La società digitale sotto la lente europea: la complessità della trama normativa

L’Unione europea ha posto al centro della propria agenda politica la questione della disciplina della società digitale. L’elenco degli atti normativi europei è ormai davvero lungo, nel momento in cui ancora si attende l’avvio della fase di progressiva entrata in vigore del regolamento che disciplina l’intelligenza artificiale (AI Act). Ma c’è davvero necessità di adottare quest’abbondante e fitta cortina di norme giuridiche? Non v’è il rischio che si determinino antinomie foriere di arrecare incertezze negli operatori e appesantimento burocratico nei mercati? Oppure possiamo ragionevolmente concludere che l’impegno regolatorio dell’Ue è adeguato alla complessità delle sfide che la società digitale pone verso la tutela dei diritti fondamentali e nei confronti del mercato?

Anticipo che cercherò di motivare un apprezzamento verso l’azione dell’Ue, pur facendo emergere qualche elemento di criticità.

L’impegno dell’UE in questo settore era già evidente a partire dall’inizio del nuovo Millennio in documenti come il Piano d’azione eEurope 2002, poi aggiornato nel 2002 con il piano eEurope 2005 : mentre il primo era principalmente imperniato sull’estensione della connettività Internet in Europa, il secondo mirava «a tradurre questa connettività in un aumento della produttività economica e un miglioramento della qualità e dell’accessibilità dei servizi a profitto di tutti i cittadini europei, sulla base di un’infrastruttura a banda larga protetta e ampiamente disponibile».

Da allora, l’effetto propulsivo delle politiche europee è progressivamente aumentato, come anche i problemi sono cambiati. Oggi il notevole numero di regolamenti e di direttive approvati è sintomo della volontà di esprimere una sovranità politica condivisa a livello europeo, anche in settori come quelli che caratterizzano la società digitale, che sembrano avere una naturale capacità di svincolarsi dalla decisione politica dei singoli Stati.

L’aspetto più felice dell’impegno regolatorio europeo è quello di aver colto che i dati, le piattaforme, l’intelligenza artificiale, la sicurezza cibernetica non possono essere considerati come settori a sé stanti, disgiunti gli uni dagli altri, poiché sviluppano talmente tante interrelazioni che finiscono per integrarsi e per completarsi reciprocamente. Questi settori, al contrario, devono essere considerati come parti della società digitale che vanno considerati in un’ottica complessiva, assumendo una prospettiva d’insieme. 

L’imponente impianto normativo continua a girare ancora intorno al Regolamento (UE) n. 2016/679, Regolamento generale sulla protezione dei dati personali (GDPR), che è la pietra d’angolo della disciplina europea sui dati e le tecnologie digitali incentrata sulla persona, nonché la bussola per l’impiego della tecnologia nel contesto della duplice transizione, ecologica e digitale, che caratterizza la definizione delle politiche dell’UE. Molti dei principi disciplinati nel GDPR possono essere estesi, adattati ed applicati agli altri ambiti indicati.

Il GDPR non è un regolamento isolato nella materia del trattamento dei dati personali. Non lo è mai stato, ma ora a maggior ragione: negli ultimi due anni è stato affiancato da due importanti atti normativi che sono il Regolamento (UE) n. 2022/868 relativo alla governance europea dei dati, c.d. Data Governance Act, che istituisce una rete per la condivisione di dati, pubblici e privati  e il Regolamento (UE) 2023/2854 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (c.d. Data ACT), che favorisce specialmente l’uso e il riuso dei dati raccolti nell’ambito dell’Internet of Thing. Questi ultimi atti hanno l’obiettivo di favorire la condivisione lecita dei dati e di stimolare in modo virtuoso il mercato dei dati, anche in vista del sempre più capillare utilizzo dell’intelligenza artificiale, incentivando la creazione di tanti spazi settoriali di condivisione dei dati. Il primo sarà lo Spazio europeo dei dati sanitari, istituito sulla base del regolamento European Health Data Space, appena approvato.

Oltre alla fondamentale regolazione delle piattaforme, su cui qui non mi soffermo, l’approccio europeo si è concentrato su altri due ambiti fondamentali: la cybersicurezza e l’intelligenza artificiale.

In attesa di poter commentare l’AI Act a seguito di una riflessione che meriterà tempi adeguati all’ampiezza dell’impianto normativo, si può notare che i regolamenti sulla condivisione dei dati i pongono come propedeutici all’AI Act, perché mirano a creare le condizioni affinché i dati, che sono l’alimento che consente all’IA di funzionare, possano circolare più facilmente, in una cornice di legittimità.

La sicurezza cibernetica, in questo quadro, diventa fondamentale. Se gli ambienti si digitalizzano progressivamente, essi devono essere sicuri. Sul versante della sicurezza cibernetica, invece, il 10 novembre 2022 il Parlamento Europeo ha approvato la Direttiva NIS2, in ragione degli sviluppi registrati negli anni nell’area della sicurezza informatica europea e delle nuove sfide emerse nel campo della sicurezza informatica. Durante la pandemia da COVID-19, gli attacchi informatici sono aumentati del 220% in tutti gli Stati membri, evidenziando come la portata della direttiva NIS originale fosse troppo limitata. L’Italia in particolare, è uno degli Stati europei più esposti alle minacce.

Tornando a guardare all’impianto generale, la critica che, invece, mi sembra di poter muovere al legislatore europeo è quella di un’eccessiva pervasività della normazione che finisce per avviluppare tanti aspetti anche di dettaglio, che potenzialmente possono ingenerare confusione negli operatori.

Ci sarà da tarare meglio il tiro, ma la strada imboccata dall’Europa con questa decisa operazione di recupero della centralità delle fonti del diritto è quella giusta perché può consentire di affrontare correttamente il tema della sovranità e del potere nella società digitale che rappresenta uno dei problemi più rilevanti del XXI secolo.