Il diritto europeo a confronto con i nuovi Regolamenti UE sui Dati (Data Governance Act, Data Service Act, Data Market Act): le prime pronunce
29 Aprile 2024
1. Digital Governance Act Il Digital Governance Act, regolamento (UE) 2022/868, pubblicato a maggio 2022, è applicabile dal 24 settembre 2023. È un regolamento volto ad integrare quanto già previsto dalla Direttiva (UE) 2019/1024, relativa all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico, ritenuta insufficiente a disciplinare le attuali necessità dei principali settori strategici, essendo profondamente mutati i contesti tecnologici e sociali, ed essendo intervenute ulteriori normative di settore che richiedono un'armonizzazione legislativa generale. Esso, nei suoi scopi, prevede da un lato il coordinamento con il Trattato sul Funzionamento dell'Unione europea, nella parte in cui viene garantita l'assenza di distorsioni della concorrenza nel mercato interno, dall'altro lato, il rafforzamento della libera circolazione dei dati a livello internazionale. La Commissione ha invitato a garantire la circolazione libera e sicura dei dati con i paesi terzi, soggetta a eccezioni e restrizioni per ragioni di pubblica sicurezza, ordine pubblico e nell'ottica di altri legittimi obiettivi di politica pubblica dell'Unione, in linea con gli obblighi internazionali, anche in materia di diritti fondamentali. La Commissione ha proposto di istituire, per la condivisione e la messa in comune dei dati, spazi comuni europei di dati specifici per dominio: «Laddove esista parità di condizioni nell'economia dei dati, le imprese competono sulla qualità dei servizi e non sulla quantità dei dati che controllano». Il regolamento non si applica in ambito di sicurezza pubblica, difesa e sicurezza nazionale. Ciò è agevolmente comprensibile, considerato l'interesse superiore dei temi sottesi a questi tre settori. L'attuazione del regolamento non può pregiudicare le norme del GDPR, anzi, ne presuppone la prevalenza in caso di conflitto tra le due normative. Al fine di comprendere l'impatto che il regolamento DGA ha in Europa, non possono non essere passate in rassegna le principali definizioni fornite dalla novella: nell'art. 2 «Definizioni» troviamo alcuni termini che si discostano da quelli considerati “tradizionali” da decenni; in primis, viene introdotto un nuovo concetto di DATI: «1) qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva»; questa categoria, secondo il Regolamento, non si sovrappone a quella di “dati personali” per la quale si rinvia al GDPR, ed a quella di dati non personali, espressamente definita come “i dati diversi dai dati personali”. Già da questa definizione, possiamo evincere l'estensione dell'applicazione della normativa atta a ricomprendere anche dei fatti, delle registrazioni, non di carattere personale, tali da annoverare anche informazioni non imputabili ad una persona fisica. Sempre con riferimento alla terminologia, appare significativa la nozione di “titolare dei dati”: «una persona giuridica, compresi gli enti pubblici e le organizzazioni internazionali, o una persona fisica che non è l'interessato rispetto agli specifici dati in questione e che, conformemente al diritto dell'Unione o nazionale applicabile, ha il diritto di concedere l'accesso a determinati dati personali e non, o di condividerli»; il titolare dei dati è diverso dall' “interessato” ai sensi dell'art. 4, punto 1, del GDPR. Il titolare di informazioni non è necessariamente una persona fisica, ma un ente giuridico, un'associazione, una fondazione, una cooperativa, un partito politico, un sindacato, una diocesi, ecc. E ancora, troviamo inclusa una nuova figura, l'«utente dei dati»: «una persona fisica o giuridica che ha accesso legittimo a determinati dati (personali o non personali) e che ha diritto, anche a norma del regolamento (UE) 2016/679 in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali». L'utente è sostanzialmente chi ha il diritto di accedere a informazioni, pur non essendo né il titolare dei dati, né l'interessato; in altri termini, considerando il dato come un bene che circola da una parte all'altra in funzione dello scopo della persona che lo mette in circolazione, troviamo da un lato il titolare e/o l'interessato che attua la circolazione, dall'altro l'utente del dato che fruisce di quell'informazione; un esempio, tra i molti, potrebbe essere quello del responsabile genitoriale, che ha accesso alle informazioni di carattere personale contenute all'interno di un portale, e che riguardano il proprio figlio minore, interessato e titolare dei dati personali. Un altro esempio può essere quello di un blog creato da una società e contenente delle informazioni aziendali, che viene ascoltato da un numero indefinito di utenti che, attraverso la registrazione al blog, accedono a quelle informazioni. Andando ad analizzare le novità, nei contenuti, che impattano sul diritto dei dati, osserviamo che il regolamento è suddiviso in 4 capi. Il Capo II è dedicato al «Riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici», il Capo III regola i «Requisiti applicabili ai servizi di intermediazione dei dati». Quindi, il Capo IV concerne l' “Altruismo dei dati”. Il capo III, in particolare, considera le attività dei servizi di intermediazione dei dati, definiti come quei servizi che «mirano ad instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall'altro, anche al fine dell'esercizio dei diritti degli interessati in relazione ai dati personali». Secondo la normativa, sono esclusi dal Capo e quindi dal campo di applicazione della normativa sull'intermediazione alcune attività che includono il trattamento di informazioni protette da diritto di autore e/o funzionali a scopi non commerciali, e precisamente: «a. servizi che ottengono dati dai titolari dei dati e li aggregano, arricchiscono o trasformano al fine di aggiungervi un valore sostanziale e concedono licenze per l'utilizzo dei dati risultanti agli utenti dei dati, senza instaurare un rapporto commerciale tra i titolari dei dati e gli utenti dei dati; b. servizi il cui obiettivo principale è l'intermediazione di contenuti protetti da diritto d'autore; c. servizi utilizzati esclusivamente da un titolare dei dati per consentire l'utilizzo dei dati detenuti da tale titolare dei dati, oppure utilizzati da varie persone giuridiche all'interno di un gruppo chiuso, anche nel quadro di rapporti con i fornitori o i clienti o di collaborazioni contrattualmente stabilite, in particolare quelli aventi come obiettivo principale quello di garantire la funzionalità di oggetti o dispositivi connessi all'internet delle cose; d. servizi di condivisione dei dati offerti da enti pubblici che non mirano a instaurare rapporti commerciali». Capo II. Riutilizzo di determinate categorie di dati detenuti da enti pubblici La direttiva sull'apertura dei dati disciplina il riutilizzo delle informazioni pubbliche/disponibili in possesso del settore pubblico. Tuttavia, il settore pubblico detiene anche grandi quantità di dati protetti (ad esempio dati personali e dati commercialmente riservati) che non possono essere riutilizzati come dati aperti ma che potrebbero essere riutilizzati a norma di una legislazione specifica dell'UE o nazionale. Dunque, i dati considerati dal DGA non possono essere resi disponibili come “open data”, per conservare gli stessi senza comprometterne la natura protetta. Gli Stati membri dovranno essere tecnicamente attrezzati per garantire che la vita privata e la riservatezza dei dati siano pienamente rispettate in situazioni di riutilizzo. Ciò può includere una serie di strumenti, dalle soluzioni tecniche, come l'anonimizzazione, la pseudonimizzazione o l'accesso ai dati in ambienti di trattamento sicuri (ad esempio sale dati) sorvegliate dal settore pubblico, a strumenti contrattuali come gli accordi di riservatezza conclusi tra l'ente pubblico e il soggetto che riutilizzerà i dati. La legge prevede che, se un ente pubblico non potesse concedere l'accesso a determinati dati per il riutilizzo, dovrebbe aiutare il potenziale ri-utilizzatore a chiedere il consenso dell'interessato a riutilizzare i propri dati personali o l'autorizzazione del titolare dei dati i cui diritti o interessi possono essere pregiudicati dal riutilizzo. Inoltre, le informazioni riservate (ad esempio segreti commerciali) possono essere divulgate per il riutilizzo solo con detto consenso/autorizzazione. Da questa normativa, appare evidente come l'intenzione del legislatore va nel senso di una costante protezione dell'informazione e soprattutto della persona cui l'informazione afferisce. Non dobbiamo, peraltro, dimenticare, che già nel progetto dei lavori in materia di protezione dei dati il diritto alla protezione dei dati personali deve sempre essere considerato un diritto non assoluto, ma relativo e quindi bilanciato rispetto al pari diritto alla libera circolazione dei dati personali. In questa nuova normativa, l'esigenza di bilanciamento tra protezione e libertà si gioca su un piano più ampio, quello sopra indicato dei dati anche non personali, comprensivi di fatti, registrazioni, audio, informazioni in generale. Inoltre, allo scopo di agevolare la circolazione ed il riutilizzo dei dati, e dunque per rispettare la regola generale della libera concorrenza in UE, il DGA limita a casi specifici di solo interesse pubblico il ricorso agli accordi esclusivi di riutilizzo dei dati tra ente pubblico titolare e singola impresa/gruppo di imprese (le c.d. concessioni in esclusiva di dati pubblici). La legge prevede che gli enti pubblici riscuotano un compenso per consentire il riutilizzo, purché tale compenso sia ragionevole e non ecceda i costi necessari sostenuti. Inoltre, gli enti pubblici dovrebbero incentivare il riutilizzo a fini di ricerca scientifica e altri scopi non commerciali, nonché da parte delle PMI e delle start-up, riducendo o addirittura escludendo la tariffazione. Gli enti pubblici avranno tempo fino a due mesi per prendere una decisione in merito a una richiesta di riutilizzo. Gli Stati membri possono scegliere quali organismi competenti sosterranno gli enti pubblici che valuteranno di concedere l'accesso al riutilizzo, ad esempio fornendo a questi ultimi un ambiente di trattamento sicuro e fornendo loro consulenza su come strutturare e archiviare al meglio i dati per renderli facilmente accessibili. Sul piano operativo, il DGA pone una serie di “facilitazioni” volte ad aiutare i potenziali riutilizzatori a reperire informazioni pertinenti su quali dati sono detenuti dalle autorità pubbliche, gli Stati membri saranno tenuti a istituire un unico punto d'informazione. La Commissione ha creato il registro europeo dei dati protetti detenuti dal settore pubblico (c.d. ERPD), un registro consultabile delle informazioni compilato dai punti di informazione unici nazionali al fine di agevolare ulteriormente il riutilizzo dei dati nel mercato interno e oltre. Citiamo alcuni esempi già in vigore di tale attività: l'autorità finlandese per i dati sociali e sanitari F. elabora le richieste e concede l'accesso ai dati per il riutilizzo. Esempi di fonti di dati di F. sono l'istituto di assicurazione sociale, il registro delle pensioni e il registro della popolazione. Un altro es. è quello della società francese D. M., che sta migliorando la sua tecnologia LC-OCT che dà accesso a immagini a risoluzione cellulare delle microstrutture interne della pelle, in modo non invasivo con nuovi dati resi disponibili attraverso la propria tecnologia, con l'obiettivo di identificare meglio i potenziali segni di cancro della pelle e curare in modo più preciso negli interventi chirurgici. Capo III - Servizi di intermediazione dei dati. Gli obiettivi di questa sezione sono quelli di aumentare la fiducia nella condivisione dei dati, anche non personali, attraverso le attività di intermediazioni neutrali condotte da determinati soggetti. I fornitori di servizi di intermediazione dei dati (i cosiddetti intermediari di dati) possono essere degli organizzatori affidabili della condivisione o della messa in comune dei dati all'interno degli spazi comuni europei di dati secondo un modello basato sulla neutralità e sulla trasparenza, mettendo al contempo le persone e le imprese in grado di controllare i loro dati. Il ruolo degli intermediari di dati sarà, dunque, di collegare individui e aziende, titolari dei dati, con gli utenti dei dati. Sebbene gli intermediari abbiano accesso ai dati, per consentirne la condivisione, non potranno utilizzare direttamente i dati per ottenere profitti (come attraverso la vendita o l'utilizzo di un proprio prodotto sulla base di tali dati). Gli intermediari dei dati dovranno rispettare requisiti rigorosi per garantire tale neutralità ed evitare conflitti di interesse. Deve quindi verificarsi una separazione tra il servizio di intermediazione dei dati e qualsiasi altro servizio fornito. Ciò significa che il servizio di condivisione dei dati dovrebbe essere fornito mediante un'entità giuridica distinta dalle altre attività di tale fornitore di servizi di condivisione dei dati (1). Sia le organizzazioni autonome che forniscono solo servizi di intermediazione dei dati, sia le aziende che offrono servizi di intermediazione dei dati in aggiunta ad altri servizi, potrebbero funzionare come intermediari di fiducia. In quest'ultimo caso, l'attività di intermediazione dei dati deve essere strettamente separata, sia dal punto di vista giuridico che economico, dagli altri servizi di dati. Sul piano operativo, sarà onere di ciascuno Stato membro designare un'autorità competente con il compito di garantire il rispetto del requisito di neutralità, e di irrogare le dovute sanzioni pecuniarie ed amministrative in caso di violazione delle prescrizioni normative: per divenire intermediari dei dati, la legge richiede la notifica all'autorità competente dell'intenzione di fornire tali servizi. L'autorità competente garantirà che la procedura di notifica non sia discriminatoria e non distorca la concorrenza e confermerà che il fornitore di servizi di intermediazione dei dati ha presentato la notifica contenente tutte le informazioni richieste. Ricevuta tale conferma, l'intermediario dei dati potrà iniziare ad operare ed utilizzare nella sua comunicazione scritta e orale l'etichetta “fornitore di servizi di intermediazione dei dati riconosciuto nell'Unione” e il logo comune. Tali autorità controlleranno inoltre il rispetto dei requisiti di intermediazione dei dati e la Commissione terrà un registro centrale degli intermediari di dati riconosciuti. Un esempio pratico è il “Data Intelligence Hub” della D. T., intermediario che offre un mercato dei dati in cui le aziende possono gestire, fornire e monetizzare in modo sicuro informazioni di buona qualità, ad esempio i dati di produzione, al fine di ottimizzare i processi o l'intera catena del valore. T. assume il ruolo di fiduciario neutrale e garantisce la sovranità dei dati attraverso la gestione decentralizzata dei dati. Attualmente più di 1.000 utenti provenienti da oltre 100 aziende diverse sono attivi sulla piattaforma. Altro es. è D., azienda francese che si descrive come un «mercato globale dei dati». D. non acquista o vende dati, ma riunisce le aziende interessate a monetizzare e riutilizzare i dati e promuove la trasparenza tra i fornitori di dati e gli utenti assicurando che comunichino e conducano la transazione direttamente sulla sua piattaforma. D. ha sviluppato una serie di strumenti per aiutare sia i fornitori di dati che gli utenti a comprendere, valutare e comunicare i dati. Gli strumenti di visualizzazione (ad esempio mappe di calore, mappe ad albero) forniscono agli utenti diverse informazioni su un set di dati completo che può essere condiviso in modo sicuro prima del completamento di una transazione. Gli strumenti di campionamento generano automaticamente campioni di dati rappresentativi basati su algoritmi per evitare distorsioni. Gli utenti dei dati e i fornitori di dati comunicano utilizzando uno strumento di messaggistica incorporato nella piattaforma. Capo IV - Altruismo dei dati L'altruismo dei dati riguarda individui e aziende che danno il loro consenso o il permesso a rendere disponibili i dati che generano — volontariamente e senza ricompensa — per essere utilizzati nell'interesse pubblico. Tali dati hanno un enorme potenziale per far progredire la ricerca e sviluppare prodotti e servizi migliori, anche nei settori della salute, dell'ambiente e della mobilità. La ricerca indica che, mentre in linea di principio vi è la volontà di impegnarsi nell'altruismo dei dati, in pratica ciò è ostacolato dalla mancanza di strumenti di condivisione dei dati. Come tale, l'obiettivo del Data Governance Act è quello di creare strumenti affidabili che consentano la condivisione dei dati in modo semplice a beneficio della società. Creerà le condizioni giuste per assicurare alle persone fisiche e alle imprese che, quando condividono i loro dati, saranno gestite da organizzazioni di fiducia basate sui valori e sui principi dell'UE. Ciò consentirà la creazione di pool di dati di dimensioni sufficienti per consentire l'analisi dei dati e l'apprendimento automatico, anche a livello transfrontaliero. Come funziona nella pratica? I soggetti che mettono a disposizione dati pertinenti basati sull'altruismo dei dati potranno registrarsi come «organizzazioni per l'altruismo dei dati riconosciute nell'Unione». Tali entità devono avere un carattere senza scopo di lucro e soddisfare i requisiti di trasparenza, nonché offrire garanzie specifiche per proteggere i diritti e gli interessi dei cittadini e delle imprese che condividono i loro dati. Inoltre, devono rispettare il codice (al più tardi 18 mesi dopo la sua entrata in vigore), che stabilirà requisiti in materia di informazione, requisiti tecnici e di sicurezza, tabelle di marcia per la comunicazione e raccomandazioni sulle norme di interoperabilità. Il codice sarà elaborato dalla Commissione, in stretta collaborazione con le organizzazioni per l'altruismo dei dati e altre parti interessate. Le entità saranno in grado di utilizzare il logo comune progettato a tal fine e potranno scegliere di essere inserite nel registro pubblico delle organizzazioni di altruismo dei dati. La Commissione istituirà, a fini informativi, un registro a livello dell'UE delle organizzazioni per l'altruismo dei dati riconosciute. È inoltre previsto, in un'ottica di semplificazione, un modulo comune europeo di consenso per l'altruismo dei dati che consentirà la raccolta unitaria dei consensi in tutti gli Stati membri in un formato uniforme, garantendo che coloro che condividono i loro dati possano facilmente dare e revocare il loro consenso. Darà inoltre certezza giuridica ai ricercatori e alle imprese che desiderano utilizzare dati basati sull'altruismo. Possiamo citare alcuni esempi di sistema di altruismo dei dati: “M. D.G.” è una società che mira a «potenziare gli individui migliorando il loro diritto all'autodeterminazione per quanto riguarda i loro dati personali»: questa organizzazione fornisce un'interfaccia affidabile per i membri per dare il consenso all'uso dei loro dati personali per scopi specifici. E ancora, la piattaforma S. C. consente ai cittadini di condividere i dati sui livelli di rumore e sull'inquinamento nella loro casa raccolti attraverso i sensori, creando un sistema che fornisce informazioni essenziali per mappare il rumore e la qualità dell'aria e per i ricercatori e i governi per sviluppare soluzioni mirate a questi problemi (2). Infine, è prevista l'istituzione del “Comitato Europeo per l'innovazione in materia di dati”, un gruppo di esperti costituito da rappresentanti delle autorità competenti di tutti gli Stati membri, del Comitato Europeo per la protezione dei dati, della Commissione Europea «e degli spazi di dati pertinenti, nonché da altri rappresentanti di autorità competenti di settori specifici». A detto Comitato vengono affidati compiti di consiglio e assistenza nello sviluppo di prassi coerenti per l'applicazione delle disposizioni del regolamento; nella definizione delle priorità «da attribuire alle norme intersettoriali da utilizzare e sviluppare per l'utilizzo dei dati e la condivisione intersettoriale dei dati, alla comparabilità e allo scambio intersettoriali di buone pratiche per quanto riguarda le prescrizioni settoriali in materia di sicurezza e alle procedure di accesso, tenendo conto delle attività di normazione specifiche per settore»; nel rafforzamento dell'interoperabilità dei dati e dei servizi di condivisione dei dati tra diversi settori e ambiti; nella definizione di metodi per lo scambio efficiente di informazioni relative alla procedura di notifica prevista in capo ai fornitori di servizi di condivisione dei dati (ossia, una dichiarazione dell'intenzione degli stessi di fornire tali servizi), e alla registrazione e al monitoraggio delle organizzazioni riconosciute nel registro precedentemente citato (3). Tuttavia, c'è da dire che il potenziale contenuto nel regolamento DGA non si sta realizzando appieno in questo primo periodo; una delle ragioni dello scarso ricorso a tale strumento sembra doversi ricercare soprattutto nella scarsa fiducia da parte degli operatori nel sistema di condivisione dei dati e del riutilizzo dei dati del settore pubblico, oltre che della raccolta di dati per il bene comune, nonché nelle difficoltà tecniche consistenti nelle regole sopra evidenziate. 2. Digital Services Act Il Digital Services Act è il nuovo regolamento sui servizi digitali, approvato dal Parlamento Europeo insieme al Digital Markets Act. I due provvedimenti insieme compongono il Digital Services Package. Il regolamento (UE) 2022/2065 sui servizi digitali, Digital Service Act, dal 17 febbraio 2024 si applica a tutte le piattaforme. Le regole del DSA sono entrate in vigore il 25 agosto 2023, in un primo momento per le grandi piattaforme, identificate come VLOP (Very Large Online Platforms) e VLOSE (Very Large Online Search Engines). Da febbraio 2024 detta normativa è entrata in vigore per tutte le piattaforme, tenute ad adeguarsi alle regole stabilite dal DSA per garantire un ambiente digitale più sicuro e promuovere l'equità e la competitività all'interno del mercato digitale europeo. Le microimprese e le piccole imprese saranno soggette a obblighi proporzionati alle loro dimensioni e capacità (4). Il regime per le piattaforme online di grandi dimensioni che raggiungono una quota significativa del mercato europeo, ossia che hanno più di 45 milioni di consumatori europei al mese (corrispondente al 10% della popolazione dell'UE), è diverso dal regime delle atre piattaforme, in quanto le prime costituiscono una fonte di potenziali rischi, tra cui la diffusione di contenuti illegali e danni alla società. L'obiettivo del regolamento DSA è enunciato chiaramente nell'art. 1: «[...] contribuire al corretto funzionamento del mercato interno dei servizi intermediari stabilendo norme armonizzate per un ambiente online sicuro, prevedibile e affidabile che faciliti l'innovazione e in cui i diritti fondamentali sanciti dalla Carta, compreso il principio della protezione dei consumatori, siano tutelati in modo effettivo. 2. Il presente regolamento stabilisce norme armonizzate sulla prestazione di servizi intermediari nel mercato interno. Il presente regolamento stabilisce in particolare: a) un quadro per l'esenzione condizionata dalla responsabilità dei prestatori di servizi intermediari; b) norme relative a specifici obblighi in materia di dovere di diligenza adattati a determinate categorie di prestatori di servizi intermediari; c) norme sull'attuazione e sull'esecuzione del presente regolamento, anche per quanto riguarda la cooperazione e il coordinamento tra le autorità competenti». Come si coordina il regolamento DSA rispetto alle altre normative sui dati? L'art. 2 del Regolamento espressamente chiarisce che il regolamento DSA non pregiudica l'applicazione della direttiva 2000/31/CE (E-commerce) che, per inciso, non occupa l'analisi del presente contributo. Inoltre, non pregiudica le norme del regolamento (UE) 679/2016 (c.d. GDPR) e dei regolamenti UE sul diritto d'autore e connessi, come le normative di tutela dei consumatori UE. Prima di entrare nel cuore della Direttiva, soffermiamoci sulle nuove definizioni fornite dal DSA, in quanto ci permettono di comprendere appieno la portata applicativa del nuovo settore dei servizi digitali: viene introdotta la nozione di “destinatario del servizio”: qualsiasi persona fisica o giuridica che utilizza un servizio intermediario, in particolare per ricercare informazioni o renderle accessibili; questa nozione non coincide con la nozione di “consumatore”: qualsiasi persona fisica che agisce per fini che non rientrano nella sua attività commerciale, imprenditoriale, artigianale o professionale; ma, a ben vedere, non coincide neppure con la definizione di “utente dei dati” di cui al DGA sopra illustrato: parrebbe, stando alle espressioni utilizzate dalla legge, che il destinatario del servizio sia un utente dei dati soltanto qualora utilizzi un “servizio intermediario”, mentre se utilizza un altro tipo di servizio, deve essere qualificato come un “utente dei dati”; i) “piattaforma online”: un servizio di memorizzazione di informazioni che, su richiesta di un destinatario del servizio, memorizza e diffonde informazioni al pubblico [...]; qui si introduce un legame tra la nozione di “destinatario del servizio” e “piattaforma online”, presupponendosi che la piattaforma può operare soltanto su richiesta di un soggetto; j) “motore di ricerca online”: un servizio intermediario che consente all'utente di formulare domande al fine di effettuare ricerche, in linea di principio, su tutti i siti web, o su tutti i siti web in una lingua particolare, sulla base di un'interrogazione su qualsiasi tema sotto forma di parola chiave, richiesta vocale, frase o di altro input, e che restituisce i risultati in qualsiasi formato in cui possono essere trovate le informazioni relative al contenuto richiesto; t) “moderazione dei contenuti”: le attività, automatizzate o meno, svolte dai prestatori di servizi intermediari con il fine, in particolare, di individuare, identificare e contrastare contenuti illegali e informazioni incompatibili con le condizioni generali, forniti dai destinatari del servizio, comprese le misure adottate che incidono sulla disponibilità, sulla visibilità e sull'accessibilità di tali contenuti illegali o informazioni, quali la loro retrocessione, demonetizzazione o rimozione o la disabilitazione dell'accesso agli stessi, o che incidono sulla capacità dei destinatari del servizio di fornire tali informazioni, quali la cessazione o la sospensione dell'account di un destinatario del servizio. Queste attività presuppongono la individuazione, da parte dei prestatori di servizi intermerdiati, di contenuti digitali forniti dai “destinatari dei servizi”. Una volta analizzati i nuovi termini del legislatore europeo, vediamo come la normativa si pone rispetto ai protagonisti dei dati, i c.d. intermediari dei dati, ossia quei soggetti che offrono servizi a distanza, per via elettronica/telematica, su richiesta, solitamente retribuita, di un destinatario. Per esempio: mercati online, social network, piattaforme per la condivisione di contenuti, piattaforme ricettive e di viaggio online. Le norme sono proporzionate alle dimensioni delle imprese e al loro impatto sulla società. Le piattaforme di dimensioni molto piccole sono esentate dalla maggior parte degli obblighi. Il regolamento DSA riguarda i servizi di hosting, i servizi cloud e di web hosting della Direttiva e-commerce (5). Questi servizi svolgono un ruolo essenziale nel permettere a siti web e applicazioni online di operare. Tra queste, i primi, prestatori di servizi intermediari, sono assoggettati a determinate responsabilità (Capo II del regolamento DSA). Viene qui riformulata la nota definizione (nata con la Direttiva e-commerce 2000-31) degli Internet Service Provider (acronimo ISP), distinguendo tra ISP con funzione di mero trasporto (art.4), ISP con funzione di memorizzazione temporanea (art. 5), e ISP con funzione di memorizzazione definitiva (art. 6): il regolamento DSA sostanzialmente riprende le disposizioni della Direttiva e-commerce focalizzandosi sulle relative forme di responsabilità, a seconda del contesto in cui gli ISP operano. L'art. 8 del Regolamento DSA espressamente prevede quanto segue: «Assenza di obblighi generali di sorveglianza o di accertamento attivo dei fatti - Ai prestatori di servizi intermediari non è imposto alcun obbligo generale di sorveglianza sulle informazioni che tali prestatori trasmettono o memorizzano, né di accertare attivamente fatti o circostanze che indichino lapresenzadi attività illegali». Dopo la disciplina degli ISP, la normativa suddivide le piattaforme intermediarie di servizi in quattro categorie: - intermediary services; - hosting (es. cloud); - online platform (es. social media); - very large online platform (c.d. VLOP), e very large online searching engines (c.d. VLOSE). Il Capo III «Obblighi in materia di dovere di diligenza per un ambiente online trasparente e sicuro» (artt. 11-48) è suddiviso in sezioni, a seconda dell'attività delle piattaforme e delle dimensioni delle stesse: già da questa suddivisione, possiamo intendere la volontà del legislatore di sancire una sorta di obbligazioni “in crescendo” dei soggetti che detengono le chiavi di accesso al mercato digitale: la prima sezione è dedicata a tutti i prestatori di servizi intermediari (intermediary services); quindi, vi è una sezione dedicata “ai prestatori di servizi di memorizzazione di informazioni, comprese le piattaforme online” (c.d. hosting), ai quali impone obblighi di comunicazione tempestiva di sospetti di atti illegali e reati; poi, ancora, nell'ottica di una graduale intensificazione degli obblighi e delle responsabilità a fronte di attività potenzialmente più pericolose, troviamo una sezione dedicata ai “fornitori di piattaforme online” (online platform); successivamente, una sezione (la quarta) relativa ai “fornitori di piattaforme online che consentono ai consumatori di concludere contratti a distanza con gli operatori commerciali”(online platform); per concludersi con la quinta sezione dedicata ai “fornitori di piattaforme online di dimensioni molto grandi e di motori di ricerca online di dimensioni molto grandi per la gestione dei rischi sistemici” (VLOP e VLOSE) . La sezione dedicata a tutti i prestatori richiede che, nei termini e condizioni dei siti/piattaforme/motori di ricerca siano indicate le informazioni sull'uso dei loro servizi; si tratta delle informazioni sulle politiche, procedure, misure e strumenti utilizzati ai fini della moderazione dei contenuti, compresi il processo decisionale algoritmico e la verifica umana, reclami. I termini devono essere redatti in un linguaggio chiaro, semplice, comprensibile, facilmente fruibile e privo di ambiguità e sono disponibili al pubblico in un formato facilmente accessibile e leggibile meccanicamente. Nel tessuto normativo di questa sezione, possiamo ritrovare molte analogie con i contenuti dell'informativa sul trattamento dei dati personali: il legislatore pare dunque ribadire con forza l'importanza di una comunicazione quanto più semplice e comprensibile a favore degli utenti/interessati. La sezione dedicata ai prestatori di servizi di memorizzazione (hosting provider) richiede, in aggiunta, che siano predisposti meccanismi per consentire a qualsiasi persona o ente di notificare la presenza di contenuti ritenuti illegali, con tutte le specifiche del caso. Qualora i prestatori decidano di restringere la visibilità di informazioni specifiche, o la sospensione, cessazione della prestazione dei servizi, fino alla chiusura dell'account, debbono fornire adeguata motivazione (art. 17 Regolamento DSA). Così, detti prestatori sono tenuti a procedere alla notifica alle Autorità di sospetti di reato. Questi obblighi sono aggiuntivi rispetto a quelli inseriti nella Direttiva e-commerce. La sezione dedicata ai fornitori di piattaforme online richiede la predisposizione di un sistema efficace e trasparente di gestione dei reclami a favore dei destinatari dei servizi che siano stati segnalati per i contenuti illegali. Qualora i contenuti dei destinatari dei servizi siano “manifestamente illegali”, i fornitori possono sospendere la prestazione dei loro servizi. Le informazioni dei fornitori di piattaforme online devono essere non ingannatorie, né manipolative e non debbono falsare e/o compromettere la capacità di discernimento dei destinatari dei servizi. Inoltre, l'art. 26 è dedicato alle pubblicità delle piattaforme online (6), l'art. 27 indica come poter utilizzare dei sistemi di raccomandazione/suggerimenti al destinatario del servizio e l'art. 28 disciplina la protezione online dei minori. La quarta sezione riguarda sempre le piattaforme online, ma è riservata a quelle piattaforme che consentono gli acquisti online, dunque è rivolta ai consumatori. I fornitori di piattaforme online che consentono ai consumatori di concludere contratti a distanza con operatori commerciali provvedono affinché questi ultimi possano utilizzare dette piattaforme online per pubblicizzare o offrire prodotti o servizi a consumatori situati nell'Unione solo se, prima di consentire l'uso dei propri servizi a tal fine, hanno ricevuto le informazioni sui contatti dell'operatore commerciale, e relativi documenti di identificazione, i dati del conto di pagamento dell'operatore commerciale, e un'autocertificazione dell'operatore commerciale contenente la dichiarazione di conformità dei prodotti o servizi alle norme applicabili del diritto dell'Unione. In ogni caso, prima dell'utilizzo dei servizi, il fornitore della piattaforma deve, da un lato, progettare l'interfaccia in modo da consentire agli operatori di fornire tutte le informazioni richieste dalla legge per la vendita online e, dall'altro, compiere «il massimo sforzo possibile per valutare se le informazioni fornite dall'operatore commerciale siano attendibili e complete». Resta fermo che gli operatori sono responsabili dell'accuratezza delle informazioni fornite. Inoltre, qualora un fornitore di piattaforma venga a conoscenza che un prodotto o servizio illegale è stato offerto, deve immediatamente informare i consumatori che hanno acquistato detto prodotto/servizio. La quinta sezione riguarda le piattaforme digitali e i motori di ricerca online, che, in funzione della rispettiva struttura e impatto economico, devono mettere in atto una serie di misure per proteggere meglio gli utenti e aumentare la trasparenza. Per esempio: a) contrastare la vendita di prodotti e servizi illegali; b) nel rispetto della libertà di espressione, contrastare i contenuti illegali (notizie false, propaganda, incitamento all'odio, molestie e abusi sui minori) e reagirvi rapidamente, nonché consentire agli utenti di segnalare tali contenuti; c) utilizzare strumenti di moderazione dei contenuti che comprendano la possibilità di contestare le decisioni in caso di rimozione o limitazione dei contenuti degli utenti; d) aumentare la trasparenza per gli utenti per quanto riguarda i termini e le condizioni e il modo in cui gli algoritmi raccomandano i contenuti; e) vietare la pubblicità per i minori e l'uso di dati personali sensibili per creare messaggi pubblicitari mirati (genere, orientamento sessuale, razza, religione o convinzioni politiche); f) vietare i “percorsi oscuri”, ovvero le interfacce fuorvianti progettate intenzionalmente per indurre gli utenti, per esempio, ad abbonarsi a un servizio senza rendersene conto (7). Il regolamento sui servizi digitali introduce per le società più grandi alcuni obblighi aggiuntivi, tra cui quelli di creare piani di valutazione dei rischi sistemici, che riguardano, in particolare: a) la diffusione di contenuti illegali; b) eventuali effetti negativi per l'esercizio dei diritti fondamentali, in particolare i diritti fondamentali alla dignità umana (art. 1 della Carta di Nizza, o anche “Carta”) (8), il rispetto della vita privata e familiare (art. 7 della Carta), la tutela dei dati personali (art. 8 della Carta), la libertà di espressione e di informazione, inclusi la libertà e il pluralismo dei media, (art. 11 della Carta), la non discriminazione (art. 21 della Carta), il rispetto dei diritti del minore (art. 24 della Carta), la tutela dei consumatori (art. 38 della Carta). c) eventuali effetti negativi sul dibattito civico e sui processi elettorali, nonché sulla sicurezza pubblica; d) qualsiasi effetto negativo, attuale o prevedibile, in relazione alla violenza di genere, alla protezione della salute pubblica e dei minori e alle gravi conseguenze negative per il benessere fisico e mentale della persona. La norma richiede alle grandi piattaforme e motori di ricerca online la pianificazione dell'attenuazione dei rischi, soggetti a revisioni, per i rischi sistemici; condividere dati con ricercatori e autorità; consentire agli utenti di decidere se desiderano ricevere raccomandazioni personalizzate e, se sì, in che modo (per esempio, non sulla base delle loro ricerche online). Già dall'analisi di queste disposizioni, possiamo evincere come se, da un lato, il legislatore europeo si preoccupa di facilitare la condivisione e la circolazione europea delle informazioni in ambiente digitale (in questo senso, il DGA), dall'altro, ha cura di mantenere alta la soglia di tutela degli utenti e dei consumatori, soprattutto dal punto di vista della consapevolezza dei contenuti offerti dal mercato digitale ed in special modo nei confronti delle società che più hanno il potere di incidere anche in negativo sui diritti fondamentali della persona. Vediamo, infine, in breve, quali sono le sanzioni irrogabili in caso di violazione del DSA. Le imprese che non rispettano il regolamento sui servizi digitali sono soggette a sanzioni, anche pecuniarie, proporzionate alle loro dimensioni: le imprese con meno di 45 milioni di utenti attivi possono ricevere sanzioni, anche pecuniarie, stabilite dalle legislazioni nazionali degli Stati membri; invece, le imprese con più di 45 milioni di utenti attivi possono ricevere sanzioni pecuniarie fino al 6% del loro fatturato mondiale. Bisogna poi ricordare che grazie al DSA, gli utenti online nell'UE hanno un maggiore controllo su ciò che vedono online e sono in grado di comprendere o di essere informati in merito agli annunci che ricevono. Gli utenti possono segnalare i contenuti illegali e la piattaforma è poi tenuta a comunicare loro le decisioni prese. Intento del DSA è di migliorare la trasparenza delle norme per la moderazione dei contenuti online, offrendo allo stesso tempo alle autorità e ai ricercatori un maggiore accesso ai dati, così che possano comprendere meglio lo spazio online, il suo impatto sociale e i possibili rischi. Anche i minori sono protetti più efficacemente grazie al regolamento sui servizi digitali. Alle piattaforme accessibili ai minori è vietato mostrare pubblicità mirate basate sull'uso dei dati personali dei minori quali definiti dal diritto dell'UE. Le piattaforme debbono adottare misure per affrontare i rischi connessi alla diffusione di contenuti illegali online; e predisporre un meccanismo che consenta agli utenti di segnalare i contenuti illegali e reagire rapidamente alle notifiche (9). Alla luce delle varie disposizioni, potremmo chiederci, nell'ottica di tutela dell'utente/consumatore online, come si colloca il rapporto tra diritto di accesso dell'interessato e diritto ad una informazione completa e chiara dell'utente (che, ricordiamo, è una persona fisica, ma può essere anche una persona giuridica). In altre parole, potremmo indagare se la tutela offerta dal GDPR all'interessato rispetto alla possibilità di reperire i propri dati personali e di “monetizzarli” attraverso la concessione del proprio consenso al trattamento, sia più o meno efficace della protezione fornita dal DSA all'utente rispetto alla possibilità di accedere a informazioni anche non di tipo personale, che possono determinare la propria capacità di scelta in ordine agli acquisti di beni e servizi. 3. Digital Market Act Il Digital Market Act, Regolamento sui Mercati digitali, adottato dal Consiglio il 18 luglio 2022, è entrato in vigore il 2 maggio 2023 ed è obbligatorio per talune piattaforme dal mese di marzo 2024. Il DMA mira garantire la concorrenza leale tra le piattaforme digitali, indipendentemente dalle loro dimensioni, ad accrescere le possibilità di scelta per i consumatori e a promuovere nuove opportunità per le piccole imprese (10). Da questo punto di osservazione, possiamo ben capire come mai il DMA sia considerato, insieme al DSA, parte di un unico “pacchetto di norme” sul mercato digitale. Obiettivo del regolamento DMA è di contribuire al corretto funzionamento del mercato interno stabilendo norme armonizzate volte a garantire, per tutte le imprese, che i mercati nel settore digitale nei quali sono presenti gatekeeper (i guardiani dell'accesso al digitale) siano equi e contendibili in tutta l'Unione, a vantaggio degli utenti commerciali e degli utenti finali. Si ricorda che, come per il DSA, anche nel DMA il criterio di applicazione è che i fruitori dei servizi siano stabiliti/situati nell'UE, mentre non rileva il luogo di stabilimento/residenza del gatekeeper. In prima battuta, possiamo osservare che, mentre il DSA è rivolto principalmente a tutelare gli utenti/consumatori, il DMA ha come obiettivo diretto la tutela della concorrenza, dunque i rapporti “BtoB” e, indiretto, la tutela degli utenti/consumatori “BtoC”. Nell'ottica di una concorrenza leale, il regolamento vieta le pratiche sleali e di abuso di posizione dominante delle piattaforme online che detengono la quota maggiore del mercato, consentendo agli utenti commerciali di offrire ai consumatori maggiori possibilità di scelta, fornendo loro servizi migliori e prezzi più equi, imponendo diritti e obblighi chiari alle piattaforme online di grandi dimensioni. Il DMA non pregiudica gli artt. 101 e 102 del Trattato sul Funzionamento dell'UE relativi alla tutela della concorrenza nel mercato Ue, così come tutti i regolamenti UE e nazionali in materia di pratiche concordate, abusi di posizione dominante, concentrazioni tra imprese ecc. Anche in questo caso, la terminologia può aiutarci a capire meglio la normativa di settore: l'art. 2 fornisce alcune spiegazioni chiare: Definizione di “gatekeeper”: le imprese che forniscono servizi di piattaforma di base. O, in termini più specifici, le imprese che hanno il potere di controllare l'accesso ai mercati digitali. Definizione di “servizio di piattaforma di base”: uno qualsiasi dei seguenti servizi: a) servizi di intermediazione online; b) motori di ricerca online; c) servizi di social network online; d) servizi di piattaforma per la condivisione di video; e) servizi di comunicazione interpersonale indipendenti dal numero; f) sistemi operativi; g) browser web; h) assistenti virtuali; i) servizi di cloud computing; j) servizi pubblicitari online, compresi reti pubblicitarie, scambi di inserzioni pubblicitarie e qualsiasi altro servizio di intermediazione pubblicitaria, erogati da un'impresa che fornisce uno dei servizi di piattaforma di base elencati alle lettere da a) a i). Definizione di “servizio di social network online”: una piattaforma che consente agli utenti finali di entrare in contatto e comunicare gli uni con gli altri, condividere contenuti e scoprire altri utenti e contenuti su molteplici dispositivi e, in particolare, attraverso chat, post, video e raccomandazioni. Definizione di “utente finale”: qualsiasi persone fisica o giuridica diversa da un utente commerciale che utilizza i servizi di piattaforma di base; qui, a parere di scrive, diventa più difficile distinguere questa espressione da quella di “destinatario del servizio” utilizzata nel DSA. Definizione di “utente commerciale”: qualsiasi persona fisica o giuridica che, nell'ambito delle proprie attività commerciali o professionali, utilizza i servizi di piattaforma di base ai fini della fornitura di beni o servizi agli utenti finali o nello svolgimento di tale attività. Probabilmente, nell'intenzione del legislatore europeo, ha senso la distinzione tra utenti finali e commerciali, in quanto mentre i primi sono considerati soltanto come fruitori dei servizi, i secondi sono invece dei prestatori di servizi, che offrono agli utenti finali i contenuti digitali. L'art. 3 del regolamento DMA prevede che l'impresa possa essere designata “gatekeeper” quando: [...] a) ha un impatto significativo sul mercato interno; b) fornisce un servizio di piattaforma di base che costituisce un punto di accesso (gateway) importante affinché gli utenti commerciali raggiungano gli utenti finali; e c) detiene una posizione consolidata e duratura, nell'ambito delle proprie attività, o è prevedibile che acquisisca siffatta posizione nel prossimo futuro. La qualifica di gatekeeper (11) si presume quando la piattaforma: a) ha raggiunto un fatturato annuo nell'Unione europea di almeno 7,5 miliardi di euro o una capitalizzazione di mercato pari ad almeno 75 miliardi di euro; b) ha almeno 45 milioni di utenti finali su base mensile e almeno 10.000 utenti commerciali stabiliti nell'UE; c) ha raggiunto la soglia di cui alla lett. b) negli ultimi 3 anni. Da notare che tutti gli accertamenti sulle piattaforme gatekeeper vengono effettuati dalla Commissione europea (12). A causa delle loro dimensioni, i gatekeeper godono di significativi vantaggi rispetto ai concorrenti di dimensioni minori e detengono una posizione dominante nel mercato digitale. Solo un numero estremamente limitato delle 10.000 piattaforme digitali esistenti nell'UE può essere considerato gatekeeper ai sensi del regolamento sui mercati digitali, e la maggior parte di queste ha sede negli Stati Uniti (13). Il Capo III del Regolamento DMA disciplina le pratiche dei gatekeeper sleali o che limitano la contendibilità del mercato digitale. Per evitare di essere sanzionati, i gatekeeper dovranno rispettare diverse regole: non potranno classificare i propri prodotti o servizi in modo più favorevole rispetto a quelli di altre imprese; non potranno impedire agli sviluppatori di utilizzare piattaforme di pagamento di terzi per la vendita di applicazioni; né trattare i dati personali degli utenti finali per la pubblicità mirata, salvo consenso; anche nel caso in cui l'utente finale abbia prestato consenso a servizi pubblicitari, il gatekeeper non ripete la sua richiesta di consenso per la stessa finalità più di una volta l'anno (per evitare lo spamming); stabilire condizioni inique per gli utenti commerciali; preinstallare determinate applicazioni software o impedire agli utenti di disinstallarle facilmente; imporre limitazioni agli utenti commerciali delle piattaforme; il gatekeeper non garantisce un trattamento più favorevole, in termini di posizionamento e relativi indicizzazione e crawling (14), ai servizi e prodotti offerti dal gatekeeper stesso rispetto a servizi o prodotti analoghi di terzi. Il gatekeeper applica condizioni trasparenti, eque e non discriminatorie a tale posizionamento. Il gatekeeper non limita la possibilità per gli utenti finali di passare, e di abbonarsi, a servizi e applicazioni software diversi, cui hanno accesso avvalendosi dei servizi di piattaforma di base del gatekeeper; ciò vale anche per la scelta dei servizi di accesso a internet da parte degli utenti finali. Il gatekeeper garantisce alle imprese terze che forniscono motori di ricerca online, su loro richiesta, l'accesso a condizioni eque, ragionevoli e non discriminatorie a dati relativi a posizionamento, ricerca, click e visualizzazione sulle ricerche gratuite e a pagamento generate dagli utenti finali sui suoi motori di ricerca online. I dati relativi a ricerca, click e visualizzazione che costituisce dati personali sono resi anonimi. I gatekeeper dovranno offrire maggiori possibilità di scelta, come la scelta di un determinato software sul sistema operativo di un utente; garantire che l'annullamento dell'abbonamento ai servizi di piattaforma di base sia semplice quanto l'abbonamento; fornire informazioni sul numero di utenti che visitano le loro piattaforme per determinare se la piattaforma può essere identificata come gatekeeper; dare agli utenti commerciali l'accesso ai loro dati di prestazione marketing o pubblicitaria sulla piattaforma; informare la Commissione europea in merito alle acquisizioni e fusioni da essi realizzate; garantire che le funzionalità di base dei servizi di messaggistica istantanea siano interoperabili, ossia consentano agli utenti di scambiare o inviare messaggi, messaggi vocali o file. Il gatekeeper dovrà inoltre dimostrare di aver rispettato gli obblighi sanciti dal regolamento, dal regolamento privacy UE 2016/679, dalla direttiva 2002/58/CE, dalla legislazione in materia di cybersicurezza, di protezione dei consumatori e di sicurezza dei prodotti, nonché i requisiti di accessibilità. Cosa succede se i gatekeeper non rispettano le norme? Quando una grande impresa online è stata identificata come gatekeeper, deve conformarsi alle norme del regolamento sui mercati digitali entro 6 mesi. Se un gatekeeper viola le norme stabilite dal regolamento sui mercati digitali, rischia un'ammenda fino al 10% del suo fatturato totale a livello mondiale. In caso di recidiva, può essere irrogata un'ammenda fino al 20% del fatturato mondiale. In caso di inosservanza sistematica del regolamento sui mercati digitali da parte di un gatekeeper, ossia se questo viola le norme almeno tre volte nell'arco di otto anni, la Commissione europea può avviare un'indagine di mercato e, se necessario, imporre rimedi comportamentali o strutturali. Anche per il DMA, come per il DSA, alla luce delle disposizioni illustrate, possiamo domandarci quale sia l'impatto, e quali le conseguenze una volta che il regolamento entrerà in pieno vigore rispetto ai propri destinatari: siamo certi che con queste cautele, la tecnologia utilizzata dalle grandi imprese non trovi altre modalità per condizionare le scelte degli utenti, per monetizzare con le informazioni che gli utenti mettono a disposizione, e per falsare la libera concorrenza? Senza andare molto lontani, potremmo ad es. riflettere su come l'utilizzo di forme sempre più articolate di intelligenza artificiale potrebbe fungere da strumento per superare queste cautele e raggiungere comunque l'obiettivo di sfruttare senza regole le informazioni, i dati ed i relativi diritti nel digitale. 4. Regolamento sull'Intelligenza Artificiale Una prima definizione di intelligenza artificiale (in seguito AI, dall'inglese Artificial Intelligence) è stata data da John McCarthy, l'informatico statunitense che ne coniò il termine già nel lontano 1955. Egli la definì come «la scienza e l'ingegneria legate alla creazione di macchine intelligenti». Nel 2018, quindi in tempi più recenti, la Commissione Europea ha fornito una definizione più articolata: «Intelligenza artificiale indica sistemi che mostrano un comportamento intelligente analizzando il proprio ambiente e compiendo azioni, con un certo grado di autonomia, per raggiungere specifici obiettivi». In questo caso, la Commissione ha riconosciuto a tali meccanismi anche un lato attivo e parzialmente autonomo nello svolgimento delle loro funzionalità. Ciò rende la concezione di intelligenza oggetto di diverse interpretazioni, che a loro volta portano alla necessaria distinzione tra sistemi artificiali forti e deboli. Quando si parla di meccanismi di apprendimento automatico, ci si riferisce al cosiddetto machine learning, cioè a quell'insieme di algoritmi informatici che migliorano automaticamente attraverso l'esperienza e l'uso di dati. Queste tecnologie andrebbero identificate, allora, come forme di AI deboli, perché puntano all'emulazione dell'ingegno umano. L'intelligenza, in questo caso, viene “simulata” e si ricollega alla capacità delle macchine di estrarre schemi complessi apprendendo da grandi volumi di dati con impressionante precisione predittiva, ma basandosi comunque sulla statistica fornita dalle informazioni a cui attingono. Abbiamo invece forme di AI forti quando tali algoritmi permettono alla macchina di modificare autonomamente i propri risultati, adattandosi all'ambiente in modo spontaneo e risolvendo problemi attraverso l'attuazione di processi di pensiero propri. Nonostante ad oggi nessuna macchina abbia ancora superato il test di Turing (test che si basa sul “gioco dell'imitazione”: se una macchina riesce ad essere indistinguibile da un essere umano, allora può essere considerata intelligente), l'intelligenza artificiale ha già cominciato ad applicare le proprie funzionalità in ambiti legati all'arte e alla robotica. Entrambe queste forme di AI, forte e debole, portano con sé, intrinsecamente, una serie di questioni etico-giuridiche di non poco conto, che da una parte toccano la sfera dei diritti fondamentali dell'uomo, e dall'altra dimostrano l'assoluta necessità di una normativa nazionale e comunitaria che tenga conto del contributo economico-sociale di queste nuove forme di intelligenza. In questa prospettiva, si può senz'altro parlare di quarta rivoluzione industriale, intendendo con essa la «crescente compenetrazione tra mondo fisico e digitale». Il motore su cui si fondano i sistemi intelligenti, protagonisti di questa trasformazione tecnologica, utilizza una risorsa tanto nuova quanto fondamentale: i dati (15). Per riuscire ad “apprendere”, gli algoritmi dell'Intelligenza Artificiale hanno bisogno di essere alimentati attraverso informazioni. Grazie alle loro straordinarie capacità di calcolo, le tecnologie intelligenti sono in grado di elaborare enormi quantità di dati con rapidità e precisione, ad un costo estremamente ridotto. Per dare un'idea di quanti siano realmente i dati elaborati a livello mondiale, basti pensare che nel 2010 la loro massa raggiungeva la cifra denominata zettabyte, equivalente a 10 alla 21esima bytes: in termini pratici, 180 milioni di volte le informazioni conservate nella biblioteca del Congresso di Washington. Diversi studi prevedono nei prossimi anni una crescita che arriverà addirittura a sfiorare i 175 zettabyte nel 2025. È per tale motivo che vengono denominati Big Data (grandi dati). Nello specifico, essi sono definiti come «the information asset characterized by such a high volume, velocity and variety to require specific technology and analytical methods for its transformation into value». Vista la quantità di informazioni che strumenti sempre più potenti riescono a raccogliere ed elaborare, si intuisce facilmente quanto possa risultare sottile la linea tra rispetto e violazione della sfera privata degli individui, e quanto sia anche delicata la distinzione tra dato e dato personale. È quindi sempre più rilevante trovare il modo di tutelare il diritto alla riservatezza, il diritto all'identità, il diritto all'informazione e il diritto alla privacy. I pericoli insiti nell'utilizzo privo di regole dei big data ha imposto al legislatore uno studio attento dei temi, proprio per tutelare i valori fondanti dei diritti sopra indicati; d'altro canto, sul fronte della libera circolazione dei servizi, abbiamo già visto, sia pure per grandi linee, gli importanti sviluppi riguardanti la regolazione del mercato unico digitale di cui ai regolamenti del 2022 DGA, DSA e DMA. Nell'Unione europea, è stata effettuata un'analisi approfondita a partire dal Libro bianco sull'intelligenza artificiale (16), elaborato dalla Commissione europea nel 2020 con l'obiettivo di creare regole armonizzate per lo sviluppo, l'immissione sul mercato e l'utilizzo di sistemi di IA, seguendo un approccio risk-based. L'UE intende garantire che i sistemi di IA immessi sul mercato siano sicuri e rispettino i diritti fondamentali e i valori riconosciuti e promossi dall'Unione; assicurare la certezza del diritto e facilitare gli investimenti e l'innovazione; facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili, nonché prevenire il rischio di frammentazione del mercato (17). La proposta di regolamento sull'intelligenza artificiale, presentata dalla Commissione nell'aprile 2021 è approdata a definizione con l'approvazione del regolamento UE 2024/… che stabilisce regole armonizzate sull'intelligenza artificiale (c.d. Legge sull'intelligenza artificiale). Quali sono le prossime tappe: il regolamento deve essere sottoposto alla verifica finale dei giuristi-linguisti e del Consiglio, ed entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell'Unione europea; quindi, inizierà ad applicarsi 24 mesi dopo l'entrata in vigore, salvo per quanto riguarda: i divieti relativi a pratiche vietate, che si applicheranno a partire da 6 mesi dopo l'entrata in vigore; i codici di buone pratiche (9 mesi dopo); le norme sui sistemi di IA per finalità generali, compresa la governance (12 mesi) e gli obblighi per i sistemi ad alto rischio (36 mesi). Vediamo allora da vicino gli obiettivi dell'IA Act: l'art. 1, §1 «[...] migliorare il funzionamento del mercato interno e promuovere la diffusione di un'intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell'Unione europea (la "Carta"), compresi la democrazia, lo Stato di diritto e la protezione dell'ambiente, contro gli effetti nocivi dei sistemi di IA nell'Unione nonché promuovere l'innovazione». Qual è invece l'oggetto dell'IA Act? L'art. 1, §2. «a) regole armonizzate per l'immissione sul mercato, la messa in servizio e l'uso dei sistemi di IA nell'Unione; b) divieti di talune pratiche di IA; c) requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi; d) regole di trasparenza armonizzate per determinati sistemi di IA; e) regole armonizzate per l'immissione sul mercato di modelli di IA per finalità generali; f) regole in materia di monitoraggio del mercato, governance della vigilanza del mercato e applicazione; g) misure a sostegno dell'innovazione, con particolare attenzione alle PMI, comprese le start-up». «Il presente regolamento garantisce la libera circolazione transfrontaliera di beni e servizi basati sull'IA, impedendo così agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all'uso di sistemi di IA, salvo espressa autorizzazione del presente regolamento. L'IA Act dovrebbe essere applicato conformemente ai valori dell'Unione sanciti dalla Carta agevolando la protezione delle persone fisiche, delle imprese, della democrazia e dello Stato di diritto e la protezione dell'ambiente, promuovendo nel contempo l'innovazione e l'occupazione e rendendo l'Unione un leader nell'adozione di un'IA affidabile». Dunque, da queste prime disposizioni di natura generale, emerge come requisito fondante della regolamentazione europea sull'intelligenza artificiale, quello di salvaguardare sia lo sviluppo dell'IA, sia i valori dell'Unione europea e della Carta di Nizza, tra o quali annoveriamo la protezione delle persone fisiche, delle imprese, della democrazia, dello stato di diritto e dell'ambiente. Sempre con un approccio linguistico, andiamo a valutare, tra le ben 68 definizioni del Regolamento UE, alcune delle più interessanti (art. 3): "sistema di IA”: un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall'input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali; "deployer": persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un'attività personale non professionale; "alfabetizzazione in materia di IA": le competenze, le conoscenze e la comprensione che consentono ai fornitori, ai deployer e alle persone interessate, tenendo conto dei loro rispettivi diritti e obblighi nel contesto del presente regolamento, di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell'IA e ai possibili danni che essa può causare; "deep fake": un'immagine o un contenuto audio o video generato o manipolato dall'IA che assomiglia a persone, oggetti, luoghi o altre entità o eventi esistenti e che apparirebbe falsamente autentico o veritiero a una persona». Vengono richiamati anche i valori dell'Unione sanciti dall'art. 2 Tratto sull'Unione europea (c.d. TUE), i diritti e alle libertà fondamentali sanciti dai trattati e, conformemente all'articolo 6 TUE, dalla Carta di Nizza. Come prerequisito, l'IA dovrebbe essere una tecnologia antropocentrica. Dovrebbe fungere da strumento per le persone, con il fine ultimo di migliorare il benessere degli esseri umani. Rispetto agli altri atti UE, l'IA Act espressamente prevede: «Le regole armonizzate stabilite nel presente regolamento dovrebbero applicarsi in tutti i settori e, in linea con il nuovo quadro legislativo, non dovrebbero pregiudicare la normativa vigente dell'Unione, in particolare in materia di protezione dei dati, tutela dei consumatori, diritti fondamentali, occupazione e protezione dei lavoratori e sicurezza dei prodotti, a cui il presente regolamento è complementare». Il Capo II dell'IA Act prevede le pratiche di intelligenza artificiale vietate. In particolare, l'art. 5 elenca alcune pratiche vietate: l'immissione sul mercato, la messa in servizio o l'uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative o ingannevoli aventi lo scopo o l'effetto di distorcere materialmente il comportamento di una persona o di un gruppo di persone, pregiudicando in modo considerevole la sua capacità di prendere una decisione informata, inducendo pertanto una persona a prendere una decisione che non avrebbe altrimenti preso, in un modo che provochi o possa provocare a tale persona, a un'altra persona o a un gruppo di persone un danno significativo; le stesse dinamiche applicate ad una persona vulnerabile; dinamiche di valutazione o classificazione delle persone fisiche sulla base del loro comportamento sociale o di caratteristiche; valutazioni del rischio relative a persone fisiche al fine di valutare o prevedere la probabilità che una persona fisica commetta un reato; sistemi che creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso; sistemi di IA per inferire le emozioni di una persona fisica nell'ambito del luogo di lavoro e degli istituti di istruzione; sistemi di categorizzazione biometrica che classificano individualmente le persone fisiche sulla base dei loro dati biometrici per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale. Alcune norme dell'IA entrano in vigore subito: soprattutto le norme che vietano alcune applicazioni di IA che minacciano i diritti dei cittadini. Tra queste, i sistemi di categorizzazione biometrica basati su caratteristiche sensibili e l'estrapolazione indiscriminata di immagini facciali da internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale. Saranno vietati anche i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, i sistemi di credito sociale, le pratiche di polizia predittiva (se basate esclusivamente sulla profilazione o sulla valutazione delle caratteristiche di una persona) e i sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone. Sono previste inoltre alcune eccezioni per le forze dell'ordine, che non potranno fare ricorso ai sistemi di identificazione biometrica, tranne in alcune situazioni specifiche espressamente previste dalla legge. L'identificazione "in tempo reale" potrà essere utilizzata solo se saranno rispettate garanzie rigorose, ad esempio se l'uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa. Gli usi ammessi includono, ad esempio, la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico. L'utilizzo di questi sistemi a posteriori è considerato ad alto rischio. Per questo, per potervi fare ricorso, l'autorizzazione giudiziaria dovrà essere collegata a un reato. Il Capo III regola gli obblighi per i sistemi ad alto rischio. Sono previsti obblighi chiari anche per altri sistemi di IA ad alto rischio, ossia i sistemi che potrebbero arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, all'ambiente, alla democrazia e allo Stato di diritto. Rientrano in questa categoria gli usi legati a infrastrutture critiche, istruzione e formazione professionale, occupazione, servizi pubblici e privati di base (ad esempio assistenza sanitaria, banche, ecc.), alcuni sistemi di contrasto, migrazione e gestione delle frontiere, giustizia e processi democratici (come nel caso di sistemi usati per influenzare le elezioni). Per questi sistemi, vige l'obbligo di valutare e ridurre i rischi, mantenere registri d'uso, essere trasparenti e accurati e garantire la sorveglianza umana. I cittadini avranno diritto a presentare reclami sui sistemi di IA e a ricevere spiegazioni sulle decisioni basate su sistemi di IA ad alto rischio che incidono sui loro diritti. Obblighi di trasparenza I sistemi di IA per finalità generali e i modelli su cui si basano dovranno soddisfare determinati requisiti di trasparenza e rispettare le norme UE sul diritto d'autore durante le fasi di addestramento dei vari modelli. I modelli più potenti, che potrebbero comportare rischi sistemici, dovranno rispettare anche altri obblighi, ad esempio quello di effettuare valutazioni dei modelli, di valutare e mitigare i rischi sistemici e di riferire in merito agli incidenti. Inoltre, le immagini e i contenuti audio o video artificiali o manipolati (i cosiddetti "deepfake") dovranno essere chiaramente etichettati come tali. In ultimo, è interessante analizzare le misure a sostegno dell'innovazione e delle PMI: secondo il regolamento IA, i paesi dell'UE dovranno istituire e rendere accessibili a livello nazionale spazi di sperimentazione normativa e meccanismi di prova in condizioni reali (in inglese sandbox), in modo che PMI e start-up possano sviluppare sistemi di IA innovativi e addestrarli prima di immetterli sul mercato. Proprio nell'ottica delle imprese, dobbiamo ricordare che sono in atto importanti innovazioni anche nel settore delle certificazioni internazionali di sicurezza dei dati: tra queste, segnaliamo la nuovissima Direttiva (UE) 2022/2555 relativa a «misure per un livello comune elevato di cibersicurezza nell'Unione» (c.d. NIS 2). La Direttiva NIS2 è l'acronimo di “Network & Information Security” (Sicurezza della rete e delle informazioni). La NIS 2 deve essere inoltre collegata con la normativa internazionale ISO/IEC 27001:2022, standard di riferimento per la gestione della sicurezza delle informazioni. L'obiettivo della Direttiva NIS2 è rafforzare il livello collettivo di cybersecurity degli Stati membri dell'UE, aumentando i requisiti di applicazione della cybersecurity per settori ritenuti essenziali o importanti. Sebbene sia entrata in vigore il 17 gennaio 2023, la NIS2 dovrà essere recepita dai singoli Stati entro nove mesi: il prossimo 17 ottobre 2024 (18). 5. Alcune pronunce relative al mercato digitale Nel periodo più recente, si può osservare un aumento delle pronunce relative al diritto digitale. Qui ne citeremo soltanto alcune. Il 4 luglio 2023 la Corte di Giustizia Europea ha emesso una sentenza che possiamo definire storica contro M. P. (19), secondo la quale le autorità nazionali dei paesi europei potranno valutare una violazione del Regolamento (UE) 2016/679 o GDPR nell'ambito dell'esame di abuso di posizione dominante. Una decisione che, evidentemente, potrebbe andare a limitare le modalità di utilizzo dei dati da parte dell'azienda. Facendo riferimento al Digital Market Act, in realtà, proprio in merito al consenso, l'impatto della decisione della Corte di Giustizia Europea potrebbe essere in parte limitato, considerato che la normativa DSA imporrà regole simili a Meta a agli altri big player. Il DSA, infatti, richiede il consenso esplicito dell'utente per i fornitori di piattaforme digitali per poter elaborare i suoi dati personali, combinarli con i dati di altre piattaforme e fare un uso incrociato dei dati da un servizio all'altro. Inoltre, è previsto che, se un utente non fornisce il consenso, questi deve comunque poter utilizzare il servizio. Sempre in ambito privacy, è da ricordare la sentenza “Facebook Ireland vs. Schrems” del 2020 che aveva invalidato il “Privacy Shield” tra UE e USA, richiedendo alle piattaforme di garantire la protezione dei dati dei cittadini europei (20). In materia di libertà di espressione e rimozione dei contenuti, merita un approfondimento la sentenza “Delfi AS vs. Estonia” (21) la quale ha stabilito che le piattaforme possono essere ritenute responsabili per i commenti diffamatori degli utenti se non agiscono prontamente per rimuoverli, e che le piattaforme devono bilanciare la libertà di espressione con la necessità di rimuovere contenuti illegali o dannosi. E ancora, con riferimento al tema del diritto d'autore e caricamento di contenuti, ricordiamo la causa “YouTube vs. Frank Peterson” (22) che ha stabilito che le piattaforme possono essere responsabili per la violazione dei diritti d'autore se non adottano misure adeguate a prevenirla, invitando le piattaforme a monitorare i contenuti caricati dagli utenti e rispettare i diritti d'autore. I nuovi regolamenti sui dati digitali, peraltro, non sono accettati in modo pacifico da tutte le piattaforme: pensiamo, ad esempio, che la pubblicazione dell'elenco delle VLOPs e dei VLOSEs da parte della Commissione europea nel DSA non è stata accolta con favore da parte di tutti i diretti interessati. Lo scorso giugno, ad esempio, l'e-commerce Z., designato dalla Commissione europea come Very Large Online Platform, ha presentato ricorso presso la Corte di Giustizia dell'UE contro tale designazione. Secondo una nota dell'e-commerce di abbigliamento tedesco, la Commissione non ha utilizzato «criteri standardizzati o una metodologia chiara» per identificare le VLOP, realizzando una selezione «in modo casuale e disomogeneo». Successivamente, anche la società Amazon ha contestato la sua qualifica di piattaforma online di dimensione molto grande. L'azienda capitanata da J.B. ha dichiarato, infatti, di non corrispondere alla descrizione fornita dal DSA di piattaforma online molto grande, pertanto, essa non dovrebbe essere designata come tale. Volendo spingerci oltre oceano, sebbene qui non sia stato ancora predisposto un vero e proprio atto normativo sull'Intelligenza Artificiale come in Europa, vi sono però numerosi casi di utilizzo dell'IA, di cui ne cito uno interessante: il caso Loomis, Stato del Wisconsin, 13 luglio 2016 (23). La Supreme Court of Wisconsin ha affrontato l'uso di un algoritmo, “COMPAS”, utilizzato per valutare il rischio di recidiva di un individuo. L'algoritmo ha influenzato la decisione sulla possibilità di accesso a misure alternative alla detenzione carceraria. Secondo l'algoritmo COMPAS, L. era da identificarsi quale soggetto ad alto rischio di recidiva e non poteva, quindi, accedere a misure alternative alla detenzione carceraria. La Corte Suprema dello Stato del Wisconsin era stata adita proprio per l'impiego dell'algoritmo, che aveva leso – nell'ipotesi difensiva – il diritto ad un giusto processo (due process of law) del signor L. Nello specifico, L. depositava un'istanza di revisione della pena lamentando che la decisione del tribunale circondariale, nel prendere in considerazione i risultati del COMPAS, aveva violato il proprio diritto ad un processo equo. Nella seconda udienza post-condanna, la difesa di L. chiamava a testimoniare un esperto, il quale dichiarava che lo strumento COMPAS non era stato concepito per l'utilizzo nelle decisioni di incarcerazione. Secondo il consulente, la Corte che prende in considerazione i risultati forniti dall'algoritmo incorre fortemente nella probabilità di sovrastimare il rischio di recidiva individuale e di determinare la pena dell'imputato sulla scorta di fattori ininfluenti Corte del Wisconsin ha rigettato l'impugnazione, sostanzialmente affermando che la sentenza di primo grado non sarebbe stata diversa senza i risultati dell'algoritmo. Ma se la sentenza non fosse stata diversa ed il risultato dell'algoritmo fosse solo uno dei molteplici fattori – peraltro non decisivo – per la sentenza, questo algoritmo, esattamente, a cosa è servito in quel processo? Questo caso solleva interrogativi sul diritto a un giusto processo quando si utilizzano algoritmi nei procedimenti giurisdizionali. In conclusione, possiamo osservare che gli atti UE e le sentenze dei Giudici, nonché le prime reazioni ai recenti atti UE da parte di importanti imprese a livello internazionale, testimoniano come i recenti atti normativi che mirano a promuovere la tutela dei diritti degli utenti, la privacy, e le diverse forme di obblighi e responsabilità delle piattaforme stesse, stanno avendo un impatto significativo sulla governance e sulle attività delle piattaforme digitali. Inoltre, gli atti UE stanno influenzando anche altri soggetti, tra cui: gli intermediari della comunicazione, che consentono l'accesso a determinati contenuti digitali; le PMI; gli utenti, che assumono una duplice veste e quindi una speculare duplice regolamentazione; da un lato, essi sono considerati dal legislatore europeo come consumatori, destinatari di servizi, utenti finali, interessati, in altri termini come soggetti passivi del processo di comunicazione digitale, dall'altro come titolari dei dati, deployers, utenti commerciali, creatori di contenuti digitali, e da questo punto di vista sono responsabilizzati attraverso una serie di norme che prevedono dei presidi contro comportamenti poco virtuosi che possono impattare sui diritti dei fruitori dei contenuti digitali Note (1) Inoltre, le condizioni commerciali (compresi i prezzi) per la fornitura di servizi di intermediazione non dovrebbero dipendere dal fatto che un potenziale titolare dei dati o un utente dei dati utilizzi altri servizi. Tutti i dati ed i metadati acquisiti possono essere utilizzati solo per migliorare il servizio di intermediazione dei dati. (2) Altro es. è la società tedesca C.-D.-A. è stata creata per raccogliere dati (ad esempio frequenza cardiaca, temperatura corporea, pressione sanguigna, modelli di sonno) da braccialetti fitness e smartwatch. Monitorando questi dati, i ricercatori potrebbero individuare in una fase precoce possibili punti di crisi COVID-19. (3) La Commissione europea ha stilato alcuni possibili benefici nell'applicazione del DGA: - dati sanitari: migliorare i trattamenti personalizzati, fornire un'assistenza sanitaria migliore e contribuire alla cura di malattie rare o croniche, risparmiando circa 120 miliardi di euro all'anno nel settore sanitario dell'UE e fornendo una risposta più efficace e rapida alla crisi sanitaria globale dovuta alla Covid-19; - dati sulla mobilità: risparmio di oltre 27 milioni di ore di tempo da parte degli utenti dei trasporti pubblici e fino a 20 miliardi di euro all'anno in costi di manodopera degli automobilisti grazie alla navigazione in tempo reale; - dati ambientali: lotta al cambiamento climatico, riduzione delle emissioni di CO₂ e lotta alle emergenze, come inondazioni e incendi; - dati agricoli: sviluppo dell'agricoltura di precisione, nuovi prodotti nel settore agroalimentare e nuovi servizi in generale nelle aree rurali; - dati della pubblica amministrazione: fornire statistiche ufficiali migliori e più affidabili e contribuire a decisioni basate su dati concreti. (4) Inoltre, anche se dovessero registrare una crescita significativa, queste imprese potrebbero beneficiare di una specifica esenzione da alcuni obblighi per un periodo transitorio di 12 mesi. (5) La Direttiva 2000/31/CE nota come la “Direttiva sul commercio elettronico” (Direttiva del Parlamento europeo e del Consiglio dell'8 giugno 2000, n. 31), relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno, affronta gli aspetti più discussi tra gli operatori del settore a ridosso degli anni 2000, ovvero lo stabilimento dei prestatori, le comunicazioni commerciali, i contratti per via elettronica, la responsabilità degli intermediari che trasmettono o registrano dati e la composizione extragiudiziale delle controversie. (6) Qui ne riportiamo il testo per un riscontro più immediato: «1.I fornitori di piattaforme online che presentano pubblicità sulle loro interfacce online provvedono affinché, per ogni singola pubblicità presentata a ogni singolo destinatario, i destinatari del servizio siano in grado di identificare in modo chiaro, conciso, inequivocabile e in tempo reale quanto segue: a) che l'informazione costituisce una pubblicità, anche attraverso contrassegni visibili che potrebbero seguire gli standard a norma dell'art. 44; b) la persona fisica o giuridica per conto della quale viene presentata la pubblicità; c) la persona fisica o giuridica che paga per la pubblicità, se detta persona è diversa dalla persona fisica o giuridica di cui alla lett. b); d) informazioni rilevanti direttamente e facilmente accessibili dalla pubblicità relative ai parametri utilizzati per determinare il destinatario al quale viene presentata la pubblicità e, laddove applicabile, alle modalità di modifica di detti parametri. 2. I fornitori di piattaforme online mettono a disposizione dei destinatari del servizio una funzionalità che consente di dichiarare se i contenuti che forniscono siano o contengano comunicazioni commerciali. Quando il destinatario del servizio presenta una dichiarazione a norma del presente paragrafo, il fornitore di piattaforme online provvede affinché gli altri destinatari del servizio possano comprendere in modo chiaro, inequivocabile e in tempo reale, anche mediante contrassegni visibili, che potrebbero seguire gli standard a norma dell'articolo 44, che i contenuti forniti dal destinatario del servizio sono o contengono comunicazioni commerciali come descritte in detta dichiarazione. 3. I fornitori di piattaforme online non possono presentare pubblicità ai destinatari del servizio basate sulla profilazione, quale definita all'art. 4, punto 4), del regolamento (UE) 2016/679, utilizzando le categorie speciali di dati personali di cui all'articolo 9, § 1, del regolamento (UE) 2016/679». (7) Secondo la Commissione europea, sono 17 le società più potenti sul mercato, e 2 motori di ricerca online di dimensioni molto grandi: A. A., A. S., A. A., B., B.com, F., G.P., G. M., G. S., G. S., I., L., P., S., T.T., W., X, Y.T., Z. (8) La Carta dei diritti fondamentali dell'Unione europea 7 dicembre 2000, adottata a Strasburgo nel 2007, detta anche Carta di Nizza, ha lo stesso valore giuridico dei trattati UE, e contiene un elenco dei diritti, alcuni coincidono con i diritti della Convenzione europea dei diritti dell'uomo – CEDU - diritti che risultano dalle tradizioni costituzionali comuni degli Stati membri. Altri diritti sono diversi, pensiamo ai diritti legati alla bioetica, ai diritti sociali. I diritti fondamentali arricchiti dalla Carta di Nizza continuano ad operare solo nelle materie che già formano oggetto delle competenze dell'UE. (9) Per inciso, ricordiamo che Il DSA introduce anche il meccanismo di risposta alle crisi, a seguito della guerra in Ucraina e dell'impatto sulla manipolazione delle informazioni online: si tratta di un meccanismo che consentirà di analizzare l'impatto delle attività delle piattaforme online di dimensioni molto grandi e dei motori di ricerca di dimensioni molto grandi sulla crisi in questione e di decidere le misure per garantire il rispetto dei diritti fondamentali. (10) Sul piano strettamente operativo, ricordiamo che il Digital Markets Act è uno strumento normativo ex ante: regola e definisce condotte e obblighi per le imprese prima che avvenga l'abuso. Al contrario, la normativa antitrust agisce ex post, ovvero, sanziona dopo che la violazione anticoncorrenziale è stata già messa in atto. (11) Nel mercato digitale, le società gatekeeper sono le LoPs – Large Online Platforms, che hanno il controllo per motivi quantitativi e qualitativi. Tra i motivi quantitativi: copertura delle quote di mercato, numero di utenti della piattaforma, tempo di utilizzo per utente della piattaforma, ricavi annuali. Tra i motivi qualitativi: capacità di porsi come intermediario tra la concorrenza e gli utenti, capacità di gestire i dati degli utenti a scopi analitici anche per competere su altri mercati. (12) Nello specifico, L'individuazione dei gatekeeper per il DMA prevede tre passaggi: 1) la società verifica la sussistenza dei requisiti quantitativi richiesti e ha l'obbligo di comunicare l'esito dell'attività svolta alla Commissione; 2) la Commissione, basandosi sule informazioni fornite o avviando ulteriori indagini, procede alla designazione di “gatekeeper”; 3) entro sei mesi dalla data di identificazione come “gatekeeper” la società è tenuta a garantire il rispetto di divieti e obblighi stabiliti dal DMA. (13) La Commissione europea ha designato 6 gatekeeper che devono conformarsi ai nuovi obblighi entro marzo 2024: A., A., A., B.D., M., M. In generale, vengono coinvolte ventidue piattaforme, che operano in otto settori: i servizi di intermediazione (A. M., A. S., G. M., G. P., G. S., M. M.), la pubblicità (G., A. e M.), i social networks (F., I., L., T.T.), la condivisione di video (Y.), i sistemi di comunicazione (M. e W.), i sistemi operativi (G. A., i., W. P. O.), i sistemi di ricerca (G. S.) e i browsers (C. e S.). (14) Il crawling è una sorta di scansione automatica dei siti web e delle loro pagine. Viene eseguito da bot noti come spider o crawler. Questi bot individuano le pagine nuove su Internet e le segnalano al motore di ricerca per l'analisi e l'indicizzazione. L'obiettivo è far comparire queste pagine nei risultati di ricerca degli utenti. (15) Secondo l'espressione generalmente attribuita al matematico britannico Clive Humby nel 2006, “Data is the new oil”; in tale prospettiva, il valore dei dati ha inevitabilmente posto nuove questioni relative alla loro regolamentazione e alla tutela dei soggetti coinvolti. (16) Libri Bianchi sono documenti contenenti proposte per l'azione dell'Unione europea in un settore specifico. (17) All'interno del Libro Bianco sull'IA, si trovano diversi studi statistici del progresso connesso all'economia digitale dei dati: tra i diversi, merita un cenno quello secondo cui attualmente l'80 % delle elaborazioni e delle analisi dei dati che hanno luogo nel cloud vengono effettuate in centri di dati e strutture di calcolo centralizzate e il 20 % in oggetti connessi intelligenti, quali automobili, elettrodomestici o robot di fabbricazione, e in strutture di calcolo vicine all'utente ("edge computing"). Entro il 2025 tali proporzioni cambieranno in modo significativo. Nel Libro Bianco, troviamo inoltre alcuni studi sui rischi di violazione dei valori promossi dall'UE portati dall'IA: ad es., una ricerca del Consiglio d'Europa dimostra che l'uso dell'IA potrebbe avere ripercussioni su numerosi diritti fondamentali. (18) La Direttiva NIS 22 pone una serie di quesiti sui controlli di sicurezza che le aziende devono porre in essere per essere allineate alle normative sulla cybersicurezza, e pone in campo tutta una serie di requisiti e controlli molto importanti. (19) Causa C ‑ 252/21, Meta Platforms Inc., già Facebook Inc., Meta Platforms Ireland Limited, già Facebook Ireland Ltd., Facebook Deutschland GmbH contro Bundeskartellamt con l'intervento di: Verbraucherzentrale Bundesverband e.V. (20) Sentenza del 16 luglio 2020, causa c-311/18 Facebook Ireland e Schrems, nota come “Schrems II”. A seguito della sentenza citata, che aveva decretato l'invalidità del c.d. Privacy Shield, il 25 marzo 2022 il Presidente USA Biden e la Presidente della Commissione europea von der Leyen hanno raggiunto un accordo politico che ha gettato le basi per l'attuale Data Privacy Framework (DPF). Dopo anni di dialogo con le istituzioni, è stato raggiunto l'accordo sul DPF, pertanto i dati degli europei fruiscono di un livello di protezione adeguato anche una volta che sono stati trasferiti negli USA - decisione di adeguatezza del 10 luglio 2023, che sancisce la validità dei trasferimenti di dati personali dall'UE agli USA -. (21) Cfr. Corte Europea dei Diritti dell'Uomo, Grande Sezione, Delfi AS v. Estonia, (Application no. 64569/09) Strasburgo, 16 giugno 2015. Delfi è un noto portale di notizie online in Estonia che pubblica in media 330 articoli al giorno. I commenti dei lettori, spesso anonimi, potevano essere offensivi, minacciosi e diffamatori. Nel gennaio 2006, Delfi ha pubblicato un articolo riguardante la distruzione di un territorio tradizionalmente utilizzato per guidare dalle isole estoni al continente. Questo articolo ha generato 185 commenti, di cui circa 20 erano offensivi nei confronti del proprietario della compagnia SLK. L'avvocato del proprietario di SLK ha richiesto a Delfi di rimuovere immediatamente i commenti e di pagare i danni non patrimoniali. Delfi ha rimosso i commenti, ma ha rifiutato il pagamento. La Corte, chiamata a decidere, ha bilanciato l'interferenza dell'Estonia con i diritti di Delfi e ha concluso che l'azione dell'Estonia era legittima in una società democratica. Pertanto, l'Estonia non ha violato l'articolo 10 della Convenzione Europea dei Diritti dell'Uomo che tutela la libertà di espressione, quando ha ritenuto Delfi responsabile per i commenti diffamatori dei lettori. (22) Cfr. CGUE, Grande sezione, 22 giugno 2021,cause riunite C‑682/18 e C‑683/18. (23) Supreme Court of Wisconsin, State of Wisconsin v. Eric L. Loomis, Case n. 2015AP157-CR, 5 April - 13 July 2016. |