Intervista al Prof. Avv. Alessandro Del Ninno, “Il Decennio Digitale UE: la rivoluzione normativa in atto e gli scenari prossimi”  

Intervista al Prof. Avv. Alessandro Del Ninno

Docente di Intelligenza Artificiale, Machine Learning e Diritto, Università Luiss Guido Carli

 

il Prof. Avv. Alessandro Del Ninno

 

Alessandro Del Ninno è Professore a contratto di Informatica Giuridica presso la LUISS Guido Carli di Roma. Presso la stessa LUISS Guido Carli è docente di Intelligenza Artificiale, Machine Learning e Diritto.

Avvocato, Partner ICT dello Studio Legale Tonucci & Partners. È Presidente del Comitato Scientifico dell’Associazione Nazionale per la protezione dei dati personali. È Membro e Vicepresidente del Comitato Scientifico dell’Istituto Italiano Privacy. È relatore nell’ambito dei più importanti convegni nazionali e internazionali ove viene frequentemente invitato in qualità di esperto su tematiche legate all’Information & Communication Technology, all’IP e alla Data Protection. In qualità di esperto nelle suddette materie è di frequente consultato e intervistato dai media. Nelle stesse materie è autore di oltre 150 tra libri, trattati, monografie, saggi e articoli.

 

Nell’ambito del decennio digitale 2020-2030, le proposte normative innovative in ambito tecnologico che stanno venendo introdotte dalla Commissione che impatto avranno sulle regole dei mercati digitali internazionali e perché è così importante la rivoluzione regolatoria di questo decennio digitale?

Ritengo che tutti noi – professionisti, operatori del diritto, imprenditori e semplici cittadini – striamo vivendo  un momento cruciale  per  lo sviluppo della nostra società (direi per l’intera umanità!)  poiché siamo chiamati  – da un lato  –  ad affrontare sfide epocali, tra guerre e pandemia – ma – dall’altro – a governare l’altrettanto epocale rivoluzione tecnologica in atto. Stiamo vivendo forse il decennio più rivoluzionario della storia recente, se solo pensiamo all’impetuoso progresso dell’ICT  in  tutti i campi e a come l’ICT sta trasformando radicalmente  i  mercati, il  modo di fare impresa, il modo in cui  consumiamo (anche alla luce della  riduzione degli impatti ambientali), il modo in cui ci sentiamo parte di una comunità (sempre più virtuale,   come il  Metaverso) e – per quanto ci riguarda – il modo di fornire servizi professionali – come avvocati – ai nostri clienti.

Non è un caso che l’Unione Europea il 9 marzo 2021 abbia lanciato il Decennio Digitale (o Digital Decade), presentando la visione e le prospettive per la trasformazione digitale (che sarà anche sociale e di costume) dell’Europa entro il 2030, in base a questi quattro pilastri fondamentali:  (1) Competenze, con l’obiettivo di dotare oltre l’80% della popolazione europea di competenze tecnologiche di base; (2) Trasformazione digitale delle imprese, con l’impiego ordinario di tecnologie cloud/IA/Big Data in almeno il 75% delle imprese dell’UE; (3) Digitalizzazione dei servizi pubblici, con gli ambiziosi obiettivi di portare online il 100% dei servizi pubblici e di dotare di identità digitale almeno l’80% della popolazione UE; (4) Infrastrutture digitali sicure e sostenibili con l’obiettivo della diffusione della connettività gigabit per tutti, 5G ovunque; semiconduttori all’avanguardia, Dati – Edge e Cloud, con 10.000 nodi periferici altamente sicuri a impatto climatico zero; l’avvento del primo computer con accelerazione quantistica.

In questo contesto si  innesta  anche la rivoluzione normativa, con una serie di proposte legislative della UE che non solo riscrivono le regole tecnologiche, con l’ulteriore obiettivo di rappresentare un paradigma legislativo di riferimento per tutto il mondo (come è stato per il Regolamento generale 679/2016 sulla protezione e libera circolazione dei dati personali, preso come riferimento da molte legislazioni mondiali data protection), ma disegnano la tipologia di cittadini digitali, imprenditori, professionisti che saremo alla fine di questo decennio.

E mi piace anche ricordare che è in corso il processo di adozione di una Dichiarazione europea sui diritti e i principi digitali. L’obiettivo della Dichiarazione è definire i diritti dei cittadini nello spazio digitale ed elaborare un quadro di principi che l’UE e gli Stati membri sosterranno nel processo di trasformazione digitale di questi anni. Recentemente i ministri delle Telecomunicazioni dell’UE hanno discusso la proposta della Commissione e hanno espresso il loro fermo sostegno alla dichiarazione, nella quale è precisato che gli stessi diritti fondamentali validi offline lo sono anche online.

 

Potrebbe approfondire con noi quali sono i regolamenti comunitari europei di maggior impatto che entreranno o che sono entrati in vigore per la regolamentazione dei mercati digitali internazionali, come ad esempio il Digital Service Act – DSA?

Intanto, bisogna ricordare che molti atti legislativi che si iscrivono nella rivoluzione normativa del Decennio Digitale che ho citato sono già operativi ed applicati (come appunto il Regolamento 679/2016 – o GDPR – o il Regolamento 1807/2018 sulla libera circolazione dei dati non personali, che costituiscono un caposaldo della cosiddetta Value Data Economy). O come il Regolamento (UE) 2019/1150 che promuove equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online e disciplina i rapporti tra gli utenti commerciali ed i servizi di intermediazione online (i marketplace) ed i motori di ricerca.

Altri rilevanti atti normativi, poi, sono in vigore, ma ne è sospesa l’applicabilità fino a una certa data: penso al Regolamento (UE) 2022/2065 recante il c.d. Digital Services Act (DSA) – che si applicherà da febbraio del 2024 – e che aggiorna tecnologicamente le norme della Direttiva n. 31 del 2000 sui servizi della Società dell’Informazione e sul commercio elettronico (direttiva che rimane in vigore, ad eccezione di alcuni articoli) introducendo una nuova disciplina sulla moderazione e rimozione diretta di contenuti illegali o nocivi on line (con la previsione del diritto al risarcimento del danno e l’introduzione del divieto per le piattaforme online di impiego di tecniche ingannevoli); prevedendo obblighi supplementari per le piattaforme online molto grandi, così come maggiore trasparenza sui processi algoritmici, il divieto di pubblicità targettizzata basata sul trattamento dei dati personali di particolare natura, il tracciamento dei venditori on line sui marketplace e – ovviamente – la riforma della Direttiva 2000/31 sul commercio elettronico con le nuove norme sulla responsabilità per i servizi di hosting che recepiscono le importanti sentenze della CGUE di questi anni.

Ma penso anche al Regolamento (UE) 2022/1925 – il Digital Markets Act (DMA) – che mira a rendere i mercati digitali equi e competitivi, fissando norme molto stringenti per combattere le pratiche delle grandi piattaforme (GAFAM) che, come “legislatori privati”, decidono le regole della competizione commerciale online, decidendo di fatto chi e come può entrare (non a caso sono chiamati i “guardiani dei cancelli”, i “gatekeepers”) e  che si applicherà dal 2 maggio 2023. O penso, infine, al Regolamento (UE) 2022/868 – il Data Governance Act (DGA) – che si applicherà a far data dal 24 Settembre 2023 – e che introduce fondamentali pilastri come i nuovi servizi di intermediazione dei dati, le norme sul riutilizzo dei dati detenuti da soggetti pubblici o il c.d. altruismo dei dati che si sostanzia nella scelta consapevole di ciascuno di noi di mettere a disposizione i dati personali e non personali a scopi di progresso scientifico e sociale della UE (si pensi – solo per fare un esempio – alla messa a disposizione in questo contesto dei dati sanitari e delle cartelle cliniche per lo svolgimento di ricerca scientifica, anche mediante sistemi di AI, per prevenire nuove pandemie).

Infine, vi sono iniziative legislative che stanno proseguendo il loro cammino politico-legislativo di approvazione. A partire, ovviamente, dalla proposta della Commissione UE  di Regolamento Generale sull’Intelligenza Artificiale (“AI Act”) che proprio il 6 Dicembre 2022 ha visto il Consiglio UE esprimere la propria posizione comune sul testo dei compromesso. Anche la proposta di Regolamento denominata Data Act avrà importanti ripercussioni, fissando un quadro giuridico chiaro sulla ownership dei dati (personali e non personali) generati dai dispositivi connessi.

Rilevanti nel Decennio Digitale sono anche la  proposta di  Regolamento sulla sicurezza e la resilienza dei sistemi dell’UE (pacchetto cybersicurezza) e  il Regolamento (MiCA), che istituisce un quadro europeo per i mercati delle cripto-attività.

E potrei andare avanti citando molti altri atti, ma mi limito a quelli sopra citati e che sicuramente saranno protagonisti della rivoluzione regolatoria a cui ho accennato.

 

 

A Suo avviso quali sono i più importanti aspetti di innovazione nel Governance Data Act – DGA? Approfondendo i radicali cambiamenti della regolamentazione in materia, a quale evoluzione stiamo assistendo della definizione di “dato personale” e quali possono essere gli aspetti critici su cui porre maggiormente l’attenzione? 

Con la cosiddetta Strategia Europea dei Dati la UE intende liberare l’enorme potenziale economico dei dati personali e non personali, nell’ambito di una Economia fondata sui dati. E’ proprio questa prospettiva che mi porta a segnalare come sia in corso un mutamento nell’approccio – oserei dire filosofico e di principio – al concetto stesso di dato. Intendo dire che se fino ad oggi al centro c’è il fondamentale sistema GDPR-dato personale, talmente importante da portare a definire il “dato non personale” in negativo, cioè come l’informazione “che non è dato personale”, ebbene le varie fonti normative che ho citato (dal DGA al Data Act) introducono tutte una nuova definizione di “dato” e cioè: “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva”. Questa nuova definizione – identica e sempre la stessa nei vari atti normativi del Decennio Digitale – richiama alla mente quasi la definizione del “documento informatico”. Fa riferimento al tempo stesso a contenuti informativi sia personali che non personali che persino all’idea del supporto che li contiene. Insomma, siamo di fronte ad una evoluzione concettuale e giuridico-legislativa che mette al centro questo nuovo concetto di “dato” e impone di svincolarci dalla centralità del “dato personale” nei mercati digitali, per non rischiare di guardare – miopi – alla rivoluzione che si sta realizzando.

E certamente un grande ruolo lo assume il DGA, con la creazione degli 11 Spazi Europei dei Dati per dominio (Sanità, Ambiente, Infrastrutture, etc) all’interno dei quali i dati – personali e non personali – circoleranno dando piena attuazione alle potenzialità della Value Data Economy e alle finalità sociali della libera circolazione dei dati.

Inoltre, restando al Data Governance Act e al “dato personale” vorrei ricordare quanto sterili siano le polemiche di questi giorni sul dato personale che non può essere considerato una merce e su come si debba approcciare con attenzione e spirito critico la tematica della data monetizazion e della commerciabilità dei dai personali. Vorerei infatti richiamare l’attenzione dei lettori sui nuovi servizi di intermediazione dei dati introdotti proprio dal DGA che – per essere tali – obbligano a stipulare una licenza di sfruttamento commerciale che può avere ad oggetto anche i dati personali…[si guardi al Considerando 28 del DGA o alla definizione di “servizio di intermediazione dei dati” di cui all’articolo 2(11) DGA].

Io sono da sempre convinto della libertà di disporre – anche economicamente e commercialmente – del bene giuridico “dato personale”, senza particolari restrizioni. Chi sostiene il contrario in quanto il dato personale afferisce alla sfera dei diritti fondamentali della persona, e sarebbe quasi permeato da una sorta di indisponibilità per lo stesso interessato che voglia disporne, dovrebbe spiegarmi come mai l’immagine (che tra l’altro è anche un dato personale) possa da sempre essere oggetto di manovre economico-commerciali ed essere licenziata, noleggiata, ceduta a vario titolo….

 

Ci parlerebbe di come la proposta di Regolamento Generale dell’Unione europea sull’Intelligenza Artificiale è strutturata, a chi è rivolta e quali sono le sue finalità? Quali sono i prossimi scenari?

Non è semplice condensare in poche righe quello che probabilmente costituirà il più importante paradigma legislativo nei decenni a venire e sulla cui efficacia regolatoria si giocano i destini di imprese chiamate a competere su mercati digitali globali.

Non solo l’Unione Europea – con la sua proposta di Regolamento Generale sull’Intelligenza Artificiale presentata il 21 Aprile 2021 e oramai in dirittura d’arrivo, come ho detto sopra – ma anche gli Stati Uniti (con la presentazione a Ottobre scorso di un AI Bill of Rights) e la Cina hanno in corso di adozione normative sull’AI. Il Consiglio d’Europa, poi, ha avviato i negoziati per una Convenzione sull’intelligenza artificiale, i diritti umani, la democrazia e lo Stato di diritto.

Nel regolamentare l’IA il Legislatore europeo impiega una triplice prospettiva, che difatti poi è richiamata sempre nell’articolato come una serie di attività-presupposto a cui sono ricollegate regole e responsabilità dei vari soggetti:

1. la prospettiva della immissione sul mercato di sistemi di Intelligenza Artificiale;
2. la prospettiva della messa in servizio di sistemi di Intelligenza Artificiale;
3. l’utilizzo di sistemi di Intelligenza Artificiale.

La proposta di Regolamento sull’IA mira difatti a introdurre norme armonizzate che disciplinino uniformemente e in maniera organica nell’Unione tutte queste fasi (le prime due delle quali oggetto anche di specifiche definizioni giuridiche all’articolo 3. nn. 9, 10 e 11).

Altro scopo del Regolamento è quello di vietare determinate “pratiche di intelligenza artificiale” il cui impiego può rappresentare una minaccia ai diritti e alle libertà fondamentali (e anche democratiche) su cui si fonda l’Unione (si pensi ai sistemi di riconoscimento biometrico e ai tentativi degli anni scorsi di introdurre una moratoria sui tali sistemi).

L’obiettivo centrale è poi quello di regolamentare i requisiti specifici per sistemi di IA definiti “ad alto rischio” (in contrapposizione ai sistemi AI di uso generale) e gli obblighi per gli operatori (diversificati per tipo di attività svolta) di tali sistemi.

Molto importante e degna di interesse è l’ulteriore finalità di introdurre regole armonizzate che introducono rigorose prescrizioni di trasparenza (si vedano ad esempio gli artt. 52 e ss. della proposta di regolamento IA) per specifici sistemi di IA destinati a interagire con le persone fisiche – ivi inclusi i sistemi per il riconoscimento delle emozioni basato sul trattamento dei dati biometrici e i sistemi di classificazione biometrica (es: per età, sesso, etc) – e per quelli utilizzati per generare o manipolare contenuti di immagini, audio o video (una prima disciplina normativa sui cc.dd deepfake).

Anche l’introduzione della prima disciplina europea sui cc.dd regulatory sandboxes (o «spazi di sperimentazione normativa») è un tratto distintivo e innovativo della proposta di Regolamento UE sull’IA.

Tra gli altri obiettivi generali della proposta di AI Act, vi sono infine il supporto all’innovazione e l’introduzione di specifiche misure di governance, sorveglianza e monitoraggio dei mercati.

Certo, devo ammettere che ho più di qualche dubbio circa un testo molto articolato e complesso, destinato a scontare una forte obsolescenza tecnologica (pensiamo alla definizione di “sistema di Intelligenza Artificiale” da ultimo concordata il 6 Dicembre scorso con il Consiglio UE e a quanto tale definizione potrà essere obsoleta quando – dopo 36 mesi dalla pubblicazione in Gazzetta – il Regolamento entrerà in vigore…), a volte farraginoso e “burocratico” (non bisogna mai dimenticare il rischio della cosiddetta “burocrazia digitale” che si aggiunge – in luogo di eliminarla – a quella tradizionale…): penso – solo per fare un esempio –  agli obblighi che l’articolo 29 dell’AI Act impone ai semplici utilizzatori di sistemi AI ad alto rischio (come può essere una media impresa che acquista un software o un servizio basato sull’AI per le valutazioni della produttività) oneri organizzativi e tecnici molto rilevanti (dalla conservazione semestrale dei logs del sistema AI, alla gestione delle segnalazioni al Registro UE degli incidenti, alla nomina di figure interne dotate di competenze Ai, etc).

Il punto è poi sempre lo stesso e può essere riassunto “parafrasando” il famoso paradosso del filosofo Zenone di Elea (l’inventore della dialettica, dunque caro a noi avvocati!): il Legislatore-Achille non raggiungerà mai – per imbrigliarla – la tartaruga-Tecnologia, che sarà sempre un po’ più avanti e – in definitiva – irraggiungibile.

 

 

a cura di

Valeria Montani

 

 

Approfondimenti:

Gli Stati Generali del Diritto di Internet