Ci siamo. Il mosaico delle nuove regole europee sul digitale sta cominciando a prendere forma. Gli ultimi (o quasi) tasselli in ordine di tempo sono stati posati la settimana scorsa dalla Commissione europea con la presentazione di due proposte di regolamento i cui acronimi hanno già raggiunto una certa notorietà, vale a dire il Digital Services Act (DSA) e il Digital Markets Act (DMA).
Si tratta di bozze di provvedimenti molto attesi e che potrebbero avere conseguenze stravolgenti per imprese e cittadini. Ma il significato e l’importanza del pacchetto proposto dalla Commissione possono essere indagati anche sul piano sistematico, prendendo in considerazione tre differenti prospettive, tre angolature da cui guardare, e in cui collocare, il DSA e il DMA. In altre parole, qual è e quale potrebbe essere l’impatto di questi provvedimenti nel sistema europeo, italiano e internazionale?
DSA e DMA: cosa prevedono
Il contenuto delle due proposte di regolamento è già stato al centro di numerose analisi e commenti anche da parte di chi scrive (e il leak del DSA ha altresì permesso di portarsi avanti sulla tabella di marcia). La stessa opera comunicativa della Commissione è stata importante. Sarebbe pertanto ridondante ripercorrere, ancora una volta, l’articolato dei due provvedimenti. Basterà allora ricordare che il DSA mette nel mirino i fornitori di intermediary services, regolandone responsabilità, obblighi di trasparenza e di due diligence, mentre il DMA definisce e disciplina il ruolo dei cosiddetti “gatekeepers” soprattutto nell’ottica di limitarne i comportamenti anti-competitivi.
Ritengo invece sia il caso di rimarcare un aspetto spesso trascurato nelle cronache, ma che incide proprio sulla valutazione del contenuto di questi documenti. Il DSA e il DMA sono ad oggi due proposte di regolamento, pertanto ci troviamo in una fase assolutamente prodromica rispetto alla loro effettiva entrata in vigore. In altre parole, prima di poter beneficiare di (o sottostare a) tale nuova cornice normativa occorrerà attendere il positivo espletamento dell’intero iter legislativo previsto a livello europeo. Oltre al dato temporale – ci vorrà probabilmente qualche anno – occorre anche considerare che i testi che abbiamo letto con interesse e passione potrebbero differire, anche profondamente, dalle versioni che verranno pubblicate nella Gazzetta ufficiale dell’Unione Europea.
Un effetto naturale delle procedure legislative, ma che in questo caso richiede di tenere conto anche di altri tavoli di lavoro ancora aperti in seno al regolatore europeo e che potrebbero avere una qualche incidenza proprio in chiave di approccio sistematico. Un esempio fra tutti è il Regolamento ePrivacy, in ormai perdurante condizione di attesa.
La prospettiva europea
L’accoppiata DSA e DMA rappresenta un importante passo verso la “colonizzazione” regolamentare di internet da parte dell’Unione. Il “nuovo mondo” della Rete si basa ormai da anni su norme non più al passo con i tempi e le continue innovazioni tecnologiche in più casi hanno evidenziato la presenza di settori e zone quasi, se non del tutto, deregolamentati. È in questo scenario che si colloca il progetto di una nuova e rinnovata governance legislativa di matrice europea.
Si tratta di uno sforzo certamente ambizioso, ma che al tempo stesso non può più essere procrastinato. Depongono in tal senso ragioni legate al rispetto e alla tutela dei diritti fondamentali delle persone, così come la necessità di assicurare il rispetto dei principi del libero mercato e della concorrenza. Occorre poi non dimenticare la dimensione geopolitica e il tentativo dell’UE di affermarsi quale punto di riferimento universale per la normazione in ambito digitale. È stato così in ambito privacy con il Regolamento Generale sulla Protezione dei Dati (GDPR), la storia potrebbe ripetersi per queste nuove proposte di regolamento. In tal senso, emerge chiaramente anche il doveroso tentativo di affrancarsi dal binomio USA/Cina per attestare la propria posizione autorevole e indipendente nella partita sull’innovazione tecnologica.
L’impegno dell’UE negli ultimi mesi è stato del resto evidente. Appena ventiquattro ore dopo la presentazione congiunta del Digital Services Act e del Digital Markets Act, la stessa Commissione ha pubblicato la nuova strategia europea sulla cybersecurity, un altro fondamentale contributo al nuovo framework normativo in costruzione. Tutto questo mentre ancora oggi continua a diffondersi l’eco di un’altra proposta di regolamento, il Data Governance Act, data alle stampe meno di un mese fa.
Ma il cambio di passo dell’Europa è evidente anche in termini di prese di posizione. Le due proposte in commento sembrano manifestare un nuovo atteggiamento nelle politiche digitali e nei rapporti di forza con le grandi piattaforme tecnologiche. Una cambio di rotta percepibile già in alcune pronunce di autorità come la Corte di Giustizia nel caso Schrems II o della CNIL (l’autorità di controllo francese), la quale ha sanzionato per 100 milioni e per 35 milioni di euro due big tech per violazioni della normativa sulla protezione dei dati personali. Un altro esempio recente è la presa di posizione dello European Data Protection Board su un progetto di decisione dell’autorità di controllo irlandese nei confronti di un noto social network, cui è successivamente seguita la definitiva statuizione della Data Protection Commission irlandese. A questi provvedimenti, spesso operanti sul piano dell’enforcement, le bozze di DSA e DMA aggiungono – ciascuna secondo i propri principi e finalità – un intervento normativo più forte e diretto per disciplinare la posizione e le attività dei grandi player tecnologici.
Pare dunque abbandonato quel timore di essere tacciati come regolatori antagonisti del mercato in caso di adozione di provvedimenti maggiormente rigorosi e incisivi. Al contrario, la direzione sembra proprio quella di voler assicurare libertà e dinamismo al mercato (ciò vale in particolare per il DMA).
In definitiva, se anche occorre riconoscere alle medesime piattaforme di essere maturate negli ultimi anni relativamente al proprio ruolo e alle proprie responsabilità, il pacchetto normativo composto da DSA e DMA rappresenta un chiaro messaggio dell’Europa nel campo della regolamentazione del digitale.
La prospettiva nazionale
Guardare all’impatto delle due proposte della Commissione dall’angolo visuale dell’Italia significa anzitutto considerare la natura dello strumento normativo prescelto, vale a dire il regolamento. Ciò evidenzia chiaramente l’intenzione da parte dell’UE di intervenire in maniera diretta e uniforme in tutti gli Stati Membri. E del resto sarebbe difficile oggi immaginare un approccio esclusivamente nazionale a fenomeni intrinsecamente sovranazionali.
A tale primo profilo se ne collega un secondo, di carattere più sistematico. Anche in Italia sembra essere finalmente arrivato il momento di prendere posizione e intervenire – nei limiti delle proprie competenze e sovranità – su alcune tra le sfide tecnologiche e innovative del secolo. La corsa al 5G, la rete unica, lo studio e le applicazioni dell’intelligenza artificiale e della blockchain, la digitalizzazione e la trasformazione digitale del Paese sono solo alcuni tra i fronti più caldi. Un interesse e un’esigenza per una Italia più digitale che riecheggiano anche nella proposta di linee guida del Piano Nazionale di Ripresa e Resilienza (PNRR) nell’ambito del NextGenerationEU. È chiaro allora che occorra fin da subito valutare come le proposte di DSA e DMA si integreranno con tali imminenti sviluppi. Ragionare per compartimenti stagni non è di certo una strategia vincente. Bisogna invece impegnarsi per sviluppare piani e politiche d’avanguardia, di ampio respiro e – appunto – innovative.
La prospettiva internazionale: il confronto con gli USA
Come detto, il Digital Services Act e il Digital Markets Act potrebbero replicare, a livello mondiale, lo stesso impatto avuto dal GDPR, ormai affermatosi quale modello standard per la normazione in materia di data protection (da ultimo, anche dalla Cina). Ed è questa una prima prospettiva da cui guardare l’impatto internazionale delle due proposte della Commissione.
Il pacchetto composto da DSA e DMA può essere inoltre osservato alla luce del trend globale all’interno del quale si colloca. In tal senso, il raffronto con gli Stati Uniti fa emergere una certa tensione comune verso le tematiche affrontate dalle due proposte di regolamento. Anche oltre oceano il nodo della regolamentazione delle piattaforme è particolarmente sentito. Come ho descritto in un recente articolo per questa testata, tra le questioni che si ipotizza dovranno essere affrontate dal neoeletto presidente Biden ci sono tanto le azioni antitrust nei confronti delle big tech (di pochi giorni fa è la notizia della terza contro Google in due mesi) quanto la responsabilità delle piattaforme per i contenuti condivisi dagli utenti (il riferimento è alla Sezione 230 del Communications Decency Act). Con le dovute differenze di contesto, pare insomma esserci una certa convergenza di sensibilità ed impegni a livello internazionale.
Una tendenza che si registra anche sul piano della percezione e della tutela dei diritti fondamentali. Proprio in America – dove sembrano sempre più decisivi i passi verso una legge sistematica sulla protezione dei dati personali – iniziano a farsi strada posizioni rivoluzionarie rispetto al modo in cui il diritto alla privacy e il concetto di dato personale sono tradizionalmente concepiti. Ne è un esempio quella avanzata qualche tempo fa da Cameron Kerry.
Conclusioni
Le proposte di Digital Services Act e di Digital Markets Act, se collocate nella prospettiva nazionale, europea e internazionale, rivelano tutta la propria potenziale incisività. Al netto del se e del come il testo delle due proposte cambierà nei prossimi anni, il framework di nuove regole sul digitale proposto dalla Commissione dimostra con tutta evidenza che l’Europa fa sul serio.