Europe
Image by PIRO4D from Pixabay

Sovranità digitale

La sovranità digitale ha una connotazione multidisciplinare e può assumere diversi significati o descrivere diversi aspetti a seconda del contesto in cui ci si riferisce ad essa.

Abbiamo già scritto della sovranità digitale e dello scenario europeo nell’articolo intitolato “Digital Sovereignty Between “Accountability” and the Value of Personal Data”.

In sintesi, quindi, affermiamo che con l’espressione “sovranità digitale” intendiamo riferirci al potere attribuito allo Stato nell’ambito che riguarda qualsiasi attività classificabile come “digitale”, che sia connessa all’uso delle tecnologie o da esse derivata.

È noto che con il termine “sovranità” ci si riferisce generalmente a un potere (dello Stato, del popolo, dell’economia, ecc.), originale e indipendente da qualsiasi altro, ed espresso dalla manifestazione di una volontà. Le diverse definizioni di “sovranità digitale” hanno in comune solo il significato di esprimere un primato su qualcosa ma non sul dominio digitale in senso lato; il ruolo primario della tecnologia, il cui sviluppo o diffusione comporta comunque la manifestazione di un potere, potrebbe essere “sovranità digitale”.

Dal nostro punto di vista, è possibile affermare che la “sovranità digitale” - in termini generali - non si identifica esclusivamente con il potere esercitato dallo Stato.

In effetti, possiamo esprimere la “sovranità digitale” in qualsiasi modello adottato dal settore privato attraverso il quale si esercita il potere sul proprio dominio digitale (in autonomia e con pieno controllo). Questo potere può corrispondere alle azioni intraprese, alle scelte di particolari tecnologie di lavoro e, quindi, all’intenzione di preservare il patrimonio digitale.

Possiamo quindi definire la “sovranità digitale” come il potere sul proprio dominio digitale esercitato da uno Stato o da un’organizzazione privata. Il punto chiave è il “potere sul proprio dominio digitale”. Nel caso di uno Stato, tale potere consisterà in qualsiasi attività di protezione del proprio cyberspazio. Un’organizzazione privata può esercitare tale potere svolgendo qualsiasi attività incentrata sul proprio dominio digitale (proteggere, sviluppare, diffondere, proporre, vendere, ecc.). In definitiva, possiamo avere approcci diversi alla “sovranità digitale” a seconda degli organismi (privati o pubblici). Non è una questione di profilo soggettivo, ma il punto principale è il potere e il modo in cui viene esercitato.

Sovranità digitale ed Europa

Abbiamo assistito a come la Commissione Europea abbia accelerato su alcuni temi legati al “digitale”, almeno negli ultimi due anni.

In effetti, conosciamo gli atti già emanati dalla Commissione UE di recente.

Ci riferiamo a:

  • Digital Markets Act (DMA) - conosciamo le novità del Parlamento UE dopo una fase dei negoziati (trilogo) relativa ai gatekeeper e il conseguente dibattito sulle app di messaggistica istantanea via API
  • Digital Services Act (DSA)
  • Data Act (DA)
  • Artificial Intelligence Act (AIA)
  • Chips Act
  • GAIA-X (un progetto europeo che propone, come si legge sul sito ufficiale, “a Federated and Secure Data Infrastructure - Gaia-X strives for innovation through digital sovereignty. Our goal is to establish an ecosystem, whereby data is shared and made available in a trustworthy environment” (NdR - la traduzione è nostra - un’infrastruttura di dati federata e sicura - Gaia-X punta all’innovazione attraverso la sovranità digitale. Il nostro obiettivo è quello di creare un ecosistema in cui i dati siano condivisi e resi disponibili in un ambiente affidabile).

Il 7 e l'8 febbraio si è tenuta a Parigi la conferenza “Building Europe’s Digital Sovereignty”, sotto la presidenza francese del Consiglio europeo.

Hanno introdotto i quattro pilastri della sovranità digitale dell’Europa

La conferenza si è concentrata sui quattro pilastri elencati di seguito (la traduzione è nostra):
(i) Per garantire il ruolo di potenza protettrice dell’Unione europea, l’Europa deve rafforzare la sicurezza dei cittadini, dei servizi pubblici e delle imprese nel cyberspazio e definire una strategia industriale sui dati che possa fungere da baluardo contro le leggi extraterritoriali.
(ii) Per garantire il ruolo dell’Unione europea come potenza di definizione degli standard che difende i valori fondamentali, l’Europa deve rafforzare le istituzioni democratiche, promuovere il ritorno a condizioni eque per le imprese nel mercato unico digitale e proporre nuove norme e regolamenti per aumentare la responsabilità delle imprese tecnologiche.
(iii) Per garantire il ruolo dell’Unione europea come potenza dell’innovazione, l’Europa deve attrarre investitori stranieri e talenti stranieri e promuovere un ambiente in cui nascano imprese tecnologiche di livello mondiale.
(iv) Per garantire il ruolo dell’Unione europea come potenza dell’apertura, l’Europa deve incoraggiare standard liberi e aperti, sostenere la costruzione di infrastrutture fisiche e software aperte e condivise nell’ambito dei beni comuni digitali globali e sostenere tali sforzi dal punto di vista tecnologico e finanziario.

Per quanto riguarda l’innovazione, hanno dichiarato (la traduzione è nostra):

Sfruttando gli effetti di rete e le nuove tecnologie, le piattaforme online hanno accumulato un sostanziale potere di mercato, dando vita a un mercato fortemente concentrato attorno a un numero limitato di operatori. In questo senso, la conferenza si occuperà della proposta di legge sui mercati digitali (Digital Markets Act, DMA), che mira a promuovere l’innovazione e a vietare le pratiche sleali da parte delle piattaforme online che agiscono come gatekeeper nei mercati digitali.

Il 17 maggio 2022, la Presidente von der Leyen, partecipando all’IMEC Future Summits 2022, ha dichiarato tra l’altro (la traduzione è nostra):

L’obiettivo principale dell’European Chips Act è semplice: Entro il 2030, il 20% della produzione mondiale di microchip dovrà avvenire in Europa. Si tratta di una quota doppia rispetto a quella attuale, in un mercato destinato a raddoppiare nel prossimo decennio. Significa quindi quadruplicare l’attuale produzione europea. L’European Chips Act sosterrà questa ambizione con investimenti considerevoli. Consentirà oltre 12 miliardi di euro di investimenti pubblici e privati aggiuntivi entro il 2030, oltre agli oltre 30 miliardi di euro di investimenti pubblici già previsti.

Il futuro della nostra economia dipende dai chip e voglio che l’Europa recuperi un ruolo di leadership globale nell’industria dei semiconduttori.

Il quadro è chiaro.

Le intenzioni sono ambiziose, ma riteniamo che l’Europa sia in ritardo rispetto ad altri Paesi.

In sostanza, l’aumento della competitività in Europa implica un miglioramento sia del mercato interno che di quello globale: la sovranità, quindi, esprimerebbe la supremazia nel mercato. Credo che l’Europa stia spingendo per ottenere la sovranità digitale per utilizzarla a livello globale.

Alla luce di ciò, dovremmo trovare il giusto equilibrio tra queste misure e la sovranità digitale.

Riteniamo che l’Europa abbia una forte volontà di acquisire un posto di classe nel settore della sovranità digitale.

Spingere per avere un ruolo primario a livello globale significa anche bilanciare gli interessi e la protezione dei diritti nei settori della protezione dei dati e della privacy.

Dobbiamo prestare attenzione a non trascurare i diritti di protezione dei dati da altri requisiti e il GEPD deve essere vigile come ha fatto finora.

Il DMA ha un impatto sulla protezione dei dati e sulla privacy degli utenti nei sistemi di messaggistica.

In primo luogo, è necessaria una breve premessa.

Attualmente, la proposta di regolamento sui mercati digitali (DMA) è ancora presente nell’ultima versione dell'11 maggio 2022 - come ci risulta.

Il testo era (e pensiamo sia ancora) in fase di negoziazione tra la Commissione europea, il Parlamento europeo e il Consiglio.

Il 24 marzo 2022, il Parlamento dell’UE ha pubblicato un comunicato stampa in cui annunciava che “i negoziatori del Parlamento e del Consiglio hanno concordato nuove norme UE per limitare il potere di mercato delle grandi piattaforme online” (la traduzione è nostra).

Alcune informazioni sul DMA: attualmente (perché non sappiamo cosa potrebbe accadere nella stesura finale), è composta da 108 considerando, 54 articoli e un allegato.

Dobbiamo fare riferimento ad alcuni articoli del DMA, e precisamente all’articolo 3, intitolato “Designazione dei gatekeeper”, e all’articolo 5, intitolato “Obblighi dei gatekeeper”, che offrono molti spunti di riflessione.

Quindi, l’articolo 3 descrive come designare i gatekeeper, e precisamente possiamo considerarlo diviso in due parti. La prima parte fornisce un inquadramento generale in tre punti, mentre la seconda parte definisce ogni singolo punto della prima parte.

Infatti, considerando l’articolo 3 (Designazione dei gatekeeper), si legge:

Articolo 3 Designazione dei gatekeeper\
Un’impresa è designata come gatekeeper se:\
(a) ha un impatto significativo sul mercato interno;
(b) fornisce un servizio di piattaforma essenziale che costituisce un’importante porta d’accesso per gli utenti commerciali per raggiungere gli utenti finali; e
(c) gode di una posizione consolidata e duratura, nelle sue operazioni, o è prevedibile che godrà di tale posizione nel prossimo futuro.\
Si presume che un’impresa soddisfi i requisiti di cui al paragrafo 1:\
(a) per quanto riguarda il paragrafo 1, lettera a), se realizza un fatturato annuo dell’Unione pari o superiore a 7,5 miliardi di euro in ciascuno degli ultimi tre esercizi finanziari, o se la sua capitalizzazione media di mercato o il suo valore equo di mercato equivalente ammonta ad almeno 75 miliardi di euro nell’ultimo esercizio finanziario, e fornisce lo stesso servizio di piattaforma principale in almeno tre Stati membri;
(b) per quanto riguarda il paragrafo 1, lettera b), se fornisce un servizio di piattaforma principale che nell’ultimo esercizio finanziario ha in media almeno 45 milioni di utenti finali attivi mensili stabiliti o situati nell’Unione e almeno 10 000 utenti commerciali attivi annuali stabiliti nell’Unione, identificati e calcolati secondo la metodologia e gli indicatori di cui all’allegato;
(c) per quanto riguarda il paragrafo 1, lettera c), se le soglie di cui alla lettera b) del presente paragrafo sono state raggiunte in ciascuno dei tre esercizi finanziari precedenti.

L’articolo 3 è rilevante perché costruisce l’identità di un gatekeeper non solo in termini di inquadramento generico, ma anche identificando il profilo in base al fatturato annuo.

Passando all’articolo 5 (Obblighi per i gatekeeper), il paragrafo 2 contiene quattro divieti principali per i gatekeeper, dalla lettera a) alla lettera d), ma sottolineo quest’ultima e precisamente quanto stabilito dalla lettera d). Infatti, si legge (la traduzione è nostra)

Il gatekeeper non deve:

_ (d) iscrivere gli utenti finali ad altri servizi del gatekeeper al fine di combinare i dati personali_.

Subito dopo la lettera d) il legislatore introduce la seguente precisazione (la traduzione è nostra):

Tuttavia, il primo comma del presente paragrafo non si applica se all’utente finale è stata presentata una scelta specifica e ha dato il consenso ai sensi dell’articolo 4, punto (11), e dell’articolo 7 del Regolamento (UE) 2016/679.
Se il consenso di cui al primo comma è stato rifiutato o ritirato dall’utente finale, il gatekeeper non ripete la richiesta di consenso per la stessa finalità più di una volta nell’arco di un anno.

Poi, passando al paragrafo 5 dell’articolo 5, leggiamo (la traduzione è nostra):

Il gatekeeper deve consentire agli utenti finali di accedere e utilizzare, attraverso i servizi della sua piattaforma principale, contenuti, abbonamenti, funzionalità o altri elementi, utilizzando l’applicazione software di un utente commerciale, anche nel caso in cui tali utenti finali abbiano acquistato tali elementi dall’utente commerciale in questione senza utilizzare i servizi della piattaforma principale del gatekeeper..

Riassumendo, in base al contenuto degli articoli citati, in particolare l’articolo 5(5), riteniamo che possano esistere problemi di sicurezza e privacy.

I problemi di sicurezza riguardano principalmente il modo in cui i gatekeeper dovrebbero consentire l’accesso ai loro servizi utilizzando le applicazioni software degli utenti aziendali che consentono l’accesso agli utenti.

Infatti, i gatekeeper dovrebbero fornire agli utenti commerciali le loro API per accedere ai loro servizi. Per chi non sa cosa sia l’API, è l’acronimo di Application Programming Interface. Secondo IBM, API è un insieme di regole definite che spiegano come i computer o le applicazioni comunicano tra loro. In sostanza, le API sono come un insieme di istruzioni. Le API devono consentire alle applicazioni di scambiare dati e funzionalità in modo semplice e sicuro.

Per questo motivo, la preoccupazione principale è che l’uso delle API possa generare problemi di sicurezza, perché l’accesso non sarà diretto alla piattaforma del gatekeeper, ma all’applicazione software degli utenti aziendali. Pertanto, esistono alcuni passaggi per consentire la comunicazione tra l’applicazione software degli utenti aziendali e la piattaforma del gatekeeper. Non vogliamo approfondire gli aspetti tecnici in questa sede.

Uno dei rischi potrebbe essere quello di non poter garantire pienamente la crittografia E2EE con conseguente pregiudizio per la privacy e il rispetto del GDPR, dato che lo stesso GDPR stabilisce all’articolo 3 l’ambito di applicazione territoriale, ovvero le condizioni di applicabilità del Regolamento UE 2016/679 ai trattamenti effettuati nell’Unione.

Per quanto riguarda la protezione dei dati e la privacy, sarà necessario fornire informazioni agli utenti ai sensi dell’articolo 13 del GDPR.

Bilanciare gli scopi del regolamento sul DMA con l’uso concreto dei servizi di base della piattaforma forniti o offerti dai gatekeeper e l’impatto sulla protezione dei dati e sulla privacy.

Pensiamo che ci possano essere problemi di privacy legati al trattamento dei dati personali da parte dei gatekeeper e degli utenti commerciali. Infatti, ipotizziamo un utente che voglia accedere a un servizio software come Facebook, ma da un’applicazione software di utenti commerciali. In questo caso, Facebook deve esporre la propria API per consentire l’accesso a qualsiasi applicazione software di utenti commerciali.

E per quanto riguarda la protezione dei dati e la privacy?

Facebook è il responsabile del trattamento; se l’utente sceglie di accedere a Facebook tramite l’applicazione software degli utenti commerciali, deve dare il consenso, e quest’ultimo è un altro responsabile del trattamento. Potrebbe trattarsi di un caso di responsabile del trattamento congiunto? Entrambi tratteranno i dati personali dello stesso utente per le stesse finalità.

E se l’utente ritira il proprio consenso? Può farlo in qualsiasi momento.

Inoltre, dubitiamo che il trattamento sia lecito se si basa solo sul consenso dell’utente. Ai sensi dell’articolo 6 del GDPR, esistono cinque casi di trattamento lecito, e uno applicato potrebbe essere quello di cui alla lettera (b).

In sostanza, l’Europa è nel vortice del consolidamento di una solida posizione nella sfera digitale. Tuttavia, tale obiettivo non deve trascurare l’intero contesto relativo alla protezione delle persone fisiche in relazione al trattamento dei dati personali ad esclusivo vantaggio delle esigenze del mercato e dell’economia digitale.

Follow us on Mastodon

Stay tuned!