Regolazione delle piattaforme: si avvicina il costituzionalismo digitale

Giovanni Battista Dagnino è direttore del Lumsa International Research Center for Artificial Intelligence Management

Com’è noto, nel 2022 l’Unione Europea ha adottato il Digital Services Package (Dsp), composto dal Digital Markets Act (Dma) e dal Digital Services Act (Dsa). L’obiettivo era di regolamentare le responsabilità delle piattaforme digitali, per così dire, «tenendo a bada i giganti tecnologici», ovvero mitigando il potere delle big tech attraverso l’introduzione di un approccio trasversale che si estende oltre i singoli settori industriali. Il Dsa mira pertanto a garantire il «corretto funzionamento dei mercati digitali», imponendo una serie di obblighi ai gestori delle piattaforme per assicurare un ambiente online «sicuro, prevedibile e affidabile». Esso intende altresì limitare la manipolazione a fini economici, la diffusione di contenuti dannosi e la disinformazione, nonché l’utilizzo di algoritmi che censurino ingiustamente gli individui oppure ne limitino la libertà di espressione. Le sue disposizioni cercano di ridurre tali rischi, migliorando la trasparenza delle pratiche adottate dai gestori delle piattaforme. Di conseguenza, le Very Large Online Platforms, come Apple AppStore, Google Play, Google Maps, LinkedIn, Pinterest, Snapchat, Twitter, Wikipedia e Zalando, e i Very Large Online Search Engines, come Bing e Google Search, sono tenuti a valutare e mitigare i rischi sistemici derivanti dai propri servizi, inclusi gli algoritmi di diffusione dei contenuti e la pubblicità personalizzata. Il Dsa richiede inoltre trasparenza nei sistemi di raccomandazione per la cura dei contenuti e vieta di gestire i reclami dei consumatori «esclusivamente tramite mezzi automatizzati» (art. 27). Il Dma integra il Dsa con regole mirate a garantire la contendibilità e l’equità dei mercati digitali. Esso stabilisce norme per i coloro i quali offrono servizi fondamentali di piattaforma al fine di prevenire a monte i fallimenti di mercato, limitando pratiche di esclusione, discriminazione, manipolazione dei risultati di ricerca e clausole di esclusività.

Nonostante i suoi meriti, questa normativa presenta alcune limitazioni. L’approccio eccessivamente procedurale del Digital Services Package può compromettere l’accuratezza, la flessibilità e la certezza del diritto, con effetti potenzialmente iniqui per gli stakeholder coinvolti. Gli obblighi imposti dal Digital Services Act e le relative sanzioni possono esporre a forme di censura involontaria. Inoltre, il Digital Markets Act s’innesta in un complesso intreccio di norme europee e nazionali in materia di concorrenza, creando difficoltà alle piattaforme digitali nell’adeguarsi a regole potenzialmente conflittuali e generando costi legali crescenti, che ne rendono particolarmente onerosa l’adozione soprattutto alle piccole e medie imprese.

Nell’Ue l’emergere del cd. costituzionalismo digitale è teso a limitare il potere eccessivo delle piattaforme digitali e a tutelare i diritti fondamentali dei consumatori. Uno degli strumenti principali di questo processo è il regolamento generale sulla protezione dei dati (Gdpr), che – mediante l’identificazione di un articolato quadro di responsabilità – ha elevato il diritto alla privacy e alla protezione dei dati al rango di valori costituzionali. Il Gdpr mira a contrastare le pratiche illecite di raccolta dei dati, come quelle utilizzate nel posizionamento personalizzato dei risultati di ricerca, nella manipolazione comportamentale e nella discriminazione dei prezzi. Pur affrontando le disparità derivanti dal trattamento dei dati personali, esso si distingue dall’Artificial Intelligence Act (Aia), che invece esamina l’impatto discriminatorio degli algoritmi automatizzati basati su dati non personali.

Nonostante gli intenti, il Gdpr presenta anch’esso varie criticità. Appare, ad esempio, arduo quantificare i miglioramenti apportati in termini di tutela della privacy e valutare l’effettivo impatto dal regolamento sulla consapevolezza e sul controllo dei dati da parte dei consumatori. Inoltre, taluni sostengono che il regolamento ostacola l’innovazione delle imprese, limitando i flussi informativi e imponendo costi di conformità elevati, che divengono estremamente gravosi per le piattaforme di piccole dimensioni. Infine, la sua natura basata su principi-cardine rende quantomeno faticosa l’applicazione concreta del Gdpr, richiedendo non di rado l’interpretazione da parte della Corte di Giustizia Europea con conseguente incertezza giuridica.

Rispetto all’Ue, gli Stati Uniti non dispongono di una normativa-quadro in materia di privacy e protezione dei dati, ma si affidano a un mosaico di leggi federali e statali. Le leggi federali sulla privacy dei consumatori variano in base al settore industriale e le differenze normative rispetto all’Ue ostacolano il trasferimento internazionale dei dati personali, con potenziali effetti negativi per le imprese e per il commercio fra Stati Uniti e Ue. A livello statale, la California ha introdotto nel 2020 il California Consumer Privacy Act (Ccpa), successivamente modificato dal California Delete Act del 2023 e dal California Privacy Rights Act (Cpra), che impongono regolamenti più severi sulla raccolta, l’uso e la condivisione delle informazioni personali da parte delle imprese. Tali normative garantiscono il diritto di conoscere quali dati personali sono raccolti e di opporsi alla loro vendita, stabiliscono requisiti in materia di sicurezza dei dati e promuovono trasparenza e responsabilità nella loro gestione. Sebbene le tutele offerte dal Ccpa e dal Cpra siano pressoché comparabili a quelle previste dal Gdpr, sussistono delle differenze significative che indicano come il sistema di privacy e protezione dei dati californiano non sia ancora pienamente comparabile a quello europeo.