QUBIT Law Firm & Partners
Roma: Lungotevere dei Mellini, 44 - 00193
Milano: Corso di Porta Vittoria, 28 - 20122
Search
Lungotevere dei Mellini, 44 - 00193 Roma

La strada europea al digitale: GDPR, AI Act, Digital Markets Act, Digital Services Act, Data Governance Act e Data Act

Massimiliano Nicotra
Articoli
22/06/2024

Il decennio dell’Europa digitale (EU’s digital decade), questo è il nome che è stato dato al piano, in realtà già lanciato al momento dell’insediamento della nuova Commissione Europea nel 2019, volto a disegnare il futuro digitale dell’Unione.

Nella comunicazione COM(2021) 118 la Commissione lo ha formalizzato rendendo più chiari gli obiettivi che si intendono raggiungere nel 2030 con i vari interventi – economici, legislativi e di governance – che saranno svolti durante questi anni.

Un punto fondamentale e centrale in tale politica è quello dei diritti dei cittadini (che ritroviamo nella Dichiarazione Europea sui diritti e principi digitali per il decennio digitale del 26 gennaio 2022) che, congruente all’approccio “umanocentrico” già adottato in precedenza, stabilisce che lo sviluppo digitale dell’Europa debba mettere le persone al centro, garantire loro la libertà di scelta, la loro sicurezza e protezione nonché incentivare la solidarietà e l’inclusione, la partecipazione e la sostenibilità ambientale.

Tali principi aiutano a comprendere l’approccio generale di tutta la legislazione europea in materia digitale che in questi ultimi due anni si sta sempre più “infittendo” con proposte in vari settori ed ambiti.

Nel ricordare che la chiave di lettura delle disposizioni è sempre quella della “neutralità tecnologica”, nel senso che le stesse devono essere predisposte in modo da non favorire (o danneggiare) una tecnologia rispetto ad un’altra, qui di seguito ne proponiamo una sintesi, in modo da cercare di far chiarezza sugli ambiti di ognuna e su come dovranno interagire tra loro.

General Data Protection Regulation (GDPR)

Il Regolamento sulla protezione dei dati personali ha avuto un ruolo, se così si può dire, da “apripista”. In particolare, non tanto con riferimento all’oggetto della tutela, evolvendosi dalle precedenti direttive europee, che com’è noto riguarda il diritto fondamentale della protezione dei dati personali (riconosciuto a livello di trattati tramite il richiamo alla Carta di Nizza), ma rispetto all’applicazione territoriale estesa, per la prima volta nel settore digitale, anche a soggetti non stabiliti nel territorio della UE, ma la cui attività on-line è diretta verso le persone ivi collocate.

Si tratta, in verità, di un approccio già presente in altri settori regolamentari (si pensi all’offerta di servizi bancari e finanziari verso soggetti residenti in UE) ed è ripreso anche nelle proposte legislative da ultimo presentate dalla Commissione.

Il GDPR ha innovato anche dal punto di vista sanzionatorio, elevando notevolmente gli importi previsti per le violazioni ed adottando un criterio di calcolo flessibile, legato al fatturato complessivo del soggetto sanzionato (che, nel caso delle Big Tech, ovviamente può dar luogo a sanzioni molto rilevanti dal punto di vista economico).

Non è superfluo specificare, in questa sede, che l’oggetto della tutela del GDPR riguarda in generale il trattamento dei dati personali e, quindi, si pone come norma “trasversali” per tutte le attività digitali che comprendono tali tipologie di trattamenti.

Artificial Intelligence Act (AIA)

La proposta di regolamento sull’intelligenza artificiale si propone quale primo framework normativo al mondo volto a disciplinare i sistemi di artificial intelligence. La bozza di regolamento è tutt’ora in discussione, essendo state pubblicate le relazioni al Parlamento Europeo ed è ancora in svolgimento l’esame in sede di Consiglio dell’UE.

I maggiori punti di contrasto in sede Parlamentare riguardano i sistemi di identificazione biometrica pubblica e di punteggio sociale, che sarebbero vietati, inquanto alcuni Paesi vorrebbero che fossero consentiti almeno per ragioni di pubblica sicurezza.

La proposta di regolamento AI si inquadra in un diverso ambito normativo rispetto al GDPR, le cui previsioni, comunque trovano applicazione qualora i sistemi di intelligenza artificiale utilizzino dati personali, inserendosi nel settore normativo della sicurezza dei prodotti istituendo quindi dei meccanismi di certificazione e tutelando i consumatori nell’ambito della responsabilità del produttore.

In sintesi, l’AIA classifica quattro categorie di IA, ciascuna con caratteristiche diverse in termini di governance:  

  • Applicazioni di IA con un livello di rischio inaccettabile che sono vietate (articolo 5 della proposta;
  • Applicazioni di IA ad alto rischio (Allegato III): per le quali vengono inseriti stringenti obblighi, tra cui la garanzia di sicurezza, governance, qualità dei dataset di addestramento e rispetto di requisiti tecnici, nonché la necessità di una supervisione umana ed una certificazione di conformità UE; 
  • Applicazioni di IA a rischio limitato: sono previsti obblighi di trasparenza (articolo 52), trattandosi di sistemi che possono comportare rischi di manipolazione delle persone;
  • Applicazioni di AI a rischio minimo: tutte le applicazioni di intelligenza artificiale che non rientrano nelle definizioni precedenti potranno essere liberamente sviluppate e commercializzate in UE.

Digital Markets Act (DMA)

La proposta di DMA, sulla quale recentemente è stato raggiunto l’accordo tra il Parlamento europeo e il Consiglio, intende intervenire in un ulteriore e diverso ambito normativo, ossia quello della concorrenza dei mercati.

La disciplina antitrust, com’è noto, richiede per la sua applicazione l’accertamento di alcune condotte specifiche, quali l’abuso di posizione dominante, le intese restrittive della concorrenza nelle operazioni di concentrazione e non. La proposta si basa sul principio di “fairness”, ossia di equità e correttezza nei rapporti economici, che nel mondo digitale viene tradotta nella particolare situazione in cui si trovano alcuni soggetti che traggono eccessivi vantaggi rispetto al valore del servizio offerto. La particolarità della proposta è di superare la necessità di accertamento in concreto dell’abuso posizione dominante introducendo il concetto di cd. gatekeeper, ossia di soggetti che hanno acquisito una tale rilevanza nel mercato digitale da poter imporre barriere all’ingresso o condizioni commerciali svantaggiose agli utenti. Una volta che un’azienda è qualificata come gatekeeper per determinati servizi deve attenersi a specifiche regole di condotta e può incorrere in sanzione in caso di violazione delle stesse.

La discussione in merito alle soglie qualitative e quantitative per definire un’azienda come gatekeeper sono ancora in discussione (i requisiti qualitativi riguardano “un impatto significativo” sul mercato europeo del servizio reso, la qualificazione come “portale importante” tra imprese e utenti finali, e “una posizione radicata e duratura sul mercato”, mentre quelli quantitativi riguardano soglie di fatturato specifico a livello europeo e mondiale e numero di utenti).

Gli obblighi previsti dalla proposta DMA nei confronti dei gatekeeper, in sintesi, riguardano:

  • consentire a terzi di interagire con i servizi del gatekeeper in determinate situazioni specifiche;
  • rendere disponibili agli utenti aziendali i dati generati sulla piattaforma;
  • fornire alle aziende che fanno pubblicità sulla piattaforma gli strumenti e le informazioni necessarie per verificare in maniera indipendente i risultati;
  • consentire agli utenti commerciali di promuovere la propria offerta e concludere contratti con i clienti al di fuori della piattaforma;
  • trattare i servizi e prodotti offerti sulla piattaforma dal gatekeeper allo stesso modo di quelli offerti da terzi;
  • consentire ai consumatori di collegarsi ad aziende al di fuori dalla piattaforma;
  • consentire agli utenti di disinstallare qualsiasi software o app preinstallata;
  • non tracciare gli utenti all’esterno della piattaforma principale a fini di pubblicità personalizzata senza aver ottenuto un previo consenso dagli stessi.

Digital Service Act (DSA)

Anche sul Digital Service Act è stato raggiunto recentemente un accordo a livello politico in sede europea. La proposta mira ad innovare la direttiva sul commercio elettronico del 2001 ed a differenza del DMA è più volta alla tutela dei consumatori.

Il provvedimento è rivolto verso quei soggetti che operano come intermediari tra i servizi digitali ed i consumatori ed adotta un approccio volto anche alla tutela dei diritti fondamentali online. In particolare, non è prevista la modifica del regime di responsabilità dei fornitori dei servizi rispetto a quanto già stabilito nella direttiva sul commercio elettronico, ma viene introdotta una distinzione a seconda della tipologia del servizio offerto (hosting o piattaforma) e con riferimento al numero di utenti che usufruiscono dello stesso (ad oggi fissato in 45 milioni di utenti attivi), introducendo in tale ultimo caso degli obblighi aggiuntivi.

Particolare attenzione, ai fini della tutela della libertà di espressione degli utenti, è rivolta alle attività di moderazione dei contenuti. Infatti, oltre a stabilire per tutti i fornitori di servizi di intermediazione online generali obblighi informativi, è previsto che tali informazioni riguardino anche gli algoritmi decisionali e di revisione umana dei contenuti per la moderazione degli stessi. Sempre in tale ottica viene istituito un meccanismo di “avviso e rimozione”, ossia la previsione di un’apposita procedura da parte dell’intermediario con cui gli utenti possano segnalare contenuti illeciti. Le piattaforme online, in aggiunta, dovranno stabilire delle procedure di gestione dei reclami, che consentano agli utenti di “impugnare” le decisioni di rimozione dei contenuti adottate dalla piattaforma, la quale istituirà anche dei meccanismi “sanzionatori” per quegli utenti che introducano sistematicamente delle false informazioni (deep fake) all’interno della stessa.

La trasparenza dei servizi e degli algoritmi utilizzati per l’indicizzazione dei prodotti e servizi sulla piattaforma è garantita tramite l’obbligo di fornire tali informazioni agli utenti, mentre, per gli attori più grandi ed i motori di ricerca viene introdotto un approccio basato sul rischio, volto a prevenire l’uso improprio delle piattaforme con audit di terze parti.

Infine, particolari previsioni vengono introdotte – anche alla luce delle crisi che si sono verificate in questi ultimi anni – affinché le piattaforme possano rapidamente adattarsi in situazioni contingenti che riguardano la salute o la sicurezza pubblica nonché misure di tutela dei minori online e limiti all’utilizzo dei dati personali appartenenti alle particolari categorie di cui all’art. 9 GDPR per finalità di pubblicità profilata.

Data Governance Act (DGA) e Data Act (DA)

Nel febbraio 2020 la Commissione Europea aveva presentato la Strategia europea per i dati volta a incentivare anche nel settore dei dati la competitività dei Paesi membri e quella che viene definita sovranità dei dati. Del Data Governance Act, approvato dal Parlamento europeo nel mese di aprile scorso, avevamo già anticipato sulle pagine di questa rivista i punti salienti evidenziando come il provvedimento si poneva come obiettivo quello di facilitare il riuso dei dati istituendo anche nuovi soggetti quali intermediari dei dati (ossia coloro che svolgono attività di intermediazione degli stessi).

Il DGA riguarda varie tipologie di dati (sanitari, dati sulla mobilità, dati ambientali, dati agricoli, dati della pubblica amministrazione, etc.) e vuole incentivare lo sviluppo di sistemi di condivisione degli stessi attraverso meccanismi di riutilizzo dei dati del settore pubblico (non resi disponibili come open data), disciplinari gli intermediari, rendere più facile ai cittadini ed alle imprese la messa a disposizione dei propri dati per il beneficio della collettività (il cd. altruismo dei dati”) e potenziare i servizi di condivisione.

Il 23 febbraio 2022 la Commissione Europea ha presentato il Data Act (DA), secondo tassello della Strategia dei dati a cui si è sopra accennato, tuttora in sede di consultazione pubblica.

Il DA integra il regolamento DGA e chiarisce chi può creare valore dai dati ed a quali condizioni (mentre il DGA stabilisce processi e strutture per la condivisione).

Il DA incide profondamente su alcuni ambiti che riguardano i diritti di coloro che generano i dati (cittadini e imprese) ed interagisce con tutte le previsioni normative che abbiamo citato sin d’ora (ed altre già in vigore come il Regolamento (UE) n. 1150/2019, la direttiva open data, il Regolamento del 2018 sulla libera circolazione dei dati non personali, la direttiva sulle banche dati, etc.).

Il provvedimento reca con sé una specifica disciplina dei dati generati dai dispositivi (IoT), ma contiene anche specifiche disposizioni per i servizi cloud ed in generale per i servizi digitali.

Le previsioni vogliono aumentare la trasparenza e la certezza per aziende e consumatori circa i soggetti che possono utilizzare i dati da loro generati, facilitando anche il passaggio dei dati tra i diversi produttori per evitare fenomeni di lock-in. Sono, inoltre, stabilite misure per prevenire squilibri contrattuali, nonché strumenti di accesso dei soggetti pubblici ai dati detenuti dai privati.

Infine, tra le altre previsioni particolari sono introdotte apposite garanzie anche per l’accesso ai dati non personali detenuti da un fornitore UE da parte di un soggetto extra-UE, imponendo la necessità che vi sia un accordo internazionale che consenta tale accesso.

Conclusioni

La rassegna proposta in questo articolo evidenzia il forte impulso che la Commissione Europea sta adottando per lo sviluppo del mercato digitale europeo attraverso un framework normativo accompagnato da interventi di supporto economico alle iniziative del settore.

La domanda che andrebbe posta, però, è se effettivamente il ruolo di “primo tra i legislatori” che l’Unione Europea vorrebbe assumere nei vari ambiti sopra illustrati, possa effettivamente raggiungere i risultati sperati nonché, in secondo luogo, se effettivamente vi sia una volontà politica di assumere realmente tale ruolo.

Queste domande sorgono dalla constatazione che per discipline “analoghe”, come il Regolamento e-Privacy che avrebbe dovuto sostituire già dal 2018 la direttiva n. 58/2002, le discussioni e indecisioni in sede di organi UE hanno comportato un notevolissimo ritardo nell’adozione – e su molti punti ancora ad oggi non si è trovato un accordo – tali da far ritenere che sui provvedimenti proposti dalla Commissione Europea sopra esaminati molto probabilmente si riaffacceranno le logiche corporative che ne rendono difficoltosa l’adozione (la circostanza che siano stati presentati migliaia di emendamenti all’AI Act è una conferma di ciò).

Inoltre, la proliferazione di previsioni che direttamente o indirettamente disciplinano i dati e le informazioni e l’attività di elaborazione degli stessi potrebbe avere un effetto di eccessiva frammentazione normativa, con conseguente incertezza e non chiarezza delle regole applicabili. Ciò avrebbe un effetto esattamente opposto a quello perseguito di incentivare il mercato e gli imprenditori del settore tecnologico, dato che l’incertezza giuridica non è sicuramente uno stimolo alle iniziative economiche ed imprenditoriali.

author avatar
Massimiliano Nicotra
See Full Bio
Digital EU Policy
Related Posts
Close
Search

Hit enter to search or ESC to close