Piattaforme online, dati e intelligenza artificiale tra interessi pubblici e garanzie dei privati. L’intervista con il Prof. Francesco Battaglia

Francesco Battaglia è Professore associato, con abilitazione di prima fascia, di Diritto dell’Unione europea, presso il Dipartimento di Scienze politiche dell’Università̀ di Roma “La Sapienza”.  Nello stesso Dipartimento è titolare degli insegnamenti di Diritto e istituzioni dell’Unione europea, erogato nell’ambito dei corsi di studio in Scienze politiche e relazioni internazionali e Scienze dell’amministrazione e dell’organizzazione, e di Diritto e politiche dell’Unione europea, nell’ambito del corso di studio in Relazioni internazionali, curriculum Relazioni internazionali e istituzioni sovranazionali. È autore di una monografia sul consumatore digitale nel diritto dell’Unione europea (Editoriale scientifica, 2023) e una sul Mediatore europeo (Cacucci editore, 2020), nonché di numerosi articoli scientifici su aspetti istituzionali e materiali del Diritto dell’Unione euroepa.

Il Prof. Francesco Battaglia

Quali sono le principali criticità riscontrate nell’applicazione delle recenti misure adottate dall’UE per regolamentare il mercato unico digitale, considerando l’interconnessione tra dati personali, concorrenza e tutela dei consumatori?

Le recenti normative adottate dall’Unione europea, in particolare il Digital Services Act (DSA) e il Digital Markets Act (DMA), per quanto concerne, nello specifico, l’utilizzo dei dati personali, provano a trovare un equilibrio tra due interessi apparentemente contrastanti: da un lato, l’esigenza di rafforzare la libertà decisionale degli utenti e, dall’altro lato, quella di non ostacolare lo sfruttamento dei dati personali da parte delle imprese che offrono servizi digitali. L’idea di base, quindi, è quella di riorientare lo sviluppo del mercato digitale, che deve comunque progredire, attraverso un approccio più attento alla tutela della persona.

A tal riguardo, è ormai assodato che nel mercato digitale i dati personali siano diventati una parte rilevante delle transazioni commerciali e che, pertanto, abbiano assunto un valore. Ciò, chiaramente, richiede uno sforzo del legislatore affinché gli utenti non restino attori passivi di un processo che finisce per apparire a loro incontrollabile. Da questo punto di vista, ho l’impressione che l’Unione europea, seppur in maniera ancora parziale, abbia provato a definire un quadro di regole più stringenti, volte a favorire una maggiore trasparenza nel mercato digitale. Regole di fronte alle quali le grandi piattaforme sembrano assumere una posizione talvolta resistente, come emerge dai primi ricorsi proposti dinnanzi alla Corte di giustizia contro l’inclusione di alcune imprese come Very Online Large Platforms (VLOP), ai sensi del DSA, o come Gatekeeper, in base al DMA. In alcune di queste cause, infatti, i ricorrenti sembrano descrivere i nuovi obblighi posti dal DMA e dal DSA come capaci di distruggere il modello di business su cui si fondano tali imprese. Naturalmente, siamo solo alle fasi iniziali di un contenzioso che diverrà certamente più ampio.

All’interno di questo quadro, inoltre, sarà interessante seguire l’operato della Commissione, che ha già avviato, alla luce dei poteri ad essa conferiti dal DMA e dal DSA, un’importante attività di controllo, su aspetti assolutamente cruciali.

In che modo la nozione di consumatore nel diritto dell’Unione europea è evoluta da consumatore tradizionale a consumatore digitale, e quali sono le principali differenze che emergono da questa transizione?

Partendo dal presupposto che le competenze e le conoscenze del consumatore medio dipendono anche dal contesto in cui lo stesso agisce, ci si potrebbe domandare se il “consumatore medio digitale” abbia delle competenze e delle conoscenze superiori o inferiori rispetto al “consumatore medio tradizionale”. Da un lato, si potrebbe ritenere che il consumatore digitale, già per il semplice fatto di utilizzare le tecnologie digitali, abbia un certo livello di competenza tecnica e, dunque, sia meno esposto a rischi. Dall’altro lato, si potrebbe ritenere che il consumatore medio digitale abbia un più basso livello di conoscenza di quello “analogico” e sia, di conseguenza, più esposto a rischi. In questo secondo caso è ovvio che la maggiore esposizione al rischio debba essere compensata da più trasparenza, il che non si traduce necessariamente in una maggiore informazione. Anzi, una delle principali problematiche che, probabilmente, riscontrano gli utenti nelle loro attività quotidiane in rete è l’eccesso di informazioni che non sono in grado di comprendere. Lo sforzo, quindi, dovrebbe essere quello di una semplificazione delle informazioni. Ad esempio, in un provvedimento sanzionatorio nei confronti di Meta, del 31 marzo 2024, l’AGCM ha messo a confronto il differente sistema di informazione sull’attività di raccolta e utilizzo dei dati per fini commerciali fornito agli utenti in fase di attivazione e prima registrazione ad Instagram, a seconda che l’iscrizione fosse effettuata tramite web o dall’app. Nel primo caso, infatti, tali informazioni, oltre a risultare poco chiare, non erano immediate, perché potevano essere reperite solo dopo aver aperto diverse finestre e aver eseguito numerosi “scrolling”. Nel secondo caso, invece, l’utente era facilitato nella loro comprensione, dal momento che vicino al pulsante “registrati” compariva in maniera abbastanza evidente il messaggio “noi finanziamo i nostri servizi usando i tuoi dati personali per mostrarti le inserzioni”. Effettivamente, una frase così breve è ben più incisiva di un’informativa lunga diverse pagine, dove la reale finalità del trattamento dei dati, cioè l’interesse commerciale del professionista, viene proposta in termini di miglioramento del servizio e, quindi, come interesse dell’utente. Su quest’aspetto, che è determinante per favorire “l’autodeterminazione” degli utenti, i recenti strumenti normativi adottati dall’Unione, in particolare il DSA, non sembrano particolarmente incisivi.

Considerando l’importanza crescente dei dati nel mercato digitale, quali sono le principali sfide che l’UE deve affrontare per garantire la protezione dei diritti fondamentali degli utenti, in particolare per quanto riguarda la privacy e la protezione dei dati personali?

Per quanto riguarda la tutela dei dati personali, l’obiettivo principale da perseguire deve essere quello di mettere gli utenti nella condizione di prendere decisione libere in merito al trattamento degli stessi.

Per comprendere in che misura il consenso possa essere condizionato dalle modalità con le quali esso viene richiesto, basta leggere l’istruttoria dell’AGCM relativa all’App Tracking Transparency Policy (ATT) di Apple, cioè quel sistema di acquisizione del consenso al tracciamento dei dati per fini pubblicitari che devono utilizzare tutti gli sviluppatori di app che intendono avvalersi del negozio online App Store. Nel caso di specie, che si sarebbe dovuto chiudere a maggio 2024, ma i cui termini sono stati di recente prorogati fino a marzo 2025, l’AGCM sta indagando, tra le altre cose, su come è progettata la “finestra a comparsa” che appare ai fini dell’acquisizione del consenso al tracciamento dei dati personali. Difatti, quando si scarica un’app sviluppata da produttori terzi, a differenza di quanto avviene nel caso di download di app Apple, tale finestra pone in maggior risalto l’ipotesi di negazione del consenso, piuttosto che di sua concessione, utilizzando, inoltre, espressioni differenti, che sembrano poter dissuadere gli utenti. Una simile prassi, a quanto pare, avrebbe un impatto determinante sulla scelta degli utenti. A quanto si legge nell’istruttoria, infatti, si stima che, in termini approssimativi, solo il 30% degli utenti di app sviluppate da terzi abbia prestato il proprio consenso, il che ha ridotto la capacità di profilazione di tali sviluppatori e ha aumentato considerevolmente il costo d’acquisto da parte degli inserzionisti degli spazi pubblicitari sulle app concorrenti di Apple. Di conseguenza, si sarebbe verificata una riduzione delle vendite degli spazi pubblicitari da parte di questi ultimi, con conseguente riduzione di oltre il 50% dei ricavi. Sarebbe stato stimato che i principali sviluppatori concorrenti di Apple abbiano riportato, nel 2022, mancati ricavi per circa 9 miliardi di euro. Stando a queste stime, è evidente come le scelte dei consumatori possano essere influenzate dalle piattaforme e quanto i dati personali siano diventati centrali in termini di concorrenza.

Altro aspetto, poi, di importanza sostanziale è quello relativo alla base giuridica del trattamento. In tal senso, ritengo che le piattaforme spingano per un più ampio ricorso al legittimo interesse, piuttosto che al consenso. Tuttavia, è da valutare in che misura tale base giuridica possa essere sfruttata. Vale la pena di ricordare, infatti, che il legittimo interesse è una condizione che va applicata in maniera rigorosa nel rispetto di tre requisiti cumulativi, vale a dire l’esistenza dell’interesse legittimo, la necessità del trattamento dei dati personali per il perseguimento dell’interesse legittimo e, infine, la condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati. Ora, si deve vedere se, in certi casi, come la profilazione per targetd advertising, queste condizioni possano risultare soddisfatte. Su questo punto, ad esempio, mi sembra che la posizione assunta dalla Corte di giustizia nella sentenza Meta Platforms sia alquanto restrittiva, nella misura in cui il giudice dell’Unione ha affermato che l’utente di un social network “non può ragionevolmente attendersi che, senza il suo consenso, l’operatore di tale servizio tratti i suoi dati personali a fini di personalizzazione della pubblicità”, aggiungendo, altresì, che “in tali circostanze, si deve ritenere che i diritti fondamentali e gli interessi di tale utente prevalgano sull’interesse dell’operatore a tale personalizzazione della pubblicità mediante la quale egli finanzia la sua attività”. Dall’altro lato, tuttavia, occorre rilevare anche che il sistema del consenso, così come è stato utilizzato finora, non è risultato efficace per diverse ragioni, tra cui, ricordo, le continue richieste che appaiono agli utenti; la difficile comprensione delle informazioni fornite, sia in termini di quantità che di contenuto delle stesse; il modo in cui tali richieste appaiono, potendo influenzare facilmente l’utente.

Alla luce della recente legislazione dell’UE, come ritiene che il ruolo dei dati influenzi la concorrenza e la creazione di posizioni di dominio nel mercato digitale, con particolare riferimento al caso Meta Platforms?

La sentenza Meta Platforms ha cristallizzato un principio chiave, invero di fatto assodato, cioè che nel mercato digitale i dati sono diventati una parte rilevante delle transazioni commerciali e che hanno assunto un valore. Di conseguenza, l’accesso agli stessi, nonché il loro trattamento, sono diventati un parametro significativo della concorrenza fra imprese dell’economia digitale. Ciò significa che “escludere le norme in materia di protezione dei dati personali dal contesto giuridico che le autorità garanti della concorrenza devono prendere in considerazione in sede di esame di un abuso di posizione dominante ignorerebbe la realtà di tale evoluzione economica e potrebbe pregiudicare l’effettività del diritto della concorrenza all’interno dell’Unione”. Questa posizione, in realtà, era stata già seguita da diverse autorità nazionali sulla concorrenza, in particolare dalla nostra AGCM e dal Bundeskartellamt tedesco. D’altronde, la pronuncia pregiudiziale in questione origina proprio da un ricorso di Meta Platforms dinanzi Tribunale superiore di Düsseldorf, contro una decisione adottata dall’Autorità tedesca. Tuttavia, la decisione della Corte lascia ancora aperte diverse questioni. In primo luogo, il sistema di coordinamento tra le autorità competenti in materia di dati personali e quella a tutela dei dati personali. Una così stretta convergenza tra dati e concorrenza, infatti, potrebbe creare il rischio di sovrapposizioni di competenze o di “invasioni di campo”. Su questo punto, la Corte ha delineato delle condizioni di massina che devono essere rispettate, fondate sul principio di leale cooperazione, ai sensi dell’art. 4, par. 3, del Trattato sull’Unione europea. In tal senso, ha stabilito che l’autorità nazionale garante della concorrenza, laddove ritenga che il comportamento di un’impresa non sia conforme alle disposizioni del RGPD, deve consultare l’autorità nazionale di controllo competente o l’autorità di controllo capofila al fine di fugare i propri dubbi o di determinare se si debba attendere l’adozione di una decisione da parte dell’autorità di controllo interessata prima di iniziare la propria valutazione. Dal canto suo, l’autorità di controllo, quando riceve una richiesta di informazioni o di cooperazione da parte di un’autorità nazionale garante della concorrenza, deve rispondere a tale richiesta entro un termine ragionevole. Evidentemente, una simile forma di cooperazione è essenziale ai fini di un’uniforme applicazione delle norme in parola e per un’efficace azione di controllo, ma dovrebbe essere regolata in maniera più precisa, partendo dai principi essenziali definiti dalla Corte in Meta Platforms.

Altra questione lasciata aperta dalla pronuncia in questione è poi quella della possibilità di prevedere un pagamento al trattamento dei dati, pratica ormai sempre più frequente e conosciuta come pay or consent. Quest’ultima è una prassi che, per prima, è stata sperimentata dalle testate giornalistiche online e che ultimamente si sta diffondendo anche tra le piattaforme online. Finora, pur se non con riferimento alle piattaforme online, si sono pronunciate sulla questione diverse autorità nazionali di controllo per la protezione dei dati, mostrando un atteggiamento di massima aperto ad una simile possibilità, purché si tratti di una somma proporzionata e siano rispettate le altre condizioni di cui al RGPD, tra cui le valutazioni di impatto che devono essere preventivamente svolte. Dalla sentenza Meta Platforms si ricava che una soluzione di questo tipo possa essere adottata anche dalle piattaforme, nella misura in cui il giudice dell’Unione ha affermato che agli utenti di social networks che rifiutano il consenso al trattamento dei loro dati deve essere offerta un’alternativa, se del caso a fronte di un adeguato corrispettivo, per poter comunque usufruire del servizio. Naturalmente, si tratta di un passaggio estremamente sintetico, che da solo non è sufficiente per sostenere che la Corte abbia assunto una posizione definitiva sull’argomento. Su questo tema, ad esempio, l’European Data Protection Board, in un parere dell’aprile 2024, ha mantenuto un approccio più cauto. A suo modo di vedere, anche alla luce di quanto statuito dalla Corte in Meta Platforms, si dovrebbe evitare di mettere gli utenti di fronte ad una scelta binaria, per l’appunto pay or consent, per cui la piattaforma dovrebbe presentare anche altre alternative gratuite, come una versione del servizio con una diversa forma di pubblicità che comporta il trattamento di una quantità minore o nulla di dati personali, ad esempio pubblicità contestuale o generale o pubblicità basata su argomenti selezionati dall’interessato da un elenco di argomenti di interesse.

Effettivamente, la posizione del Board sembra tener conto del fatto che quando si tratta di servizi prestati da grandi piattaforme, vista la posizione di particolare forza che queste hanno sul mercato e considerando che spesso gli utenti ritengono i servizi offerti dalle stesse come essenziali e difficilmente sostituibili, sorge il dubbio se, di fronte da una scelta come il pay or consent l’utente possa decidere in maniera realmente libera. Su questo punto, ad ogni modo, sarà interessante vedere quanto stabilirà la Commissione, la quale ha di recente aperto un’indagine, ai sensi del DMA, proprio relativamente all’utilizzo di tale prassi da parte di Meta.