Scritto da Enrico Verdolini
8 minuti di lettura
Per lungo tempo l’economia digitale si è sviluppata in un contesto scarsamente regolato. Se da un lato questo è stato considerato per lungo tempo un fattore di dinamismo e di crescita del settore, dall’altro ha determinato squilibri e contraddizioni che investono molteplici dimensioni. Negli anni più recenti la sfida della regolazione – in ambiti quali i mercati digitali, l’uso dei dati, le piattaforme, l’intelligenza artificiale – ha assunto un’urgenza inedita. In merito a tali tematiche abbiamo intervistato una delle massime esperte del settore, Giusella Finocchiaro, Professore ordinario di diritto di Internet e di diritto privato all’Università di Bologna, Presidente della Commissione sul commercio elettronico dell’UNCITRAL (Commissione delle Nazioni Unite per il Diritto del Commercio Internazionale) e Presidente della Fondazione del Monte di Bologna e Ravenna.
È stata battezzata platform capitalism la nuova dimensione digitale dell’economia, uno spazio caratterizzato da tech giant in grado di esercitare un potere crescente su di una molteplicità di settori: la piattaforma, il modello d’impresa caratterizzante l’economia digitale, è diffusa in una pluralità di ambiti, da quello del commercio a quello della comunicazione, dai servizi digitali alla diffusione delle notizie. Qual è, attualmente, l’inquadramento giuridico delle piattaforme?
Giusella Finocchiaro: Per molto tempo le grandi piattaforme hanno operato in una sorta di vuoto normativo. Nel 2000, la Direttiva sul commercio elettronico propose un modello basato, sinteticamente, su un esonero di responsabilità: dopo ampio dibattito, si scelse di introdurre l’art. 15, una norma peculiare, che sancisce l’assenza di un obbligo di sorveglianza generalizzato. Per molte ragioni, sia di natura economica e politica che, per così dire, ideologica, i legislatori hanno scelto di astenersi dal regolamentare la materia. Nel frattempo, i grandi provider, ricorrendo agli strumenti privatistici, primo fra tutti il contratto, hanno esercitato una forma di sovranità. Negli ultimi anni, però, molto è cambiato e il legislatore europeo ha inaugurato un nuovo indirizzo, che si basa su un modello regolatorio.
Il 19 febbraio 2020, la Commissione europea ha espresso una propria strategia complessiva in materia di spazio digitale nella Comunicazione n. 67 del 2020, Plasmare il futuro digitale dell’Europa. Successivamente, il 15 dicembre 2020, la Commissione europea ha, quindi, prospettato una riforma complessiva della disciplina giuridica riguardante il mercato unico digitale, rappresentata da due proposte principali, la proposta di regolamento n. 842 del 2020 (c.d. legge sui mercati digitali) e la proposta di regolamento n. 825 del 2020 (c.d. legge sui servizi digitali). Su quali principi di fondo si basano queste proposte, quali obiettivi si pongono e quali nuove regole introdurranno per il mercato unico digitale?
Giusella Finocchiaro: Con il Digital Services Act e il Digital Markets Act l’Unione Europea mira a creare uno spazio digitale più sicuro, in cui siano garantiti i diritti fondamentali degli utenti e, allo stesso tempo, si promuova l’innovazione. Nel Digital Services Act, questo obiettivo viene perseguito introducendo nuovi e numerosi obblighi in capo alle piattaforme, in termini di trasparenza, contrasto a contenuti illeciti e tutela degli utenti. Tali obblighi sono calibrati in base alla tipologia e alla grandezza della piattaforma: «the greater the size, the greater the responsibilities of online platforms», ha affermato la Presidente della Commissione europea Ursula von der Leyen quando il Parlamento europeo e il Consiglio hanno raggiunto un accordo politico sul testo del Regolamento. Il Digital Markets Act, invece, è imperniato sulla nozione di «gatekeeper», termine che individua le piattaforme online di grandi dimensioni che esercitano una funzione di controllo dell’accesso. Nei confronti di queste piattaforme, si prevedono obblighi e divieti specifici, allo scopo di contrastare pratiche sleali e garantire una maggiore contendibilità.
Già qualche tempo fa, l’Unione Europea è intervenuta in un ambito di particolare importanza per il funzionamento delle piattaforme digitali, quello della raccolta e del trattamento dei dati personali. A distanza di alcuni anni dall’entrata in vigore del regolamento n. 679 del 2016 in materia di privacy (c.d. GDPR), è possibile dire quali siano stati i suoi principali punti di forza e quali invece le problematiche che meriterebbero interventi diversi?
Giusella Finocchiaro: Nella prima relazione sulla valutazione e sul riesame del GDPR del giugno 2020, la Commissione europea ha rilevato come il Regolamento costituisca «uno strumento essenziale per garantire che le persone dispongano di un migliore controllo sui loro dati personali e che tali dati siano trattati per una finalità legittima, in maniera lecita, corretta e trasparente». Ora siamo entrati in una nuova stagione: quella della condivisione e della valorizzazione dei dati. Questo non è in contrasto con la normativa attuale, anzi: il bilanciamento tra protezione dei dati personali e libera circolazione è già nel GDPR, come si evince già dal titolo. Solo che, finora, ci si è concentrati soprattutto sulla protezione. Oggi siamo in una fase successiva, una fase in cui ai dati, protetti, si dà un valore.
Quali sono, allo stato attuale, i maggiori rischi in termini di cybersecurity per le attività di rilevanza strategica delle istituzioni e delle imprese? Quali azioni si stanno intraprendendo in tal senso?
Giusella Finocchiaro: La cybersecurity gioca un ruolo irrinunciabile nella strategia degli Stati nazionali, delle organizzazioni sovranazionali e dei soggetti privati: la guerra in Ucraina ce l’ha ricordato bene. Proprio questa guerra, ridisegnando i modelli di sovranità, anche digitale, ha costretto gli Stati ad attivarsi, ridefinendo il perimetro della sicurezza nazionale con uno specifico focus sulle minacce provenienti dal cyberspazio. Il Governo italiano si è mosso in questa direzione con il recente d.l. 21 marzo 2022, n. 21, che ha determinato un ulteriore rafforzamento dei presidi per le reti di comunicazione elettronica e revisionato la normativa in materia di golden power. In ambito europeo, la sfida, oggi, è quella della realizzazione di una strategia comune di difesa informatica, che completi e rafforzi il quadro normativo europeo nell’ambito digitale. A livello nazionale, invece, non dobbiamo dimenticare di conciliare necessità di difesa ed esigenze di semplificazione.
L’attenzione al tema dei dati da parte dell’Unione Europea è stata confermata anche di recente. Il 6 aprile 2022 il Parlamento Europeo ha approvato a larga maggioranza il Data Governance Act (proposta di regolamento n. 767 del 2020), che faciliterà la condivisione dei dati da parte di aziende, privati e settore pubblico. A questo primo intervento seguirà l’adozione di un Data Act, che disciplinerà ulteriori aspetti riguardanti l’utilizzo dei dati. Quali saranno le principali innovazioni prodotte da queste due iniziative?
Giusella Finocchiaro: Il Data Governance Act, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 3 giugno 2022, ha costituito la prima misura della strategia europea in materia di dati e mira a promuoverne la disponibilità. Per “dato” vi si intende «qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva» e – per menzionare due delle principali innovazioni – vi si prevede un meccanismo per il riutilizzo dei dati detenuti da enti pubblici oggetto di diritti di terzi e vi si disciplina il cosiddetto “altruismo dei dati”, ossia la messa a disposizione di dati su base volontaria per il bene comune. Il Data Act è un ulteriore tassello della citata strategia europea in materia di dati e mira a sbloccarne il potenziale. La nozione di dato che vi si accoglie è la medesima del Data Governace Act e, in primo luogo, vi si chiarisce chi e a quali condizioni possa avere accesso ai dati generati mediante l’uso di prodotti e servizi. A questi dati, dovranno poter accedere: gli utenti che hanno contributo a generarli; soggetti terzi, su richiesta dell’utente; gli organismi pubblici, quando ricorrano «exceptional need» connessi ad interessi pubblici. Con due limitazioni: sono esclusi i dati generati da prodotti o servizi offerti da piccole o micro imprese; non possono costituire “soggetti terzi” gli operatori qualificabili come gatekeeper in base al Digital Markets Act. Ma non è tutto: il Data Act introduce anche prescrizioni normative minime per i fornitori di servizi cloud, edge e di altri servizi di trattamento dei dati per consentire il passaggio da un servizio all’altro e prescrizioni essenziali in materia di interoperabilità e smart contract.
Nel 2020, la Commissione europea ha pubblicato il Libro bianco sull’intelligenza artificiale, perseguendo il duplice obiettivo di promuovere l’adozione delle nuove tecnologie, affrontando i rischi collegati al loro utilizzo. Per questa ragione, il 21 aprile 2021, è stata avanzata una nuova proposta di regolamento in materia di intelligenza artificiale, il regolamento n. 206 del 2021, per fissare un nuovo quadro giuridico di riferimento a livello europeo. Quali sono le principali novità che caratterizzano questa proposta?
Giusella Finocchiaro: Per citare la Relazione della Commissione europea che accompagna la proposta di regolamento in materia di intelligenza artificiale, l’obiettivo strategico è quello di consentire all’Unione Europea «di essere un leader mondiale nello sviluppo di un’intelligenza artificiale sicura, affidabile ed etica». La Commissione ha così elaborato una proposta di regolamento molto articolata – ben 85 articoli – e ha adottato un approccio orizzontale, che investe tutti i settori. La proposta, infatti, disciplina l’immissione nel mercato, la messa a disposizione, la messa in servizio e l’uso dei sistemi di intelligenza artificiale, come recita l’art.1, in generale, e non in un settore specifico. Ancora, la Commissione ha optato per un modello basato sul rischio, ossia sulla differenziazione tra sistemi di IA che creano un rischio inaccettabile, un rischio alto e un rischio basso o minimo. I primi sono vietati – sebbene con alcune eccezioni, che determinano una certa criticità – e i secondi sono consentiti sul mercato europeo subordinatamente al rispetto di determinati requisiti obbligatori e ad una valutazione della conformità ex ante. Occorre tenere in considerazione che, nel normare l’intelligenza artificiale, due criticità possono condizionare l’azione del legislatore: la paura e la retorica. La paura che l’intelligenza artificiale possa assumere decisioni autonomamente e possa, ispirandosi anche alla letteratura fantascientifica, rivolgersi contro gli esseri umani e operare in modi non previsti; il rischio di indulgere nella retorica e finire col rendere le applicazioni di intelligenza artificiale soggetto giuridico senza che questa operazione sia funzionale ad un nuovo modello normativo.
In seguito all’emergenza pandemica, l’idea che l’Unione Europea possa guidare l’innovazione digitale ha acquisito maggiore concretezza nel piano Next Generation EU, un programma straordinario di ricostruzione economica e sociale, di cui la trasformazione digitale costituisce uno dei sei pilastri fondamentali (art. 3 del regolamento n. 241 del 2021): gli stessi piani nazionali di ripresa sono stati vincolati a investire sulla trasformazione digitale almeno il 20% delle risorse europee disponibili. Dal punto di vista della transizione digitale, che impatto avranno queste misure sull’economia e sulla società europee? Quali saranno le ricadute sull’ordinamento giuridico europeo?
Giusella Finocchiaro: Gli investimenti in termini economici implicano un accompagnamento giuridico. Non a caso sul tavolo dell’Unione Europea sono attualmente in discussione numerose proposte legislative in materia di digitale: quelle di cui abbiamo parlato, il Digital Markets Act, il Digital Services Act, la proposta di Regolamento in materia di intelligenza artificiale, il Data Act e il Data Governance Act, ormai approdato in Gazzetta Ufficiale, ma anche il Regolamento in materia di identificazione elettronica e servizi fiduciari che revisiona il Reg. e-IDAS.
Prendendo in esame il Piano Nazionale di Ripresa e Resilienza elaborato dall’Italia, una particolare attenzione è stata dedicata alla riforma della pubblica amministrazione e, ancor più nello specifico, alla sua digitalizzazione progressiva. Le riforme strutturali della pubblica amministrazione, pertanto, sembrano viaggiare di pari passo con l’innovazione tecnologica. Quali considerazioni possono essere avanzate a tale proposito?
Giusella Finocchiaro: Il legame tra digitalizzazione e pubblica amministrazione ha, nel nostro Paese, radici profonde. La legge che affermò il pieno valore giuridico dei documenti informatici qualificandoli validi e rilevanti a tutti gli effetti di legge, la l. 15 marzo 1997, n. 59, non nasceva per disciplinare il commercio elettronico, bensì per l’esigenza della pubblica amministrazione di trasmettere atti giuridici con modalità telematiche. Quanto disposto, però, aveva carattere generale, riguardando gli atti, i dati, i documenti e i contratti formati, conclusi e trasmessi sia dalla pubblica amministrazione che da soggetti privati. Dunque, già nelle intenzioni del legislatore del 1997 la normativa indirizzata alla pubblica amministrazione doveva costituire volano della digitalizzazione nel settore privato. Occorre ricordare, però, che esiste un problema culturale importante: le riforme normative non bastano, è necessario vincere i condizionamenti culturali, creare una cultura condivisa e costruire competenze.
In conseguenza diretta dell’emergenza pandemica, ha acquisito maggior peso la dimensione digitale della cittadinanza, come nuova forma di accesso e partecipazione alle attività della pubblica amministrazione. Quali sono i tratti caratterizzanti di questa nuova dimensione della cittadinanza? Quali sfide e opportunità si configurano per il futuro?
Giusella Finocchiaro: Una delle principali sfide, in questo ambito, riguarda l’identificazione elettronica, uno strumento chiave per lo sviluppo di relazioni di fiducia tra cittadini e pubblica amministrazione, così come tra imprese e tra cittadini e imprese. Si tratta di un tema cruciale, al centro di molti interventi normativi. Si pensi alla già menzionata proposta di Regolamento che revisiona il Reg. e-IDAS, presentata dalla Commissione europea il 3 giugno 2021 per potenziare il ruolo dell’identità digitale nell’Unione e introdurre la fornitura di attributi elettronici e, a livello nazionale, al sistema di deleghe dell’identità digitale introdotto nel CAD dal d.l. 31 maggio 2021, n. 77, il cosiddetto “Decreto semplificazioni bis”. Si pensi, poi, a livello internazionale, al lavoro del Working Group IV – Electronic Commerce della United Nations Commission on International Trade Law (UNCITRAL), che presiedo dal 2014: abbiamo recentemente elaborato una legge modello in materia di identificazione elettronica e servizi fiduciari che mira a rimuovere gli ostacoli giuridici ad un impiego transfrontaliero di questi strumenti.