La regolazione del mondo digitale fa riferimento a tutte quelle normative, leggi e politiche volte a governare le attività e gli attori nell’ambiente digitale di Internet, le piattaforme online e i dati. Essa riguarda vari aspetti, tra cui la privacy dei dati personali, la sicurezza informativa, la concorrenza nel mercato digitale, la protezione dei consumatori, la libertà di espressione (con annessi limiti etici) e la responsabilità degli intermediari online.
In tal senso, l’Unione Europea ha lavorato per far sì che anche nel mondo digitale i diritti siano rispettati e i valori e libertà fondamentali espressi. Dal punto di vista giuridico, tutte le iniziative legislative europee in materia mirano a migliorare la tutela dei diritti fondamentali nell’ambito della trasformazione digitale. L’obiettivo è limitare/impedire le violazioni dei diritti dei soggetti prevenendo pratiche manipolative e di sfruttamento associate alle tecnologie digitali, nonché l’uso improprio di queste ultime. Nel complesso, le tecnologie digitali dovrebbero garantire una maggiore protezione dei diritti fondamentali, tenendo debitamente conto della vulnerabilità aggiuntiva che creano.
Si è sentita, inoltre, sul piano economico, la forte necessità di intervenire per regolamentare l’economia digitale, visti i problemi e le vulnerabilità delle tecnologie digitali; ad esempio, la poca trasparenza, mancanza di privacy, discriminazione, algoritmi segreti, attacchi informatici, dati di cattiva qualità, abusi delle piattaforme. Negli ultimi anni l’UE ha varato alcune iniziative che mirano ad adeguare la legislazione attuale ai cambiamenti del mercato e allo sviluppo del mondo digitale. Il cosiddetto “New Deal” per i consumatori è rappresentato dalla direttiva 2019/2161 [1], conosciuta come “direttiva Omnibus”, che mira a una migliore applicazione e modernizzazione delle norme dell’Unione relative alla protezione dei consumatori in ambito dei beni, dei contenuti e servizi digitali (consumatori digitali).
I principali strumenti dell’UE di regolazione del mondo digitale
L’UE dispone di molti strumenti di regolazione del mondo digitale, tutti con l’obiettivo di tutelare i consumatori e i diritti dei cittadini. Tra i vari regolamenti, si menzionano quelli sull’Intelligenza Artificiale, Cybersecurity, Governance dei Dati, Spazio europeo dei dati sanitari.
Lo strumento giuridico europeo fondamentale per la protezione della privacy e dei dati personali dei cittadini UE è il Regolamento Generale sulla Protezione dei Dati (GDPR) [2], adottato nel 2016 e in vigore dal 2018. Esso rafforza i diritti esistenti, ne prevede di nuovi e dà alle persone un maggior controllo sui loro dati personali: accesso migliore ai propri dati in maniera semplice e intelligibile, comprese le informazioni sul trattamento e la garanzia di chiarezza e comprensibilità; diritto alla portabilità dei dati, agevolando la trasmissione tra diversi prestatori di servizi; diritto alla cancellazione, alla limitazione del trattamento, alla rettifica. Interessante è il moderno pacchetto di strumenti per il trasferimento internazionale dei dati e la necessità che il paese terzo offra un adeguato livello di protezione. Tante sono le aziende che hanno ricevuto sanzioni dalle autorità competenti degli Stati membri per aver violato le norme del GDPR, tra cui Google e Meta. Queste ultime, più volte non hanno rispettato le regole sulla trasparenza e sul controllo dei dati personali da parte degli utenti, a causa di cui hanno ricevuto multe dal valore di milioni di euro.
Il bisogno di regolare il mercato digitale ha spinto l’UE ad elaborare due nuove normative: il Digital Markets Act (DMA) e il Digital Services Act (DSA).
Il DMA [3] è la normativa sui mercati digitali, entrata in vigore nel maggio 2023 con lo scopo di contribuire al corretto funzionamento del mercato interno stabilendo norme armonizzate che garantiscano equità. Essa è rivolta ai servizi principali delle piattaforme dei cosiddetti “gatekeeper”. Secondo l’art.2, i servizi di base delle piattaforme sono: servizi di intermediazione online, motori di ricerca, social networking, condivisione di video, comunicazioni interpersonali, sistemi operativi, browser web, assistenti virtuali, cloud computing, pubblicità. Affinché un’impresa sia qualificata come gatekeeper, è necessario che soddisfi tre requisiti qualitativi, supportati da requisiti quantitativi: il gatekeeper ha un impatto significativo sul mercato interno (il fatturato ammonta a 7,5 miliardi di euro nell’ultimo anno finanziario e il servizio viene fornito in almeno tre Stati membri); fornisce un servizio che costituisce un gateway collegando un’ampia base di utenti a un gran numero di imprese (45 milioni di utenti al mese); gode, o potenzialmente godrà, di una posizione radicata e duratura sul mercato.
La Commissione europea ha finora designato 6 gatekeeper: Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft [4]. Questi sono chiamati al rispetto di determinate regole, come: rendere i propri servizi interoperabili per i terzi in situazioni specifiche; consentire agli utenti commerciali di accedere ai dati che generano utilizzando la piattaforma di promuovere la loro offerta e concludere contratti con clienti al di fuori della stessa; fornire alle imprese che fanno pubblicità sulla piattaforma gli strumenti e le informazioni necessarie per consentire agli inserzionisti e agli editori di effettuare verifiche indipendenti dei messaggi pubblicitari ospitati dalla piattaforma.
Il DMA delinea anche una serie di pratiche che ai gatekeeper è vietato intraprendere: riservare ai propri servizi e prodotti un trattamento favorevole in termini di classificazione rispetto a servizi o prodotti analoghi offerti da terzi sulla loro piattaforma; impedire ai consumatori di mettersi in contatto con le imprese al di fuori della piattaforma; impedire agli utenti di disinstallare applicazioni o software preinstallati, se lo desiderano; tenere traccia per motivi pubblicitari degli utenti finali al di fuori dei servizi essenziali della piattaforma, senza previo consenso dei diretti interessati. La Commissione si riserva il diritto di individuare altri gatekeeper e di aggiornare in maniera costante gli obblighi previsti per tali piattaforme.
Il DSA [5], la normativa sui servizi digitali, è entrata in vigore nel febbraio 2024 con lo scopo di garantire un ambiente digitale sicuro e responsabile combattendo i contenuti illegali, cioè tutto quel materiale digitale che viola le leggi: materiale volto allo sfruttamento minorile, incitamento all’odio, contenuti terroristici, droghe illegali, violazione del copyright, criminalità informatica, attività fraudolente, malware e virus informatici, violazione della privacy, gioco d’azzardo illegale. Le piattaforme devono assumersi le proprie responsabilità e contribuire al corretto funzionamento del mercato interno per un ambiente online sicuro, prevedibile e affidabile in cui i diritti dei cittadini siano effettivamente tutelati. I fornitori (service providers) interessati sono: servizi di intermediazione, servizi di hosting, piattaforme online, piattaforme online di grandi dimensioni e motori di ricerca. L’UE considera piattaforme online di dimensioni molto grandi quelle con oltre 45 milioni di utenti mensili nel territorio europeo. Finora, sono state designate 19 piattaforme e motori di ricerca che rientrano in questa categoria, tra cui: Alibaba AliExpress, Amazon Store, Apple App Store, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando, Bing, Google Search.
Questi sono solo tre degli strumenti di cui l’Unione Europea si avvale per regolamentare il mondo digitale, utilizzando un approccio proattivo, anticipando le sfide emergenti, sostenendo l’innovazione, promuovendo la concorrenza e proteggendo i consumatori.
L’impatto politico e diplomatico su scala globale
È innegabile che l’Unione Europea giochi un ruolo di guida nella regolazione del mondo digitale, cercando sempre di mantenere il giusto equilibrio tra innovazione e protezione del consumatore. In merito a ciò, è stato coniato il termine “Brussels Effect” (effetto Bruxelles) per descrivere l’influenza regolamentare che l’UE esercita sul resto del mondo attraverso i propri standard normativi di qualità. Di rilievo sono le organizzazioni internazionali come l’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico) o il G20, in cui l’UE spinge per l’adozione delle proprie norme. Molte nazioni e aziende hanno dovuto conformarsi alle leggi europee per poter operare nel mercato UE, come l’azienda americana Microsoft che ha mostrato sin da subito l’impegno per adeguarsi al GDPR per il rispetto della privacy e i diritti dei consumatori a livello globale [6].
Il digitale e, nello specifico, i dati hanno un impatto sulla diplomazia poiché modellano il flusso di denaro e portano nuovi argomenti nei negoziati (privacy, protezione, commercio). Un esempio di collaborazione e sfida è quello tra Stati Uniti d’America e Unione Europea, riguardo il trasferimento dei dati. Nel 2000 venne istituito il “Safe Harbour Agreement” [7] (accordo di approdo sicuro) e aveva lo scopo di rendere più semplice per le aziende statunitensi conformarsi ai requisiti di protezione dei dati dell’UE durante il trasferimento di dati tra l’UE e gli Stati Uniti. Tuttavia, nel 2015, la Corte di giustizia dell’Unione Europea ha dichiarato non valido l’accordo perché ritenuto insufficiente, visto lo scarso livello di protezione dei dati previsto dalla legge statunitense e visto l’accesso che le agenzie governative statunitensi avevano ai dati personali, in particolare nel contesto dei programmi di sicurezza e sorveglianza nazionale.
In risposta alla decisione della Corte di giustizia, l’UE e gli Stati Uniti nel 2016 hanno negoziato un nuovo quadro per i trasferimenti transatlantici di dati denominato “Privacy Shield” [8], che mirava a colmare le carenze dell’accordo Safe Harbour. Ciononostante, l’accordo venne invalidato quando, nel luglio 2020, l’attivista austriaco Max Schrems intentò una causa contro Facebook dinanzi la Corte di giustizia sostenendo che lo “Scudo per la privacy” non forniva un livello adeguato di protezione per i dati personali dei cittadini dell’UE quando venivano trasferiti negli Stati Uniti, principalmente a causa delle preoccupazioni sulle pratiche di sorveglianza statunitensi e della mancanza di meccanismi di ricorso giuridico per i cittadini dell’UE. Questa frizione politica e normativa pare essersi conclusa nel luglio 2023, quando la Commissione europea ha adottato la decisione di adeguatezza sul quadro UE-USA per la protezione dei dati personali [9], introducendo miglioramenti significativi e una certezza giuridica ai cittadini e alle imprese, e rispondendo alle preoccupazioni sollevate precedentemente.
A seguito delle numerose indagini e sanzioni nei confronti di molte aziende americane, gli Stati Uniti hanno criticato l’Unione Europea di implementare una “over-regulation” (eccessiva regolamentazione) del mercato digitale [10]. Quest’ultima si è sempre difesa affermando la priorità di difendere i diritti dei consumatori, degli utenti e delle imprese senza mai chiudere le porte alla concorrenza leale e protetta; sottolineando quanto tutto ciò, unito alla trasparenza e alla non discriminazione, possa effettivamente favorire lo sviluppo di un ambiente più competitivo. Ogni regolamentazione ha un impatto economico; tuttavia, la garanzia di una stabilità regolatoria e un clima normativo chiaro ha alte potenzialità di attrarre investimenti di coloro che desiderano inserirsi in un mercato standardizzato e armonizzato.
[1] Direttiva (UE) 2019/2161 del Parlamento Europeo e del Consiglio del 27 novembre 2019 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del Parlamento europeo e del Consiglio per una migliore applicazione e una modernizzazione delle norme dell’Unione relative alla protezione dei consumatori. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32019L2161
[2] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A32016R0679
[3] Regolamento (UE) 2022/1925 DEL Parlamento europeo e del Consiglio del 14 settembre 2022 relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828 (regolamento sui mercati digitali). https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv%3AOJ.L_.2022.265.01.0001.01.ENG&toc=OJ%3AL%3A2022%3A265%3ATOC
[4] Comunicato stampa della Commissione europea del 6 settembre 2023. “Regolamento sui mercati digitali: sei gatekeeper designati dalla Commissione.” https://ec.europa.eu/commission/presscorner/detail/it/ip_23_4328
[5] Regolamento (UE) 2022/2065 del Parlamento europea e del Consiglio del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32022R2065
[6] Brill, Julie (Corporate Vice President and Chief Privacy Officer). “Microsoft’s commitment to GDPR, privacy and putting customers in control of their own data.” 21 maggio 2018. https://blogs.microsoft.com/on-the-issues/2018/05/21/microsofts-commitment-to-gdpr-privacy-and-putting-customers-in-control-of-their-own-data/
[7] 2000/520/CE: Decisione della Commissione, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti [notificata con il numero C(2000) 2441]. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32000D0520
[8] Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy [notificata con il numero C(2016) 4176]. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.207.01.0001.01.ITA&toc=OJ:L:2016:207:TOC
[9] Commissione europea, Rappresentanza in Italia. “Protezione dei dati: la Commissione europea adotta una nuova decisione di adeguatezza per la circolazione sicura e affidabile dei flussi di dati UE-USA.” Comunicato stampa del 10 luglio 2023. https://italy.representation.ec.europa.eu/notizie-ed-eventi/notizie/protezione-dei-dati-la-commissione-europea-adotta-una-nuova-decisione-di-adeguatezza-la-circolazione-2023-07-10_it
[10] Calderini, Barbara. “L’asse tecnologico UE-USA Diviso tra protezionismo e Sovranità Digitale: I Nodi Da Sciogliere.” Agenda Digitale. (25 Marzo 2022). https://www.agendadigitale.eu/cultura-digitale/lasse-tecnologico-ue-usa-diviso-tra-protezionismo-e-sovranita-digitale-i-nodi-da-sciogliere/