alle misure necessarie per la sicurezza informatica;
• gli obblighi di segnalazione per gli attuali incidenti di sicurezza.

Una sintesi dei regolamenti di questa direttiva può essere trovata qui.

Al fine di garantire il corretto funzionamento del mercato interno dell’UE e di raggiungere un elevato livello di competenze nella difesa contro gli attacchi informatici e nella fiducia nella ciber-sicurezza, l’UE ha creato un’ulteriore agenzia dell’UE per la ciber-sicurezza attraverso la cosiddetta regolamentazione ENISA:

REGULATION (EU) 2019/881 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)

Il progresso della digitalizzazione e del networking tra le aziende allarga costantemente il rischio di perdere i segreti aziendali. Alcuni esempi di questo sono:

• Stampa 3D (è possibile trasferire file CAD; gli oggetti possono essere copiati);
• Open innovation (il contenuto delle comunicazioni tra i partner può finire nelle mani sbagliate);
• Cooperazione tra le imprese (il contenuto delle comunicazioni tra i partner può finire nelle mani sbagliate).

La Direttiva UE 2016/943 richiede pertanto “misure ragionevoli […] mantenere segrete le informazioni”, al fine di proteggere le informazioni aziendali riservate e i segreti aziendali da accessi non autorizzati:

DIRECTIVE (EU) 2016/943 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 8 June 2016 on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure

Le misure ragionevoli per mantenere segrete le informazioni si estendono a un livello giuridico, ad esempio gli accordi tra aziende o dipendenti, nonché l’area di creazione di restrizioni di accesso appropriate.

Con l’obiettivo di armonizzare ulteriormente la legge sul diritto d’autore e le relative leggi sulla protezione nell’UE, è stata introdotta la seguente Direttiva Europea con particolare considerazione  dell’uso digitale e internazionale dei contenuti protetti. Deve essere attuato nel diritto nazionale entro e non oltre il 7 giugno 2021:

DIRECTIVE (EU) 2019/790 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 17 April 2019 on copyright and related rights in the Digital Single Market and amending Directives 96/9/EC and 2001/29/EC

La presente direttiva affronta in particolare le domande sul diritto d’autore quando si tratta di accedere a informazioni protette da copyright tramite motori di ricerca online e social media.

Come regolagenerale, è ovviamente importante tenere a mente le regole efficaci nei relatividiritti di competenza accanto al diritto d’autore: diritto del design, diritto dei marchi, diritto dei brevetti e diritto del modello di utilità.

La trasformazione digitale non è menzionata esplicitamente nella legislazione europea descritta di seguito. Quando si tratta dell’uso, ad esempio, dei fondi pubblici per la trasformazione digitale, tuttavia, è importante tenerla a mente.

Il “Trattato sul funzionamento dell’Unione Europea” Europea” specifica all’articolo 107 che gli aiuti concessi da uno Stato membro che distorcono o minaccia di distorcere la concorrenza favorendo talune imprese o la produzione di talune merci, nella misura in cui incide sugli scambi tra Gli Stati membri, deve essere incompatibile con il mercato interno. I regimi di aiuto negli Stati membri sono pertanto continuamente esaminati dalla Commissione europea in conformità dell’articolo 108 del trattato e richiedono l’approvazione della Commissione se potessero portare a una distorsione della concorrenza.

Nel caso di sovvenzioni in cui l’importo è considerato marginale, non è obbligatorio ottenere l’approvazione, a determinate condizioni. I dettagli sono specificati nel cosiddetto regolamento de minimis:

COMMISSION REGULATION (EU) No 1407/2013 of 18 December 2013 on the application of Articles 107 and 108 of the Treaty on the Functioning of the European Union to de minimis aid

L’articolo 109 del trattato sul funzionamento dell’Unione europea consente inoltre al Consiglio dell’UE di specificare gruppi di sovvenzioni esenti da tali requisiti di autorizzazione. A determinate condizioni ciò include, ad esempio, sovvenzioni per le piccole e medie imprese (PMI). I dettagli sono specificati nel seguente regolamento:

COMMISSION REGULATION (EU) No 651/2014 of 17 June 2014 declaring certain categories of aid compatible with the internal market in application of Articles 107 and 108 of the Treaty

L’attuale legge sulla responsabilità è applicabile fintanto che le azioni possono essere ricondotte alle persone e i difetti del prodotto possono essere attribuiti ad aree identificabili di cattiva condotta umana nelle catene di produzione e consegna. L’attuazione della seguente direttiva dell’UE ha portato ad un’armonizzazione del diritto in tutti gli Stati membri in questo settore giuridico:

DIRECTIVE 1999/34/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 10 May 1999 amending Council Directive 85/374/EEC on the approximation of the laws, regulations and administrative provisions of the Member States concerning liability for defective products

La situazione diventa problematica, tuttavia, quando si tratta di controllo totalmente autonomo. In questo caso le persone non hanno più alcuna autorità decisionale o possibilità di intervento. Questo è, ad esempio, il caso dei robot industriali auto-apprendimento e degli ordini di ripetizione indipendenti attraverso sistemi autonomi. In questi casi, tuttavia, di solito è possibile attribuire la colpa all’operatore o al produttore del sistema. Attraverso la trasformazione digitale, molti processi nell’industria mirano a ridurre le possibili cause di danno. Tra le altre cose, l’automazione ha anche l’obiettivo di eliminare la cattiva condotta umana come una potenziale causa di errore e fonte di pericolo. Al momento non esiste quindi un movimento osservabile verso l’adattamento dell’attuale legge sulla responsabilità.