#40/2024: meno male che in Italia arriva la NIS2 (da implementare in 15 giorni..)
Settimana dal 30 settembre al 6 ottobre 2024
Benvenuti a un nuovo numero della nostra #Newsletter!
Le più interessanti novità degli ultimi sette giorni, in ambito Privacy, Intelligenza Artificiale e Mercati Digitali, oltre a uno sguardo più ampio sulle "news tech dal mondo".
Ma prima, come da tradizione, il #meme creato per noi dal mitico Not Boring Privacy: tutti gli altri suoi lavori li trovate su #Instagram, seguendo questo link o #cliccando sull'immagine.
PRIVACY & CYBERSECURITY
NIS 2 RECEPITA IN ITALIA - È stato pubblicato nella Gazzetta Ufficiale n. 230 del 1 ottobre 2024, ed entrerà in vigore il 16 ottobre 2024, il Decreto Legislativo n. 138/2024 che recepisce nel nostro ordinamento la Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell'Unione (“Direttiva NIS 2”). Molte attività per le aziende medio-grandi, e da fare molto in fretta: infatti, non è previsto - almeno per i requisiti iniziali - alcun periodo di adattamento, mentre le implementazioni (ACN - CSIRT) arriveranno nelle prossime settimane/mesi.
CGUE - SCHREMS VS META - Con la sentenza del 4 ottobre 2024 nella causa C‑446/21 (Max Schrems vs. Meta), la Corte di Giustizia dell’Unione europea ha confermato il parere dell’Avvocato Generale espresso ad aprile 2024 e ha stabilito che le piattaforme non sono autorizzate ad utilizzare dati sugli utenti ottenuti all’esterno o da terzi, nemmeno nel caso in cui siano state rese pubbliche dagli utenti stessi. Infatti, secondo la CGUE, le piattaforme potranno solo trattare dati che gli utenti comunicano loro direttamente e il cui trattamento viene espressamente autorizzato.
ENISA THREAT LANDSCAPE 2024 - È stato pubblicato dall’European Union Agency for Cybersecurity (“ENISA”) il report “Threat Landscape 2024”, relativo al periodo tra la fine del 2023 e la prima metà del 2024, e descrive una significativa escalation degli attacchi alla sicurezza informatica, causata dalle tensioni geopolitiche in atto. Il report fornisce anche un elenco delle tecniche associate al software ransomware, ai gruppi di ransomware o a entrambi, fornendo una rappresentazione dinamica basata su osservazioni reali che possono cambiare nel tempo, man mano che i gruppi si evolvono e utilizzano nuove tecniche. Sono descritte anche le raccomandazioni di ENISA allineate alle misure di sicurezza previste dagli standard internazionali (in particolare ISO/IEC 27001:2022 e NIST Cybersecurity Framework (CSF) v2.0).
BEUC SU PRIVACY DEI MINORI - Il 1 ottobre 2024, l'Organizzazione europea dei consumatori (BEUC) ha pubblicato delle raccomandazioni sulla protezione della privacy dei minori ai sensi del Digital Services Act, che includono la chiarificazione delle pratiche che violano l'articolo 28(1) del DSA e la garanzia della privacy per impostazione predefinita per gli account dei minori, in modo da garantirgli un'esperienza online sicura, protetta e privata.
INTELLIGENZA ARTIFICIALE
LA CALIFORNIA NON APPROVA L'AI BILL - Apprendiamo da un post di Luiza Jarovsky su X che il Governatore della California, Gavin Newsom, ha posto il proprio veto sul "Safe and Secure Innovation for Frontier Artificial Intelligence Models Act", dichiarando che ritiene necessari maggiori protocolli di sicurezza in grado di proteggere il pubblico e gli utenti dai rischi nell’utilizzo dei sistemi di AI, prima di poter adottare una legislazione consapevole. Questa decisione arriva dopo importanti pressioni di diverse big-tech, tra cui OpenAI, per un rinvio dell'introduzione dei c.d. "guardrails" per lo sviluppo di potenti strumenti di intelligenza artificiale in quella che è diventata la culla dell'innovazione mondiale - almeno, per quanto a noi noto: la Silicon Valley.
CDP E OPENAI - Un importante accordo tra i due soggetti per investimenti in AI in Italia: si sprecano i comunicati in pompa magna, ma sarà da capire se il "supporto early stage" e le altre misure pensate riusciranno veramente a dare un impulso allo sviluppo di servizi di qualità nel nostro paese, insieme alle promesse "ricerca e sviluppo per far crescere talenti". Sempre con l'augurio che poi i talenti non se ne vadano all'estero.
AI CIVIL RIGHTS ACT - È stato introdotto negli USA l'AI Civil Rights Act, che ha l’obiettivo di eliminare i pregiudizi dell'intelligenza artificiale e stabilire misure di salvaguardia sull'uso degli algoritmi utilizzati in "azioni consequenziali", incidendo così sulle decisioni che hanno un impatto sui diritti delle persone, sulle libertà civili e sui mezzi di sussistenza. Il disegno di legge prevede audit e valutazioni obbligatorie prima e dopo l'implementazione, regole di trasparenza e diritti individuali di appello contro le decisioni algoritmiche.
MICROSOFT INVESTE IN ITALIA - Il colosso americano ha annunciato che investirà 4,3 miliardi di euro nei prossimi due anni con il duplice obiettivo di potenziare la sua infrastruttura di data center hyperscale cloud e di intelligenza artificiale e di realizzare un piano di formazione per far crescere le competenze digitali degli italiani. Questo investimento rafforza ulteriormente l’impegno dell’Italia per la trasformazione digitale, anche in linea con le priorità del Piano Mattei per l’Africa e la Partnership for Global Infrastructure and Investment (PGII), iniziativa strategica lanciata in ambito G7.
Consigliati da LinkedIn
MEMORANDUM SU AGENZIE FEDERALI USA E AI - L’Office of Management and Budget statunitense (“OMB”) ha pubblicato il memorandum “Advancing the Responsible Acquisition of Artificial Intelligence in Government”, in cui prescrive che quando le agenzie federali acquisiscono strumenti di AI, siano gestiti adeguatamente i rischi e le prestazioni; siano promossi su un mercato competitivo; e vengano implementate strutture per governare e gestire i loro processi aziendali relativi all'acquisizione dell'IA. Il memorandum deriva dall’Executive Order del Presidente USA sullo sviluppo e l'uso sicuri, protetti e affidabili dell'intelligenza artificiale.
MERCATI DIGITALI
DECRETO OMNIBUS SU PIRATERIA - Il Senato nella seduta di martedì 1 ottobre 2024 ha approvato il disegno di legge di conversione del decreto-legge 9 agosto 2024, n. 113 (“decreto Omnibus”) che dispone misure urgenti di carattere fiscale, proroghe di termini normativi ed interventi di carattere economico. Il voto definitivo è previsto alla Camera dei deputati per mercoledì 2 ottobre 2024. Tra gli emendamenti intervenuti si notano quelli sul contrasto alla pirateria TV, anche per gli eventi sportivi: in particolare, (i) viene esteso anche ai fornitori di servizi Vpn e quelli di Dns pubblicamente disponibili l'obbligo di bloccare l'accesso ai contenuti diffusi abusivamente; (ii) vengono obbligati anche i prestatori di servizi di accesso alla rete che siano a conoscenza di condotte penalmente rilevanti di segnalarlo immediatamente all'Autorità giudiziaria o alla polizia giudiziaria. L'omissione della segnalazione e della comunicazione sono punite con la reclusione fino a un anno.
ENFORCEMENT DSA - La Commissione europea ha inviato il 2 ottobre 2024 a YouTube, Snapchat e TikTok una richiesta di informazioni sulla progettazione e la funzionalità dei sistemi di raccomandazione algoritmica ai sensi del Digital Services Act. Secondo la normativa europea, infatti, le piattaforme devono valutare e mitigare adeguatamente i rischi derivanti dai loro sistemi di raccomandazione, compresi i rischi per la salute mentale degli utenti e la diffusione di contenuti dannosi derivanti dalla progettazione di questi algoritmi basata sul coinvolgimento. La scadenza per la risposta delle società alle richieste di informazioni è il 15 novembre 2024.
G7 CONCORRENZA - Si è tenuto a Roma il 3 e 4 ottobre 2024 il G7 sulla concorrenza a cui hanno partecipato 35 delegati dei Paesi del Gruppo, oltre quelli della Commissione europea. I temi centrali hanno ruotato intorno all’AI, e ai problemi di concorrenza che ne conseguono, incluse le attività di monitoraggio ed enforcement antitrust attuali e future. Sono state discusse anche policy e normative, partendo da un documento dell’Ocse relativo alle interazioni tra le azioni di regolamentazione e di enforcement adottate nelle diverse giurisdizioni per arginare il potere di mercato delle grandi piattaforme. Per il futuro, le Autorità del G7 si sono impegnate ad approfondire la propria comprensione delle tecnologie di AI e dei modelli di business sottostanti, a monitorare costantemente gli sviluppi del mercato dell'AI ed a rafforzare la cooperazione internazionale, considerando anche la rapida evoluzione e la portata globale dei mercati digitali e la necessita' di un approccio multidisciplinare.
INVESTIMENTI SU DATA CENTER E SEMICONDUTTORI - La Presidente del Consiglio ha discusso - in un incontro a margine del Vertice G7 di Borgo Egnazia sulla Partnership for Global Infrastructure and Investment - con l’Amministratore delegato di BlackRock, noto fondo di investimento americano, su possibili investimenti nell’ambito dello sviluppo di Data center e delle correlate infrastrutture energetiche di supporto.
NEWS TECH DAL MONDO
USA - UAE - Gli Stati Uniti e gli Emirati Arabi Uniti (UAE) annunciano l’intenzione di promuovere una cooperazione sull'intelligenza artificiale e altre questioni tecnologiche correlate. L’accordo di collaborazione prevede diversi punti tra i quali: sviluppare un'intelligenza artificiale sicura, protetta e affidabile; allineare i quadri normativi per rafforzare gli ecosistemi di innovazione; promuovere la ricerca e lo sviluppo etico e sostenibile dell'intelligenza artificiale e facilitare le opportunità per scambi e investimenti affidabili.
USA (CALIFORNIA) - È stato approvato in California la legge che modifica il California Consumers Privacy Act e amplierà, dalla sua entrata in vigore il 1 gennaio 2025, la definizione di dati personali “sensibili” per includere i dati neurali del consumatore, intendendo con “dati neurali" le informazioni generate dalla misurazione dell'attività del sistema nervoso centrale o periferico del consumatore e che non sono desunte da informazioni non neurali.
CINA - Il Consiglio di Stato cinese ha emanato le Network Data Security Management Regulations, che stabiliscono requisiti e disposizioni generali per la sicurezza dei dati di rete, specificano ulteriormente le norme relative alla protezione dei dati personali e perfezionano i meccanismi per la gestione dei dati importanti. La normativa, che entrerà in vigore il 1° gennaio 2025, migliorerà inoltre le regole sulla sicurezza transfrontaliera dei dati in rete e chiarirà le condizioni in base alle quali i titolari del trattamento dei dati possono fornire dati personali a soggetti esteri.
GERMANIA - L’Antitrust tedesco ha annunciato di aver inserito Microsoft tra le aziende soggette a controlli serrati per abuso di posizione dominante. A giustificare la decisione dell’autorità preposta alla tutela della concorrenza è la preminenza dei prodotti Microsoft tra aziende, pubbliche amministrazioni e famiglie, individuando il sistema operativo Windows, le applicazioni Office e l’investimento in OpenAI tra le cause di un possibile monopolio dell’azienda statunitense.
PAESI BASSI - L'autorità olandese per la protezione dei dati ha richiesto un feedback sui primi due divieti posti dall’AI Act, cioè il divieto di sistemi di AI progettati con caratteristiche manipolatorie e con caratteri ingannevoli, attraverso una consultazione pubblica che sarà aperta fino al 17 novembre.
USA (TEXAS) - Il procuratore generale del Texas ha avviato una causa contro TikTok per la vendita di dati personali di minori senza il consenso dei genitori, in violazione del Securing Children Online through Parental Empowerment Act del Texas. La legge vieta alle piattaforme digitali di vendere informazioni sui minori senza l'approvazione dei genitori e impone alle piattaforme di offrire a questi ultimi gli strumenti per controllare i dati personali dei loro figli.
Immagine di copertina di HackerNoon su Unsplash.
Il logo di questa newsletter è stato creato da Alberto Scirè con Dall-E 2 (OpenAI), i cui termini e condizioni di utilizzo, inclusi gli aspetti relativi al #copyright, sono disponibili qui.
Le #news di Project:IN Avvocati non hanno pretesa di periodicità né costituiscono parere legale: per informazioni o approfondimenti su specifiche tematiche #scriveteci via LinkedIn o #contattateci ai riferimenti indicati sul nostro sito: www.projectin.legal.