Giovanni Maria Riccio, profile picture
Uploaded byGiovanni Maria Riccio
PPTX, PDF42 views

Quali regole e perché? UE, Data Protection e Intelligenza Artificiale

La comparazione giuridica è uno strumento essenziale nello studio della data protection e delle leggi sull'intelligenza artificiale (IA) perché consente di analizzare come diversi ordinamenti affrontano le sfide poste dalle nuove tecnologie. Ecco alcune delle sue principali funzioni: 1. Identificare le Best Practices L'analisi comparativa permette di individuare modelli normativi efficaci, come il GDPR dell'Unione Europea, che ha influenzato legislazioni in diverse parti del mondo (Brasile, Cina, Paesi nordafricani). 2. Armonizzazione e Cooperazione Internazionale Nel contesto globale, la protezione dei dati e l'IA richiedono un approccio coordinato. Studiare diverse normative consente di favorire la compatibilità tra regolamenti nazionali ed evitare conflitti giuridici. 3. Comprendere le Divergenze Regolatorie Paesi con approcci diversi, come l’UE (basato su diritti fondamentali) e gli Stati Uniti (approccio più settoriale e basato sull’innovazione), mostrano vantaggi e limiti che possono essere valutati per migliorare le legislazioni emergenti. 4. Anticipare Problemi e Adattare Regolamentazioni L'IA solleva questioni etiche e giuridiche ancora in evoluzione (responsabilità per decisioni algoritmiche, bias, trasparenza). Il confronto tra modelli normativi aiuta a sviluppare soluzioni legislative più robuste e flessibili. 5. Favorire l’Innovazione anche per mezzo di protocolli Un bilanciamento tra protezione dei dati, sviluppo tecnologico e diritti fondamentali è più facile da raggiungere con un’analisi comparata delle normative, evitando regolamentazioni eccessivamente restrittive o permissive, e facendo ricorso altresì alla

Embed presentation

Download to read offline
A cosa serve la comparazione giuridica nelle nuove tecnologie • Necessità di armonizzazione in un contesto globalizzato • Identificazione delle pratiche normative (passaggio dalla legge statale alle regole tecniche) • Analizzare l’efficienza (non solo in termini economici) delle soluzioni adottate in altri ordinamenti al fine di replicarle Caveat Attenzione ai bias che discendono dalle tradizioni giuridiche nazionali Attenzione ai (legal) false friends Considerare la gamma dei diritti fondamentali dominanti a livello locale
Unificazione, uniformazione , armonizzazion e • unificazione, quando non solo la norma è prodotta da un organo legislativo unitario, ma la sua interpretazione e la sua applicazione è univoca • uniformazione, quando la norma è emanata da un organo legislativo unitario, ma l’applicazione è rimessa alla libera interpretazione dei singoli ordinamenti • armonizzazione, quando l’organo legislativo unitario pone delle regole tendenzialmente uniformi e i singoli Stati possono distaccarsene, purché non alterino il modello base Ricorso ai regolamenti in luogo delle direttive
Brussels Effect • applicazione extraterritoriale: le norme si estendono oltre i confini dell'UE, imponendo obblighi alle aziende straniere che operano nel mercato europeo • adozione de facto da parte delle aziende: le imprese globali potrebbero uniformarsi volontariamente agli standard dell'UE per mantenere l'accesso al mercato europeo • imitazione legislativa da parte di paesi terzi: altre nazioni potrebbero modellare le proprie leggi su quelle europee • adozione in accordi internazionali e standard: gli standard potrebbero essere incorporati in accordi e norme internazionali, amplificando la loro portata e agendo anche sul piano extra-normativo, nel quale l’armonizzazione delle regole tecniche è più semplice
New Challenges in the EU Regulations • GDPR 173 Recitals 99 articles • DSA 156 Recitals 93 articles • DMA 109 Recitals 54 articles • Artificial Intelligence Act 89 Recitals 85 articles • Data Act 90 Recitals 42 articles • The European Health Data Space 76 Recitals 72 articles • Cyberresilience Act 71 Recitals 57 articles
GDPR GDPR: primo regolamento in materia di protezione dei dati Il GDPR si basa su un approccio solo parzialmente giuridico per adattarsi a tutte le tradizioni giuridiche nazionali. GDPR si fonda su accountability e private assessment (sulla scia di altre regolamentazioni, ad es. in materia ambientale) Regole flessibili, ma rischi per la certezza del diritto
Flessibilità per una regolamentazione globale? • Il GDPR è stato imitato da molti Paesi non appartenenti all'UE: • Brasile – Lei Geral da Proteção de Dados (LGPD) • Cina – Personal Information Protection Law (PIPL) • Anche in Paesi «minori», ad esempio: • Egitto – Legge n. 151 sulla protezione dei dati personali • Nigeria – Nigeria Data Protection Regulation (NDPR) • Svizzera – Datenschutzgesetz (DSG)
PIPL • Approvata il 1° novembre 2021 • Molto simili le definizioni di dati personali, di titolare e responsabile del trattamento, l’ambito di applicazione oggettiva • Dove diverge? Nell'entità responsabile della conduzione della valutazione. In Cina, il self assessment non è consentito e deve essere "validata" da un'autorità pubblica, rispettando così standard uniformi • Rapporti tra Stato e cittadini • Informazioni che potrebbero arrecare «danno alla dignità degli individui, alla sicurezza nazionale o alla proprietà»
The other side of the moon… • Molte norme del GDPR utilizzano formule generiche. • Ad esempio, Privacy by Design e Privacy by Default non sono definite (e non sono obbligatorie). • L'obbligo previsto dall'articolo 32 del GDPR è un obbligo di risultato o impone un obbligo di diligenza (obligations de moyens/résultat)? • In quale caso un titolare del trattamento può essere sanzionato per la violazione di queste norme?
Prime decisioni delle DPAs • GER (2018) – Flirty Chat Platform – archiviazione delle password senza sistemi di crittografia. • FRA (2019) – CNIL SAN-2019-006 – protocolli per le password non conformi al GDPR: «non sono state adottate misure per garantire la tracciabilità degli accessi individuali alla casella di posta elettronica professionale condivisa» e «è importante garantire che gli utenti siano autenticati tramite account individuali prima di accedere ai dati». • ITA (2019) – GPDP (Caso Rousseau) – la piattaforma Rousseau non aveva adottato le misure di sicurezza richieste dall'Autorità Garante per la Protezione dei Dati Personali (DPA).
DPAs as Supervisory Authority • Le Autorità di Protezione dei Dati (DPA) sono autorità amministrative indipendenti (art. 51 GDPR) • Le DPA seguono le regole delle PA nell’adozione di provvedimenti • Le decisioni delle DPA devono essere motivate e adottate entro un termine specifico • La mancanza di motivazione può portare all'annullamento o alla modifica di tali decisioni/disposizioni • Nel caso di sanzioni basate sulla violazione dell'articolo 32, le misure violate dovrebbero essere indicate/elencate nel provvedimento
Prove e giusto processo • Corte Suprema Ungherese (Nov. 2021): le sanzioni imposte da un’Autorità di Protezione dei Dati (DPA) devono essere annullate se la DPA supera il termine legale previsto per i propri procedimenti. • Tribunale di Roma (Set. 2023): ha sospeso le sanzioni della DPA che superano il termine legale. • Tribunale di Milano (Ott. 2023): vaghezza delle misure prescritte, in particolare quelle relative alle misure organizzative volte a migliorare i diritti degli interessati, oltre alla scarsità di riferimenti a prove concrete.
Polonia • Corte Suprema Amministrativa, Feb. 2023; III OSK 3945/21 • Tribunale Amministrativo di Varsavia, Ott. 2022; II SA/Wa 567/22 • In entrambi i casi, sanzioni per mancata implementazione di adeguate misure organizzative e tecniche. • Dichiarazioni dei Tribunali: • La DPA non ha valutato le prove (es. perizia tecnica). • La DPA non ha considerato adeguatamente i fatti e le circostanze. • Le disposizioni non erano sufficientemente motivate.
Francia • Conseil d’Etat, 29.12.2022 • Artic. 82 della legge 78-17 sulla protezione dei dati sui cookie • La DPA ha sufficiente provato la violazione dell’art. 82: il titolare del trattamento non ha ottenuto il consenso • La DPA ha seguito le procedure corrette nel decidere l'importo della sanzione • Nella decisione, la DPA ha correttamente preso in considerazione diversi fattori, tra cui, ad esempio, il numero degli interessati e la gravità della violazione (articolo 83(2)(a) GDPR), la situazione finanziaria del titolare nel suo settore economico e il fatto che il titolare derivava oltre il 95% del proprio reddito dalla pubblicità, ottenendo così un vantaggio finanziario dalla violazione (articolo 83(2)(k) GDPR). • Né il GDPR né la Legge francese impongono alla DPA di motivare l'importo delle sanzioni imposte
AI ACT – Dove va l’UE? • Lo scopo del presente regolamento è migliorare il funzionamento del mercato interno e promuovere la diffusione di un'intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell'ambiente, contro gli effetti nocivi dei sistemi di IA nell'Unione, e promuovendo l'innovazione.
FRIA - Art.29 dell'AI Act • Gli operatori devono fornire una descrizione dettagliata dei seguenti elementi: Processo di Implementazione del sistema/modello di AI; Durata e frequenza di utilizzo del sistema/modello di AI; Categorie di persone o gruppi interessati dal sistema/modello di AI; Rischi specifici di danno per i gruppi interessati; Misure di supervisione umana da adottare per monitorare il sistema/modello di AI; Misure di eliminazione/contenimento/gestione del rischio in caso si concretizzi. Prima della messa in uso/commercializzazione dei sistemi/modelli di AI: Svolgere un’analisi d'impatto completa; Assicurare la conformità del sistema alla legislazione anche armonizzata; Elaborare un piano (protocollo di gestione) per mitigare i danni e gli impatti negativi; Effettuare una nuova valutazione d'impatto in caso di cambiamenti significativi del sistema/modello a seguito di aggiornamenti o correzioni tecniche; Collaborare con le parti interessate; Pubblicare un rendiconto dettagliato dei risultati della valutazione da mettere a disposizione di fornitori e autorità di vigilanza in caso di controlli.
Etica e diritti fondamentali • Nell’AI Act, invece, il concetto di etica assurge spesso a sinonimo di valori sottesi ai diritti fondamentali • Sfera oggettiva (che è appunto segnata dai diritti riconosciuti per mezzo di un’approvazione formale, che risponde ad una selezione degli interessi ritenuti meritevoli di tutela) e una sfera soggettiva, cui dovrebbe essere relegata l’etica
Dove vanno gli altri Paesi? • Stati Uniti • Cina • Corea del Nord • Giappone • Interventi nazionali dei singoli legislatori europei
Quali regole e perché? UE, Data Protection e Intelligenza Artificiale

More Related Content

PDF
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
byM2 Informatica
 
PPTX
GDPR
byPasquale Tarallo
 
PDF
Smau 2016 Fascicolo sanitario elettronico e protezione dati personali
byMauro Alovisio
 
PDF
Il giornalista digitale tra Direttiva Copryright e Regolamento Privacy UE
byOdgToscana
 
PPTX
Tarallo privacy
byCarlo Favaretti
 
PDF
SMAU Milano 2017 - Conformità GDPR
byTalea Consulting Srl
 
PDF
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
byMauro Alovisio
 
PDF
Smau Milano 2016 - CSIG - Sanità
bySMAU
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
byM2 Informatica
 
GDPR
byPasquale Tarallo
 
Smau 2016 Fascicolo sanitario elettronico e protezione dati personali
byMauro Alovisio
 
Il giornalista digitale tra Direttiva Copryright e Regolamento Privacy UE
byOdgToscana
 
Tarallo privacy
byCarlo Favaretti
 
SMAU Milano 2017 - Conformità GDPR
byTalea Consulting Srl
 
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
byMauro Alovisio
 
Smau Milano 2016 - CSIG - Sanità
bySMAU
 

Similar to Quali regole e perché? UE, Data Protection e Intelligenza Artificiale

PDF
GDPR -nuova normativa privacy pt
byCentoCinquanta srl
 
PDF
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
byPietro Calorio
 
PDF
Sviluppare e progettare secondo il principio data protection by design and by...
byGianluca Satta
 
PPTX
GDPR - Il nuovo regolamento Privacy Europeo
byM2 Informatica
 
PPTX
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
byM2 Informatica
 
PDF
L'adeguamento al GDPR: opportunità e criticità
byPietro Calorio
 
PPTX
INTELLIGENZA ARTIFICIALE e «GDPR»
byEdoardo E. Artese
 
PPTX
GDPR Navigator - La soluzione per PMI e Consulenti Privacy
byRoberto Lorenzetti
 
PPTX
Gestione Rischi GDPR. Sanità e Cloud
byLiguria Digitale
 
PPTX
Il dato è tratto - Eurosystem e Nordest Servizi
byEurosystem S.p.A.
 
PPTX
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
byFrancesco Reitano
 
PDF
GDPR: scenari attuali e futuribili
byAndrea Maggipinto [+1k]
 
PPTX
Il regolamento europeo sulla protezione dei dati e l’impatto sulle aziende. U...
byRiccardo Cocozza
 
PDF
Luca Bonadimani AIPSI - SMAU Milano 2017
bySMAU
 
PPTX
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
byMaurizio Taglioretti
 
PDF
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
byM2 Informatica
 
PDF
Franco Cardin - SMAU Padova 2017
bySMAU
 
PDF
Convegno- workshop Territoriale Anorc Professioni Veneto
byANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
PPTX
SEMINARIO GRATUITO “IL NUOVO REGOLAMENTO EUROPEO PRIVACY”
byConflavoro PMI Reggio Emilia
 
PPTX
Le ultime novità alla luce del Decreto di adeguamento privacy
byANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
GDPR -nuova normativa privacy pt
byCentoCinquanta srl
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
byPietro Calorio
 
Sviluppare e progettare secondo il principio data protection by design and by...
byGianluca Satta
 
GDPR - Il nuovo regolamento Privacy Europeo
byM2 Informatica
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
byM2 Informatica
 
L'adeguamento al GDPR: opportunità e criticità
byPietro Calorio
 
INTELLIGENZA ARTIFICIALE e «GDPR»
byEdoardo E. Artese
 
GDPR Navigator - La soluzione per PMI e Consulenti Privacy
byRoberto Lorenzetti
 
Gestione Rischi GDPR. Sanità e Cloud
byLiguria Digitale
 
Il dato è tratto - Eurosystem e Nordest Servizi
byEurosystem S.p.A.
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
byFrancesco Reitano
 
GDPR: scenari attuali e futuribili
byAndrea Maggipinto [+1k]
 
Il regolamento europeo sulla protezione dei dati e l’impatto sulle aziende. U...
byRiccardo Cocozza
 
Luca Bonadimani AIPSI - SMAU Milano 2017
bySMAU
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
byMaurizio Taglioretti
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
byM2 Informatica
 
Franco Cardin - SMAU Padova 2017
bySMAU
 
Convegno- workshop Territoriale Anorc Professioni Veneto
byANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
SEMINARIO GRATUITO “IL NUOVO REGOLAMENTO EUROPEO PRIVACY”
byConflavoro PMI Reggio Emilia
 
Le ultime novità alla luce del Decreto di adeguamento privacy
byANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 

More from Giovanni Maria Riccio

PDF
Balancing Data Protection and Artificial Intelligence
byGiovanni Maria Riccio
 
PDF
Corso di Legislazione dei beni culturali
byGiovanni Maria Riccio
 
PDF
Patrimonio culturale e mondo digitale
byGiovanni Maria Riccio
 
PDF
Privacy e telemarketing
byGiovanni Maria Riccio
 
PDF
Diritto d'autore, design e moda
byGiovanni Maria Riccio
 
PDF
GDPR and Copyright Law
byGiovanni Maria Riccio
 
PPTX
Startup innovative
byGiovanni Maria Riccio
 
PDF
Art in Public Spaces and Cultural Heritage
byGiovanni Maria Riccio
 
PDF
Cinema e contratti
byGiovanni Maria Riccio
 
PDF
Metaverso e proprietà intellettuale (copyright, trademark)
byGiovanni Maria Riccio
 
PDF
Corso Libertà di informazione. Diffamazione, rettifica, oblio
byGiovanni Maria Riccio
 
PPTX
Indigenous Art & Copyright: Milpurrurru v Indofurn
byGiovanni Maria Riccio
 
PDF
Le regole dei giochi
byGiovanni Maria Riccio
 
PPTX
Artificial Intelligence and Copyright: How to Find Balances between Human Cr...
byGiovanni Maria Riccio
 
PPTX
Intelligenza artificiale, data protection e copyright
byGiovanni Maria Riccio
 
PDF
G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...
byGiovanni Maria Riccio
 
PPTX
Out-of-Commerce Works and the Copyright Proposal Directive
byGiovanni Maria Riccio
 
PDF
Is Pandemia a Good Reason to Give Up on Privacy
byGiovanni Maria Riccio
 
PPTX
Authorship NFT Artificial Intelligence.pptx
byGiovanni Maria Riccio
 
PDF
Startup - Marchi, Copyright, Confidentiality Agreement
byGiovanni Maria Riccio
 
Balancing Data Protection and Artificial Intelligence
byGiovanni Maria Riccio
 
Corso di Legislazione dei beni culturali
byGiovanni Maria Riccio
 
Patrimonio culturale e mondo digitale
byGiovanni Maria Riccio
 
Privacy e telemarketing
byGiovanni Maria Riccio
 
Diritto d'autore, design e moda
byGiovanni Maria Riccio
 
GDPR and Copyright Law
byGiovanni Maria Riccio
 
Startup innovative
byGiovanni Maria Riccio
 
Art in Public Spaces and Cultural Heritage
byGiovanni Maria Riccio
 
Cinema e contratti
byGiovanni Maria Riccio
 
Metaverso e proprietà intellettuale (copyright, trademark)
byGiovanni Maria Riccio
 
Corso Libertà di informazione. Diffamazione, rettifica, oblio
byGiovanni Maria Riccio
 
Indigenous Art & Copyright: Milpurrurru v Indofurn
byGiovanni Maria Riccio
 
Le regole dei giochi
byGiovanni Maria Riccio
 
Artificial Intelligence and Copyright: How to Find Balances between Human Cr...
byGiovanni Maria Riccio
 
Intelligenza artificiale, data protection e copyright
byGiovanni Maria Riccio
 
G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...
byGiovanni Maria Riccio
 
Out-of-Commerce Works and the Copyright Proposal Directive
byGiovanni Maria Riccio
 
Is Pandemia a Good Reason to Give Up on Privacy
byGiovanni Maria Riccio
 
Authorship NFT Artificial Intelligence.pptx
byGiovanni Maria Riccio
 
Startup - Marchi, Copyright, Confidentiality Agreement
byGiovanni Maria Riccio
 

Quali regole e perché? UE, Data Protection e Intelligenza Artificiale

  • 2.
    A cosa servela comparazione giuridica nelle nuove tecnologie • Necessità di armonizzazione in un contesto globalizzato • Identificazione delle pratiche normative (passaggio dalla legge statale alle regole tecniche) • Analizzare l’efficienza (non solo in termini economici) delle soluzioni adottate in altri ordinamenti al fine di replicarle Caveat Attenzione ai bias che discendono dalle tradizioni giuridiche nazionali Attenzione ai (legal) false friends Considerare la gamma dei diritti fondamentali dominanti a livello locale
  • 4.
    Unificazione, uniformazione , armonizzazion e • unificazione, quandonon solo la norma è prodotta da un organo legislativo unitario, ma la sua interpretazione e la sua applicazione è univoca • uniformazione, quando la norma è emanata da un organo legislativo unitario, ma l’applicazione è rimessa alla libera interpretazione dei singoli ordinamenti • armonizzazione, quando l’organo legislativo unitario pone delle regole tendenzialmente uniformi e i singoli Stati possono distaccarsene, purché non alterino il modello base Ricorso ai regolamenti in luogo delle direttive
  • 5.
    Brussels Effect • applicazione extraterritoriale:le norme si estendono oltre i confini dell'UE, imponendo obblighi alle aziende straniere che operano nel mercato europeo • adozione de facto da parte delle aziende: le imprese globali potrebbero uniformarsi volontariamente agli standard dell'UE per mantenere l'accesso al mercato europeo • imitazione legislativa da parte di paesi terzi: altre nazioni potrebbero modellare le proprie leggi su quelle europee • adozione in accordi internazionali e standard: gli standard potrebbero essere incorporati in accordi e norme internazionali, amplificando la loro portata e agendo anche sul piano extra-normativo, nel quale l’armonizzazione delle regole tecniche è più semplice
  • 6.
    New Challenges in theEU Regulations • GDPR 173 Recitals 99 articles • DSA 156 Recitals 93 articles • DMA 109 Recitals 54 articles • Artificial Intelligence Act 89 Recitals 85 articles • Data Act 90 Recitals 42 articles • The European Health Data Space 76 Recitals 72 articles • Cyberresilience Act 71 Recitals 57 articles
  • 7.
    GDPR GDPR: primo regolamentoin materia di protezione dei dati Il GDPR si basa su un approccio solo parzialmente giuridico per adattarsi a tutte le tradizioni giuridiche nazionali. GDPR si fonda su accountability e private assessment (sulla scia di altre regolamentazioni, ad es. in materia ambientale) Regole flessibili, ma rischi per la certezza del diritto
  • 8.
    Flessibilità per unaregolamentazione globale? • Il GDPR è stato imitato da molti Paesi non appartenenti all'UE: • Brasile – Lei Geral da Proteção de Dados (LGPD) • Cina – Personal Information Protection Law (PIPL) • Anche in Paesi «minori», ad esempio: • Egitto – Legge n. 151 sulla protezione dei dati personali • Nigeria – Nigeria Data Protection Regulation (NDPR) • Svizzera – Datenschutzgesetz (DSG)
  • 9.
    PIPL • Approvata il1° novembre 2021 • Molto simili le definizioni di dati personali, di titolare e responsabile del trattamento, l’ambito di applicazione oggettiva • Dove diverge? Nell'entità responsabile della conduzione della valutazione. In Cina, il self assessment non è consentito e deve essere "validata" da un'autorità pubblica, rispettando così standard uniformi • Rapporti tra Stato e cittadini • Informazioni che potrebbero arrecare «danno alla dignità degli individui, alla sicurezza nazionale o alla proprietà»
  • 10.
    The other sideof the moon… • Molte norme del GDPR utilizzano formule generiche. • Ad esempio, Privacy by Design e Privacy by Default non sono definite (e non sono obbligatorie). • L'obbligo previsto dall'articolo 32 del GDPR è un obbligo di risultato o impone un obbligo di diligenza (obligations de moyens/résultat)? • In quale caso un titolare del trattamento può essere sanzionato per la violazione di queste norme?
  • 11.
    Prime decisioni delleDPAs • GER (2018) – Flirty Chat Platform – archiviazione delle password senza sistemi di crittografia. • FRA (2019) – CNIL SAN-2019-006 – protocolli per le password non conformi al GDPR: «non sono state adottate misure per garantire la tracciabilità degli accessi individuali alla casella di posta elettronica professionale condivisa» e «è importante garantire che gli utenti siano autenticati tramite account individuali prima di accedere ai dati». • ITA (2019) – GPDP (Caso Rousseau) – la piattaforma Rousseau non aveva adottato le misure di sicurezza richieste dall'Autorità Garante per la Protezione dei Dati Personali (DPA).
  • 12.
    DPAs as Supervisory Authority •Le Autorità di Protezione dei Dati (DPA) sono autorità amministrative indipendenti (art. 51 GDPR) • Le DPA seguono le regole delle PA nell’adozione di provvedimenti • Le decisioni delle DPA devono essere motivate e adottate entro un termine specifico • La mancanza di motivazione può portare all'annullamento o alla modifica di tali decisioni/disposizioni • Nel caso di sanzioni basate sulla violazione dell'articolo 32, le misure violate dovrebbero essere indicate/elencate nel provvedimento
  • 13.
    Prove e giustoprocesso • Corte Suprema Ungherese (Nov. 2021): le sanzioni imposte da un’Autorità di Protezione dei Dati (DPA) devono essere annullate se la DPA supera il termine legale previsto per i propri procedimenti. • Tribunale di Roma (Set. 2023): ha sospeso le sanzioni della DPA che superano il termine legale. • Tribunale di Milano (Ott. 2023): vaghezza delle misure prescritte, in particolare quelle relative alle misure organizzative volte a migliorare i diritti degli interessati, oltre alla scarsità di riferimenti a prove concrete.
  • 14.
    Polonia • Corte SupremaAmministrativa, Feb. 2023; III OSK 3945/21 • Tribunale Amministrativo di Varsavia, Ott. 2022; II SA/Wa 567/22 • In entrambi i casi, sanzioni per mancata implementazione di adeguate misure organizzative e tecniche. • Dichiarazioni dei Tribunali: • La DPA non ha valutato le prove (es. perizia tecnica). • La DPA non ha considerato adeguatamente i fatti e le circostanze. • Le disposizioni non erano sufficientemente motivate.
  • 15.
    Francia • Conseil d’Etat,29.12.2022 • Artic. 82 della legge 78-17 sulla protezione dei dati sui cookie • La DPA ha sufficiente provato la violazione dell’art. 82: il titolare del trattamento non ha ottenuto il consenso • La DPA ha seguito le procedure corrette nel decidere l'importo della sanzione • Nella decisione, la DPA ha correttamente preso in considerazione diversi fattori, tra cui, ad esempio, il numero degli interessati e la gravità della violazione (articolo 83(2)(a) GDPR), la situazione finanziaria del titolare nel suo settore economico e il fatto che il titolare derivava oltre il 95% del proprio reddito dalla pubblicità, ottenendo così un vantaggio finanziario dalla violazione (articolo 83(2)(k) GDPR). • Né il GDPR né la Legge francese impongono alla DPA di motivare l'importo delle sanzioni imposte
  • 16.
    AI ACT – Doveva l’UE? • Lo scopo del presente regolamento è migliorare il funzionamento del mercato interno e promuovere la diffusione di un'intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell'ambiente, contro gli effetti nocivi dei sistemi di IA nell'Unione, e promuovendo l'innovazione.
  • 17.
    FRIA - Art.29 dell'AI Act •Gli operatori devono fornire una descrizione dettagliata dei seguenti elementi: Processo di Implementazione del sistema/modello di AI; Durata e frequenza di utilizzo del sistema/modello di AI; Categorie di persone o gruppi interessati dal sistema/modello di AI; Rischi specifici di danno per i gruppi interessati; Misure di supervisione umana da adottare per monitorare il sistema/modello di AI; Misure di eliminazione/contenimento/gestione del rischio in caso si concretizzi. Prima della messa in uso/commercializzazione dei sistemi/modelli di AI: Svolgere un’analisi d'impatto completa; Assicurare la conformità del sistema alla legislazione anche armonizzata; Elaborare un piano (protocollo di gestione) per mitigare i danni e gli impatti negativi; Effettuare una nuova valutazione d'impatto in caso di cambiamenti significativi del sistema/modello a seguito di aggiornamenti o correzioni tecniche; Collaborare con le parti interessate; Pubblicare un rendiconto dettagliato dei risultati della valutazione da mettere a disposizione di fornitori e autorità di vigilanza in caso di controlli.
  • 18.
    Etica e dirittifondamentali • Nell’AI Act, invece, il concetto di etica assurge spesso a sinonimo di valori sottesi ai diritti fondamentali • Sfera oggettiva (che è appunto segnata dai diritti riconosciuti per mezzo di un’approvazione formale, che risponde ad una selezione degli interessi ritenuti meritevoli di tutela) e una sfera soggettiva, cui dovrebbe essere relegata l’etica
  • 19.
    Dove vanno glialtri Paesi? • Stati Uniti • Cina • Corea del Nord • Giappone • Interventi nazionali dei singoli legislatori europei