L’approccio della Commissione europea nel proporre riforme legislative appare sempre più orientato a esaltare l’aspetto economico. Vengono enfatizzati i numeri e le statistiche che riguardano la crescita nello Spazio Economico Europeo (SEE) per poi proporre delle iniziative che, in qualche caso, finiscono per avere un impatto piuttosto rilevante sui diritti dei cittadini.

Il rapporto Communication on Building a European Data Economy, pubblicato lo scorso gennaio, parte, appunto, enfatizzando il valore dell’economia dei dati. Tale economia, sostiene la Commissione, è in continua crescita (circa 12% all’anno): dai 257 miliardi di euro del 2014 siamo passati ai 272 del 2015, fino a una stima di 643 miliardi per il 2020. Cioè, l'equivalente del 3,17% del PIL dell'intera Unione europea (dati della Commissione). Secondo la Commissione europea l’economia digitale crea cinque posti di lavoro per ogni due posti di lavoro “offline” andati persi.

I “dati”, quindi, si dimostrano una risorsa essenziale per la crescita economica dell’Unione e per la creazione di posti di lavoro. L’elaborazione del dati, in particolare, facilita l’analisi dei problemi consentendo la ricerca di soluzioni alternative che ottimizzino l’utilizzo delle risorse.

Da questa premessa consegue la generale necessità di favorire la libera circolazione (free flow) dei dati, per alimentare la nascente economia digitale.

Flusso libero dei dati

Per la Commissione le ingiustificate restrizioni al libero flusso dei dati finiscono per danneggiare la realizzazione dell’economia europea dei dati. Come previsto dal Digital Single Market, l’obiettivo della Commissione è creare un quadro legislativo che rimuova le barriere al libero flusso dei dati, consentendo la realizzazione di servizi cross-border senza limitazioni.

In questa prospettiva la Commissione vede gli obblighi di localizzazione dei dati (introdotto in Russia, ad esempio, ma anche allo studio in alcuni paesi europei) come una restrizione al libero flusso dei dati. La Commissione, infatti, è sempre stata favorevole ad accordi con gli Usa per consentire il libero flusso dei dati, proponendo prima il Safe Harbour (invalidato dalla Corte di Giustizia europea) e poi il Privacy Shield (che sembra soffrire degli stessi problemi dell’accordo precedente).

Nella Comunicazione, la Commissione evidenzia le problematiche di sicurezza inerenti la localizzazione dei dati, in caso di disastri naturali e cyber attacchi. Secondo la Commissione solo con l’utilizzo di cloud e data storage localizzati in differenti Stati si risolve il problema della sicurezza dei dati. Considerazioni in cui si vede chiaramente l’eco dei trattati commerciali transatlantici, dove le grandi multinazionali vorrebbero introdurre divieti di localizzazione dei dati da parte dei governi nazionali.

In realtà, gli obblighi di localizzazione sono allo studio proprio per questioni di sicurezza. Se i dati sono conservati all'interno del territorio nazionale è più facile regolamentarne l’uso (e tutelare i cittadini, impedendo una raccolta massiccia dei loro dati da parte delle aziende americane), se invece sono sparsi sui server in decine di Stati, qualsiasi regolamentazione e tutela dei dati appare estremamente difficile. Questo senza considerare che se un dato è presente fisicamente in più computer o server, occorrerà proteggere adeguatamente più server per proteggere un singolo dato, con una moltiplicazione del costo della sicurezza.

Insomma, per la Commissione europea un libero flusso di dati è essenziale per la realizzazione di nuovi servizi e per un incremento dell’economia europea. L’enorme quantità di dati generati dalle macchine (Big Data) presenta ricche opportunità per le aziende, ma ovviamente è necessario che queste possano avere accesso ai dati e possano utilizzarli legittimamente.

Frammentazione della legislazione

I problemi posti dai Big Data sono noti da tempo.

La frammentazione della legislazione, cioè le differenti regolamentazioni tra i vati Stati, verrà risolta con l’introduzione di una normativa unica a tutela dei dati personali per l’intera Unione europea, il Regolamento generale in materia di protezione personale dei dati (GDPR). Il Regolamento, già approvato e che diverrà applicabile da maggio del 2018, fornisce un solo insieme di regole con un alto livello di protezione dei dati, cosa che da un lato aumenta la fiducia dei consumatori nei servizi online, dall’altro assicura l’uniforme applicazione delle regole nell’Unione.

Leggi anche >> I nostri dati: il petrolio dell’economia digitale

Responsabilità dei produttori

La responsabilità dei produttori di dispositivi e fornitori di servizi è uno dei problemi analizzati dalla Commissione. Il rapido emergere di nuove tecnologie e la moltiplicazione dei dispositivi connessi in rete porta a grossi problemi di sicurezza, non solo relativamente ai dati personali, ma anche con riferimento alla continuità dei servizi pubblici. L’Internet of Things non può basarsi sulle regole interne dei produttori, occorrono specifiche norme che impongano alle aziende degli standard minimi di sicurezza.

Anche in tale prospettiva il GDPR introduce norme che impongono ai produttori requisiti minimi, ma per il momento solo in relazione al trattamento dei dati.

L’attuale normativa sulla responsabilità per difetti dei prodotti (Products Liability Directive, 85/374/CEE), che prevede una responsabilità oggettiva (strict liability, liability without fault) dei produttori (cioè è sufficiente il danno al consumatore, non è necessaria una colpa del produttore) non appare adeguata. Sembra, infatti, difficile stabilire quale debba essere il responsabile nel momento in cui un prodotto è costituito da molteplici parti provenienti da diversi fornitori (pensiamo ad una auto a guida autonoma).

Occorrono, quindi, nuove norme che regolamentino adeguatamente le responsabilità dei produttori.

Leggi anche >> Miliardi di oggetti connessi: la sfida dell’Internet delle cose fra innovazione e pericoli

Portabilità e interoperabilità

Altro problema emergente riguarda l’interoperabilità dei servizi, la portabilità dei dati, e quindi la realizzazione di standard per implementarla adeguatamente.

Anche qui il GDPR interviene con obblighi specifici, assicurando la possibilità che in alcuni casi gli utenti possano trasferire i loro dati da un servizio a un altro. Si tratta di un requisito pensato per i social network specificamente, ma riguarda i soli dati personali immessi dagli utenti. È un’indubbia limitazione, pensiamo ad esempio ai servizi di cloud hosting utilizzati sempre più dagli utenti.

L’interoperabilità, invece, è qualcosa di diverso dalla portabilità, e riguarda la possibilità di scambiare dati tra diversi servizi. L’esempio più ovvio è dato dagli sms (ma anche la normale telefonia), che funzionano indipendentemente dal gestore di telefonia. Differentemente, invece, non esiste interoperabilità tra servizi di messaggistica, e ciò determina delle situazioni di lock-in, cioè l’utente finisce per rimanere in un servizio anche se lo ritiene peggiore di un altro, solo perché i suoi contatti sono tutti lì. Anche una portabilità dei dati non aiuterebbe perché un servizio di messaggistica non comunica con un altro.

L’introduzione di standard di comunicazione tra piattaforme, invece, consentirebbe non solo lo switch tra di essi ma anche l’utilizzo contemporaneo di più piattaforme (multi-homing), alimentando l’innovazione e spezzando i monopoli attuali delle piattaforme.

Diritto di proprietà sui dati

Ma, secondo la Commissione europea uno dei problemi principali è dato dal fatto che molte aziende si tengono per sé i dati generati dai propri dispositivi, non condividendoli con altre aziende e limitando le occasioni di innovazione. Per risolvere questo problema, la Commissione ha proposto un nuovo diritto: il Data Producer Right.

I dispositivi, che quotidianamente utilizziamo, producono dati. Parliamo non solo dello smartphone, che ingloba numerosi sensori, e monta decine e decine di applicazioni, ma anche di dispositivi differenti, quali le automobili, che si stanno evolvendo in auto a guida autonoma. E anche termostati, lavatrici, frigoriferi e televisori, che ormai montano di serie dispositivi atti a produrre dati.

I produttori europei di veicoli a guida autonoma (soprattutto i tedeschi) hanno paura di perdere il controllo dei dati prodotti dai loro veicoli, che sono creati dall'iniziativa della casa automobilistica, ma poi elaborati in vari modi e in luoghi diversi, per scopi diversi, principalmente dalle multinazionali americane (Apple, Google, ecc...).

L’industria europea chiede una tutela dalla Silicon Valley sempre più affamata dei nostri dati, e nelle istituzioni europee si sta facendo strada l’idea di introdurre questo nuovo “diritto di proprietà sui dati” da assegnare al produttore del dispositivo che genera i dati, diritto che tutelerebbe i dati senza necessità di ulteriori requisiti.

Questo nuovo diritto, secondo la Commissione, servirebbe a realizzare un incentivo legale per la produzione dei dati. In realtà non sembra proprio che nell’economia europea vi sia la necessità di creare un tale incentivo, considerando che i dispositivi generano dati automaticamente.

Però, un diritto del genere risulta difficile da configurare. Il copyright, ad esempio, tutela la realizzazione di opere creative da parte dell’uomo. L’inapplicabilità ai dati generati da macchine appare manifesta.

La Convenzione di Berna estende la tutela alle collezioni di opere artistiche o letterarie, come enciclopedie o antologie, escludendo la tutela delle notizie del giorno o dei fatti di cronaca che abbiano carattere di semplici informazioni di stampa. Gli accordi TRIPs (art. 10) tutelano “le compilazioni di dati o altro materiale, in forma leggibile da una macchina o in altra forma, che a causa della selezione o della disposizione del loro contenuto costituiscono creazioni intellettuali”, precisando che la protezione non copre i dati o il materiale stesso.

La Direttiva Database (96/9/CE) dà ai realizzatori di un database il diritto di impedire l’estrazione e il riutilizzo di tutto o parte del database e fornisce una tutela nei soli casi di sostanziali investimenti per la presentazione del contenuto del database, senza però estenderla ai dati medesimi.

Infine, la Direttiva Trade Secret (2016/943/UE), che dovrà essere implementata nelle legislazioni nazionali entro il giugno 2018, assicura un livello minimo di protezione dei segreti commerciali da acquisizioni, usi e diffusioni illegali. Lo scopo della regolamentazione è ovviamente di favorire la competizione con le imprese non europee, e quindi con uno sguardo alla legislazione americana, laddove negli Usa i segreti commerciali sono già tutelati, in base all'Uniform Trade Secrets Act del 1979 e l'American Invents Act del 2011.

Una tutela dei dati, quali proprietà delle aziende produttrici di dispositivi, quindi, può aversi se questi soddisfano condizioni per essere considerati proprietà intellettuale, oppure diritti di database o trade secret. Ma nell’Unione europea i dati generati dalle macchine non soddisfano nessuna di queste condizioni.

Si tratterebbe, in conclusione, di creare un nuovo diritto di proprietà intellettuale, alla stregua della tassa sulle news (che pure ha avuto risultati sconfortanti nei due paesi dove è già stata introdotta, e nonostante ciò è ancora portata avanti come proposta).

La tutela dei meri dati finirebbe, inoltre, per sovrapporsi alla tutela dell’opera intellettuale. Pensiamo a una fotografia realizzata con una fotocamera digitale, che sarebbe tutelata in quanto tale, ma anche quale somma dei dati. In questo modo si avrebbe un contrasto tra la tutela assegnata al fotografo in base alla normativa copyright e quella assegnata al produttore della camera digitale.

E questo senza considerare che l’introduzione di un nuovo diritto del genere finirebbe per essere in contrasto con la libera circolazione delle informazioni, come prevista dall’articolo 10 della Convenzione europea dei diritti dell’uomo.

In questa equazione, però, si dimentica del tutto che il titolare dei dati dovrebbe, in realtà, essere l’utente, colui che utilizza il dispositivo e al quale i dati afferiscono. Parliamo, ad esempio, di dati di localizzazione, quindi dove si reca l’utente con l’autoveicolo, quanto viaggia, a che velocità, ecc.

La Commissione si affretta a precisare che non esisterebbe un problema di tutela dei dati personali, perché molti dati generati da dispositivi non sono tali, come ad esempio i dati sulla temperatura di un appartamento, l’umidità, i chilometri percorsi da un veicolo, la localizzazione, ecc. Questi dati diventano personali solo nel momento in cui sono collegati ad un identificativo (es. indirizzo, targa, nome), altrimenti rimangono dati anonimi (non personali), cioè dati non soggetti alla normativa a tutela dei dati personali (GDPR). Quindi sarebbe possibile, secondo la Commissione, trovare il giusto equilibrio tra privacy, la proprietà dei dati e le nuove opportunità di prodotto. Ancora una volta si ragiona in termini di prodotto, come se i dati, cioè i frammenti nei quali le nostre vite sono scomposti, fossero un mero prodotto commerciale.

In realtà, occorre considerare che l’approccio in base al quale i dati appartengano al soggetto cui si riferiscono non solo non è corretto ma può portare a gravi conseguenze. Immaginiamo i dati giudiziari, ai quali le autorità devono poter accedere liberamente, come anche i dati sanitari e finanziari. Però l’impressione è che l’introduzione di un nuovo diritto a tutela dei dati sia più che altro un mezzo per tutelare le aziende europee contro la strapotere nell'ambito digitale delle multinazionali americane, così fornendo agli europei uno strumento legale per alzare una barriera nei confronti degli americani.

L'introduzione di un diritto del genere, infatti, comporterebbe la necessità di chiedere un’apposita licenza al produttore del dispositivo per ricerche e altro, e comunque in genere per l’utilizzo dei dati, che, invece di fluire liberamente, come auspica la Commissione, finirebbero ingabbiati indefinitamente nelle mani dei produttori.

Anche qui, come per il nuovo diritto a favore degli editori, il risultato sarebbe l’opposto di quello sperato.

Foto in copertina: archivio Valigia Blu