Una iniziativa di semplificazione che incarna una perfetta eterogenesi dei fini. Una misura che svela politiche “digitali”, o meglio dell’informatica, permeabili al punto da comprimere i diritti. La resa di un potere pubblico che, si credeva, poteva mostrare una via nuova di governo della tecnica e degli enormi poteri privati che da essa traggono linfa. Queste le reazioni a prima lettura del Digital Omnibus, svelato al pubblico il 19 novembre scorso.
Si tratta, in estrema sintesi, di una iniziativa legislativa della Commissione europea, di cui sono trapelate molte informazioni negli ultimi mesi e che ha diversi obiettivi. Innanzi tutto, cerca di riunire le “frammentate” normative in ambito digitale e di evitare le sovrapposizioni di regole tra i diversi atti legislativi vigenti, dalla regolazione della cd. “intelligenza” artificiale (AI Act) alla tutela dei dati personali, anche nelle comunicazioni elettroniche (Gdpr e direttiva ePrivacy) fino alla contendibilità dei mercati digitali e alla qualità dei contenuti e dei servizi (Digital Services Act e Digital Markets Act). La proposta, inoltre, mira a rielaborare la disciplina dei dati, razionalizzando la disciplina sul governo del nuovo data acquis, sull’intermediazione, sul principio dell’altruismo, sui dati industriali, nonché sulla pubblicazione di sulla disponibilità dei dati pubblici (Data Governance Act e Open Data Directive, che dovrebbero confluire nel Data Act). Infine, per favorire la diffusione dei sistemi di IA, insegue, sostanzialmente, i modelli oltre-oceanici per alleggerire il carico regolatorio e creare un ambiente economico più favorevole, in primis – almeno negli intenti – per le piccole e medie imprese europee.
Il campo va sgombrato da un equivoco di fondo, onde evitare letture pretestuose: la semplificazione non va contrastata in sé; alcune misure sono ragionevoli ed è ragionevole discuterne. Ciò che sfugge è il senso complessivo e ciò che va contrastato è il rendere difficoltoso (o addirittura impedire) l’esercizio di compiti istituzionali e la protezione dei singoli. Alcune misure di “semplificazione” del Digital omnibus celano, infatti, un pericoloso abbassamento della tutela dei diritti, che snatura il percorso sin qui molto faticosamente avviato dall’Unione europea. Facendo venir meno anche la sua specialità, nell’uso dell’informatica, rispetto agli altri soggetti pubblici che popolano lo scenario mondiale.
Un’analisi molto dettagliata della proposta è stata svolta, come sempre in modo approfondito, dall’associazione Noyb. Qui ci si concentra ‘solo’ su alcuni aspetti.
Se alcune misure possono essere considerate utili, neutre, o quantomeno non immediatamente nocive, altre sono invece foriere di una visione di abbassamento del “tono europeo”. Sotto il primo profilo, emerge l’unificazione delle notifiche (single-entry point) in materia di sicurezza, che vengono razionalizzate tra i vari plessi normativi, in primis la Nis 2 (sulla sicurezza cibernetica) e il Dora (sulla resilienza digitale per il settore finanziario), per consentire ad autorità nazionali e soggetti interessati di fruire di un quadro più chiaro che riduca gli oneri amministrativi. Non vi sono, al riguardo, particolari aspetti critici, sempre che l’applicazione delle nuove norme non vanifichi la ‘sostanza’ della sicurezza.
Sotto il secondo profilo, quanto avviene con l’AI Act e, soprattutto, con il Gdpr, è qualitativamente e diverso. E preoccupante. Oltre a citare, solo richiamandolo, il meccanismo dello stop-the-clock, e a mostrarsi troppo sensibile all’hype e alle speculazioni (nonostante il rischio di una bolla paventata da molti: K. Skrishak, A. Birhane, AI Hype Is Steering EU Policy Officers) ossia una sospensione di alcuni obblighi stabiliti (e negoziati puntualmente, lo si ricordi, nell’iter legislativo che ha condotto al regolamento), va sottolineato che i produttori di sistemi ad alto rischio potranno concedersi, autonomamente, l’esenzione dagli obblighi previsti dal regolamento, secondo un processo di auto-valutazione libero, ampio, imprevedibile. La differenza, rispetto al testo vigente (varato poco più di un anno fa, è ancora bene ricordarlo) è che, mentre ora l’esenzione va accompagnata alla necessaria pubblicità della decisione (ciò significa che gli operatori che optano per questa soluzione devono rendere nota la loro scelta), in base al testo svelato il 19 novembre potranno procedere senza alcuna comunicazione in merito. È questo, in sintesi, il senso delle modifiche all’art. 6, par. 3, dell’AI Act. Perché questa opacità? Nessuno, dalle autorità nazionali all’Ufficio per l’IA, fino agli organismi ad hoc appositamente creati, potrà conoscere l’esenzione auto-applicata. Un vero rompicapo, che non può non minare l’attuazione del già complesso regolamento. I commenti sono molto critici sul punto, sottolineando come già il meccanismo vigente sia sbilanciato (si veda la valutazione di Access Now, chiarita anche su TechPolicyPress).
Quanto al Gdpr, un vero progetto lungimirante dovrebbe mirare al suo potenziamento, non alla sua riduzione. La maggior parte degli Stati membri non intendeva apportare modifiche a questo fondamentale regolamento e ben 127 associazioni hanno presentato osservazioni molto critiche alla Commissione. Se gli oneri per le imprese sono troppi e occorre snellire la “carta digitale” (si perdonerà l’ossimoro), va compreso che il problema è diverso e risiede in una applicazione formalistica e poco sostanziale del regolamento. Le modifiche dovrebbero ovviare alla sua debolezza, non accrescerla: l’adesione formale genera adempimenti vuoti, che affaticano tutti i soggetti coinvolti e che, soprattutto, lasciano poco spazio a scelte consapevoli e alla tutela. Del resto, lo stesso meccanismo del consenso non tiene conto della sproporzione delle forze: un intervento era necessario proprio a questo riguardo (per l’Osservatorio, è in programma un post sulla revisione delle cookie policy, che tratta anche di questo aspetto). Si può aggiungere, più in generale, la necessità di rafforzare adeguatamente strutture, uffici e autorità chiamati all’enforcement, che costituisce ancora un punto debole.
Nel contesto della proposta del 19 novembre, invece, la revisione sembra minare la protezione stessa dei dati personali, in modo insidioso. La nuova “definizione” introdotta fa perno su un concetto funzionale: non ogni informazione personale è automaticamente qualificata come dato personale, sol perché (sic!) idonea alla correlazione con una singola persona. Questa modifica permetterà la circolazione dei dati anche se riferiti alla sfera personale, purché il responsabile affermi di non toccarla: è un “approccio soggettivo” dai confini molto incerti. Inoltre, la definizione si restringe al punto da non applicarsi più a chi offre determinati servizi (come la rotazione automatica degli ID). Sotto un altro profilo, viene introdotta una white list per le operazioni di raccolta di alcuni dati: la tecnica di per sé non è sbagliata, ma la modifica consentirebbe operazioni ampie e indefinite, che includono statistiche aggregate e fini di sicurezza. Infine, vengono ampliati i margini per utilizzare i dati per il “training” (meglio, il riempimento dei database) dei sistemi di programmazione statistica, comunemente definiti di “intelligenza” artificiale, che saranno presidiati anche dal riconoscimento di un legittimo interesse (con la modifica dell’art. 6, par. 1, lett. f), del regolamento). Eppure, alcuni sondaggi mostrano la contrarietà dei cittadini a cedere i dati per questi fini e anche a livello mondiale vi sono più preoccupazioni che entusiasmi. Siamo di fronte a un maquillage che scolora, stinge, annacqua i contorni che faticosamente — e, ancora oggi, in modo insufficiente — l’ancora nobile regolamento del 2016 ha costruito, in linea con la Carta dei diritti fondamentali, come riconosciuto in più occasioni dalla stessa Corte di giustizia.
Se il fine è promuovere l’innovazione e rafforzare il comparto europeo, il mezzo è radicalmente sbagliato: non occorre l’abbassamento dei diritti, ma il rafforzamento di tecnologie rispettose dell’ordinamento europeo, basandosi sulle tante realtà nazionali che già esistono. È qui che la carenza è fortissima: l’Unione europea, investe in “IA” il 4% delle somme che finanziano gli Stati Uniti e, con la Genesis Mission — appena varata e completa di riferimenti organizzativi e programmatici, oltre che di una previsione realistica e pragmatica di maggiori spese — il divario è destinato a crescere. La quotazione di OpenAI supera di trenta volte quella della maggiore startup europea, la francese Mistral; i migliori sviluppatori si trasferiscono; per il quantum computing, non vi sono spinte sufficienti e una sola startup statunitense ha raccolto più finanziamenti di quelli di tutta Europa (si veda, su questi punti, A. Dugo, Europe today looks like Renaissance Italy — and that’s a problem).
Sono questi i veri nodi, ma si fa finta di non comprenderlo, preferendo infrangere una normativa fondamentale, guardata con interesse da tutto il mondo, nonostante tutti i suoi limiti, al fine di rincorrere i modelli di oltreoceano.
È un sentiero sbagliato, che conferma, nel settore, la presenza ingombrante di interessi economici e finanziari, che già erano alla base dell’AI Act, nonostante i roboanti reclami sulla tutela dei diritti fondamentali (P. Haeck, The EU promised to lead on regulating artificial intelligence. Now it’s hitting pause). La volontà di potenza dei poteri privati (ma anche dei poteri pubblici che di essi si servono, secondo una simbiosi ormai pubblicamente percepibile), piega tessuti normativi che in modo più o meno forte miravano a tutelare i diritti. Il falso scambio con la semplificazione integra una ratio non sostenibile. Come nel caso dei dazi, l’Unione europea ha ceduto troppo terreno, ha inseguito le durezze dell’amministrazione statunitense per il timore di ritorsioni, in nome di un realismo che non è chiaro dove possa condurci. L’avvicinamento nell’utilizzo dei dati per ingrassare gli ingranaggi informatici dei sistemi di “intelligenza” artificiale è la conferma di una strategia geopolitica debole, che non reagisce in modo deciso, ma si piega alle posizioni di forza (al contrario dei grandi Paesi asiatici che, invece, si sono opposti con determinazione, riuscendo a ottenere risultati migliori). L’approccio dell’Unione non si interroga sulla percorribilità di una strada diversa, su una costruzione del progetto europeo in cui tornare a credere, anche per le nuove generazioni. Afferma di tutelare il proprio comparto, ma non lo fa. O lo fa male.
Di questo passo, l’Unione scomparirà dagli “imperi digitali” tracciati nelle ‘mappe’ di Anu Bradford, per essere relegata a una posizione del tutto marginale. Con buona pace dei diritti solennemente proclamati, dalla Carta di Nizza alla Dichiarazione per il decennio digitale, fino all’integrazione, quantomeno interpretativa, con la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. L’Unione, oggi, sembra dire che, nel mondo delle potenze digitali, le conquiste di civiltà giuridica divengono recessive.