Il mondo delle tecnologie digitali è stato per lungo tempo caratterizzato da un importante ‘vuoto normativo’ 1 che ne ha permesso la crescita in modo libero e spesso imprevedibile.
Con la complicità di alcune precise scelte politico-economiche e una generale lentezza nella creazione di nuove regole, specialmente in confronto alla velocità dello sviluppo dell’informatica, la maggior parte dei legislatori ha preferito intervenire su temi specifici piuttosto che cimentarsi in una complessiva riorganizzazione del caos emerso da anni di crescita incontrollata.
All’interno di questo scenario, tuttavia, l’Europa è riuscita a emergere fuori dal coro e rappresentare un lodevole esempio di innovazione giuridica nel campo dei ‘diritti digitali’ 2già da diversi anni. Paradigma di questa tendenza è stato il General Data Protection Regulation 3, anche detto GDPR, che è entrato in vigore nel 2016 per poi diventare pienamente operativo dal 25 maggio 2018 trasformando drasticamente le pratiche di trattamento dei dati personali non solo all’interno dell’Unione Europea, ma in tutto il mondo. Infatti, grazie all’efficacia extra-territoriale attribuita a questo Regolamento anche i soggetti provenienti al di fuori dell’UE hanno dovuto adeguare i propri modelli di business a questa nuova norma per poter continuare a processare i dati personali dei cittadini europei o residenti in Europa. Considerando che almeno dal 2017 i “dati” sono diventati a parere di molti la risorsa economica più importante del pianeta, aggiudicandosi il primato che per decenni era appartenuto al petrolio 4, è facile cogliere quanto le nuove tutele giuridiche introdotte dal GDPR abbiano rivoluzionato questo settore; un cambiamento così significativo da aver perfino ispirato legislatori di altri continenti, come nel caso degli Stati Uniti con il California Consumer Privacy Act 5 del 2018.
Dopo questi primi successi su scala globale, l’Unione Europea si prepara a mettere in campo una nuova serie di Regolamenti per il mondo digitale.
Il primo di questi Regolamenti che promette di trasformare Internet e il modo in cui i contenuti generati dagli utenti saranno trasmessi e conservati in futuro è il Digital Service Act 6, abbreviato in DSA, il quale si presenta come continuazione della Direttiva sul Commercio Elettronico 7 promulgata più di vent’anni fa. Il DSA è stato pubblicato sulla Gazzetta Ufficiale dell’UE lo scorso 19 ottobre 2022 e ci si aspetta che diventi pienamente operativo al più tardi entro febbraio 2024.
Questa norma mira ad ampliare le tutele giuridiche degli utenti del Web con nuove disposizioni per i cosiddetti ‘fornitori di servizi intermediari’ online tra cui ad esempio le piattaforme di condivisione video, i siti di commercio online, i blog, i social media e i servizi di accesso a Internet. Temi caldi toccati dal DSA sono anche il contrasto alla diffusione di contenuti illeciti o dannosi, il supporto degli utenti nel loro rapporto con questi fornitori e lo stimolo all’innovazione digitale.
Questo nuovo Regolamento riprende la catalogazione dei fornitori di servizi online (divisi in mere conduit, caching e hosting providers) introdotta dalla Direttiva e la arricchisce di ulteriori categorie giuridiche utili a distinguere questi soggetti. Nel testo normativo del DSA, infatti, vengono finalmente menzionate in modo esplicito le “piattaforme online” a cui sono direttamente rivolte alcune disposizioni in virtù della loro notevole capacità di distribuire informazioni al pubblico, spingendosi perfino ad offrirne una distinzione interna basata sulle loro dimensioni. È così introdotta la differenza tra piattaforme online ‘ordinarie’ e quelle ‘di larghe dimensioni’ che dovranno sottostare a regole aggiuntive poiché dotate di un numero di utenti superiore a 45 milioni, ossia circa il 10% della popolazione dell’UE. Si tratta quindi di un tanto atteso riconoscimento a livello giuridico delle differenze di rapporti di forza tra le varie piattaforme digitali, oltre alla loro complessa relazione con i propri utenti. In effetti, basta guardare alla storia degli ultimi anni per notare il ruolo delicatissimo che spesso hanno avuto le principali piattaforme online, come nel caso di Twitter durante la ‘Primavera Araba’ 8 o di Facebook per l’elezione di Donald Trump 9 o di YouTube con la disinformazione a proposito del Covid19 10 o ancora TikTok nella guerra in Ucraina 11. Naturalmente la vera sfida in questo contesto sarà trovare un equilibrio nelle implementazioni della norma che tutelino i cittadini da contenuti nocivi mentre navigano su Internet senza, però, sfociare in soluzioni eccessivamente repressive che finirebbero a discapito di altri diritti come la libertà di espressione e il diritto all’autodeterminazione. Esistono, poi, molti altri punti del DSA di fondamentale importanza tra cui è possibile menzionare che:
• sono introdotti alcuni obblighi in capo alle piattaforme, sulla falsariga di altre norme in materia di protezione dei consumatori, riguardanti l’individuazione di un proprio punto di contatto per le comunicazioni con l’esterno e la stesura annuale di un ‘report sulla trasparenza’ in cui devono essere dettagliate tutte le scelte fatte nella moderazione dei contenuti e le motivazioni ad esse sottese;
• le piattaforme dovranno essere ‘diligenti’ verso i propri utenti, ad esempio fornendo dei Termini di Servizio che siano chiari e completi anche impegnandosi a non creare sul proprio sito situazioni che potrebbero confondere o depistare i cittadini nell’esercizio dei propri diritti come nel caso dei cosiddetti dark pattern 12;
• è introdotta una supervisione dall’esterno delle infrastrutture digitali e degli algoritmi implementati sulle piattaforme, come per esempio i famosi “sistemi di raccomandazione” dei contenuti proposti agli utenti, a cui potranno accedere soggetti qualificati ad operazioni di ‘audit esterno’ insieme ad altri ‘ricercatori controllati’ appartenenti al mondo dell’Accademia o altre realtà di studiosi;
• è previsto l’obbligo per le piattaforme di grandi dimensioni di provvedere alla regolare stesura di documenti di ‘analisi di rischio’ relativi ai possibili danni agli utenti causati dalla diffusione di contenuti illeciti o altre ricadute negative sui processi elettorali, sulla sicurezza e la salute pubblica (in particolare nel caso di straordinarie situazioni di crisi come è avvenuto con lo scoppio della pandemia da Covid19) o sull’esercizio dei diritti fondamentali;
• vengono introdotte nuove figure che facilitino la tutela degli utenti, come i ‘trusted flaggers‘ che sono soggetti a cui viene dato il compito di segnalare in via prioritaria i contenuti da censurare (figura che ha destato qualche comprensibile preoccupazione 13), poi gli “organismi di risoluzione extragiudiziale delle controversie” con cui si intende offrire un’alternativa più rapida rispetto al contenzioso ordinario e, infine, i ‘Digital Service Coordinator‘ a cui spetta di supervisionare l’applicazione del Regolamento in modo simile a quanto richiesto dal GDPR per le Data Protection Authority;
A proposito di equilibrio del mercato digitale, poi, vi è un secondo Regolamento promosso dall’UE che diventerà presto applicabile, chiamato Digital Market Act 14, o in breve DMA. Questa norma è stata promulgata nell’ottobre 2022 per diventare operativa nelle sue parti principali dal 2 maggio 2023 e, insieme al sopracitato Digital Service Act, costituisce l’altra metà del “Digital Services Act package”15 con cui l’UE (anche attraverso un inedito conferimento di nuovi poteri alla Commissione Europea) intende aggiungere un nuovo tassello per un mondo digitale più aperto e sicuro.
La particolarità del DMA è quella di essere indirizzato unicamente alle piattaforme online di grandissime dimensioni che operano sul territorio dell’Unione, definite dallo stesso testo normativo i ‘gatekeeper‘ del mercato digitale interno, alle quali vengono imposti seri vincoli proprio in ragione dell’enorme potere fattuale che esercitano nel presidiare l’accesso ai principali settori economici di Internet (che la norma divide in 10 settori). Per essere classificata come gatekeeper, una piattaforma deve fornire il proprio servizio in almeno 3 Stati Membri e avere realizzato un fatturato di almeno 7,5 miliardi in 3 anni consecutivi o di 75 miliardi in un anno, insieme al fatto di avere accumulato 45 milioni di utenti finali attivi mensilmente nell’UE e più di 10.000 utenti commerciali attivi annualmente.
Una volta che lo status di gatekeeper viene riconosciuto ad una piattaforma ai sensi del DMA, su di essa discendono una serie di obblighi e divieti aventi lo scopo di limitarne il loro strapotere economico considerato dannoso per un sano sviluppo del mercato interno all’UE. L’obiettivo delle disposizioni di questo Regolamento è quello di offrire la possibilità a nuove e più piccole piattaforme di “contestare” la primazia dei colossi tech che si sono storicamente già affermati (pochi dei quali, a ben vedere, sono nati in Europa) così da poter competere con relativamente maggiore facilità.
Una delle disposizioni del DMA che ha più suscitato la curiosità del pubblico è probabilmente quella relativa all’obbligo di interoperabilità tra i diversi operatori di messaggistica istantanea. Questo significa che il nuovo Regolamento obbligherà le grosse piattaforme di messaggistica a modificare le proprie applicazioni in modo da consentire lo scambio di messaggi direttamente con altre piattaforme più piccole o meno famose (qualora queste ultime si siano dichiarate interessate ad implementare tale funzione); quindi ad esempio diventerà possibile per un utente di Whatsapp scambiare messaggi con un utente di Signal, pur essendo i due soggetti su piattaforme differenti.
A guidare questa ammirevole operazione di trasformazione del mercato digitale vi sarà la Commissione, a cui sono attribuiti diversi poteri tra cui quello di individuare gli effettivi gatekeeper presenti in Europa, sorvegliare sul rispetto delle norme sancite dal DMA ed anche emanare sanzioni in caso di violazioni. La Commissione avrà anche il potere di effettuare periodiche ‘investigazioni di mercato’ per poter individuare nuovi gatekeeper emergenti o riconsiderare lo status di quelli vecchi.
Ancora un altro Regolamento, questa volta in tema di intelligenza artificiale, è il noto Artificial Intelligence Act 16 (anche detto AI Act o meno di frequente AIA) che è stato presentato dalla Commissione Europea il 21 aprile 2021 e al momento è ancora in fase di approvazione legislativa.
Questa norma si propone di fornire un inquadramento giuridico utile per ogni tipo di intelligenza artificiale di uso civile adoperata nel territorio dell’UE, rappresentando così il primo esempio di intervento legislativo su larga scala per facilitare la presenza dei sistemi di AI in un mercato unico. L’AI Act è stato anche apprezzato per l’ampio uso di termini tecnico-informatici nel testo normativo, oltre ai suoi generali obiettivi di tutela dei diritti e degli interessi fondamentali dei cittadini insieme ai principi della protezione dei dati personali. A seguito di numerose discussioni ed emendamenti, lo scorso 6 dicembre 2022 gli Stati Membri hanno raggiunto un compromesso su una prima versione di questo Regolamento segnando un altro importante passo di un percorso che, in assenza di imprevisti, dovrebbe portare all’approvazione del testo finale entro la fine del 2023. È interessante riportare che anche in questo caso l’iniziativa dell’UE è stata d’esempio per altri Stati in altri continenti, come nel caso del Brasile che dal settembre 2021 ha dato il via ai lavori per la stesura di una normativa simile proprio in tema di intelligenza artificiale.
La definizione offerta dall’AI Act di intelligenza artificiale è quella di un software automatizzato che sia «in grado di produrre risultati come contenuti, previsioni, raccomandazioni o decisioni che influenzano l’ambiente con cui interagiscono, in relazione a un insieme di obiettivi definiti dall’uomo». Nel Regolamento i vari tipi di AI vengono divisi in 3 categorie basate sul livello di rischio che si stima possano avere per i cittadini in base alle diverse operazioni che vengono chiamati ad effettuare. A sorvegliare sull’applicazione di questo nuovo Regolamento sarà preposto un apposito organismo denominato ‘AI Board‘ al quale, stando alle ultime versioni della norma, saranno attribuiti non solo poteri sanzionatori e correttivi ma anche la facoltà di facilitare la cooperazione tra i vari stakeholder e favorire la creazione di cosiddette ‘sandbox‘ in cui permettere ai nuovi sistemi di AI di essere testati e sviluppati in sicurezza così da agevolarne lo studio e l’innovazione.
Il panorama dei diritti digitali in Europa è ancora più ricco di norme già esistenti o in lavorazione che, tutte insieme, costituiscono un coraggioso progetto di riorganizzazione del mondo dell’informatica nel vivo delle sue ricadute sulla nostra società. Tra queste è bene menzionare (seppure solo di nome) anche l’European Media Freedom Act 17, l’European Chips Act 18, il Terrorist Content Online Regulation 19, la Collective Redress Directive 20, la seconda Network and Information Security Directive 21 e altro ancora. Molto di recente il Parlamento Europeo ha perfino avviato i lavori su una nuova normativa per il mercato dei videogiochi 22. Tutto questo si colloca nella cornice della “Europe’s Digital Decade” 23, un ampio progetto politico decennale (pensato fino al 2030) che mira a consolidare ancora di più il primato dell’Unione Europea per un uso consapevole delle tecnologie informatiche. Difficile prevedere quale sarà il futuro di questo panorama normativo e come si manifesterà nel concreto della sua applicazione, tanto quanto è impossibile anticipare tutti i nuovi scenari che l’evoluzione tecnologica sarà in grado di generare.
Quel che è certo, però, è che gli equilibri nel mondo dei diritti digitali sono in gran parte ancora da determinare e l’Europa sembra fortemente intenzionata a far sentire la propria voce.
Note
- https://www.quirinale.it/elementi/67291 dice Mattarella nel 2022: “Bisogna fare in modo di colmare questo vuoto normativo per mettere delle regole che incoraggino lo sviluppo della scienza, della tecnologia e delle applicazioni, ma garantendo sempre che al centro vi sia la persona umana”
- https://en.wikipedia.org/wiki/Digital_rights
- https://eur-lex.europa.eu/eli/reg/2016/679/oj
- https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data
- https://oag.ca.gov/privacy/ccpa
- https://eur-lex.europa.eu/legal-content/en/TXT/?uri=COM%3A2020%3A825%3AFIN
- https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32000L0031
- https://www.parlamento.it/application/xmanager/projects/parlamento/file/repository/affariinternazionali/ osservatorio/approfondimenti/PI0040App.pdf
- https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html
- https://gh.bmj.com/content/7/3/e008334
- https://www.washingtonpost.com/technology/2022/04/13/tiktok-russia-censorship-propaganda-tracking-exposed
- https://it.wikipedia.org/wiki/Dark_pattern
- https://law.yale.edu/sites/default/files/area/center/isp/documents/trustedflaggers_ispessayseries_2022.pdf
- https://eur-lex.europa.eu/legal-content/en/TXT/?uri=COM%3A2020%3A842%3AFIN
- https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package
- https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52021PC0206
- https://ec.europa.eu/commission/presscorner/detail/en/ip_22_5504
- https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-chips act_en
- https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex:32021R0784
- https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52018PC0184
- https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- https://www.europarl.europa.eu/news/en/press-room/20230113IPR66646/protecting-gamers-and-encouraging growth-in-the-video-games-sector
- https://digital-strategy.ec.europa.eu/en/policies/europes-digital-decade#:~:text=The%20EU%20will%20pursue %20a,to%20empower%20citizens%20and%20businesses.&text=Press%20release%2014%2F07%2F22,learn %20more%20about%20getting%20involved.