NODI VIRTUALI, LEGAMI INFORMALI: INTERNET ALLA RICERCA DI REGOLE

Paolo Passaglia - Dianora Poletti (a cura di)

Nodi virtuali, legami informali: Internet alla ricerca di regole

Paolo

e Dianora Poletti

A trent’anni dalla nascita di Internet e a venticinque anni dalla nascita del web Atti del Convegno Pisa, 7-8 ottobre 2016

©

Nodi virtuali, legami informali: internet alla ricerca di regole : a trent'anni dalla nascita di internet e a venticinque anni dalla nascita del web : atti del convegno : Pisa, 7-8 ottobre 2016 / a cura di Paolo Passaglia e Dianora Poletti.Pisa : Pisa university press, 2017. - (Studi in tema di internet ecosystem)

343.09944 (WD)

I. Passaglia, Paolo II. Poletti, Dianora 1. Internet – Diritto - Congressi 2. World Wide Web - Diritto - Congressi 2. Internet - Diritto alla riservatezzaCongressi

CIP a cura del Sistema bibliotecario dell’Università di Pisa

Copyright 2017 by Pisa University Press srl

Società con socio unico Università di Pisa

Capitale Sociale € 20.000,00 i.v. – Partita IVA 02047370503

Sede legale: Lungarno Pacinotti 43/44 – 56126 Pisa

Tel. + 39 050 2212056 Fax + 39 050 2212945 press@unipi.it

www.pisauniversitypress.it

ISBN 978-88-6741-805-3

impaginazione: Ellissi

Le fotocopie per uso personale del lettore possono essere effettuate nei limiti del 15% di ciascun volume/fascicolo di periodico dietro pagamento alla SIAE del compenso previsto dall’art. 68, commi 4 e 5, della legge 22 aprile 1941 n. 633. Le riproduzioni effettuate per inalità di carattere professionale, economico o commerciale o comunque per uso diverso da quello personale possono essere effettuate a seguito di speciica autorizzazione rilasciata da CLEARedi – Centro Licenze e Autorizzazione per le Riproduzioni Editoriali – Corso di Porta Romana, 108 - 20122 Milano - Tel. (+39)

0289280804 - E-mail: info@clearedi.org - Sito web: www.clearedi.org

Riccardo Michele Colangelo

Il delitto di diffamazione al tempo dei social network: punti fermi e spunti problematici ....................................................207

Edoardo Mazzanti

I social: nuovo modo di comunicare o di esserci?

rischi e le condotte.............................................................................221

Stefania Pierazzi

Nodi

Presentazione della Collana

Quando si inaugura una nuova collana editoriale si ritiene doveroso chiarirne le ragioni ed indicare le peculiarità che ne giustiicano la sua stessa esistenza.

Anzitutto il titolo: «Studi in tema di Internet Ecosystem» è un’espressione che intende raccogliere contributi diretti ad indagare le numerose e sempre più complesse problematiche che le tecnologie e la pervasività dell’uso della rete pongono sotto il proilo non solo giuridico ma anche informatico, economico-aziendale, sociale.

La parola “ecosistema”, che rispecchia la deinizione più diffusa del mondo dell’Internet, vuole essere il ilo conduttore degli studi che la collana ospiterà, propensi ad allontanarsi dagli steccati dettati da inquadramenti propri dell’una o dell’altra disciplina, dell’uno o dell’altro settore scientiico, senza per ciò perdere la profondità di rilessione o il necessario rigore sistematico per affrontare al meglio le crescenti side.

D’altro canto, la regola è oggi così innervata nella tecnica da orientarne persino il design; la tecnologia è tutt’altro che astrazione tecnica o strumento neutrale ma condiziona sempre di più la realizzazione dell’effettività dei diritti, potendo agevolarne l’esercizio o, viceversa, contribuire alla spoliazione delle prerogative del titolare; la comunicazione, mentre viene sempre più liberata da intermediazioni, genera molteplici verità e anche post-truth che ne rendono sempre più dificile la corretta comprensione; l’economia è da tempo alle prese con innovazioni «ricombinanti» che hanno messo in crisi sue distinzioni basilari. Mai come in questo contesto il proilo della interdisciplinarietà – una interdisciplinarietà reale e non solo dichiarata – si rivela indispensabile per la comprensione di fenomeni che appaiono tra loro strettamente interrelati, incapaci di essere

Nodi virtuali, legami informali: Internet alla ricerca di regole

indagati da un unico angolo di osservazione. I «nodi e legami» del titolo del convegno i cui atti costituiscono il volume inaugurale, al quale auspichiamo ne seguano numerosi altri, evocano proprio questi intrecci, che si comprendono appieno solo avendo contezza del framework tecnologico nel quale sono immersi.

La collana intende offrire ospitalità non solo ad esperti, i cui studi – apparsi ai più, al loro non lontano esordio, quasi fuori dal coro – hanno tracciato la strada e indicato il necessario piglio scientiico per accostarsi a queste tematiche, ma anche a giovani studiosi che intendano cimentarsi con spicchi di un mondo tanto intrigante quanto complicato come quello dell’Internet. La materia non fa certo difetto, solo a pensare all’immediato futuro, che ai tanti e profondi mutamenti intercorsi (alcuni dei quali già rapidamente archiviati e superati da nuovi scenari) sta aggiungendo quello che sarà forse il cambiamento più sconvolgente: il nostro rapporto con le cose e delle cose tra loro, in un orizzonte in cui la presenza umana, che in tanti contesti (a partire da quello lavorativo) il predominio della tecnica continua a restringere e che appare sempre più scomposta in fasci di informazioni, inirà forse per dovere essere cercata dietro le dominanti parole delle cose.

Per espresso volere non solo di chi scrive ma anche del condirettore della collana, le pubblicazioni della stessa sono in Open Access: una scelta, questa, fondata sul convincimento che l’accessibilità alla scienza non debba essere condizionata e che la sua divulgazione (la «disseminazione», come si è soliti oggi chiamarla) debba essere facilitata. Una scelta, incentivata dalla casa editrice della nostra Università, essa stessa iglia della ilosoia della rete, che eleva la conoscenza a bene comune, rendendo Internet strumento funzionale alla comunicazione informativa, mezzo di fruizione del sapere, supporto ma anche fattore di cambiamento di una ricerca scientiica che voglia essere realmente evoluta, congegno – se così si può dire – attraverso il quale attuare continui confronti e scambi di pensiero, sempre più necessari allo studioso di oggi e dell’oggi.

Presentazione dell’iniziativa

Paolo Passaglia

Nodi virtuali, legami informali. Il titolo del nostro incontro richiede, probabilmente, una qualche spiegazione, anche se in realtà per tratteggiarla è suficiente attingere al serbatoio di concetti divenuti di uso tanto comune da potersi ormai bollare come banali. Sarebbe improprio, del resto, ambire ad accreditare come originale l’ideazione di questo incontro, che pare piuttosto il risultato della commistione tra una celebrazione ed una interrogazione, una celebrazione in parte indebita ed una interrogazione per certi versi smarrita.

Una componente di celebrazione, se così si può dire, era forse inevitabile, come attestato dallo stesso sottotitolo che è stato inserito, e che in effetti richiama due ricorrenze importanti, i trent’anni dell’Internet ed i venticinque anni del web in Italia, due ricorrenze che danno il segno dell’avvenuto passaggio della prima generazione in cui l’umanità si è confrontata con la rete. Il fatto è che la celebrazione troverebbe piena cittadinanza in un consesso di informatici, dove il progresso tecnologico spettacolare cui si è assistito, e che all’Internet di oggi ha portato, potrebbe essere adeguatamente analizzato e misurato nella sua grandezza.

In un convegno di giuristi, o comunque di scienziati sociali, la celebrazione suona, invece, come indebita. Ciò per almeno due motivi. Il primo è troppo evidente per essere taciuto, ma anche per essere enfatizzato, e cioè l’insuficienza delle competenze tecnico-scientiiche dei presenti – o almeno di parte dei presenti – per dare un quadro a tutto tondo del signiicato dell’avvento della rete. Il secondo, più pregnante, è che, in particolare per i giuristi, non c’è in realtà molto da celebrare, se non forse il crollo di antichi feticci, per riprendere l’espressione coniata, a tutt’altro proposito, da Paolo Barile. Più che da celebrare, c’è da interrogarsi, semmai. Di originale, in questo,

sarebbe dificile trovare alcunché, visto che sono ormai anni, anzi lustri, che alcuni dei più grandi giuristi contemporanei, italiani (e siamo onorati di averne qui una rappresentanza più che qualiicata) e stranieri, si interrogano sull’impatto che la rete ha avuto ed ha sul diritto. Ma il fatto che questo interrogarsi, ancora, non sia venuto meno è il segno più tangibile di quella sensazione di smarrimento che colpisce chi si trova a dover reimpostare, o comunque a dover rivisitare criticamente, alcuni dei postulati, alcuni degli assiomi su cui ha ediicato la propria conoscenza della disciplina di studio.

Probabilmente risiede proprio in questo la vera ragione che ci ha spinti ad organizzare questo incontro: di fronte alle dificoltà, che – presumo – molti dei presenti avvertono, nell’irreggimentare in categorie «rassicuranti» fenomeni tanto nuovi quanto sfuggenti, si è ritenuto che il proporre una compartecipazione, una condivisione di esperienze e di rilessioni potesse essere un modo per stimolare la ricerca, se non altro attraverso il confronto con punti di vista diversi dai propri.

Se questa è, allo stesso tempo, l’occasio e la ratio di fondo del convegno, resta da spiegare – e tentare di giustiicare – la struttura che per esso è stata pensata.

All’uopo, conviene forse partire dai termini che sono stati utilizzati nel titolo.

Nodi virtuali. Il riferimento è, come è chiaro, ai nodi della rete, ma anche a quei nodi metaforici su cui la rilessione giuridica si arresta, per poi – auspicabilmente – svilupparsi. Avremmo potuto individuare arbitrariamente alcuni di questi nodi, ma la scelta è stata quella di chiedere agli interventori di proporne, in piena autonomia, limitandosi gli organizzatori a registrare e – al più – a catalogare le sollecitazioni pervenute. La catalogazione non doveva servire solo a ini logistici; e così non è stato: dall’insieme degli abstracts che sono giunti è emersa in maniera sempre più nitida l’esistenza di relazioni entropiche. D’altra parte, se la rete è un caos ordinato, non può stupire che tutte le rilessioni che da essa traggono linfa iniscano per trovare punti di contatto, una matrice comune, un terreno di dialogo. In quest’ottica, l’ideale sarebbe stato quello di procedere con un’unica sessione plenaria. Il numero di contributi che sono pervenuti – del quale, ovviamente, non possiamo che essere lieti, se non onorati – ha reso, tuttavia, indispensabile la strutturazione dell’analisi dei nodi all’interno di panels. Panels luidi, delimitati essenzial-

mente – recte, orientativamente – in relazione al loro concentrarsi sulla dimensione individuale (panel A) o su quella sociale (panel B) oppure sulla interazione tra individui e pubblici poteri (panel C). Gli argomenti trattati sono molti; anche per questo, i coordinatori dei panels sono stati e saranno chiamati ad un’opera quasi maieutica in relazione all’individuazione di quel terreno comune cui facevo accenno poc’anzi.

Legami informali. Anche al riguardo si è cavalcata largamente l’onda dell’ovvietà. Quei legami, quei rapporti interpersonali – che il diritto è chiamato a regolare e, allo stesso tempo, è reputato idoneo a farlo (specie nella lettura che del concetto di diritto viene data nella tradizione continentale) – si de-formalizzano, si de-strutturano, nella rete, al punto che gli arnesi classici dello strumentario del giurista appaiono ora arrugginiti ora – più di frequente – semplicemente inadeguati. Ed allora diventa irrinunciabile l’apertura di nuovi sentieri di ricerca, in cui la componente giuridica è – persino per il giurista – solo una di quelle da cui si deve attingere. L’eterogeneità della provenienza culturale dei relatori della prima sessione vuole essere una testimonianza, non esplicativa, ma solo evocativa, una illustrazione in forma di sineddoche di quanto i vecchi steccati non abbiano più ragione di esistere, si tratti di quelli interni alla scienza giuridica – dove il clivage tra pubblico e privato va sempre più offuscandosi – oppure di quelli che si frappongono tra la scienza giuridica e le altre scienze sociali (ma non solo). Questi steccati sono, in effetti, destinati a dissolversi per il semplice fatto che è soltanto attraverso il loro superamento che si può quanto meno aspirare a dar conto della realtà che si è venuta strutturando nella rete, con la rete ed intorno alla rete.

La ricerca in questo campo ha in sé – per dirla in modo certo molto enfatico, ma forse blandamente indicativo – qualcosa di drammatico, che si manifesta nel cronico affanno di chi deve cercare di inquadrare fenomeni che sfuggono ad un inquadramento, di chi deve normare fenomeni che sfuggono alla normazione (perlomeno nelle forme tradizionali). Ciò perché, mentre ancora vanno ricercandosi o, nel migliore dei casi, vanno sedimentandosi le nuove categorie cui il giurista può far riferimento nell’approcciarsi all’universo-Internet, questo stesso universo ha un bisogno costante di regole, di modelli di comportamento, di una formalizzazione – almeno a livello embrionale – di quei legami informali.

Il bisogno si avverte per ciascuno dei nodi che, nati con e nella rete, da virtuali che appaiono prima facie non tardano a mostrare la loro concretezza. O la loro urgente concretizzazione.

Alla non compiuta concettualizzazione del «diritto della rete» (l’espressione – a questo punto spero che sia chiaro – è una mera contrazione, peraltro chiaramente scorretta, del richiamo all’insieme delle regole e dei modelli di comportamento validi e/o eficaci nella e per la rete) fa da contrappunto l’esigenza operativa di non lasciare la rete abbandonata all’anomia. In questo contesto si sviluppano quelle «regole» che governano la rete oggi, non da oggi ma forse da sempre.

Tenendo conto di questa tensione, inisce per imporsi una impostazione della ricerca che si muova in termini descrittivi, più che ricostruttivi, di un «sistema». In questo si manifesta, tra l’altro, il più marcato allontanamento rispetto alla tradizione giuridica di impronta razionalistica di cui l’Illuminismo ha permeato il modello di civil law: quell’affanno cronico che viene dall’impossibilità di ordinare un fenomeno troppo luido, perché troppo dinamico, sfocia nell’alternativa tra, per un verso, l’arrendevolezza di fronte allo iato che divide teoria e prassi e, per l’altro, l’opzione senza iningimenti in favore di un approccio di stampo empirista, veicolato dall’accettazione di ciò che esiste, senza però rinunciare a pretenderne la collocazione all’interno di una cornice generale, segnata dal rispetto di alcuni capisaldi irrefragabili. Altrimenti detto, il modello diviene, in un certo qual modo, quello dettato dall’accettazione compiuta del concetto di autonomia, modulato soltanto per il tramite dell’imposizione del rispetto di taluni principi cardine. Qualcosa di molto vicino all’approccio anglosassone al fenomeno giuridico, che condiziona il «diritto della rete» non solo (e probabilmente non tanto) sotto il proilo dei contenuti, ma anche (e soprattutto) sotto quello della ilosoia ispiratrice delle norme (scil., lato sensu intese).

La terza sessione di questo incontro, nella sua strutturazione, si è ispirata proprio a questo approccio, cercando di individuare alcuni possibili punti cardinali da cui rintracciare empiricamente quel tessuto connettivo che fa da base ad una comunità, dandole un senso, dandole forma; dandole, cioè, quel minimum di organizzazione che permetta, da un lato, di rifuggire da uno stato anomico in cui ad imperare è la legge del più forte e, dall’altro, di rendere assiologicamente accettabile, alla luce delle categorie – non tanto tradizionali, ma

ideologicamente imprescindibili, un fenomeno conformatosi

per via largamente alluvionale come è quello della rete. Perché se, con ogni probabilità, per il diritto della rete, non è più tempo di seguire l’insegnamento di Voltaire, che invitava a bruciare le vecchie leggi per farne inalmente di buone, è tuttavia indispensabile – e sempre più urgente – il rimettere al centro, puntellandoli, i principi conformativi dello stato costituzionale di diritto. Principi la cui vocazione universalistica non può ammettere una lacuna che copra proprio il veicolo principe dell’universalizzazione del XXI secolo. È un po’ come se, per la comunità transnazionale, si trattasse di redigere, con quei principi, un nuovo contratto sociale, un contratto sociale virtuale.

Osservazioni sparse su nodi, legami e regole su Internet Pasquale Costanzo

1. Premessa

La collocazione dell’incontro di studio nell’ambito dell’Internet Festival 2016 mi sembra particolarmente indovinata, considerata la tematica generale della manifestazione, che verte sui nodi e sui legami dei “tessuti digitali”, che metaforicamente tengono assieme la rete. Non c’è, infatti, qualcosa come la nozione di ordinamento giuridico capace di rinviare anch’essa all’idea di una rete di principi e di prescrizioni dotati della vocazione a regolare l’agire umano.

D’altro canto lo sviluppo stesso del diritto e del pensiero giuridico, oltreché delle relazioni sociali e dello stesso assetto politico-istituzionale, è inestricabilmente legato al progresso della scienza e della tecnica. In epoca moderna, basti pensare alle spinte che sono provenute dalla rivoluzione industriale, dal progresso dei trasporti o dallo sfruttamento di nuove forme di energia. E poi dallo sviluppo delle tecniche comunicative ino all’attuale società dell’informazione ormai ineluttabilmente contraddistinta dalla presenza possente e persino ingombrante del ciberspazio.

E per restare in tema di metafore, proprio il ciberspazio ne rappresenta una di grande presa psicologica volta com’è a designare un fenomeno sì “spaziale”, ma svincolato da ogni connotazione territoriale.

Caratteristiche che non sono sfuggite alla Corte Suprema degli Stati Uniti quando, nell’ormai famoso caso Reno c. ACLU del 1997, riconobbe che Internet è un mezzo unico e totalmente nuovo per comunicare attraverso il mondo intero, o al Tribunale costituzionale tedesco quando, nella decisione del 9 ottobre 2001, ha ragionato di un Neu-

land per riferirsi alla rete, terminologia che sarà ripresa dalla cancelliera Merkel in una conferenza stampa tenuta con Obama del 2013 (Internet è un territorio nuovo per noi, ma naturalmente anche per i nemici del nostro ordine costituzionale democratico, che possono individuare nuove strade per mettere in pericolo i nostri modi di vita).

Anche per questi motivi, dunque, i giuristi si sono interrogati per tempo sugli effetti dell’imbricazione tra queste due trame: quella territoriale del diritto e quella virtuale della rete, la prima delle quali è costantemente messa in tensione dalla seconda, risoluta come appare a non consentire lacune di regolazione (a questo ine convergono non solo le norme, ma anche le varie giurisprudenze), mentre l’altra, refrattaria in gran parte agli stilemi di una regolazione tradizionale, reclama dagli ordinamenti (ed uso il plurale non a caso), per il ruolo centrale che ha ormai assunto su scala planetaria, un’attenzione mirata e speciica, smentendo coloro che amano ragionare di una neutralità del diritto rispetto ad Internet.

2. Quali regole per la rete

Il mio intendimento è qui dunque rilettere con voi sulle regole o meglio sulla consistenza delle regole che presiedono alla realtà di Internet (del loro tenore daranno invece ampiamente conto, sotto diverse angolazioni, gli interventi di questi due giorni).

Certo è che il rapporto tra regole e rete è parso e continua ad apparire talvolta controverso: andandosi dall’idea di una vera e propria anomia ontologica per il ciberspazio alla ritenuta non idoneità delle regole ordinarie per questo stesso fenomeno.

Si tratta, peraltro, di prospettive legate soprattutto a visioni lato sensu politiche della rete, ma che, almeno nella loro versione più radicale, paiono scontrarsi con la realtà e con le esigenze stesse di chi naviga in Internet.

La realtà appunto è data incontestabilmente da un itto intreccio di regolazioni, che si rivela dunque l’unica prospettiva con la quale sembra corretto e costruttivo da un punto di vista squisitamente giuridico confrontarsi.

3. La ilosoia hacker

Per chiarire meglio il mio pensiero, vorrei partire da uno slogan ricorrente da quando Internet esiste così come oggi lo conosciamo: ossia “libera rete in libero Stato”.

Lo slogan vorrebbe signiicare che le due realtà, quella isica e quella digitale, costituiscono due mondi separati e che nessuno di essi dovrebbe interferire sull’altro.

In altri termini, le regole dettate per i comportamenti quotidiani di noi tutti dalle leggi dello Stato non dovrebbero riguardare i comportamenti che noi teniamo nella nostra “seconda identità” di soggetti del mondo virtuale di Internet. Il che sarebbe quanto affermare l’assoluta autonomia della rete dalle regole comuni, in nome di una pratica sovranità dei suoi protagonisti. Così per fare un esempio tra i più vistosi, la repulsa delle regole “esterne” ha riguardato il diritto d’autore, la cui tutela è stata interpretata come un ostacolo alla libertà di movimento dei naviganti.

Di qui, il sorgere di una vera e propria “ilosoia” hacker.

Uso qui il termine hacker nell’accezione ormai invalsa in quanto la parola è stata inizialmente utilizzata per designare i componenti del primo gruppo di giovani ricercatori di università americane abili nello smanettare con la rete.

Attualmente, infatti, il termine designa qualcuno capace di intromettersi in un computer in maniera abusiva da non confondere invece con la “pratica” cracker, che, come rileva Manuel Castells, sarebbe invece mossa non da intenzioni anarchiche e libertarie, ma criminali.

Quest’ultima distinzione, alla quale, si badi bene, tengono gli stessi hacker, può forse meglio comprendersi, ricordando che appartengono al mondo dell’hackeraggio movimenti come Anonymous, sotto la cui etichetta si raccolgono i membri della comunità online che agiscono anonimamente spesso per difendere la libertà di espressione.

4. La “lex americana”

Ma cosa c’entrano gli hacker con il nostro discorso sulle regole?

C’entrano perché comunque anche il più abile e trasgressivo dei pirati informatici deve conoscere e tenere nel debito conto quelle

che sono le regole fondamentali del funzionamento della rete. Sono queste le regole che fanno operare e progredire la rete e la cui inosservanza condannerebbe al silenzio chiunque avesse intenzione di navigare.

Ma chi è in grado di scrivere queste regole, che potremmo chiamare di “primo livello”? Per rispondere a questa domanda occorre avere in mente la storia stessa di Internet, delle sue origini e delle sue trasformazioni.

Si tratta, tuttavia, di una vicenda più che nota, che non mette conto di rievocare ancora, se non, appunto, per dire che, dal punto di vista del funzionamento di base, la rete è rimasta e rimane ancora per il momento unita grazie alla gestione centralizzata degli standard di interconnessione e del sistema DNS dei nomi a dominio, tutti compiti, però demandati all’ente di diritto americano ICANN, governata da una struttura in cui siedono rappresentanti governativi, di organizzazioni tecniche e di imprese private.

Ovviamente tutto ciò riuscirebbe incomprensibile se non si avesse presente che le regole di smistamento del trafico su Internet operano sui c.d. server radice, capaci di rispondere alle richieste DNS dell’Internet mondiale collocati quasi tutti in territorio americano, da cui si diparte la dorsale, il backbone che assicura il collegamento alla rete (per vero un debutto di democratizzazione in materia si è avuto allocando qualcuno di questi server fuori dal territorio americano).

Quanto appena detto porta, però, a rilettere su due aspetti fondamentali.

Il primo riguarda la supposta internazionalità della rete. Anche se indubbiamente Internet pervade tutti i Paesi, le regole che presiedono al funzionamento della rete non hanno infatti il carattere che normalmente si attribuisce al diritto internazionale. D’altro canto, se il diritto internazionale può intendersi come l’insieme delle regole giuridiche che disciplinano paritariamente i rapporti tra Stati e tutti i soggetti cui è riconosciuta una soggettività giuridica internazionale, il sistema di regole che regge il funzionamento Internet non promana tutto dal consenso o dalla consuetudine internazionale. E ciò accade proprio nei rami alti del sistema dove le regole basiche di funzionamento della rete sono ricomprese solo nella lex americana.

James Boyle uno studioso scozzese della proprietà intellettuale e uno degli ideatori dei cd Creative Commons ha espresso forte disagio

Osservazioni sparse su nodi, legami e regole su Internet

di fronte a questo fenomeno di appropriazione dei beneici di Internet che ha paragonato al movimento inglese di privatizzazione dei beni fondiari comuni avvenuto nel XVII secolo.

Un’altra radicale critica direttamente nei confronti di ICANN è stata formulata da John Perry Barlow, saggista americano e noto difensore delle libertà digitali, che ha accusato l’agenzia americana di mancanza di credibilità etica per il fatto di non dover rispondere ad alcuno e di logica centralizzatrice.

In altri termini, se da un lato Internet ha rivoluzionato le telecomunicazioni internazionali, dall’altro il suo sviluppo si è avuto in assenza di soggetti intergovernativi, come avrebbero potuto essere ad esempio l’Unione Internazionale delle Telecomunicazioni, e senza generare norme di diritto internazionale, come risultano invece essere le ITRs (International Telecommunication Regulations).

Il secondo aspetto concerne la speciale normatività della rete che è prodotta e promana da un’organizzazione tecnica in grado di controllare in maniera “sovrana” il ciberspazio e di regolare l’agire dei suoi abitanti e inanco di accertarne l’identità.

Di qui, in dal momento in cui è iniziata l’esplosione del fenomeno Internet, come strumento di comunicazione globale, di innovazione e volano del commercio internazionale, l’apertura di una battaglia sulla natura dei regolatori, ponendosi con sempre maggiore forza il problema di sottrarre il controllo della rete agli americani, quanto meno tagliando il cordone ombelicale tra il governo USA e ICANN (Internet Corporation for Assigned Names and Numbers), l’ente su cui, a partire dagli ultimi anni della presidenza Clinton (1998), si sono addensati fondamentali incarichi di gestione della rete (occorre ricordare che tentativi in questa direzione sono stati esperiti anche in sede ONU ai Forum mondiali di Ginevra del 2003 e di Tunisi del 2005).

Benché l’espressione possa suscitare perplessità, siamo dunque di fronte ad un diritto che deinirei a connotazione imperiale, ma che per qualche aspetto potrebbe sembrare persino imperialista.

Trattiene però dal pervenire a questa radicale conclusione il fatto che la lex americana che sorregge la rete ha riguardato sinora solo l’impalcatura tecnica della rete e sporadicamente (o mai programmaticamente) i contenuti (tra le eccezioni, e non è senza interesse ricordarlo, il blocco del sito Wikileaks fondato da Julian Assange).

Quindi un imperialismo tecnologico e non ideologico teso ad impor-

Nodi virtuali, legami informali: Internet alla ricerca di regole

re principi politici e sociali. Occorre infatti riconoscere che, fermo restando lo stretto legame tra ICANN e governo USA, la crescita della rete è avvenuta con un’ingerenza minima e discreta da parte di Washington.

Del resto, la libertà ideologica che caratterizza la rete si inquadra in una cornice di democrazia liberale e in una struttura economica capitalista, tanto è vero che essa si converte per i Paesi che la pensano diversamente in un ostacolo che si vorrebbe eliminare o almeno circoscrivere magari attraverso una governance della rete a più attori mondiali: ed è quello che da tempo stanno tentando di fare, ad es., Russia e Cina nei periodici incontri dell’Organizzazione Mondiale delle Telecomunicazioni.

Così che la strenua opposizione degli Stati Uniti al cambiamento inisce spesso per trovare giustiicazione anche nell’intendimento di non offrire copertura legale internazionale a misure di sicurezza che potrebbero violare i diritti umani.

Comunque sia non hanno ancora raccolto l’unanime consenso le modiiche proposte all’originaria regolazione del 1988 in occasione della Conferenza Mondiale sulle telecomunicazioni (UIT) al ine di rendere applicabili anche ad Internet e alla sua governance le nuove regole generali e in primo luogo la proposta di portare la governance di Internet all’interno dei processi intergovernativi e del diritto internazionale.

L’opzione statunitense è andata anzi in tutt’altra direzione rispetto a quella di immettere i singoli Stati nel governo della rete, scegliendosi invece la dismissione del Dipartimento del Commercio americano dal controllo di ICANN: e infatti dovrebbe essere abbastanza noto che il 1° ottobre 2016, l’amministrazione Obama ha compiuto questo storico passo indietro, sia pure pressato anche dalla necessità di decidere la questione prima delle elezioni presidenziali e quindi prima di un’eventuale vittoria di Donald Trump. Col risultato abbastanza scontato di suscitare le reazioni del candidato repubblicano, mentre, se non ha avuto corso il tentativo d’ingresso degli altri Stati nell’affare, può almeno pensarsi che questa prima presa di distanza americana possa esser stata di loro gradimento.

Si capisce, del resto, perché in un tale quadro gli ordinamenti più sensibili al problema assumano un atteggiamento difensivo, tentando di costruire delle trincee giuridiche contro temuti fenomeni di colonizzazione dall’esterno.

Esemplare in tal senso il caso del Brasile, che non rientra certo tra i Paesi iscritti nella lista dei nemici di Internet. La sua battaglia, soprattutto dopo la vicenda Wikileaks, è, da un lato, quella di scalzare il predominio americano sulla rete in nome della parità di tutti i soggetti interessati; e, dall’altro, di spianare la strada all’affermazione dei principi cardine della libertà di accesso ad Internet, della libertà di espressione, della tutela della privacy e della neutralità della rete. Questa battaglia, anche se non è stata chiaramente ancora vinta, ha però già prodotto in Brasile la fondamentale legge del 23 aprile 2015, recante il Marco civil da Internet, il cui duplice obiettivo è quello di proteggere le libertà fondamentali dei cittadini brasiliani e nello stesso tempo sviluppare una strategia di resistenza alle major statunitensi ritenute le teste di ariete della sovranità e della sorveglianza di massa americane.

5. Le International Telecommunication Regulations

Comunque sia, se è in terra americana che è allocato il livello massimo di normatività tecnica della rete, non si potrebbe però dire che l’infrastruttura globale appartenga agli Stati Uniti, per la semplice circostanza che anche come rete Internet è in realtà una sorta di metafora: non esiste infatti una rete unica, ma uno sterminato insieme di reti collegate tra loro, estremamente diverse che riescono ad interconnettersi e a dialogare grazie, come si è già ricordato, a determinati programmi o protocolli. Del resto, è per questa sua capacità di integrare operativamente in sé qualsiasi rete preesistente, che Internet viene spesso deinita come la rete delle reti.

In questo senso, la gestione in concreto delle singole reti telecomunicative resta appannaggio degli Stati che hanno i mezzi per esercitarvi il loro controllo.

Ciò nonostante, sembrerebbe poco sensato ragionare di fenomeni comunicativi circoscritti dentro le frontiere nazionali, attesa la vocazione di tali fenomeni a tracimare oltre queste frontiere sicché anche in questo caso, come per Internet, l’obiettivo di una comunicazione eficiente resta agevolato solo se sorretto da un adeguato livello di standardizzazione delle regole tecniche. Tuttavia a differenza delle già accennate regole di primo livello, nel caso dell’architettura tecnica delle reti di telecomunicazione, siamo in presenza di un alto

tasso di internazionalità del settore, mentre anche sul piano politico si è posta la necessità di determinare regole condivise per la gestione e la fornitura di servizi di telecomunicazione internazionali.

Il riferimento è, all’evidenza al già citato accordo sulla liberalizzazione delle telecomunicazioni internazionali (ITRs, International Telecommunication Regulations) irmato nel 1988 in Australia, oggi ratiicato da 190 Paesi, e agli accordi successivi, ultimo quello sottoscritto a Dubai. Ma si è già detto delle dificoltà di implementazione di tali regole mediante la presa in carico di Internet, sicché, per quanto di ragione, Internet come infrastruttura globale risulta regolata a livello internazionale solo in misura modesta ed indiretta da quell’accordo; dove è, se mai, l’Unione Internazionale delle Telecomunicazioni a fondare le sue strategie sui progressi realizzati nell’ambito della governance d’Internet.

6. “…to roast the pig”

Il discorso condotto ino a questo punto permette anche di abbordare il tema cruciale del ruolo dello Stato nel mondo di Internet.

Infatti, ferma restando la competenza regolatrice, mai contraddetta in linea di principio dello Stato circa i comportamenti tenuti in rete dai soggetti operanti nell’ambito territoriale sottoposto alla sua sovranità, il paradigma normativo tecnico ne istituisce però la misura della reale eficacia, a livello sia eteroregolativo (la governance di Internet), sia autoregolativo (il contesto internazionale).

Anzi, si comprende ancora così perché la battaglia per la sovranità statale su Internet sia ormai data per persa sul terreno tradizionale e venga invece combattuta su quello della normatività tecnica a monte e a valle dei comportamenti degli utenti.

A monte: si è accennato alla ilosoia assiologicamente neutra dell’impalcatura tecnica della rete e della conseguente pratica assenza di regole a favore di un’illimitata libertà di espressione. Filosoia non a caso sposata dalla più alta giurisdizione della culla della rete nella già ricordata sentenza della Corte Suprema Reno v. ACLU, che ha dichiarato l’incostituzionalità del Titolo V del Communications Decency Act, volto a regolamentare Internet e a vietare i contenuti indecenti e osceni sulla rete particolarmente nei confronti dei minori, ma reputato violare il Primo Emendamento che protegge la

Osservazioni sparse su nodi, legami e regole su Internet

libertà di parola: la Corte ha riconosciuto in Internet uno strumento comunicativo straordinario imprevisto ed imprevedibile, per cui proibire a chiunque di postare contenuti offensivi su Internet per proteggere i minori sarebbe come “burn the global village to roast the pig”.

A valle: si è rivelato l’unico fronte dove poter intervenire tecnicamente per prevenire o reprimere i comportamenti illegali o comunque sgraditi al potere statale. Per cui, tanto per fare solo alcuni esempi, si va dalla gestione in regime di monopolio della fornitura di accesso alla rete, in modo da poter alla bisogna isolare con un colpo solo la rete telecomunicativa dal backbone verso Internet (ad esempio, nel 2011 a seguito delle proteste di piazza Tahrir, il governo egiziano ha tagliato le connessioni dell’Egitto con il resto di Internet. Questo è stato possibile perché i collegamenti dell’Egitto verso il mondo esterno sono controllati da poche grandi aziende) alla soppressione dei siti mediante il iltraggio da parte dei gestori dei server DNS delle richieste ai siti che si vogliono rendere irraggiungibili (ed anzi tali richieste possono essere catalogate per agevolare la persecuzione dei mittenti).

O, ancora, ai fornitori di connettività può essere imposta la cancellazione dei dati residenti sui loro server o chiesto ai motori di ricerca di depurare i risultati delle ricerche lavorando su parole chiave: è quest’ultimo il caso della collaborazione di Google con le autorità cinesi, di poi cessata a seguito delle aspre critiche suscitate (ora sono i cinesi a fare essi stessi il iltraggio ed è per questo che risulterebbe meno eficace …).

7. La neutralità tecnica

Tornando alla normatività tecnica della rete, può ricordarsi come essa sia all’origine di scelte fondamentali della relativa disciplina giuridica.

E ciò è avvenuto nel momento stesso in cui si è posto mano all’inclusione anche di Internet nella regolazione dello spettro comunicativo, specie a motivo della sua capacità di trasmettere la voce e le immagini. La presa d’atto, da parte del diritto, del fenomeno della convergenza al digitale può, com’è noto, farsi risalire al Telecommunication Act irmato da Bill Clinton nel 1996, che, per quanto ci

Nodi virtuali, legami informali: Internet alla ricerca di regole

riguarda, ha anche anticipato soluzioni per Internet che hanno poi attraversato l’Atlantico come l’immunità dei provider per i contenuti di terzi sui propri servizi o l’inserimento dell’accesso alle reti nel fondo di inanziamento del servizio universale.

Ma in quegli stessi anni la problematica della rete intercettava negli Stati Uniti un’altra questione di vitale importanza, ossia quella della neutralità della rete medesima. Il punto è bene espresso da Al Gore nel 1994: «Come possiamo garantire che la neonata Internet permetterà a tutti di competere per la fornitura di qualsiasi servizio a tutti gli utenti che lo desiderano? Come possiamo garantire che questo nuovo mercato raggiunga tutta la nazione? Come possiamo garantire che Internet mantenga l’enorme promessa di formazione, crescita economica e creazione di posti di lavoro?».

È dunque sulla base del principio di neutralità che i fornitori di connettività e gli altri operatori della rete devono occuparsi di trasportare le comunicazioni degli utenti ino a destinazione senza discriminarle, ossia senza privilegiare o al contrario iltrare (rallentare) alcune applicazioni o alcuni contenuti in base a certe convenienze.

Si capisce allora perché tra i sostenitori della neutralità della rete vi siano soprattutto i difensori dei consumatori (che dovrebbero pagare di più per navigare ad una buona velocità) e le organizzazioni per i diritti umani (che temono per l’esercizio eficace della libertà d’informazione).

La neutralità della rete – si sostiene – è dunque uno dei principi fondamentali di Internet ed è necessaria sia per la sua libertà sia per il suo buon funzionamento tecnico ed economico.

Comunque sia non è senza rilievo che la questione della neutralità trasmissiva abbia costretto a mettere in chiaro le posizioni di certi attori mondiali circa il ricorso a questa normatività tecnica: lo stesso presidente Obama ha dovuto metterci la faccia, schierandosi alla ine a favore del principio di neutralità delle reti che forniscono accesso a Internet, ma anche servizi telefonici e trasmissioni televisive.

In seno all’Unione europea, la battaglia non è stata meno aspra che negli Stati Uniti, chiamandosi addirittura in causa il rispetto dell’art. 11 della Carta di Nizza relativo alla libertà d’informazione.

La vicenda, com’è noto, sembra essersi per il momento conclusa nell’agosto 2016 allorché, nelle linea guida del BEREC (Body of Eu-

Osservazioni sparse su nodi, legami e regole su Internet

ropean Regulators for Electronic Communications), che riunisce i regolatori nazionali europea nel campo delle comunicazioni elettroniche, il principio di neutralità è stato chiaramente affermato scartandosi il rischio che secondo le compagnie di telecomunicazioni correrebbe la loro libertà d’impresa. Per cui, ad es., oggi, in base al punto 36 alle ricordate linee guida, si potrà dare gratuitamente l’accesso a certi servizi, ma non a un determinato operatore di questi stessi servizi.

8. Una Costituzione per la rete?

Mi sono attardato su questa questione perché mi pare particolarmente espressiva della situazione che sto tentando, forse un po’ confusamente, di delineare. Ossia che l’architettura stessa della rete risponde ad un ordine normativo di carattere tecnico, ma, come nella questione della neutralità, è vulnerabile rispetto a forme di manipolazione politica, sociale ed etica. La vicenda è, inoltre, esemplare di due diverse concezioni della rete: quella propensa a vedervi un insieme di opportunità tecnologiche per incrementare la ricchezza e quella fondata sul convincimento che si sia in presenza di uno spazio imprevedibile per l’esercizio delle libertà individuali e lo sviluppo della socialità. Ma tutto ciò rinvia al più generale problema se esista o sia possibile una legalità in Internet basata su una qualche scala di valori.

Purtroppo, il problema della normatività della rete non sembra vicino ad essere risolto tanto appare complesso un sistema che incrocia questioni tecniche, pulsioni economiciste e spinte assiologiche; e forse è anche improbabile che possa esserlo per una strada unica e una volta per sempre. E non è solo una questione di concorrenza di fonti di regolazione, coregolazione e autoregolazione, ma anche di livelli normativi plurimi a partire dal singolo navigante che, con il suo ingresso in rete, in certo modo realizza il suo precario e mobile ordine normativo.

E fors’anche l’idea di rinvenire una Costituzione di Internet espressiva di regole riguardanti il comportamento, la cultura e l’economia appartiene all’utopia, pur non dovendosi rinunciare a far salire le regole concernenti i contenuti circolanti in rete portandole al massimo livello di universalizzazione possibile.

Un’avvisaglia di un simile trend può forse scorgersi in una serie di atti quali le numerose dichiarazioni internazionali emesse in seno a diverse conferenze ed organizzazioni internazionali particolarmente sulle dimensioni etiche della società dell’informazione, che però non superano al momento il livello della c.d. soft law.

A parte i problemi di ordine politico generali, il problema di fondo, come può agevolmente intuirsi, è la stessa qualiicazione della natura di Internet per cui in modo meno metaforico del termine cyberspazio, si è ragionato talvolta, ad es., di “bene pubblico internazionale”, o di “bene comune dell’umanità”, ecc., cercando magari analogie con la situazione dell’alto mare o dello spazio extraatmosferico. Laddove, però, come è stato rilevato, non è tanto un problema di sfruttamento di un bene materiale, ma della libertà delle persone.

In questo senso, mi è parsa molto più persuasiva la deinizione fornitane dall’Unesco come servizio pubblico internazionale nel Progetto di codice etico per la società dell’informazione approvato il 30 marzo 2010.

Questo progetto, purtroppo e salvo errore, perdutosi nei meandri dei rinvii da una sessione all’altra dei vari organismi, presenta spiccate caratteristiche per candidarsi a testo costituzionale nel cyberspazio. Già la sua struttura era particolarmente suggestiva, articolandosi in Principi, Diritti e Libertà (e, al di sotto questa seconda etichetta, in Uguaglianza, Libertà di espressione, Tutela della riservatezza, Libertà di riunione e di associazione, Libertà di utilizzo della tecnologia a scopi creativi e Democrazia elettronica), quindi Responsabilità, a cui fanno capo Sicurezza, Legalità, Proprietà intellettuale e Responsabilità dei fornitori di servizi.

Comunque sia, l’idea di servizio pubblico internazionale mi sembrerebbe particolarmente utile anche per uscire dalle secche della discussione circa la conigurabilità o meno dell’accesso ad Internet nei termini di un diritto e circa l’utilità reale che tale problematica sia affrontata “autarchicamente” sia pure in carte nazionali di valore costituzionale.

In proposito, sono e resto dell’opinione che l’opinione di un diritto di accesso, costituzionalmente tutelato, ad Internet, di per se stesso e in se stesso considerato, abbia al momento fragili appigli nel tessuto normativo della Carta fondamentale, potendo, al più, valere, come una “metafora felice” di una serie di situazioni eterogenee e

Osservazioni sparse su nodi, legami e regole su Internet

strumentali, queste sì, di valore costituzionale e irrefragabilmente idonee a signiicare la prosperità del connubio tra Costituzione e Internet. E tanto basta, a mio modo di vedere, per mettere l’accesso ad Internet al riparo da tentazioni limitative o repressive.

Più che di un diritto sembra lecito ragionare di una libertà costituzionalmente guarentigiata di accesso alla rete, intesa, se proprio si vuole, come “diritto” a che non siano frapposti ostacoli arbitrari al suo esercizio diversi dai condizionamenti derivanti dalla isionomia giuridica del mezzo.

E ciò nonostante le belle parole dedicate all’argomento dalla c.d. Carta dei diritti in Internet licenziata il 14 luglio 2016 (data fatidica il 14 luglio!) dalla speciale commissione di esperti insediata dalla presidente della Camera Boldrini a seguito della consultazione pubblica, delle audizioni svolte.

La Carta, però, ahimè, pur interessante da leggere perché riepilogativa di questioni di essenziale interesse per chi naviga in rete, è, oltretutto, priva (ma abbiamo visto che forse non poteva essere diversamente) di qualsiasi valore giuridico, restando una sorta di manifesto di intenti.

9. A mo’ di conclusione

Vorrei pertanto concludere con una rilessione presa in prestito da un ilosofo del diritto, secondo cui apparirebbe sempre più netto il paradosso in base al quale «la questione della normatività» della rete si accompagna alla certezza che non possiamo più conigurarla nella sua esigenza obiettiva, ma solo come il segno di una impossibilità radicale di appropriarci dei fondamenti normativi di pratiche comunicative in cui siamo chiamati sempre più ad identiicarci.

Il concetto di “autonomia privata” ai tempi dei “Big Data”

1. La punta di un iceberg

Per cominciare, una metafora: si immagini che nel 1522, trent’anni dopo la scoperta dell’America, venisse redatta una carta del Nuovo Mondo, immaginando che essa lo rappresenti tutto. Si scoprirà solo nei decenni successivi l’immensità di quel continente e il pianeta non sarà più lo stesso.

Lo stesso può dirsi di un convegno che celebra, giustamente e degnamente, i trent’anni dall’avvio di Internet. L’impressione è che quel che conosciamo, o possiamo preigurare, rappresenti solo una minima parte di quanto scopriremo e cambierà la società.

Dunque una rilessione sulla “autonomia privata” si circonda di dubbi più che di certezze, prospettandosi l’ipotesi che essa sia – e diventerà sempre più – profondamente diversa.

Come il più delle volte avviene, il cambiamento è graduale, ma ad un certo punto esso si rende palese e lo si vede emergere con tutte le sue implicazioni.

Il punto di partenza è il “dato”, termine informatico espresso in forma binaria (una sequenza variabile di 0 e di 1). In origine questi dati (dalla data di un giorno ad un saldo contabile) sono contenuti nella memoria di un elaboratore all’interno del quale sono, appunto, elaborati. Sono esportabili attraverso un oggetto che ormai fa parte dell’archeologia informatica, il loppy disk, in grado di contenere meno dati di quanti ve ne siano contenuti oggi in una sola fotograia scattata con il nostro dispositivo mobile. Istituzioni pubbliche e grandi enti economici collegano gli elaboratori di cui dispongono raccogliendo i dati in un elaboratore centrale (altro termine archeo-

Nodi virtuali, legami informali: Internet alla ricerca di regole

logico: “il cervellone”). Si tratta però di raccolte di dati omogenei, che dificilmente si rapportano ad altri, li integrano e ne sono integrati. Il punto di svolta è rappresentato, nei primi anni ’90, dalla interconnessione degli elaborati individuali alla rete di telecomunicazioni e alla ricerca, trasmissione, reperimento di dati attraverso il protocollo che ormai viene comunemente chiamato “Internet”. Ciascun elaboratore genera dati – sulla sua attività, su quanto reperisce ed eventualmente modiica – ridiffondendoli. All’inizio il fenomeno riguarda solo i terminali collocati in un ambiente domestico o lavorativo, “issi”, e dunque utilizzati solo quando ci si trova in quell’ambiente. Ma alla ine del secolo con l’avvento delle reti di telefonia mobili di c.d. terza generazione questo scambio e questa produzione di dati diventa costante, durante tutto l’arco della giornata, ubiquitaria.

Si arriva quindi a cercare di fornire una dimensione alla quantità di dati prodotta e, ovviamente, conservata: misura calcolabile in zettabyte, ovverosia 107: cioè mille miliardi di miliardi sarebbero i dati generati nel 2015 sulla sola rete Internet (e dunque mettendo da parte le altre reti che pure esistono).

Si tratta di un fenomeno in inarrestabile espansione, non solo perché queste moli si aggiungono a quelle precedenti ma anche perché i dati, se non “archiviati”, producono naturalmente altri dati. Ma vi è di più: con la diffusione delle procedure deinite come “Internet delle cose” (Internet of Things) per la produzione di dati non ci sarà più bisogno di un intervento umano, come avviene oggi con l’agente che usa un terminale. Saranno – sono già – gli oggetti a rilevare e comunicare costantemente dati senza alcun intervento umano: le autovetture sulla loro posizione, movimento, uso; le utenze energetiche sugli ambienti nei quali si trovano; gli elettrodomestici sul loro uso e contenuto; ino – così si prevede – ai semplici oggetti di consumo (ad es. un alimento con scadenza) che segnaleranno la loro posizione e condizione.

2. Cosa è il “sé” nel mondo dei “Big Data”?

Di fronte a questo universo, in costante espansione e dificilmente controllabile, qual è il senso di “autonomia”?

Non per arida esegesi conviene scindere il termine nei suoi due lemmi.

Il concetto di “autonomia privata” ai tempi dei “Big Data”

Cosa intendiamo per autos nel mondo dei “Big Data”? Fino ad ora abbiamo pensato ad un unico soggetto – una persona isica o giuridica – con una sola identità non solo in termini giuridici (anagraica, iscale ecc.) ma anche come arteice e controllore di questa identità. Già oggi possiamo dire che ciascuno ha una duplice identità, quella isica, collegata alla sua persona; e quella digitale composta da milioni di dati che lo riguardano e che costituiscono l’insieme dei dati su tutto quello che quel soggetto ha fatto sulla rete, anche in maniera del tutto passiva. Pensare di esercitare su tale vastità di dati una qualche forma di “autodeterminazione informatica” (in ipotesi utilizzando l’elefantiaco “Regolamento generale sui dati personali” di recente approvato dall’Unione Europea) costituisce un benevolo auto-inganno. Salvo rari casi i dati (ma quali? i c.d. metadati, cioè i dati che forniscono informazioni su altri dati, vi rientrano?) non sono rintracciabili e compattabili ma sono dispersi in quel che viene deinita la “datasfera”.

Mentre con riguardo alla identità isica, percepita e conosciuta da altri esseri umani, le vicende di ciascuno hanno un percorso temporale che va dalla nascita alla morte, la identità digitale è schiacciata sul presente: si è l’insieme di tutti i dati che riguardano il soggetto, in quel momento, senza alcuna rilevanza del “passato” che costituisce solo un altro dato la cui importanza sarà misurata attraverso un fattore T.

In un futuro assai vicino, a queste due identità, isica e digitale, se ne aggiungerà una terza, artiiciale, costituita dalla duplicazione, sempre più realistica, degli esseri umani con automi [robot] i quali sono in grado non solo di parlare e muoversi nello stesso modo del soggetto isico, ma soprattutto di svolgere ragionamenti coerenti con il soggetto duplicato e sostituitivi di sue scelte e manifestazioni di volontà. Si tratta solo di una delle tante applicazioni della c.d. intelligenza artiiciale, già ampiamente sperimentata e utilizzata in congegni molto soisticati (si pensi alle auto senza conducente).

Non è questa la sede per affrontare complesse questioni di riferibilità e di responsabilità. Quel che importa evidenziare è la pluralità di soggettività la quale altera profondamente la nozione, unica, di autonomia che ino ad ora si aveva.

3. Norme, regole e diritto nel mondo digitale

Se si sposta l’analisi sull’altro lemma, il nomos, il disorientamento si accresce. Chiaramente siamo tutti ben consapevoli da quando più di 15 anni fa Lawrence Lessig ha pubblicato il suo fortunato e preveggente volume, che nella società digitale “Code is law”. E questo lo sperimentiamo nella vita quotidiana in cui l’agire sulla rete è condizionato dal conformarsi a determinate regole issate nei “campi” che devono essere riempiti e la cui tassatività è stabilita non da una norma promanante da una autorità, ma da decisioni prese da tecnici informatici e da chi ritiene che quei dati sono necessari per la prestazione di un servizio.

Più le attività umane si spostano dalla realtà materiale alla rete, più constatiamo lo spostamento dei soggetti decisori verso persone dotate di competenze assai distanti da quelle ordinariamente richieste per la determinazione di regole, cioè conoscenze giuridiche. Tale migrazione è, come sempre, lenta, ma dà vita ad una nuova “classe” di detentori di un potere decisionale che inluenza tutta la società che deve conformarsi alle sue indicazioni. Una “classe” diversa non solo per formazione ma anche per una generale indifferenza nazionale (le soluzioni tecniche valgono quasi ovunque, a parità di tecnologia) e per la presenza di un linguaggio informatico e anglo-gergale comune.

Tutto questo era stato previsto. Ma la dimensione dei “Big Data” porta a conseguenze la cui portata dirompente è particolarmente evidente per il giurista.

Il giurista, da sempre, opera utilizzando principalmente due registri, che si tratti dei dieci comandamenti o le migliaia di articoli del Codice bavarese del 1756.

Il primo è deontico. La norma esprime un dover essere che precede qualsiasi inalismo e risponde a fattori assiologici, piccoli o grandi che siano (dal non ammazzare, al luogo di adempimento dell’obbligazione).

Il secondo registro è la natura prescrittiva della norma. Essa guarda al futuro e mira a indirizzare condotte future. Prescinde dall’esperienza pratica – tipica delle scienze sociali le quali non prescrivono, ma descrivono – anche se può (e sarebbe bene che fosse così) tenere conto del passato.

4. Il cambiamento epistemologico

Nel mondo dei “Big Data” cambia radicalmente la epistemologia, ovverosia il modo attraverso il quale si conosce il mondo. Innanzitutto conta quanto può essere contato, ovverosia misurato con una espressione numerica o algebrica. Ovviamente è dificile attribuire un numero, se non arbitrariamente, ai valori. In secondo luogo conta – conta di più – ciò che è prevalente e su tale prevalenza si fanno scelte e pianiicazioni. La tipizzazione dei comportamenti sociali si traduce in un formalismo digitale che prevede solo poche e numericamente signiicative opzioni.

Si passa dalla antichissima (Socrate e Platone) logica causale, che spiega i ragionamenti secondo una spiegazione passo-passo, ad una logica inferenziale (se A, è probabile B) basata sulle connessioni che vengono stabilite (talvolta in materia del tutto arbitraria: ad es. la correlazione fra risultati sportivi e quotazioni di borsa) interpretando la enorme mole dei dati.

Ma quel che colpisce di più il giurista e la sua attenzione verso la dimensione della autonomia, è che la logica inferenziale non è utilizzata solo per comprendere ciò che è avvenuto, ma anche e soprattutto in funzione predittiva. La c.d. predictive analytics diventa dunque lo strumento attraverso il quale vengono prese decisioni che riguardano la collettività (legislative, regolamentari) o l’individuo (orientamento al lavoro, indagini penali). Gli esempi più evidenti sono l’uso che già ora viene fatto di tali strumenti nelle procedure di scelta di assunzione di un lavoratore o di una lavoratrice. Oppure nella stipula di un contratto di assicurazione e a quali condizioni. Con il che alcuni principi che sono fra i capisaldi del diritto contemporaneo, quello di eguaglianza e di non discriminazione, sono messi in crisi, e si torna ad un conlitto, le cui radici vanno ben oltre la ilosoia e affondano nella religione, fra determinismo e libero arbitrio.

5. L’attualità del pensiero di Vittorio Frosini

Le rilessioni che precedono potrebbero apparire espressione di un nichilismo giuridico preconizzante la “ine del diritto” travolto dalla inarrestabile forza dei dati e degli algoritmi. Non è però così: il giurista, molto più di studiosi di altre branche, è in grado di comprende-

Nodi virtuali, legami informali: Internet alla ricerca di regole

re alcune intime essenze dell’informatica. E questo non solo perché da oltre 50 anni (Cibernetica, diritto e società di Vittorio Frosini è del 1966), studia i rapporti fra diritto e informatica e dialoga con gli esperti della materia, ma perché da più di duemila anni il diritto segue e si sviluppa utilizzando la logica il cui percorso, lo sappiamo da tempo, può essere agevolmente formalizzato (e informatizzato). In secondo luogo, il diritto condivide con l’informatica una funzione performativa. La norma giuridica, come l’espressione di programmazione, punta a regolare un fenomeno, un agire. Lo fa avendo come principale destinatario gli esseri umani e la loro volontà. Con il che si torna al discorso sulla autonomia da cui si è partiti e al suo atteggiarsi nella contemporanea società digitale.

Internet e le regole dell’economia

La rivoluzione tecnologica legata alle tecnologie digitali, ovvero le tecnologie che comprendono hardware, software e reti informatiche, ha ormai trasformato radicalmente le nostre vite e le strutture socio-economiche di tutto il globo.

Scopo di questo intervento è dare un sintetico quadro dei caratteri portanti delle tecnologie digitali, che hanno avuto e tuttora hanno un effetto di profonda trasformazione delle regole di funzionamento dell’economia. Tale trasformazione è conseguente alle nuove modalità indotte sia nei modi di offerta di beni e servizi che riguardano non solo i processi ma anche l’output e i modelli di funzionamento d’impresa – i c.d. modelli di business – sia nella domanda rispetto alle modalità di utilizzare i beni ed usufruire dei servizi da parte dei consumatori. Gli effetti di tali cambiamenti non si sono ancora pienamente dispiegati e si proilano all’orizzonte scenari tecnologici ulteriormente innovativi.

Capire le radici di tale trasformazione e l’impatto sulle strutture economiche può offrire gli elementi concettuali e gli spunti metodologici anche per affrontare il tema delle possibilità e dei limiti di interventi regolatori in un contesto economico per questa via già profondamente mutato, ma ancora in continuo cambiamento.

1. Il progresso nell’era di Internet

È stato osservato come la natura del progresso delle tecnologie digitali presenti tre caratteristiche che sono fondamentali per comprenderne le conseguenze: è esponenziale, digitale e combinatorio1 .

La regola del progresso esponenziale, enunciata da Gordon Moore, imprenditore informatico americano, si è dimostrata valida dal 1965 con diverse evoluzioni e indica che: «A parità di costo le prestazioni dei processori, e il numero di transistor ad esso relativo, raddoppiano ogni 18 mesi». In altri termini, nelle tecnologie digitali a parità di prestazioni i costi si dimezzano in un certo (rapido) periodo di tempo. Quindi la velocità dell’evoluzione tecnologica digitale subisce una continua accelerazione (in termini di capacità dei computer e nuove applicazioni digitali). Oggi la crescita esponenziale uniforme prevista dalla legge di Moore è andata accumulandosi al punto che i dispositivi digitali al loro interno sono abbastanza veloci e economici da consentire una molteplicità di applicazioni innovative ad un tasso di crescita esponenziale.

La seconda caratteristica si collega alla forza della digitalizzazione, ossia del processo di codiicazione dell’informazione (testi, suoni, foto, video ed ogni altro tipo di dato) come un lusso di bit, che costituisce il linguaggio nativo dei computer2. Esistono caratteristiche speciiche dell’informazione digitale che la rendono sostanzialmente diversa da altri beni.

Una prima caratteristica è la non rivalità: essa consiste nella circostanza che a differenza di quelli isici i beni immateriali basati sulla conoscenza possono essere fruiti da più soggetti nello stesso momento o in momenti diversi3. Diversamente dai beni isici i beni

1 E. Brynjolfsson, A. McAfee, La nuova rivoluzione delle macchine, Milano, Feltrinelli, 2015. Si veda anche: S. Quintarelli, Costruire il domani. Istruzioni per un futuro immateriale, in Il Sole 24 Ore, Milano, 2016.

2 C. Shapiro, A. Varian, Informations Rules. A Strategic Guide to the Network Economy, Boston, Harvard Business School Press, 1999. Un bit è l’unità di misura dell’informazione (dall’inglese binary digit), deinita come la quantità minima di informazione che serve a discernere tra due possibili eventi equiprobabili. Un bit è una cifra binaria, ovvero uno dei due simboli del sistema numerico binario, classicamente chiamati zero (0) e uno (1).

3 Una copia di un libro essere passata da soggetto a un altro dopo che è stato letto. Se due soggetti vogliono leggere quel libro nello stesso istante o abbiamo

digitali possono essere replicati perfettamente ed inviati in modo istantaneo e quasi gratuito; con la digitalizzazione crescente vi sono sempre più prodotti gestibili in tale logica.

La seconda caratteristica dell’informazione digitale è che essa ha costo marginale di riproduzione quasi nullo. Più precisamente, attività quali riprodurre, archiviare, trasferire e manipolare beni immateriali digitali hanno un costo tendenzialmente nullo: «l’informazione è costosa da produrre ma poco costosa da riprodurre»4 .

Una terza caratteristica dell’informazione digitale è collegata alla possibilità che essa consente di accedere immediatamente ad enormi quantità di dati. Questo ha enormemente accresciuto la capacità di comprensione e la capacità predittiva della scienza.

L’ultima caratteristica nel progresso tecnologico legato alle tecnologie digitali è costituita dalla sua natura combinatoria, ossia nella possibilità che le tecnologie digitali consentono da un lato di sviluppare nuove idee in applicazioni prima inesistenti, dall’altro di combinarsi con prodotti o servizi già in essere innervandoli con modalità assolutamente nuove di produzione e di fruizione. La digitalizzazione rende possibile la combinazione di funzionalità che provengono da diversi ambiti tecnologici in un modo del tutto nuovo nell’evoluzione della tecnologia5. Questa potenzialità si origina dalla natura propria delle tecnologie digitali di essere delle tipiche general purpose technologies. Così come la macchina a vapore e l’energia elettrica, le tecnologie in discorso sono in grado di diffondersi in tanti settori, ovvero sono pervasive, e lo fanno tempi rapidi. Inoltre esse migliorano continuamente nel tempo e in questo processo generano ulteriori innovazioni in modo cumulativo. Come il linguaggio, la stampa o l’istruzione, la rete digitale facilita l’innovazione ricombinante, ossia la possibilità di mescolare e rimescolare idee vecchie e nuove secondo modalità prima impensabili. Lo stesso web è una combinazione tra la vecchia rete di trasmissione dati TCP/IP di Internet ed il linguaggio

una seconda copia oppure il testo andrà fotocopiato, con conseguenti costi di duplicazione (diritti e fotocopie) e di trasferimento. Con il testo in forma digitale, la duplicazione è immediatamente possibile, semplice ed economica, così come il trasferimento.

4 C. Shapiro, A. Varian, Informations Rules. A Strategic Guide to the Network Economy, cit., 3.

5 B. Arthur, La natura della tecnologia, Torino, Codice Edizioni, 2011.

Nodi virtuali, legami informali: Internet alla ricerca di regole

chiamato HTML: è la combinazione tra questi due elementi che ha generato l’innovazione del web. Anche Facebook, di fatto, ha sfruttato il web per consentire alle persone di inserire dati digitali sul proprio social network senza dover imparare complicati linguaggi informatici.

2. I caratteri dell’economia digitale

La digitalizzazione rinforza le proprietà del fattore produttivo immateriale costituito dalla risorsa conoscenza, che per questa ragione si presenta profondamente diversa dai fattori produttivi tradizionalmente considerati nei processi economici:

– non è scarsa perché i suoi usi non sono concorrenti tra loro;

– non è divisibile perché il suo costo è solo minimamente riferibile ad un utilizzo singolo. La produzione e diffusione della conoscenza richiedono sostenimento di elevati costi issi, costi sommersi o sunk costs;

– non è escludibile perché non si può impedire che altri possano beneiciare della conoscenza mediante copia, imitazione o apprendimento compiuto in base ad esperienze altrui6 .

Facendo leva sui caratteri precedenza indicati, la digitalizzazione dell’informazione assieme alla connessione globale in rete hanno trasformato le modalità di combinazione delle risorse produttive aziendali.

In particolare, si sono drasticamente ridotti i costi di coordinamento tra le diverse attività e processi aziendali che in precedenza costringevano a gestire all’interno dei conini dell’organizzazione le diverse funzioni. L’esplosione del fenomeno dell’outsourcing in anni recenti si collega a questa circostanza: un numero crescente di funzioni aziendali possono essere convenientemente esternalizzate, ad esempio call center, design, gestione paghe, fatturazione e contabilità, così come la produzione stessa.

La riduzione dei costi di coordinamento riguarda anche relazione tra domanda e offerta, in quanto si rende possibile la conoscenza e l’adesione in tempo reale ai cambiamenti qualitativi e quantitativi

richiesti dai consumatori inali. I consumatori hanno oggi la possibilità di intervenire direttamente nel processo produttivo deinendo le caratteristiche del prodotto o del servizio richiesto. La connessione digitale permette l’aggiustamento rapido delle risorse necessarie per la soddisfazione della domanda, siano esse fattori produttivi interni aziendali o attività da coordinare tra diverse organizzazioni. Ad esempio, la rivoluzione nel settore trasporto aereo con il sorgere delle compagnie low cost si è basata fondamentalmente su questi principi dell’economia digitale.

Di più, si assiste ad un allargamento della disponibilità di risorse impiegabili nei processi produttivi, ino ad includere anche quelle degli stessi utenti consumatori. Anche questa è una conseguenza della riduzione dei costi di coordinamento grazie alla digitalizzazione ed alla rete: chiunque di noi disponga di una risorsa che può essere utilizzata la può mettere a disposizione se esiste una domanda rivolta ad essa. È il modello di funzionamento di alcuni servizi nei trasporti (Blablacar, Uber), nell’ospitalità (Airbnb) e nell’alimentazione (Gnammo).

Sono questi gli elementi fondanti la cosiddetta sharing economy o economia della condivisione, che si basa appunto sulle possibilità nell’economia digitale (a) di ridurre drasticamente i costi di coordinamento informativo tra gli attori del sistema economico, (b) di far interagire in tempo reale produttori e consumatori e (c) di creare le condizioni per estendere l’apporto di risorse produttive anche da parte dei consumatori stessi. Questi aspetti hanno trasformato profondamente la struttura, l’organizzazione e la strategia delle imprese, e tale trasformazione è visibilmente ancora in corso.

3.

Il concetto di business model è stato appunto concepito per riuscire ad esprimere e far capire l’innovazione nei modelli di impresa conseguente all’avvento dell’economia digitale. La sua nascita e diffusione devono essere infatti attribuiti al fenomeno delle c.d. dot.com, le imprese strettamente connesse allo sviluppo di Internet a partire dagli anni Novanta. La stretta connessione tra il modello di business e questo fenomeno è dimostrato dal fatto che molti studi si sono

Gli effetti sui “modelli di business” delle imprese: la centralità dei “servizi” e delle “piattaforme”

inizialmente concentrati sui modelli basati su Internet, vale a dire i cosiddetti nuovi e-business model da far capire agli investitori. Successivamente è stato riconosciuto che il concetto di business model può essere adattato a qualsiasi tipo di impresa indipendentemente dal settore in cui opera: in questa prospettiva esso è oggi considerato un modello per comunicare, in modo più o meno dettagliato, il funzionamento di un’azienda sempliicandone le complessità.

Un modello di business è quindi una «rappresentazione sintetica di come un insieme interrelato di variabili decisionali in materia di strategia di impresa, architettura ed economia sono volte a creare un vantaggio competitivo sostenibile in speciici mercati»7 .

La trasformazione dei modelli di business conseguente all’avvento dell’economia digitale ha riguardato tutte le possibili dimensioni che possono essere oggetto d’innovazione, ossia:

a. la “catena creatrice del valore” del settore industriale, mediante:

– l’entrata in nuovi settori industriali

– la rideinizione della “catena del valore” che collega le imprese operanti in una iliera produttiva esistente

– la creazione nuove “catene del valore”

b. il modo in cui i ricavi vengono generati, mediante:

– nuove value propositions ai clienti in termini di offerta di prodotti/servizi – nuovi modelli di formazione dei prezzi (pricing), ossia di formazione dei ricavi di vendita

c. il ruolo dell’impresa nella “catena del valore”, mediante:

– una maggiore specializzazione o una maggiore integrazione verticale

– la trasformazione del network fornitori-clienti-partners-concorrenti.

Nella igura seguente si riportano alcuni esempi di trasformazione nei modelli di business intervenuti in questi anni in imprese globali (Fig. 1)

7 M. Morris, M. Schindehutte, J. Allen, The Entrepreneur’s Business Model: Toward a Uniied Perspective, in Journal of Business Research, 2005, 58, 726-735.

Se consideriamo le caratteristiche dei modelli di business più recenti due aspetti meritano particolare attenzione. Da un lato, le modalità di ottenimento dei ricavi risultano basate su meccanismi di determinazione di prezzi che sono sempre più dissociati dalla considerazione dei costi degli investimenti effettuati. In tali contesti il pricing (ossia il modello di determinazione dei prezzi dei prodotti/servizi) non segue approcci tradizionali ma si lega piuttosto alla strategia dell’impresa. In particolare, le dinamiche di generazione dei ricavi si presentano sempre più spesso dissociate dalla misurazione del costo del prodotto o del servizio e connesse ad altre dimensioni che fanno leva sulla disponibilità a pagare da parte del cliente9. Nei servizi Internet-based (ad es. social network quali LinkedIn o piattaforme marketplace tipo eBay) i prodotti digitali includono certamente delle funzionalità rispetto ad una speciica esigenza da soddisfare, ma anche la soddisfazione ed il divertimento personale legati ad una esperienza che il consumatore sperimenta nell’utilizzo del servizio. Spesso

8 Fonte: R. Gleed, Business Model Innovation. Paths to Success: Three Ways to Innovate Your Business Model, IBM, March 2009.

9 A. Bhimani e M. Bromwich, Management Accounting: Retrospect and Prospect, Oxford, CIMA, 2010.

tali piattaforme rendono possibile la creazione autonoma del “prodotto” da parte del cliente in una logica di co-creazione (es. Facebook). Il volume di utenti diventa in questi casi il più importante driver dei ricavi e della proittabilità, in quanto attrattore di investimenti pubblicitari mirati ad intercettare l’attenzione del cliente. Sono questi ultimi le principali fonti di ricavo che consentono la copertura della mole di investimenti (costi issi) in infrastrutture tecnologiche legate allo sviluppo delle applicazioni software. Si perde così il legame più o meno diretto tra costi e prezzi che ha caratterizzato il mondo di produzione dei beni isici, dove il nesso causale costi-prezzi derivava dalla focalizzazione sui processi diretti che creano i prodotti o i servizi.

In altro aspetto, è in corso una trasformazione profonda anche del valore dei beni isici a seguito delle tecnologie digitali e dell’evoluzione della domanda che ribalta la prospettiva tradizionale di valutazione da parte del cliente verso una vera e propria “nuova logica”: il consumatore cerca sempre più delle “soluzioni” per la soddisfazione dei suoi bisogni, quindi “servizi”, risorse da tradurre in prestazioni e non oggetti isici. Pertanto è interessato alle dimensioni immateriali (servizi) piuttosto che alle caratteristiche tangibili del bene isico che le procura. È questa una nuova logica dominante del servizio (new service dominant logic) che costituisce l’esito inale di un processo di servitizzazione in corso nei settori industriali, termine con cui si indica il processo di integrazione di servizi nei pacchetti di offerta dei beni isici. Questo processo oggi è divenuto talmente profondo e pervasivo che tali elementi non sono più come in passato degli “accessori” di un valore aggiunto di origine essenzialmente manifatturiera e di prodotto, ma divengono gli elementi fondanti di tale valore10 .

In generale, l’idea di vendere il prodotto attraverso il servizio è oggi una strategia pervasiva e diffusa: signiica, ad esempio, proporre e vendere auto come “lotte gestite” (leet management), offrire Hardware/Computer “a consumo” (pay per use), proporre Software/ applicativi a consumo (on demand), vendere il prodotto “polizza di assicurazione” a consumo (pay as you drive), proporre un aereo civile (ma anche militare) attraverso un “costo per ora di volo” (pay as

you ly), offrire una macchina movimento terra (o macchina utensile) a “ore di utilizzo” (pay as you work).

Queste ultime considerazioni inducono ad un’importante rilessione: sempre di più assume rilievo sotto l’aspetto economico della creazione di valore l’utilizzo del bene isico piuttosto che la sua proprietà e possesso diretti. La determinazione dei valori economici (e dei contratti) si è tradizionalmente focalizzato sulla valorizzazione (e regolazione) del momento transattivo, di trasferimento della proprietà. Oggi, ciò che l’economia digitale rende possibile è un accesso on demand al consumo dei servizi richiesti dal consumatore, prodotti e servizi spesso forniti da piattaforme tecnologiche o isiche. Il valore di “afitto” o la “tariffa” legata al tempo o ad altri parametri d’uso sta assumendo ed assumerà molta più importanza del prezzo di vendita tradizionalmente applicato a beni e servizi.

Il concetto di “piattaforma” è anch’esso paradigmatico nell’evoluzione dell’economia digitale.

In logica di servitizzazione in precedenza descritta, una “piattaforma” può essere innanzitutto un prodotto isico, che attraverso dispositivi tecnologici si connette alla rete e si trasforma in piattaforma su cui innestare servizi a valore aggiunto. La trasformazione di beni isici in piattaforme di servizi si collega allo sviluppo di quello che è stato deinito l’Internet of Things (IoT – Internet delle Cose). L’uso integrato di sensori e rete consente infatti lo sviluppo di strumenti e applicazioni che permettono non solo alle persone di parlare con le macchine, ma anche agli oggetti di dialogare direttamente tra loro. Ciò signiica portare “intelligenza agli oggetti”, facendo sì che questi comunichino con noi o con altre macchine e possano offrirci un nuovo livello di interazione o di informazione rispetto all’ambiente in cui si trovano. Dai frigoriferi agli impianti di irrigazione, dai meccanismi di sorveglianza a quelli biomedicali, dal monitoraggio industriale a quello energetico non c’è un campo che sia escluso dalla diffusione dell’IoT. Nel prossimo futuro miliardi di sensori, collegati a ogni apparecchio, strumento, macchina o dispositivo, raccorderanno ogni cosa e ogni persona in un’unica rete neurale che si estenderà senza soluzione di continuità lungo tutta la catena economica del valore11 .

11 M. Cosenza, Internet of Things, a che punto siamo?, in Wired.it, 17 ottobre 2014. Sono già 14 miliardi i sensori collegati a lussi di risorse, magazzini, sistemi stra-

Nodi virtuali, legami informali: Internet alla ricerca di regole

Il concetto di “piattaforma” indica anche un nuovo modello di azienda costituito da un’architettura hardware e software che consente di aggregare ed organizzare risorse, transazioni, relazioni tra soggetti ed attori diversi (consumatori, professionisti, imprese, istituzioni) per co-creare valore. Il paradigma dell’azienda piattaforma si presenta alternativo rispetto al tradizionale concetto di impresa. Quest’ultimo nasce per indicare un’organizzazione inalizzata a ridurre i costi transazionali di produzione, internalizzando e organizzando risorse e relazioni. Le nuove tecnologie, abbiamo visto, consentono di diminuire i costi delle transazioni e rendono meno eficiente la loro internalizzazione; risorse e relazioni pertanto ritornano ad essere negoziate tra interno ed esterno di quello che chiamiamo impresa mediante le “piattaforme”12 .

La suindicata natura esponenziale, digitale e combinatoria del progresso tecnologico nell’era di internet sta facendo emergere una nuova struttura dei sistemi industriali e produttivi che conigura una vera e propria nuova rivoluzione industriale.

La rivista Time deinì il computer macchina dell’anno nel lontano 1982: così come sono state necessarie più generazioni per migliorare la macchina a vapore ino a riuscire a fornire energia alla dali, linee di produzione industriali, reti elettriche, ufici, case, negozi e veicoli, per monitorarne ininterrottamente le condizioni e il rendimento e trasmettere la massa di dati così ricavata, i Big Data, alle Internet delle comunicazioni, dell’energia e della logistica e dei trasporti. Si ritiene che nel 2030 l’ambiente umano e quello naturale saranno collegati, in una rete intelligente a diffusione globale, da oltre centomila miliardi di sensori.

12 M.W. Van Alstyne, G.G. Parker, S.P. Choudary, Pipelines, Platforms, and the New Rules of Strategy, in Harvard Business Review, 2016. Ad inizio 2016 sono state mappate 176 piattaforme a livello globale con un valore che supererebbe i 4.300 miliardi di dollari, che spaziano dai marketplace di e-commerce (Ebay), ai professional network (LinkedIn), al business dello sharing e della on-demand economy (Uber), ad ecosistemi di servizi (Apple, Amazon, Google, Samsung): cfr. A.A.V.V., The Platirm Age, supplemento ad Harvard Business Review Italia, 2016, 7/8.

rivoluzione industriale, altrettanto c’è voluto per mettere a punto le macchine digitali ed i dispositivi in grado di dispiegare tutto il loro potenziale trasformativo nei sistemi di produzione.

Finora le rivoluzioni industriali del mondo occidentale sono state tre: a partire dal 1784 con la nascita della macchina a vapore e lo sfruttamento della potenza di acqua e vapore per meccanizzare la produzione; a partire dal 1870 con il via alla produzione di massa attraverso l’uso sempre più diffuso dell’elettricità, l'avvento del motore a scoppio e l'aumento dell’utilizzo del petrolio come nuova fonte energetica; a partire circa dal 1970 con la nascita dell’informatica, dalla quale è scaturita l’era digitale destinata ad incrementare i livelli di automazione avvalendosi di sistemi elettronici e dell’IT (Information Technology) (Fig. 2). L’inizio della quarta rivoluzione industriale (Industry 4.0) non è ancora stabilito, probabilmente perché è tuttora in corso e solo a posteriori sarà possibile indicarlo.

Ancorché non ne esista ancora una deinizione esauriente, possiamo affermare che la quarta rivoluzione industriale trova i suoi elementi determinanti in un insieme di nuove tecnologie, nuovi fattori produttivi e nuove organizzazioni del lavoro che modiica-

13

Fonte: Ministero Sviluppo Economico, Piano nazionale Industria 4.0 (20172020), in http://www.sviluppoeconomico.gov.it/index.php/it/incentivi/impresa/ industria-4-0

Nodi virtuali, legami informali: Internet alla ricerca di regole

no profondamente il modo di produrre, mediante l’integrazione tra macchine, oggetti e persone in un sistema cyber-isico. Quest’ultimo individua un mondo composto da una complessa rete di macchine, beni isici, oggetti virtuali, strutture di calcolo e di memorizzazione, strumenti di comunicazione (video, sonora ed olfattiva), raccoglitori di energia, che interagiscono tra loro e con gli operatori economici. In Industry 4.0 questo sistema può essere impiegato sia per migliorare i processi industriali e distributivi per ottenere più eficienza, e quindi ridurre i costi e i prezzi di vendita per incrementare la domanda inale, sia per creare nuovi prodotti e nuovi servizi oggi impossibili da realizzare per le limitazioni inora incontrate nell’uso delle tecnologie.

Il dispiegarsi di Industry 4.0 è possibile grazie all’uso integrato di speciiche tecnologie abilitanti resesi disponibili con il progresso tecnologico digitale, in particolare le nove tecnologie indicate nella igura seguente (Fig. 3):

14 Fonte: Ministero Sviluppo Economico, Piano nazionale Industria 4.0 (20172020), cit.

La multinazionale di consulenza McKinsey15 ha raggruppato tali tecnologie secondo quattro direttrici di sviluppo:

– la prima riguarda l’utilizzo dei dati, la potenza di calcolo e la connettività, e si declina in big data, open data, Internet of Things, machine-to-machine e cloud computing per la centralizzazione delle informazioni e la loro conservazione;

– la seconda è quella degli analytics: una volta raccolti i dati, bisogna ricavarne valore. Oggi solo l’1% dei dati raccolti viene utilizzato dalle imprese, che potrebbero invece ottenere vantaggi a partire dal machine learning, dalle macchine cioè che perfezionano la loro resa “imparando” dai dati via via raccolti e analizzati;

– la terza direttrice di sviluppo è l’interazione tra uomo e macchina, ovvero delle modalità con cui comunichiamo con le macchine, con quali strumenti, interfacce, linguaggi (interfacce touch, sempre più diffuse), e la “realtà aumentata”: per fare un esempio la possibilità di migliorare le proprie prestazioni sul lavoro utilizzando strumenti come i Google Glass;

– inine c’è il settore che si occupa del passaggio dal digitale al “reale”: una volta avuti i dati, analizzati, processati e resi strumento per “istruire” le macchine, l’ultimo passaggio è trovare i modi, gli strumenti per produrre i beni. Essi comprendono la manifattura additiva, la stampa 3D, la robotica, le comunicazioni, le interazioni machine-to-machine e le nuove tecnologie per immagazzinare e utilizzare l’energia in modo mirato, razionalizzando i costi e ottimizzando le prestazioni.

15 McKinsey Digital, Industry 4.0. How to navigate digitization of the manufacturing sector, 2015, in https://www.mckinsey.de/iles/mck_industry_40_report.pdf

Si veda anche: A. Magone, T. Mazali (a cura di), Industria 4.0. Uomini e macchine nella fabbrica digitale, Milano, Guerini e Associati, 2016.

L’economia digitale ha già rivoluzionato e rivoluzionerà ulteriormente l’economia globale in ogni suo aspetto e recherà con sé opportunità economiche e modelli d’impresa assolutamente inediti. L’unica certezza che abbiamo è che, come le precedenti, questa rivoluzione è destinata a cambiare per sempre la società e l’economia mondiali con novità che avranno ripercussioni positive, ma anche negative, sulla vita dei cittadini del mondo.

Le aspettative rispetto agli scenari possibili sono differenti, con luci ed ombre che vengono diversamente evidenziate in funzione delle propensioni dei ricercatori e commentatori di fronte a queste radicali trasformazioni.

Il noto futurologo Jeremy Rifkin, ad esempio, non nasconde una iducia sostanziale rispetto all’evoluzione in atto16. In particolare evidenzia l’importanza, quale effetto della sharing economy, della trasformazione da semplice “consumatore” a “prosumer” (produttore e consumatore), ossia di attore che non solo consuma, ma produce e scambia direttamente beni e servizi beneiciando della riduzione del costo marginale di riproduzione reso possibile dalle tecnologie digitali. Rifkin annuncia la nascita di un nuovo modello di economia fondato sulla condivisione, che ibriderà il modello capitalistico basato sulla proprietà. In particolare, identiica l’Economia Collaborativa come un vero e proprio spazio economico “comune”, dove grazie all’infrastruttura comunicativa di Internet ed ai Big Data generati dall’Internet delle Cose i costi transazionali si stanno avvicinando allo zero: in questo modo si renderebbe possibile il passaggio ad una economia che valorizza la condivisione al posto dello scambio. Inoltre, il passaggio dal possesso dei beni all’accesso alla rete per la soddisfazione dei bisogni signiica la tendenza per un maggior numero di persone a condividere un minor numero di beni, con la conseguenza di una riduzione del numero di nuovi prodotti venduti e contrazione dell’uso di risorse e delle emissioni di gas serra nell’atmosfera. In altri termini, la spinta verso una società a costo marginale zero e verso la sharing economy ci condurrebbe ad una

5. La sida delle trasformazioni delle tecnologie digitali tra aspettative di sviluppo ed “effetti collaterali”

economia più sostenibile ed ecologicamente eficiente.

Tuttavia vi sono anche molte posizioni che additano aspetti di criticità, anche molto acuta, dello sviluppo conseguente alla diffusione delle tecnologie digitali, sia dal punto di vista economico che più in generale socio-politico.

Un punto particolarmente critico riguarda la posizione delle emergenti “aziende-piattaforma”, che starebbero creando in realtà nuove posizioni di monopolio e concentrazione di potere. Secondo Morozov17 , la retorica del “capitalismo delle piattaforme” – con il suo implicito presupposto per il quale queste aziende sono soltanto intermediarie neutrali – è fuorviante. Le aziende che noi riteniamo semplici intermediari si stanno attrezzando per diventare fornitrici di servizi, e offrire quei servizi signiicherà per l’intelligenza artiiciale assumere un ruolo fondamentale. L’obiettivo di molte di queste aziende è proprio offrirci servizi gratuiti o fortemente agevolati al ine di ricavare quante più informazioni personali possibili sui clienti. La giustiicazione convenzionale è che l’obiettivo inale è vendere pubblicità, e quante più informazioni riescono a ottenere tanto più mirate potranno essere le loro inserzioni. Morozov invece indica un altro obiettivo che si sta rivelando molto più rilevante: tutte le volte che lasciamo una scia di informazioni che ci riguardano nelle piattaforme ciò insegna ai loro algoritmi a diventare più intelligenti e soltanto con la raccolta e l’analisi di questi dati tali aziende possono costruire le loro tecniche avanzate di intelligenza artiiciale. Nessuno vi può accedere, fuorché queste aziende, di conseguenza esse possono dettare a tutti, inclusi i governi, termini e condizioni d’uso. Inoltre questi sviluppi hanno già adesso implicazioni occupazionali rilevanti per la rarefazione del coinvolgimento dell’essere umano nelle attività economiche18 .

17 E. Morozov, Come difendersi dai feudatari digitali, 12 settembre 2016, https:// interestingpress.blogspot.it/2016/09/come-difendersi-dai-feudatari-digitali.html.

Più ampiamente: E. Morozov, I signori del silicio, Torino, Codice Edizioni, 2016.

18 A Pittsburgh, Uber sta già immettendo sul mercato auto che si guidano da sole. Il Washington Post, di proprietà di Jeff Bezos che possiede Amazon, ha usato l’intelligenza artiiciale per generare articoli sui Giochi di Rio, abolendo la necessità di avere giornalisti. Google e Facebook hanno assistenti virtuali che fanno afidamento sull’intelligenza artiiciale e riescono a scoprire il nostro tempo libero sulle agende, farci fare acquisti e così via. Tutto questo senza alcun coinvolgimento di esseri umani.

Nodi virtuali, legami informali: Internet alla ricerca di regole

Oltre a questo vi sono, come discusso in altri contributi di questo volume, molti aspetti di criticità che attengono alla sfera della tutela dei diritti messi in gioco dalla pervasività delle tecnologie digitali: la gestione dei dati dei clienti (privacy) e la loro tutela da possibili discriminazioni all’accesso delle piattaforme, i diritti dei lavoratori in un contesto di aumento del lavoro precario legato ai servizi forniti dalle aziende-piattaforma (agency work, outsourcing, crowdsourcing, solo-self-employed), il possibile futuro lavorativo per i low-skilled workers ed i non-digital-natives, il tutto in un contesto di generale tendenza al ribasso degli standard di sicurezza sociale.

Vi è anche un ulteriore aspetto strutturale che merita in chiusura un accenno. La velocità e la profondità dei cambiamenti in corso stanno determinando una crescente divaricazione tra «chi vive un presente molto simile al passato e chi vive in futuro quasi da fantascienza»19. L’aumento della distanza tra tali “avanguardie” e “retroguardie” tende ad accrescersi, soprattutto a seguito della natura esponenziale della velocità dell’innovazione delle tecnologie digitali di cui abbiamo detto all’inizio di questo intervento. È questo probabilmente il problema più importante e di maggiore discontinuità rispetto al passato, che è alla base di effetti pericolosi ed indesiderati sia sotto il proilo sociale che economico e che richiede una capacità di governo che ad oggi risulta, purtroppo, ancora dificile da intravedere.

Bibliograia

– B. Arthur, La natura della tecnologia, Torino, Codice Edizioni, 2011.

– A.A.V.V., The Platirm Age, in Harvard Business Review Italia, 2016, 7/8. – A. Bhimani, M. Bromwich, Management Accounting: Retrospect and Prospect, Oxford, CIMA, 2010.

– E. Brynjolfsson, A. McAfee, La nuova rivoluzione delle macchine, Milano, Feltrinelli, 2015.

– M. Cosenza, Internet of Things, a che punto siamo?, in Wired.it, 17 ottobre 2014.

S. Quintarelli, Governare le tecnologie, in Il Sole 24 Ore, suppl. Domenica del 4 settembre 2016.

D. Dalli, R. Lanzara, La servitization dei prodotti, in L. Cinquini, A. Di Minin, R. Varaldo (a cura di), Nuovi modelli di business e creazione di valore: la Scienza dei Servizi, Milano, Springer, 2011.

– R. Gleed, Business Model Innovation. Paths to Success: Three Ways to Innovate Your Business Model, IBM, March 2009.

– A. Magone, T. Mazali (a cura di), Industria 4.0. Uomini e macchine nella fabbrica digitale, Milano, Guerini e Associati, 2016.

– McKinsey Digital, Industry 4.0. How to navigate digitization of the manufacturing sector, 2015, https://www.mckinsey.de/iles/mck_industry_40 report.pdf.

– Ministero Sviluppo Economico, Piano nazionale Industria 4.0 (2017-2020), http://www.sviluppoeconomico.gov.it/index.php/it/incentivi/impresa/industria-4-0.

E. Morozov, Come difendersi dai feudatari digitali, 12 settembre 2016, https://interestingpress.blogspot.it/2016/09/come-difendersi-dai-feudatari-digitali.html

E. Morozov, I signori del silicio, Torino, Codice Edizioni, 2016.

– M. Morris, M. Schindehutte, J. Allen, The Entrepreneur’s Business Model: Toward a Uniied Perspective, in Journal of Business research, 2005, 58.

– S. Quintarelli, Costruire il domani. Istruzioni per un futuro immateriale, in Il Sole 24 Ore, Milano, 2016.

S. Quintarelli, Governare le tecnologie, in Il Sole 24 Ore, suppl. Domenica del 4 settembre 2016.

J. Rifkin, La società a costo marginale zero, Milano, Mondadori, 2014.

E. Rullani, Economia della conoscenza, Roma, Carocci, 2004.

– C. Sapiro, A. Varian, Informations Rules. A strategic Guide to the Network Economy, Boston, Harvard Business School Press, 1999.

M.W. Van Alstyne, G.G. Parker, S.P. Choudary, Pipelines, Platforms, and the New Rules of Strategy, in Harvard Business Review, 2016.

Consenso al trattamento dei dati personali e analisi giuridico-comportamentale*

Spunti di rilessione sull’effettività della tutela dei dati personali

1. Le ragioni di una ricerca sul consenso al trattamento dei dati personali

In Italia il tema del consenso dal trattamento dei dati personali, sommariamente deinito privacy, è affrontato prevalentemente con una prospettiva metodologica tradizionale dello studio della materia giuridica, vale a dire: 1) considerando come un dato la sua sussistenza, necessità e opportunità; 2) analizzando in modo più o meno critico ma sempre in una prospettiva de iure condito la normativa vigente sia a livello nazionale sia a livello europeo e internazionale, accentuando con contenuti inopportunamente ideologici le diversità di approccio USA/EU; 3) insistendo sui concetti di chiarezza e consapevolezza delle informative a più livelli di fruibilità e di somministrazione.

Nelle analisi menzionate manca del tutto – o quasi – una consapevolezza delle differenti articolazioni che il tema assume in relazione alla fattispecie concretamente esaminata e al tipo di “dato” oggetto della richiesta di trattamento (es.: la richiesta di consenso al trattamento dei propri dati sanitari posta all’ingresso di una sala

* Lucilla Gatt ha scritto i paragrai 1, 2, 3 e 8; Roberto Montanari i paragrai 4 e 5; Ilaria A. Caggiano i paragrai 6 e 7.

Nodi virtuali, legami informali: Internet alla ricerca di regole

operatoria appare diversa dalla richiesta di consenso al trattamento di un dato relativo ai propri gusti musicali posta all’apertura di un’APP per scaricare canzoni dal web che a sua volta appare ancora diversa rispetto alla informativa alla video-ripresa della propria immagine posta all’ingresso di una farmacia dotata di telecamere in cui si è entrati per comperare un farmaco magari di fascia A).

Del pari appare mancante, o quantomeno deicitaria negli studi suddetti, la consapevolezza sul funzionamento effettivo e potenziale di un qualsiasi device in grado di porre problemi di c.d. privacy, così come manca un’attenzione ai comportamenti degli utenti che concedono il proprio consenso al trattamento dei dati personali nonché – ancor più gravemente – una valutazione del grado di tutela effettiva degli utenti che operano nel mondo digital e non-digital, avendo riguardo alla vigente normativa1 .

2. Le ragioni della scelta di un metodo ibrido di indagine e il rapporto possibile tra tecnologia e ricerca giuridica

Con il Progetto Privacy and the Internet of Things: a behavioural and legal approach, commissionato da un importante partner tecnologico, il Living Lab Utopia2, istituito presso il Centro di Ricerca di Ateneo

1 Le considerazioni espresse nel testo sono indicative di un generale atteggiamento della dottrina italiana. Non mancano voci che dedicano particolare attenzione ad aspetti più problematici sul tema della protezione dei dati personali. In questo ilone e con particolare riguardo al rapporto tra tutela della privacy e tecnologia vi è, ad esempio, G. Comandè, Tortious Privacy 3.0: A Quest for Research, in Essays in Honour of Huldigingsbundel vir Johann Neethling, LexisNexis, 2015, 121 ss., ma v. infra anche nota 3.

2 Il Living LAB_Utopia sviluppa itinerari di ricerca sulle possibili interazioni tra diritto e nuove tecnologie. Dotato delle più moderne strumentazioni tecnologiche, Utopia è luogo di cooperazione e collaborazione tra esperti e ricercatori, in ambito giuridico e tecnologico, nel segno della ricercata interrelazione tra saperi. I temi affrontati dal gruppo di ricerca giuridica di Utopia sono diversi. A titolo esempliicativo si segnalano: tutela dei dati personali nell’era della informatizzazione, responsabilità civile e dispositivi automatici, sistemi aerei a pilotaggio remoto (SAPR) e responsabilità civile, biodiritto e biotecnologie, tutela delle invenzioni biotecnologiche e brevettabilità del vivente, diritto, computazione e simula-

Consenso al trattamento dei dati personali...

Scienza Nuova, ha inteso proporre un diverso metodo di studio del tema, ispirandosi ad un modello diffuso in area anglo-americana, in cui l’analisi dei dati normativi è strettamente connessa se non, più propriamente, condizionata da un’analisi preliminare e/o contestuale dei comportamenti degli utenti nell’interazione con device il cui utilizzo pone un problema di autorizzazione/consenso al trattamento dei dati personali3 .

Le ragioni di questa scelta metodologica vanno ricercate, da una parte, nella presa d’atto dell’incidenza della tecnologia sulle categorie giuridiche tradizionali (come sta avvenendo esemplarmente con riguardo ai settori robolaw e automotive liability) nonché delle ricadute della c.d. neurolaw. Dall’altra nella consapevolezza di dover proceder ad un’analisi, per così dire, tecnologica delle norme vigenti in quanto esse sono volte a disciplinare realtà la cui modalità operativa ed i cui sviluppi rappresentano sia dei presupposti conoscitivi necessari per la conigurazione delle norme stesse sia degli elementi di valutazione della loro effettiva capacità di tutelare determinati soggetti ed interessi.

Sì è voluto, poi, tentare di andare oltre l’orientamento della ricerca giuridica dagli anni ’70 ad oggi, orientamento che appare più circolare che lineare, presentandosi come riproposizione ad ininitum degli stessi temi, trattati dai ricercatori, pur di scuole diverse, con metodo afine se non identico. Tali ricerche, dunque, si rilevano, di frequente, incapaci di pervenire a risultati scientiicamente rilevanti nel senso di originali.

L’assunzione di una tale prospettiva induce a valorizzare gli aspetti di effettiva originalità (alias avanzamento rispetto allo stato dell’arte) di un’attività di ricerca, considerando la possibilità di affermare l’idea di “risultato scientiico” (cioè di punto di arrivo di una attività di

zione, Online Dispute Resolution (cd. O.D.R), neuroscienze e diritto (cd. neurolaw), eredità digitale, start-up e trasferimento tecnologico.

3 Ex multis, Acquisti, Privacy, in Riv. pol. econ., 2005, 319; D.J. Solove, Privacy

Self-Management and the Consent Dilemma, in Harv. Law Rev., 2013, 126, 1880;

A. Mantelero, Personal Data for Decisional Purposes in the Age of Analytics: From an Individual to a Collective Dimension of Data Protection, in Computer Law & Security Rev., 2016, 32, 238-255; L.J. Strahilevitz, Toward a Positive Theory of Privacy Law, in Harv. Law Rev., 1999, 113, 1; F. Borgesius, Informed Consent: We Can Do Better to Defend Privacy, in IEE, 2015, 13, 103-107; Id., Behavioural Sciences and the Regulation of Privacy on the Internet, Amsterdam, in Law School Research Paper, 2014, 54.

ricerca dal quale partire per una ricerca ulteriore e diversa) presente in altre branche del sapere4 e che, invece, appare decisamente opaco in area umanistica, con speciico riguardo a quella giuridica.

Si è inteso, poi, sviluppare una maggiore consapevolezza del ricercatore circa il contributo da apportare all’effettivo sviluppo della rilessione giuridica, attraverso la proposizione di problematiche e relative soluzioni realmente funzionali alle esigenze della società contemporanea. Si è, anche, desiderato conferire alla ricerca, almeno in potenza, una rilevanza internazionale, dialogando, anche sul piano metodologico oltre che tematico, con altri ordinamenti che potrebbero, quindi, avere interesse ai risultati di codesto studio.

Inine, la peculiarità metodologica dello studio che si va ad esporre sta a nell’aver considerato la tecnologia, in senso lato, da un doppio punto di vista, vale a dire come oggetto dello studio prescelto e come strumento per la conduzione del medesimo.

3. Segue. Analisi normativa ed indagine sperimentale in materia di consenso al trattamento dei dati personali

Più speciicatamente la ricerca intrapresa intende misurare la consapevolezza e sensibilità degli utenti nei confronti della privacy (nell’accezione di richiesta di consenso al trattamento dei dati) nell’interazione con un sistema interattivo installato su device in Italia.

Ciò allo scopo di veriicare come la normativa italiana (e, in prospettiva, quella europea), incentrata sul consenso, e attuata in questo sistema interattivo, sia tale da supportare un certo grado di tutela effettiva degli utenti con riguardo al trattamento dei dati personali e, ancor prima, se sussistono realmente problemi di tutela per gli utenti con riguardo ai loro dati personali (quantomeno ad alcuni), là dove la richiesta di trattamento avvenga in ambiente digital.

È superluo rilevare che tale indagine, pur circoscritta, abbia, comunque, valore esempliicativo se non, addirittura, esemplare, considerato il grado di omologazione raggiunto nel funzionamento di software e device.

Consenso al trattamento dei dati personali...

Va, poi, sottolineato che l’imitazione della metodologia già utilizzata negli studi stranieri è stata, soltanto, parziale in quanto il tipo di indagine che il Gruppo di ricerca ha tentato (e sta tentando) di porre in essere è caratterizzato da una effettività sperimentale che appare mancante negli studi menzionati. Si è, infatti, scelto un campione di utenti5 numericamente molto inferiore rispetto a quello utilizzato dalle già svolte analisi comportamentali in materia di privacy e sono stati adottati un Protocollo sperimentale e un Questionario articolato in due macro-sezioni (una parte legal e una behavioral) molto dettagliati e, dunque, complessi che hanno richiesto almeno un anno e mezzo di sperimentazioni prima di poter giungere all’analisi di una quantità suficiente di dati in quanto ogni esperimento ha una durata di circa un’ora.

A ciò si aggiunga l’impiego di strumentazioni di alta tecnologia che consentono l’attuazione di metodi come l’eye-tracking. Per esaminare le modalità di prestazione del consenso al trattamento dei dati personali ovvero, più precisamente, per veriicare le azioni degli utenti riguardo ai setting privacy durante l’interazione con il supporto informatico, le dimensioni che si sono sottoposte alla valutazione sono: attenzione (analizzabile attraverso rappresentazioni graiche di heatmap); tempo di esecuzione dei task; ordine di lettura all’interno delle schermate (grazie alle sequenze di gaze plot); consapevolezza e conoscenza della materia di privacy; usabilità.

Attraverso questa analisi pluristrumentale sarà possibile veriicare, tenendo conto della diversità dei dati, se il singolo, cui si riferiscono i dati personali oggetto di potenziale trattamento, sia in grado di comprendere, ovvero sia, nell’atto in cui gli viene somministrata l’informativa o in cui presta il consenso, realmente interessato a conoscere le informazioni che gli vengono fornite e se percepisce tale mancata comprensione come una mancanza di tutela. Tutto ciò considerando anche l’ambiente digital in cui tali operazioni avvengono nonché il device con cui determinate scelte sono poste in essere.

5 Tale campione è rappresentativo della popolazione italiana per età, professione, livello di reddito, livello culturale, livello di capacità di interazione con ambienti digitali e supporti informatici.

Nodi virtuali, legami informali: Internet alla ricerca di regole

La prospettiva metodologica adottata è quella dell’interrelazione del diritto con l’analisi del comportamento, sulla scorta della psicologia cognitiva, con lo scopo di veriicare i risultati di quest’ultima nel dominio giuridico. L’indagine si articola, dunque, in due fasi: una a carattere fortemente sperimentale, fondata sull’esame complesso del rapporto tra utente e tecnologia nonché sull’impiego del suddetto Questionario e nella raccolta ed elaborazione dei dati in formato digitale; un’altra a carattere analitico, fondata sull’esame e sul commento dei dati raccolti nel quadro della normativa vigente in materia di privacy sia a livello nazionale sia a livello europeo in una prospettiva de iure condendo.

In estrema sintesi, si è assunta una prospettiva funzionale di analisi normativa che consente di valutare l’eficienza giuridica delle scelte (essenzialmente fondate sul c.d. consenso) sino ad oggi poste in essere a livello legislativo in materia di tutela dei dati personali, avvalendosi dell’Analisi comportamentale (A.C.) e dell’Analisi del dato applicato (A.G.).

4. Consenso al trattamento dei dati personali e analisi comportamentale (A.C.)6

La parte di analisi comportamentale ha riguardato il coinvolgimento di un campione di utenti, proilato secondo diversi gradi di conoscenza in relazioni ai temi di indagine, ossia alcuni a conoscenza di aspetti collegati alla privacy anche dal punto di vista legale, altri sostanzialmente ignari, sebbene a conoscenza del tema della riservatezza dei dati per il peso sociale che l’argomento ha. Il campione è stato composto da individui volontari provenienti dall’Università Suor

6 Si ringrazia per il contributo nella predisposizione dei materiali della ricerca e per la gestione degli esperimenti la Dottoressa Federica Protti. Si ringraziano per il lavoro di conduzione degli esperimenti, sin dall’inizio, Andrea Castellano ed Emanuele Garzia. Per la sola parte inale, l’esperimento si è avvalso anche del contributo di Vincenzo Pascale, Marianna La Rocca, Ilenia Nigro, Valentina Platella, Marcella Capizzuto, Raimondo Casaceli. Un ringraziamento particolare, per lo studio preliminare, la predisposizione dei questionari della ricerca, l’organizzazione dell’esperimento va alla dott.ssa Maria Cristina Gaeta, al not. Doriana De Crescenzo e all'avv. Anita Mollo.

Orsola Benincasa, tra cui vi sono studenti, docenti e personale non docente, oltre a persone sempre volontarie provenienti dall’esterno. La struttura del test fatto con gli utenti ricalca i cosiddetti test di usabilità7, ossia un’esperienza di analisi controllata in cui si chiede al campione di eseguire alcuni compiti (i.e. operazioni da svolgere sul sistema interattivo presumibilmente familiari per gli utenti), a valle dei quali si raccolgono dati che mettono in evidenza situazioni relative all’uso dello strumento, alla comprensione dell’esperienza in termini di interazione, al grado di consapevolezza circa quanto è stato fatto e agli errori commessi in modo più o meno sistematico. In relazione all’esperienza svolta nel progetto qui presentato, si è operato al ine di comprendere sia aspetti di usabilità legati all’uso del sistema interattivo (ossia eficacia, eficienza e soddisfazione espressa durante l’uso), sia il grado di consapevolezza che il sistema consente di ricavare da parte degli utenti nell’uso consapevole dei propri dati personali, utilizzando misure qualitative che quantitative.

dei dati: obiettivi, materiali, metodo, risultati

I compiti eseguiti da parte degli utenti hanno riguardato aspetti relativi al set up del sistema interattivo, l’attivazione di alcune funzionalità collegate e soprattutto la richiesta di operare rispetto ai requisiti di privacy proposte dal sistema e in coerenza con i requisiti di legge. In particolare, si voleva osservare in questo ambito quale fosse i comportamenti degli utenti e confrontarlo rispetto alle indicazioni espresse in materia di privacy.

Quanto invece alle variabili dipendenti sottoposte ad analisi, oltre al questionario sugli aspetti di comprensione delle problematiche legali di cui si dirà in seguito, vi sono di pertinenza principalmente ergonomica:

- Raggiungimento dell’obiettivo, comprendendo se ed in che modo l’utente completa l’attività assegnata;

7 Per un ragguaglio metodologico si veda: http://www.usabile.it/212003.htm

5. Segue. La conduzione dell’attività sperimentale, la raccolta e l’analisi

Nodi virtuali, legami informali: Internet alla ricerca di regole

- Eficienza dell’attività, in particolare il tempo necessario per portarla a termine;

- Attenzione degli utenti durante l’interazione con il sistema, rilevata attraverso dispositivo di eye-tracking e in particolare la costruzione delle heatmap;

- Ordine di lettura all’interno delle schermate, rilevato mediante il gaze plot consentito dall’eye-tracking;

- Livello di consapevolezza dell’utente nel momento in cui effettua la prestazione del consenso al trattamento dei dati personali;

- Percezione dell’usabilità da parte degli utenti al termine delle attività.

La ricerca ha assunto un carattere molto articolato e complesso, richiedendo l’utilizzo combinato di diversi metodi di rilevazione. In particolare sono stati utilizzati:

- Rilevazione di aspetti legati alla performance quali tempi di esecuzione, grado di eficacia dei compiti, etc.

- Eye-tracking, ovvero il ricorso ad un sistema portatile di rilevazione dei movimenti oculari;

- Questionari, necessari per la proilazione del campione rispetto ad aspetti socio-graici, alle competenze giuridiche, alla percezione dell’usabilità e a valutazioni nelle materie legali oggetto dello studio;

- Thinking-aloud, ossia la raccolta delle valutazioni estemporanee ma molto utili in quanto contestualizzate ed effettuate dagli utenti durante lo svolgimento delle attività di sperimentazione.

In sintesi, la fase sperimentale intende esaminare e valutare le modalità di interazione dei soggetti e il loro livello di consapevolezza (awareness) durante l’esecuzione di alcuni compiti con il supporto tecnologico in esame, specie nei casi in cui emergono scelte di impostazione della privacy alla luce della vigente normativa italiana.

In questo senso, questa analisi fornisce supporto ed elementi all’analisi giuridica. Come verrà dettagliatamente descritto e discusso nel prossimo paragrafo, per esempio, con gli strumenti di analisi della performance è stato possibile rilevare il ridotto numero di soggetti che ha disabilitato la funzione “Installazione veloce” o l’altrettanto

limitato numero che non ha letto l’informativa sulla privacy quando proposta durante il task da parte dell’interfaccia utente. Dal punto di vista interazionale questo dato potrebbe aprire il campo ad attività di riprogettazione dell’interfaccia stessa basata sui riscontri degli utenti, preigurando in tal senso scenari di miglioramento per i dispositivi interazionali incaricati di proporre e presentare le informazioni in materia di privacy, arricchendo con una componente ergonomico-interazionale i recenti approcci della c.d. privacy-by-design.

Allo scopo di fortiicare l’analisi con evidenze più accurate viene impiegato – oltre ai riscontri basati su azioni e performance degli utenti – uno strumento innovativo come l’eye-tracking che consente l’esame dei comportamenti oculo-motori in termini di numero, tempo e durata delle issazioni, tempo impiegato per elaborare le informazioni su un’area issata, identiicazione delle mappe di interesse per osservare dove l’attenzione si concentra maggiormente, individuazione dei percorsi visivi creati dagli utenti e frequenza dei ritorni su porzioni già viste. Questi dati saranno esaminati in dettaglio nella fase successiva dell’esperimento e comparati con i dati performance relativi all’eficacia ed eficienza delle operazioni eseguite, cosi come alla valutazione dell’esperienza interazionale compiuta.

6. Analisi giuridica (A.G.) dei risultati parziali dell’analisi comportamentale: introduzione

Come già illustrato, la ricerca condotta si pone in linea di continuità con modelli e metodi di indagine sull’informativa e sul consenso al trattamento dei dati personali già presente nella letteratura straniera e pluridisciplinare.

Va tuttavia speciicato, con riguardo alla metodologia e in particolare all’incidenza dell’analisi comportamentale, che il presente studio non utilizza i risultati, derivanti dall’osservazione del comportamento dei soggetti, all’interno di un modello economico di analisi della normativa (come normalmente avviene nell’ambito dell’analisi economica comportamentale) ma si è proposto di interpretarli secondo la loro rispondenza al comportamento che la previsione normativa intende incentivare al ine di realizzare speciici bisogni di tutela.

Ciò al ine di fornire un quadro valutativo dell’effettività della tutela del singolo utente-persona isica, considerato anche in relazione alla posizione rispetto ai soggetti imprenditoriali che operano sul mercato dei dati personali.

Con la formulazione di apposite domande, che tengono conto di una serie di variabili, l’esperimento ha inteso testare il grado di eficienza della “espressione del consenso al trattamento dei propri dati personali” quale forma di esercizio del diritto del singolo alla protezione dei dati personali, come conigurato nella normativa nazionale ed europea in materia8 .

Qui di seguito si proveranno ad illustrare i risultati relativi ai primi 12 soggetti, sottoposti all’espletamento del test successivamente al pilota (pilot). Si tratta di risultati assolutamente preliminari che non consentono di giungere a conclusioni signiicative sui risultati complessivi dell’esperimento.

La lettura proposta consiste solo in un tentativo iniziale rispetto ad alcuni degli item esaminati, ma nessuna conclusione a veriica dell’ipotesi di ricerca può esservi fatta con caratteri di deinitività. I dati analizzati, per quanto non signiicativi, hanno quindi la funzione di fornire alcune iniziali rilessioni sull’oggetto della ricerca.

La somministrazione dell’esperimento, ino alla data della presentazione, è stata effettuata su 43 soggetti9, di cui:

- 12 sono stati testati per il test pilota;

- 12 per il test inale, i cui risultati sono oggetto di commento nella presentazione;

- 19 test sono stati condotti e saranno oggetto di ulteriore valutazione.

Va peraltro precisato che la composizione del campione sottoposto all’esperimento necessiti di essere integrata, essendo la sezione inora scrutinata composta principalmente da giovani (di età compresa tra i 18 e i 24 anni) la maggioranza dei quali dichiarano di aver ricevuto una formazione in ambito giuridico, o al limite di avere una certa

8 Si utilizza il termine “eficienza” nel senso di capacità di rispondenza, veriicata in action, della normativa ai bisogni di tutela che la medesima intende tutelare.

9 Alla data in cui viene consegnata la trascrizione dell’intervento, l’esperimento è stato ultimato, sul campione preissato.

familiarità con argomenti di carattere giuridico e con la tecnologia.

7. Segue. Alcuni esempi e criticità varie

Alcune considerazioni sull’aggregazione dei dati raccolti possono essere poste sul tavolo della discussione sin da ora. In generale, può notarsi come, già con riguardo alla sezione di campione analizzata (come detto, composta da giovani millenials), sia possibile rilevare una contraddittorietà tra comportamento e dichiarazioni d’interesse (nella proilazione), con riguardo ad argomenti di privacy e tecnologia.

La maggioranza del campione dichiara di aver molto interesse alla protezione dei propri dati e, anche quando il campione è stato richiesto di porre a confronto la protezione dei dati personali e la sicurezza, la maggioranza tende a preferire la prima rispetto alla seconda [si veda infra Tavv. 1 e 2].

1. Tuttavia, solo una minima percentuale (16%) ha disabilitato la funzione di “Installazione veloce” [Tav. 3]10 .

2. In relazione al compito di modiicare l’impostazione di privacy e sicurezza scelta, o automaticamente predeinita, al momento dell’installazione, il 58% del campione non legge l’informativa privacy, pur trovandosi in una situazione indotta. In ogni caso, il 100% di questa sezione del campione modiica comunque le impostazioni privacy. Il dato rivela come possa non esservi un collegamento tra informativa e autodeterminazione dell’utente [Tav. 4]11 .

3. Dalla veriica analitica delle opzioni privacy modiicate, vi sono

10 Va precisato, tuttavia, che il 50% del campione dichiara di non comprendere che essa implichi una scelta nella impostazione dell’accesso ai dati personali.

11 Peraltro, quanto ad autovalutazione della capacità di gestire i propri dati personali, i 2/3 del campione auto-valutano sé stessi in grado di gestire i propri dati, sebbene questo dato sia poi contraddetto in risposte a domande di carattere più generale, e la quasi totalità (90%) ne riconosce l’utilità. Questo, come altri dati parzialmente contraddittori, sarà oggetto di maggiore approfondimento negli appositi Focus Group, condotti da uno psicologo, in cui i soggetti saranno chiamati a meglio spiegare alcune delle loro scelte. I Focus Group costituiscono l’ultima fase dell’esperimento.

Nodi virtuali, legami informali: Internet alla ricerca di regole

quelle di geo-localizzazione e le informazioni date al software di assistenza e riconoscimento vocale e graia, pur in precedenza valutate come di certa utilità o pienamente utili dai medesimi soggetti. Complessivamente, il 75% del campione aveva, in un quesito precedente, espresso un giudizio di una qualche positività o totalmente positivo, in termini di utilità, proprio delle funzioni di rilevamento posizione e riconoscimento vocale12 .

4. Sul presupposto che risultati deinitivi non possano essere inferiti dai dati in commento, è possibile avanzare le seguenti considerazioni.

Dalle risposte raccolte e dai comportamenti osservati, si rileva una generale tendenza a prediligere la scelta operativa che implichi la modalità più semplice e breve.

Con speciico riguardo alla comprensione dei passaggi relativi alla informazione e gestione sul trattamento dei dati nel contesto analizzato, molti di questi non vengono compresi sebbene possa rilevarsi, da parte dei soggetti analizzati, la percepita consapevolezza di una autonoma capacità di controllo e modiica delle opzioni di trattamento (setting privacy).

L’esperimento, sebbene nella sua fase iniziale, evidenzia come anche coloro che dichiarano di aver interesse per la protezione dei propri dati personali (supra n. 1), di regola non prestano attenzione o, in ogni caso prescindono dall’informativa sulla privacy, anche in un ambiente non naturale (l’esperimento) ove i soggetti sono espressamente richiesti di eseguire il compito. Le decisioni in materia di consenso al trattamento dei dati personali prescindono totalmente dai giudizi più generali sulle attività cui il trattamento dei dati è funzionale e sulle scelte in proposito, nonché sul tenore stesso dell’informativa13. Questo contrasto può indurre a meglio rilettere

12 Per quanto riguarda l’attivazione del software di assistenza con funzioni di Assistente digitale personale, il campione è piuttosto equamente diviso tra coloro che comprendono che i propri dati personali verranno utilizzati (58%) e la restante parte che risponde negativamente.

13 Si valuti in proposito come la risposta sul grado di comprensione dell’informativa non appaia, per ora, discriminante, collocandosi il 50% del campione sul livello intermedio (il 3 in una scala da 1 a 5) di valutazione sulla chiarezza della informativa e un ulteriore 30% su una valutazione di apprezzamento positivo o

Consenso al trattamento dei dati personali...

su quanto, in media, l’astratta propensione del singolo sulla propria privacy (recte sul trattamento dei propri dati) possa incidere sulle decisioni riguardanti il compimento di attività quotidiane, considerando altresì i casi di necessità del trattamento, per talune di queste attività, come può avvenire in ambiente digitale.

Il riscontrato atteggiamento verso la lettura o consultazione dell’informativa privacy nonché il più generale collegamento con le singole attività cui il trattamento afferisce può indurre a considerare come il miglioramento delle modalità di redazione e della chiarezza dell’informativa, che pure rappresenta un costante obiettivo delle politiche comunitarie e nazionali anche attraverso le autorità di controllo, ragionevolmente non sia destinata a produrre signiicativi cambiamenti nel grado di consapevolezza degli utenti.

In verità, l’ineficacia dei warnings in materia di privacy è stata approfonditamente dimostrata da studi di analisi economica e comportamentale14, tenendo anche conto dell’argomento dei dati aggregati, cioè del numero degli enti che raccolgono e utilizzano dati personali, specialmente in ambiente digitale, il quale rende impossibile per l’individuo gestire e controllare l’utilizzo dei propri dati personali, i quali vengono a riguardare – nella sostanza – ogni attività della vita del singolo15. Tali studi rivelano che, in modo più o meno consapevole, l’informativa non è letta e pertanto il consenso prestato non è consapevolmente fornito.

Come detto, l’esperimento condotto, quindi, in linea con questa letteratura intende analizzare, con un setting sperimentale relativamente più complesso e in un ambiente indotto, il comportamento degli utenti in materia di informativa e impostazioni privacy e veriicare quanto i tentativi di intervento normativo che mirano di potenziare la libertà di scelta dell’individuo (i.e. attraverso il miglioramento dell’informativa) siano prospetticamente in grado di realizzare tale scopo.

pienamente positivo.

14 O. Ben-Shahar, A.S. Chilton, Simpliication of Privacy Disclosures: An Experimental Test (April 13, 2016), in University of Chicago Coase-Sandor Institute for Law & Economics Research Paper, 737, disponibile su SSRN: https://ssrn.com/abstract=2711474 o http://dx.doi.org/10.2139/ssrn.2711474 e in The Journal of Legal Studies, 45 b, 52, 541-567.

15 D.J. Solove, Privacy Self-Management, cit.

Nodi virtuali, legami informali: Internet alla ricerca di regole

Vi è, a completamento della lettura degli iniziali dati raccolti nell’esperimento (ovvero dell’A.C.), la valutazione, sul piano interamente dell’analisi giuridica (A.G), del grado di tutelabilità per il singolo della situazione giuridica riconosciuta rispetto ai propri dati personali, cioè dell’effettivo pregiudizio derivante da una violazione della normativa di protezione dei dati personali.

Questo accostamento è funzionale a veriicare, accanto degli strumenti di tutela ex ante per l’individuo persona isica (come l’espressione del consenso), il livello di effettività della tutela ex post, rappresentata, sul piano civilistico, dal risarcimento dei danni per lesione della cd. privacy (art. 15 cod. privacy e art. 82 GDPR)16. La giurisprudenza, in proposito, è scarna17 e in ogni caso non univoca. Dai provvedimenti di rigetto delle richieste risarcitorie si rileva, in via preliminare, ove non derivante da questioni procedurali, una dificoltà a ottenere ristoro per la lesione dei dati personali, non risultando nella maggior parte dei casi suscettibile di prova (recte giuridicamente rilevante) il pregiudizio subito, ove esso non riguardi il diritto alla riservatezza in senso stretto18 .

8. Interazione

tra A.G. e A.C. e prospettiva funzionale delle norme con conseguenti aperture verso modelli di tutela dei dati personali alternativi al consenso

Con la conclusione della fase sperimentale sarà avviata una analisi completa e approfondita di tutti i dati raccolti ma già dall’analisi parziale – come sopra illustrata – emergono validi elementi utili

16 G. Comandè, sub art. 15 (danni cagionati per effetto del trattamento), co. 1, in C.M. Bianca, F. Busnelli (a cura di), La protezione dei dati personali – Commentario al D.lgs. 30 giugno 2003, n. 196 (“Codice della privacy”), Padova, CEDAM, 2007, 362 ss.

17 Si registrano 106 risultati a partire dall’entrata in vigore del d.lgs. 196/2003 [fonte DeJure].

18

In proposito, Cass., sez. III civ., 05.03.2016, n. 4443, in DeJure: «Dalla violazione della normativa sul trattamento dei dati personali non deriva automaticamente un danno risarcibile ma deve essere data la prova del pregiudizio subito alla propria immagine».

all’elaborazione un ipotetico scenario economico-giuridico che sia diretta conseguenza dello sviluppo tecnologico in atto dove il trattamento dei dati personali non dipenda – quantomeno non sempre – dal consenso dell’utente persona isica.

L’indagine in qui condotta evidenzia i limiti del consenso preventivo sia perché reso inconsapevolmente sia perché – anche quando è reso consapevolmente – non si traduce in un effettivo impedimento alla dannosità del trattamento per la persona dell’utente, dannosità che continua a potersi veriicare. Al contrario, la prestazione del consenso potrebbe avere un effetto distorsivo perché esso viene prestato senza che l’utente abbia cognizione degli strumenti di tutela ex post ed anzi sulla base della convinzione che la sola concessione del consenso elimini a priori la possibilità stessa di una lesione.

In altre parole il consenso preventivo genera nell’utente, certamente, una comprensione non univoca e probabilmente un falso convincimento.

A ciò si aggiunga che l’ambiente digital ed il supporto tecnologico utilizzato, vale a dire, in senso lato, il contesto di interazione uomo-macchina necessario per lo svolgimento di determinate attività volute dall’utente nonché il funzionamento in senso tecnico del device in tutte le sue componenti19, rappresentano un punto di partenza imprescindibile per misurare l’eficienza del dato normativo che non sarà mai elevata là dove esso consista in regole “non compatibili” nel senso di non adeguate al suddetto contesto e al suddetto funzionamento.

La sperimentazione condotta e le analisi giuridico-comportamentali dei dati raccolti evidenziano, in da ora, l’ineficienza di una tutela ex ante che si sostanzi in un divieto di trattamento dei dati (sicuramente di quelli non-sensibili) e fanno propendere per l’ideazione di uno speciale statuto di circolazione (regolamentazione del

19 Il trattamento di alcuni dati personali, in particolari quelli non-sensibili, rappresenta – quasi sempre – un (pre)requisito di funzionamento, in alcuni casi a ini di sicurezza, del dispositivo utilizzato. Si pensi al tutta la questione della c.d. telemetry il cui raggio di azione va ad incidere ineluttabilmente su quello della c.d. privacy, rimettendo in discussioni (apparenti) certezze raggiunte anche e soprattutto a livello di regolamentazione di quest’ultima.

Nodi virtuali, legami informali: Internet alla ricerca di regole

trattamento)

sensibili,

un’ottica

di elaborazione di un rimedio privatistico risarcitorio/restitutorio in funzione di deterrenza ai trattamenti dannosi per l’utente (vale a dire, di un effettiva ed eficiente tutela ex post.

Risposta alla domanda: Quanto è importante per lei proteggere i suoi dati personali quando naviga in Internet?

Tav. 1. Importanza di proteggere i propri dati.

Risposta alla domanda: È più importante preservare la sicurezza del suo PC o preservare la privacy?

Tav. 2. Importanza di preservare la sicurezza del suo PC e la privacy.

quantomeno per dati non

in

inale

Tav. 3. Gestione delle impostazioni di privacy durante l’installazione.

Tav. 4. Gestione impostazioni di privacy.

Il Regolamento UE 2016/679 e la nascita del Data Protection Oficer Valentina Amenta

Per fornire risposte all’evoluzione tecnologica e alla transnazionalità delle questioni giuridiche poste dal mercato digitale europeo in materia di trattamento dei dati personali, il legislatore comunitario, lo scorso maggio, ha emanato il Regolamento n. 679/2016, che abroga la direttiva 95/46/CE.

Tra le novità presenti all’interno del Regolamento vi è l’introduzione del Data Protection Oficer1, che in realtà non è una innovazione novità assoluta, posto che in alcune legislazioni europee tale igura era già presente.

Il DPO è un supervisore indipendente che sarà designato da soggetti apicali sia delle pubbliche amministrazioni sia in ambito privato. Sarà obbligatorio nelle pubbliche amministrazione e negli enti pubblici: in ambito privato, sarà obbligatorio nelle imprese con 250 dipendenti o più e in particolare quando, tenendo conto dell’ambito applicativo, della natura e delle inalità, il trattamento riguarderà un monitoraggio regolare e sistematico di dati personali su larga scala, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili oppure giudiziari.

A seconda del contesto in cui dovrà operare, il DPO si troverà ad affrontare questioni giuridiche e tecniche-informatiche più o meno

1 Cfr. Sezione 4 del Reg. UE 2016/679, rubricata “Responsabile della protezione dei dati”.

Nodi virtuali, legami informali: Internet alla ricerca di regole

complesse, dovendo essere in grado di gestire questioni transnazionali sia all’interno dell’Unione Europea (rectius Spazio Economico Europeo, che come noto include oltre agli Stati Membri dell’EU anche il Liechtenstein, l’Islanda e la Norvegia) sia fuori dalla stessa.

Per ricoprire questo ruolo, il Titolare del Trattamento o il Responsabile del Trattamento potranno avvalersi di un proprio dipendente (che sarà dunque un soggetto interno all’impresa), oppure stipulare un contratto di servizi, afidando pertanto tale ruolo ad un soggetto esterno. Il ruolo del DPO dovrà essere ricoperto dallo stesso soggetto per due anni, rinnovabili. Saranno il Titolare o il Responsabile del Trattamento a dover mettere a disposizione le risorse inanziarie e umane necessarie per l’adempimento dei compiti del DPO.

In deinitiva, il DPO è un professionista con ruolo aziendale (sia esterno che interno) che deve possedere adeguate competenze giuridiche, informatiche, di analisi dei rischi e dei processi. Le sue principali responsabilità, secondo il disposto dell’art. 39 del Regolamento in oggetto, saranno:

a) informare e fornire consulenza al Titolare o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dallo stesso Regolamento e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35 del Regolamento;

d) cooperare con l’Autorità garante per la protezione dei dati personali;

e) fungere da punto di contatto con la stessa Autorità garante per questioni connesse al trattamento.

2. Alla ricerca delle origini della igura del Data Protection Oficer

Se volessimo ricercare le radici storiche di questa igura dovremo spostarci oltreoceano, quando, nell’agosto1999. La società AllAdvantage (sita in California), specializzata in servizi pubblicitari attraverso Internet, investe il proprio avvocato della carica di Data Protection Oficer. Nel giro di pochi anni e quindi sul inire del 2001, 500 aziende americane avevano attribuito il ruolo di Data Protection Oficer ad alcuni dei propri dirigenti. In virtù di questa spinta propulsiva si costituì un’organizzazione di categoria per i “professionisti della privacy”, la International Association Of Privacy Professionals. Questa organizzazione è presente con una sua igura istituzionale anche in Europa, in aggiunta a dei presidi in diversi Paesi del Mondo.

In Europa, si comincia a parlare del DPO con la Direttiva 95/46/CE, che non prevede l’obbligatorietà di tale igura professionale, sebbene alcuni Stati dell’Unione l’avessero già uficializzata.

In attuazione dell’art. 18 della Direttiva 95/46/CE, la Germania e la Slovacchia, che ha praticamente ricalcato la legislazione tedesca, hanno implementato la igura del DPO come obbligatoria (in Austria si stava avviando la procedura per renderlo obbligatorio prima dell’emanazione del nuovo Regolamento). In altri Paesi come Francia, Olanda, Svezia, è invece previsto il DPO ma come igura facoltativa.

L’introduzione della igura del DPO nella legislazione tedesca ha radici lontane. È con la “legge per lo sviluppo dell’elaborazione e della protezione dei dati personali” del dicembre 1990 che si comincia a delineare tale igura. L’art. 36 del Bundesdatenschutzgesetz2, che sancisce la nomina del Data Protection Oficer3, sembra anticipare il nuovo regolamento comunitario, che pare ad esso ispirarsi.

Tra i requisiti che deve possedere un soggetto per diventare DPO, il secondo comma dell’art. 36 del BDSG richiede la necessaria conoscenza specialistica in materia di protezione dei dati, oltre che caratteristiche di afidabilità rispetto al tipo di incarico che lo stesso deve ricoprire.

2 Legge 1990 BGBI.I.S.2954, modiicata nel 2001 e nel 2010.

3 Identiicato come Beauftragter fur den Datenschutz

Nodi virtuali, legami informali: Internet alla ricerca di regole

Nell’organigramma aziendale la sua igura è collocata direttamente dietro al proprietario, al consiglio di amministrazione, all’amministratore delegato o ad un gestore legalmente nominato.

Il DPO è tenuto al segreto sull’identità dell’interessato al trattamento dei dati e anche su ogni informazione che potrebbe rivelarne l’identità, salvo che il soggetto stesso esoneri il DPO da tale obbligo di segretezza.

Naturalmente, l’azienda che ha nominato il DPO è tenuta a fornire ad esso ogni attrezzatura e risorsa necessaria per lo svolgimento delle sue funzioni. In particolare l’azienda o l’ente deve fornire al DPO le informazioni afinché questo possa svolgere al meglio il proprio controllo e possa garantire il rispetto delle leggi. Deve nello speciico fornire un elenco contenente: i sistemi di elaborazione utilizzati per il trattamento, la denominazione ed i tipi di ile contenenti i dati, la tipologia dei dati memorizzati, i motivi collegati all’attività lavorativa per cui si è resa necessaria la conoscenza di tali dati, i destinatari di tali dati ed, inine, l’indicazione di chi è autorizzato ad accedere ai dati.

Sia che il DPO venga scelto tra soggetti interni all’azienda sia che esso risulti esterno, sarà un soggetto indipendente all’interno dell’organizzazione: ciò è quanto si evince dal fatto che gli unici soggetti ai quali sarà tenuto a riferire saranno solo coloro che rappresentano il “più alto livello di gestione”. Questa previsione è presente in tutti gli ordinamenti che hanno in qualche modo previsto questa igura, se ne distacca però la legislazione slovacca che attribuisce al Responsabile del trattamento il compito di formare professionalmente il DPO. Stando alla lettera della legge, dunque, in Slovacchia chiunque può essere nominato DPO, anche senza una formazione speciica che può avvenire in un secondo momento. Quindi non è riscontrabile il grado di indipendenza del ruolo svolto dal DPO. La Slovacchia dovrà provvedere ad un aggiornamento di tale normativa anche perché nel nuovo regolamento comunitario è espressamente previsto che a tutela dell’autonomia e indipendenza del DPO nello svolgimento del proprio incarico, allo stesso non deve essere impartita alcuna istruzione per quanto riguarda l’esecuzione dei compiti di propria competenza.

Il quadro normativo delinea, dunque, il Data Protection Oficer come una igura manageriale (executive manager), di consulenza e controllo, assimilabile, per taluni aspetti e per i requisiti di auto-

nomia e indipendenza, alle funzioni che esercita – sebbene in un diverso contesto – un Organismo di Vigilanza istituito ai sensi della L. n. 231/1991. Il DPO, infatti, funge sia da auditor sia da referente per la protezione dei dati e per la gestione degli adempimenti previsti per il corretto trattamento dei dati personali nel contesto dell’ente pubblico o dell’organizzazione privata in cui opera.

Il nuovo regolamento si distacca dalla legislazione tedesca in merito all’obbligatorietà di tale igura.

Secondo la legislazione tedesca, ripresa anche da quella slovacca, i soggetti pubblici devono obbligatoriamente nominare un DPO se impiegano più di nove persone per elaborare automaticamente i dati o più di venti persone per elaborare manualmente i dati4 .

Inoltre, indipendentemente dal numero di persone occupate ai ini dell’elaborazione automatica dei dati, tutti gli enti non pubblici5 devono implementare tale igura se trattano dati per il loro trasferimento commerciale (ad esempio, gli scambi di indirizzi), per ricerche di mercato, ovvero se trattano dati sensibili (ad esempio, i dati sull’origine razziale o etnica, sulle opinioni politiche, le convinzioni religiose o ilosoiche, l’appartenenza sindacale, la salute e la sessualità) e se compiono attività di proilazione della personalità dell’interessato, a meno che non abbiano ricevuto il suo consenso.

4 Cfr. Sezione 4 Vierter Abschnitt Sondervorschriften, art. 42, Datenschutzbeauftragter der Deutschen Welle: «Die Deutsche Welle bestellt einen Beauftragten f̈r den Datenschutz, der an die Stelle des Bundesbeauftragten f̈r den Datenschutz und die Informationsfreiheit tritt. Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat f̈r die Dauer von vier Jahren, wobei Wiederbestellungen zul̈ssig sind. Das Amt eines Beauftragten f̈r den Datenschutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden […]Der Beauftragte f̈r den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1. Januar 1994 einen T̈tigkeitsbericht. Er erstattet dar̈ber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. Die T̈tigkeitsberichte ̈bermittelt der Beauftragte auch an den Bundesbeauftragten f̈r den Datenschutz und die Informationsfreiheit».

5 Intendendosi per tali le persone giuridiche, le società per azioni o società a responsabilità limitata, le società di persone, le associazioni senza personalità giuridica (ad esempio i sindacati o partiti politici), le persone isiche libere professioniste (ad esempio medici, architetti, avvocati).

Il nuovo regolamento comunitario non prevede distinzione fra elaborazione automatica e non automatica dei dati personali, ma fa ricorso al concetto di “larga scala”, prevedendo la presenza del DPO quando il trattamento riguarderà un monitoraggio regolare e sistematico di dati personali su larga scala. È evidente che assume speciica rilevanza la deinizione del concetto di “larga scala”6, in assenza di precisazioni normative sul numero di trattamenti di dati personali che ne possano integrare il signiicato. Sarebbe forse parso preferibile quantiicare un numero di base, ad esempio, ipotizzare una cifra minima di 500, 1000 o 2000 trattamenti annuali, potenzialmente variabile da uno Stato Membro all’altro.

Al momento, fra gli Stati Membri dell’Unione Europea, solamente alcuni (fra cui Germania, Francia, Belgio, Paesi Bassi, Norvegia, Svezia e Regno Unito) prevedono una raccomandazione circa la nomina di un DPO, ciò ad indicare la mancanza di un’armonizzazione a livello europeo che il Regolamento si preissa di colmare. Vi è comunque il rischio che tale gap legislativo non venga colmato in presenza di concetti non chiariti come quello in esame.

Relativamente alle soluzioni a tale lacuna normativa vi è senza dubbio la possibilità di una deinizione del concetto di “larga scala” da parte delle istituzioni europee oppure un accordo comune da parte degli Stati Membri circa il numero minimo di trattamenti da considerare su “larga scala” sia nei casi di elaborazione automatica che non. Afinché si arrivi ad un’armonizzazione generale del Regolamento, è necessario che tale lacuna venga affrontata al più presto da esperti in materia e istituzioni nazionali ed europee in modo che ogni Stato Membro si possa adeguare alla normativa, senza alcuna necessità di libera interpretazione, prima della vigenza del Regolamento.

6 Cfr. Art. 37, Regolamento UE 2016/679, rubricato “Designazione del responsabile della protezione dei dati”: «Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: […] c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10»

3. Questioni problematiche già emerse

Alcune problematiche legate a questa igura sono già emerse, nella prassi tedesca, a partire dalla sua collocazione nell’organigramma aziendale, che si è già detto potrà essere propria di un dipendente ovvero di un soggetto reclutato dall’esterno.

Nella legislazione tedesca risulta anzitutto palese come non sia richiesta nessuna particolare certiicazione per svolgere l’attività. Una volta nominato, il mandato del DPO dura 12 mesi, rinnovabili e la risoluzione dell’incarico può avvenire solo per “importanti ragioni”. Il licenziamento per “importante motivo” richiede una grave violazione dei doveri contrattuali, come ad esempio la commissione di un reato penale; di conseguenza, molto raramente i tribunali emetteranno una sentenza che accerti l’avvenuta risoluzione del rapporto di lavoro. Proprio per questo, e in assenza di una certiicazione che attesti l’effettiva conoscenza del lavoratore, risulta molto problematico per le aziende tedesche nominare il candidato ideale. Sicuramente, come si evince dal parere del Dusseldorfer Kreis, ossia l’autorità che raccoglie i Garanti tedeschi, si esclude che il ruolo di DPO possa essere assunto dal responsabile delle risorse umane o dei settori di sicurezza e tecnologia aziendale.

In merito, di notevole rilevanza è la sentenza del Tribunale del lavoro superiore regionale dello Stato di Sassonia del 14 febbraio 20147 .

7 Court ruling of the Higher Regional Labor Court of the state of Saxony, February 14, 2014 (3 Sa 485/13):

«The employer – an entity engaged in the provision of IT services – hired the claimant as a “system engineer and consultant” on the basis of an employment agreement, which determined, inter alia, that the employee was to carry out “the tasks of a data protection oficer.” According to the agreement, however, the necessary oficial appointment as DSB would be carried out “at a later stage.”[…]. But things turned out differently: The Company dismissed the employee for low performance within the six month probation period and, in particular, before the oficial appointment took place. Until termination date the employee undisputedly performed the tasks typically assigned to a DSB. This gave rise to a claim for unlawful dismissal iled by the employee who argued that such dismissal was invalid due to his factual activity as DSB. According to the employee, he could not be treated any different solely because of the lack of an oficial appointment; after all, he performed contractual services just like

Nel caso di specie, una società impegnata nella fornitura di servizi

IT aveva assunto l’attore come “System engineer e consulente”, sulla base di un contratto di lavoro che prevedeva tra i compiti speciici anche lo svolgimento dell’attività di DPO. Secondo l’accordo, però, la necessaria nomina uficiale come Data Protection Oficer avrebbe dovuto essere effettuata in una fase successiva. La società ha contestato al dipendente la bassa prestazione entro il periodo di prova di sei mesi e, in particolare, prima della nomina uficiale come DPO (anche se il lavoratore ino alla data di licenziamento aveva indiscutibilmente eseguito i compiti tipicamente assegnati a tale igura).

Il dipendente sosteneva che il licenziamento fosse illegittimo proprio in forza della sua attività di DPO, il cui svolgimento era evidente dai contratti commerciali che egli aveva stipulato e aveva in essere, nonostante la mancanza di formalizzazione da parte della società. an appointed DSB. The refusal of legal protection would unlawfully compromise the required independence of a DSB which is explicitly and strongly protected by the BDSG, and would lead to a circumvention of the rigid protection against dismissal granted to the DSB by German statutory law. If his claim would be denied, it would be in the employer’s sole discretion to postpone the beginning of such protection and to weaken the DSB’s position and the fulilment of his duties. As a result, according to the employee, although his probation had not ended by the time notice was rendered, the performance of the tasks of a DSB would make the dismissal unlawful […]. The Higher Regional Labor Court of Saxony, however, dismissed the employee’s claim and denied him the requested legal protection against dismissals of a DSB. According to the court, the performance of the tasks of a DSB is not an equivalent to the appointment of an employee as DSB; the latter would require the execution of a written document signed by both parties pursuant to Sec. 4 of the BDSG. […] The court did not show any concern that employer and employee can validly agree to carry out the appointment as DSB at a later stage of employment. If the parties decide to take this approach, the statutory protection against dismissal will not be triggered immediately, but only upon oficial appointment as DSB. The court has chosen a very formal, but clear standpoint that allows employers in particular, to agree with an employee that his appointment as DSB shall be conditional upon the survival of the six-month-probation period. Due to the fundamental signiicance of the legal problems dealt with in the court ruling, the court, however, explicitly admitted an appeal to the Federal Labor Court (BAG). It will be now up to the BAG to further develop their case-law in the ield of data protection law which continues to have a growing effect on German employment law».

Il Tribunale del Lavoro d’appello della Sassonia, tuttavia, ha respinto la domanda del dipendente. Secondo il giudice, l’esecuzione dei compiti di un DPO non è un equivalente alla nomina di un dipendente come DPO (quest’ultimo richiede infatti la redazione di un documento scritto irmato da entrambe le parti ai sensi della Sezione

4 della BDSG). Il Tribunale ha adottato, per la soluzione del caso, un punto di vista molto formale e non sostanziale, aprendo la strada alla possibilità dei titolari del trattamento di pattuire un accordo con un dipendente e subordinando la nomina come DPO al superamento del periodo di prova.

Per determinare la responsabilità dei DPO è necessario, quindi, distinguere tra soggetti interni ed esterni. In caso di una violazione da parte di funzionario, si applicheranno – seppure con alcune problematicità – le disposizioni del diritto del lavoro. In questa situazione, le aziende potranno licenziare i DPO solo se gli stessi hanno commesso illeciti intenzionalmente o con negligenze gravi.

Nel caso in cui il titolare scelga una igura esterna all’azienda, lo stesso mantiene l’eventuale responsabilità per violazione della normativa sulla protezione dei dati, non potendo liberarsi da questa situazione per effetto della nomina di un DPO che la commissione di un danno rivela non essere stato suficientemente istruito.

4. Il DPO e il sistema di certiicazione

Questo problema può essere superato con l’introduzione delle certiicazioni. Nelle legislazioni dove il DPO è facoltativo, come quella francese e olandese, possono essere chiamati a svolgere la funzione di DPO solo i soggetti autorizzati da apposite certiicazioni, che ne comprovano la professionalità.

Le certiicazioni sono rilasciate da enti terzi indipendenti e imparziali accreditati ai sensi della norma internazionale UNI CEI EN ISO/IEC 17024. In Francia un organismo certiicatore è TÜV SÜD France Sas. Infatti, grazie agli accordi internazionali di mutuo riconoscimento che l’Agence d’accréditation pour l’enseignement supérieur et le Conseil d’accréditation e dal 2008 il Cofrac, hanno stipulato con gli altri enti di accreditamento europei (EA- European Cooperation for Accreditation), queste certiicazioni godono di un riconoscimento internazionale che ne assicura la piena validità in tutti i principali

Nodi virtuali, legami informali: Internet alla ricerca di regole

mercati del mondo. Oltreoceano, questo sistema di misurazione è in effetti utilizzato già da diversi anni, ad esempio IAPP ha sviluppato negli USA un proprio sistema di certiicazione per igure quali l’Information Privacy Manager (CMP) e l’Information Privacy Professional (CIPP), mentre in Canada i professionisti della Data Protection si possono accreditare come Certiied Privacy Oficer presso l’Order of Privacy Oficers.

È chiaro come l’introduzione di igure “certiicate” serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO, appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto consenta di formare soggetti specializzati ed esperti, costantemente aggiornati sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela dei dati personali adeguato. Il tutto in linea con l’importanza, la diffusione e la complessità che l’ambito della protezione dei dati personali (soprattutto in campo digitale e tramite web) sta sempre più acquisendo.

Nell’ordinamento francese, rispetto agli altri Paesi, si sta consolidando la prassi di una voluta divisione dei ruoli tra Responsabile del trattamento e DPO, sul ilo della distinzione tra attività ordinaria e straordinaria.

L’attività ordinaria rientra nella igura del Responsabile dei dati, così come anche noi in Italia siamo abituati a concepirlo8. Essa consiste nella continua e costante tenuta sotto controllo ed aggiornamento del vecchio DPS, nella gestione e valutazione delle attività di formazione, nell’aggiornamento dei regolamenti interni e della documentazione. Annualmente tale igura dovrà predisporre una relazione, nella quale sono descritte le attività svolte e dove si motivano le cause per cui non sono state rispettati, se del caso, alcuni adempimenti. La pianiicazione e l’effettuazione dell’attività di auditing completano le attività ordinarie che sono poste a carico del DPO.

8 Naturalmente rimangono vive le differenze insite nel recepimento della direttiva comunitaria 95/46/CE: la legge italiana prevede un regime particolare per i c.d. dati sensibili (consenso scritto dell’interessato e autorizzazione preventiva del garante), mentre in Francia, la situazione è diversa, in quanto per il trattamento di questi dati si richiede esclusivamente il consenso scritto dell’interessato e nessuna forma di controllo preventivo da parte del CNIL.

L’attività straordinaria riguarda, invece, i progetti e gli obiettivi di miglioramento. In questo caso le novità possono essere originate dalla normativa di settore, dalle esigenze dei clienti, dalla direzione o dalle attività che nascono a seguito dello sviluppo di nuovi prodotti o nuovi servizi che abbiano impatto sugli aspetti connessi alla Data Protection e i compiti di indirizzo e di monitoraggio spettano al DPO9 .

Le imprese dovranno quindi, se vorranno raggiungere standard di sicurezza adeguati, nominare tali igure anche laddove ciò non sia obbligatorio per legge, possibilmente afidando tale compito a soggetti terzi ed esterni: il DPO, infatti, riferisce direttamente ai vertici aziendali e non al titolare/responsabile del trattamento (sebbene anche questi ultimi possano essere, nel contesto aziendale, suoi superiori), e nonostante le garanzie di autonomia e indipendenza sancite dalla legge, bisogna chiedersi effettivamente quanti dipendenti potrebbero essere pronti a denunciare comportamenti o valutazioni errate del titolare e del responsabile del trattamento al top manager.

5. Una notazione conclusiva

Sarebbe quindi auspicabile una maggiore e più precisa conigurazione dei soggetti coinvolti nel trattamento dei dati personali. Il triangolo costruito sulle igure di Titolare, Responsabile ed Incaricato del trattamento dovrà diventare un quadrato che ha per vertici:

1. Il Titolare del Trattamento, ora chiamato Data Controller o Responsabile del trattamento, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al ine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati.

2. Il Responsabile esterno del Trattamento / Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento.

9 Il quale deve costantemente aggiornare lo stato del progetto rispetto ai vari parametri di controllo; al termine dovrà redigere un consuntivo. Dinanzi a progetti complessi il DPO deve essere in grado di individuare le priorità che non sono fornite necessariamente dalle scadenze, ma dall’urgenza delle stesse, intervenendo in modo tempestivo e risolutivo.

Nodi virtuali, legami informali: Internet alla ricerca di regole

3. Il responsabile ed incaricato del trattamento, ora chiamato Data Processor e Incaricato del Trattamento o più semplicemente Data Handler, sostituisce l’attuale igura del “responsabile del trattamento” conosciuta dalla direttiva abrogata e potrà procedere al trattamento dei dati solo su istruzione del responsabile.

4. Inine, il responsabile della sicurezza dei dati, ora chiamato Data Protection Oficer.

Brevi note su memoria e oblio in rete, a partire dal regolamento UE 2016/679

1. L’art. 17 e l’introduzione del right to be forgotten

Le rilessioni che si proporranno nelle prossime pagine nascono dalla recente adozione, il 27 aprile 2016, del nuovo regolamento del Parlamento europeo e del Consiglio, relativo alla protezione delle persone isiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abrogativo della direttiva 95/46/ CE (regolamento generale sulla protezione dei dati). Dopo lunga gestazione è giunto infatti all’approvazione un atto normativo i cui contenuti hanno fatto discutere, anche e in particolare con riferimento al tema che si affronterà, ben prima della loro entrata in vigore, e sono destinati a far discutere ancora, per quanto, come si dirà, presentino caratteri molto parzialmente, se non scarsamente, innovativi.

Com’è noto, l’art. 17 del regolamento è stato oggetto di dibattito in Europa e fuori dall’Europa in dal 2012, quando le prime proposte hanno iniziato a circolare, in quanto avrebbe previsto (e oggi in effetti prevede) il diritto alla cancellazione – afiancato ad un (sinonimico?) “diritto all’oblio” –, stabilendo che sia possibile ottenere dal titolare di un trattamento la cancellazione dei propri dati personali in presenza di determinati requisiti.

L’art. 17 prevede quello che nella rubrica deinisce come diritto alla cancellazione (“diritto all’oblio”), in base al quale «L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustiicato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustiicato ritardo i dati personali», in presenza però di determinate condizioni.

Nodi virtuali, legami informali: Internet alla ricerca di regole

Va sottolineato in d’ora che l’art. 17 stabilisce immediatamente le eccezioni nell’applicazione del diritto alla cancellazione, relative ai casi in cui il trattamento dei dati sia necessario: a) per l’esercizio del diritto alla libertà di espressione e di informazione; b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanità pubblica; d) a ini di archiviazione nel pubblico interesse, di ricerca scientiica o storica o a ini statistici, nella misura in cui il diritto rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Dalla lettura della disposizione emergono immediatamente alcuni aspetti, tutti convergenti nel senso di limitare la portata innovativa della norma rispetto a quanto ritenuto possibile, ed effettivamente veriicatosi, prima dell’entrata in vigore della disciplina: l’esercizio del diritto alla cancellazione (e all’oblio, utilizzando per ora come un’endiadi il binomio presente in rubrica) è sottoposto a condizioni, essenzialmente concernenti la natura e le modalità del trattamento; la tutela del diritto da parte del titolare del trattamento dei dati è ulteriormente sottoposta a due condizioni, quella tecnologica e quella inanziaria; il riconoscimento del diritto è sottoposto ex ante ad alcune condizioni, che attengono le inalità del trattamento considerate fondate su interessi o valori evidentemente preminenti rispetto a quelli che fondano il diritto alla cancellazione e all’oblio.

Con riferimento al primo aspetto, due condizioni (d ed e), attinenti l’obbligo giuridico di cancellazione e il trattamento ab origine illecito dei dati, ed in particolare la seconda, mettono addirittura in discussione che si tratti effettivamente di diritto all’oblio, poiché, come si vedrà in seguito, nel caso di trattamento originariamente illecito non è tanto la categoria dell’oblio in gioco, dovendosi proteggere gli interessi già protetti in occasione del primo trattamento, quanto piuttosto il diritto alla riservatezza che la normativa in materia di privacy è generalmente chiamata a proteggere. Le altre condizioni sembrano invece essere orientate dal criterio della necessità

del trattamento, che si declinerà, in riferimento all’oblio, essenzialmente nel perdurante (o meno) interesse sociale alla diffusione dei dati oggetto del trattamento.

Ciò in relazione all’esercizio del diritto.

Per quanto riguarda la tutela dello stesso emergono invece due condizioni che fungono da strumenti con i quali operare in concreto il bilanciamento, e potrebbero quindi condurre a legittimare un diniego di tutela da parte del titolare del trattamento: si tratta della condizione tecnologica, poiché il co. 2 prevede che l’obbligo di cancellazione per il titolare del trattamento agisca tenuto conto della tecnologia disponibile, e di quella inanziaria, poiché anche dei costi di attuazione dovrà tenere conto il soggetto trattante.

La modalità da un lato ricorda il ben noto dibattito sulla natura inanziariamente condizionata dei diritti sociali, dall’altro pone il problema di comprendere quanto le scelte tecnologiche concretamente adottate siano in grado di inluenzare la tutela, basti pensare alla proposta di una scadenza a tempo automatica per ogni foto, post, video ecc. pubblicati online1, e alle conseguenze che, qualora tale soluzione fosse realizzabile, essa produrrebbe.

Nel caso delle eccezioni, invece, il bilanciamento è deinito una volta per tutte, si tratta per così dire di un bilanciamento assoluto con il quale il legislatore europeo stabilisce la superiorità della libertà di espressione e di informazione su qualsiasi altra esigenza si ponga alla base della richiesta di cancellazione, nonché, in maniera forse più blanda, della libertà di ricerca storica e scientiica, qualora la cancellazione comprometta gravemente le inalità perseguite con l’archiviazione dei dati. Sotto questo aspetto la soluzione adottata non sembra divergere più di tanto dalle conclusioni a cui è recentemente giunta la Corte europea dei diritti dell’uomo nel caso Wegrzybowski e Smolczewski vs. Polonia, e pare invece più attenta, rispetto a quella adottata dalla Corte di Giustizia nel noto caso Google vs. Spagna, agli interessi costituzionalmente meritevoli di tutela che il diritto alla cancellazione potrebbe compromettere, soprattutto quando si tratti di un diritto fondamentale quale quello alla libertà di manifestazione del pensiero.

1 Cfr. V. Mayer-Schonberger, Delete: The Virtue of Forgetting in the Digital Age, Princeton, Princeton University Press, 2009.

Occorre in ogni caso concordare con chi ha ritenuto, già prima dell’approvazione deinitiva del testo normativo, che il testo sia molto meno rivoluzionario di quanto alcune voci, soprattutto dagli Stati Uniti, avevano paventato2, e si limiti più che altro a deinire con maggiore accuratezza e puntualità i presupposti per l’esercizio di un diritto alla cancellazione che, è paciico, già esisteva prima del regolamento, salvo volerlo denominare, in maniera forse provocatoria o demagogica, quanto però inesatta, diritto all’oblio. Certo non manca chi ha ritenuto che la previsione del diritto all’oblio nell’art. 17 rappresenti “la più grande minaccia alla libertà di espressione nella rete nel prossimo decennio”, nonché un fattore di contrasto insanabile tra Europa e Stati Uniti per quanto concerne il rapporto tra libertà di espressione e diritto alla riservatezza3, ma a ben guardare la polemica sembra strumentale, e soprattutto non trova riscontro nel dettato normativo ma, semmai, in alcune proclamazioni che a questo si sono associate, volte a valorizzare l’improvvido inserimento in rubrica del termine “oblio”.

Qualche signiicato in più si può forse attribuire alla motivazione del regolamento, ed in particolare ai Considerando nn. 65 e 66 (53 e 54 nella proposta di regolamento) che, oltre a confermare, ove ce ne fosse stato bisogno, la piena applicabilità della disciplina introdotta ai dati personali contenuti sul web, stabiliscono (Considerando n. 54) che

«Per rafforzare il «diritto all’oblio» nell’ambiente online, è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali. Nel fare ciò, è opportuno

2 Cfr. D. Miniussi, Il “diritto all’oblio”: i paradossi del caso Google, in Rivista italiana di diritto pubblico comunitario, 2015, 209 ss., e comunque la stragrande maggioranza della dottrina che si cita nel contributo converge su un’interpretazione molto cauta dell’intervento realizzato a livello europeo.

3 Cfr. J. Rosen, The Right to Be Forgotten, in Stanford Law Review Online, 2012.

che il titolare del trattamento adotti misure ragionevoli tenendo conto della tecnologia disponibile e dei mezzi a disposizione del titolare del trattamento, comprese misure tecniche, per informare della richiesta dell’interessato i titolari del trattamento che trattano i dati personali».

Il Considerando sembra collocarsi sulla scia della citata sentenza della Corte di Giustizia per quanto concerne il riconoscimento del diritto, ma con una differenza non irrilevante circa la considerazione delle parti in causa. Infatti, a differenza di quanto statuito dalla Corte di Giustizia nel 2014 circa la qualiicazione del gestore di motore di ricerca come responsabile del trattamento dei dati resi disponibili ai terzi, la motivazione sembra lasciar intendere che il regolamento consideri responsabile del trattamento soltanto il soggetto (ad esempio, l’editore di una pagina web) che ha immesso i dati personali nel web, soggetto su cui graverebbe quindi (in via esclusiva) l’obbligo di comunicare ai terzi che trattano tali dati della richiesta di cancellazione proveniente dall’interessato; tra i terzi spicca chiaramente il soggetto gestore del motore di ricerca che quindi pur catalogando, indicizzando e diffondendo verso i terzi i dati, non diverrebbe titolare del trattamento e non vedrebbe esercitato direttamente nei suoi confronti il diritto alla cancellazione.

Certo, la titolarità del trattamento sarebbe attribuita (anche) al gestore del motore di ricerca indirettamente, una volta che il gestore della pagina web abbia provveduto a comunicare la richiesta di cancellazione: a seguito della comunicazione non si potrebbe infatti negare quell’elemento soggettivo della consapevolezza di trattare dati personali potenzialmente ed effettivamente oggetto di legittima richiesta di cancellazione, in assenza del quale solo la Corte di Giustizia nel caso Google è arrivata ad attribuire la titolarità del trattamento.

Quel che è certo comunque, tornando all’interrogativo da cui si sono prese le mosse, e cioè se il recente regolamento apra nuovi scenari per il diritto all’oblio, è che la previsione ex art. 17 non modiica signiicativamente il quadro rispetto a quanto previsto dalla direttiva 95/46/CE, già contenente un diritto alla cancellazione dei dati in caso di trattamento ab origine illecito degli stessi ovvero qualora fossero venute meno le condizioni legittimanti il trattamento.

Nodi virtuali, legami informali: Internet alla ricerca di regole

I nuovi scenari vanno dunque ricercati fuori dalla direttiva, negli interventi delle Corti, nelle risposte che la rete autonomamente elabora a fronte delle vere e soprattutto presunte trasformazioni normative in atto, e, ancora una volta, nell’incessante evoluzione tecnologica, che da un lato consente l’affermarsi di sempre nuovi strumenti di mappatura delle identità individuali e della loro dinamica costruzione (in rete)4 , dall’altro mette a disposizione le soluzioni utili al ripristino, almeno apparente, della privatezza continuamente, e da ogni parte, violata.

2. Gli scenari (già) aperti dalla sentenza c.d. Google Spain

Sotto questo proilo, uno scenario non trascurabile è stato certamente aperto dalla “rivoluzione copernicana” determinata dalla sentenza della Grande Sezione c.d. Google Spain del 20145 .

In quel caso la Corte di Giustizia, veriicando la legittimità dell’applicazione dell’art. 12, lett. b), concernente il diritto di opposizione al

4 Com’è noto nel mese di settembre 2016 il Garante per la privacy ha avviato un’istruttoria avente ad oggetto le modiiche nella privacy policy di WhatsApp a seguito delle quali alcune informazioni riguardanti gli account dei singoli utenti del servizio di messaggeria istantanea sarebbero state messe automaticamente a disposizione di Facebook, anche per inalità commerciali, subito dopo che già la Commissaria europea alla concorrenza aveva espresso dubbi circa la possibile violazione del diritto europeo da parte dello stesso WhatsApp. In Germania addrittura l’autorità per la privacy ha imposto a Facebook di cancellare qualsiasi dato eventualmente già ottenuto da WhatsApp, pena l’inlizione di sanzioni economiche. La gravità della violazione starebbe peraltro nel fatto, ben sottolineato anche dal Garante italiano (si fa riferimento anche all’intervento di Antonello Soro in occasione del convegno qui documentato), per cui il lusso di dati tra Facebook e WhatsApp non riguarderebbe soltanto gli utenti dei due servizi, ma anche persone che non utilizzano nessuno dei due e semplicemente si trovano nella rubrica telefonica di un utente di WhatsApp.

5 La deinisce in questi termini G. Busia, Una vera rivoluzione copernicana, in Il Sole 24 Ore, 14 maggio 2014, 25; si tratta di C-131/12 del 13.05.2014 in www.curia. europa.eu. Per commenti alla sentenza, cfr. C.M. Colombo, in Rivista italiana di diritto pubblico comunitario, 2014, 3-4, 817 ss., nonché H. Kranenborg, Google and the Right To Be Forgotten, in European Data Protection Law Review, 2015, 1, 70 ss., e D. Miniussi, Il “diritto all’oblio”: i paradossi del caso Google, cit.

trattamento, nei casi in cui si intenda pervenire alla soppressione dall’elenco dei risultati di una ricerca nominativa dei link a pagine web pubblicate da terzi con informazioni veritiere, per il semplice fatto che si desidera che tali informazioni vengano dimenticate, riconosce all’interessato la possibilità di impedire l’indicizzazione delle informazioni, pubblicate su pagine web, nel caso in cui consideri la loro diffusione pregiudizievole, non è chiaro di quali interessi o beni della vita, e in ogni caso in cui voglia escluderle dal patrimonio informativo pubblico riguardante la sua storia personale, ferma restando la liceità dell’originaria pubblicazione delle stesse6 . Di fronte a questo tipo di impostazione viene subito in rilievo il problema del rapporto tra diritto all’oblio e tempo: esiste, o è identiicabile un limite temporale minimo (considerato a partire dalla pubblicazione del dato) a partire dal quale sarebbe ammissibile una richiesta di cancellazione dei link verso le pagine web che contengono le informazioni da dimenticare?

La sentenza si pronuncia anche su questo, poiché la Corte rileva che l’applicazione dell’art. 12, lett. b), della dir. 95/46 è subordinata alla condizione che il trattamento sia incompatibile con la stessa, ossia che tali dati siano non soltanto inesatti, ma anche inadeguati, non pertinenti o eccessivi rispetto alle inalità del trattamento, che non siano aggiornati, o siano conservati per un periodo superiore a quello necessario, ad eccezione dell’utilizzo per motivi storici, statistici o scientiici.

Il nodo cruciale, quindi, starebbe in quanto (già) previsto dall’art. 6, par. 1, lett. da c) a e), della dir. 95/46, ai sensi del quale anche un trattamento originariamente lecito può, con il trascorrere del tempo, diventare contrastante con gli interessi posti a fondamento della direttiva “qualora non siano più necessari in rapporto alle inalità per le quali sono stati raccolti o trattati” o “eccessivi in rapporto alle

6 Parlano di “diritto a non essere trovati facilmente” A. Palmieri, R. Pardolesi, Dal diritto all’oblio all’occultamento in rete: traversie dell’informazione ai tempi di Google, in Nuovi Quaderni Foro italiano, 2014, 1, 1 ss., ripresi da S. Sica, V. D’Antonio, La procedura di de-indicizzazione, in Il diritto dell’informazione e dell’informatica, 4-5, 703 ss., che sottolineano come in realtà la Corte di Giustizia, che in effetti menziona “fugacemente” la posizione giuridica del diritto all’oblio, si limiti a individuare un «diritto alla de-indicizzazione di determinate pagine web a fronte di speciici parametri di ricerca (cioè il nome dell’interessato/istante)».

inalità suddette e al tempo trascorso”. La radicale trasformazione nella valutazione del trattamento dipende dunque dallo scorrere del tempo, ciò che fa ipotizzare che un limite temporale minimo debba in effetti esistere, ma sul punto dalla Corte non giungono precisazioni.

L’eterogenesi dei ini caratterizza però la pronuncia se si guarda agli effetti che questa produce nei confronti dei depositari dei Big Data, accusati, dall’orientamento culturale che la sentenza sembra far proprio e che segna la frattura rispetto all’ordinamento nord-americano, di uno strapotere incontrollato e dell’oligopolio delle esistenze individuali e dei sentimenti collettivi, ma di fatto investiti di un “ruolo para-costituzionale”7 .

Infatti, i gestori di motori di ricerca sono chiamati dalla Corte, in un giudizio “similcostituzionale”, ad analizzare la fondatezza della richiesta di cancellazione, e ad effettuare un giudizio di bilanciamento tra gli interessi e i valori coinvolti che sembra doversi articolare intorno ad alcuni criteri suggeriti:

«i diritti fondamentali di cui sopra [il riferimento è agli artt. 7, rispetto della vita privata e familiare, e 8, protezione dei dati di carattere personale, della Carta dei diritti] prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Tuttavia, così non sarebbe qualora risultasse, per ragioni particolari, come il ruolo ricoperto da tale persona nella vita pubblica, che l’ingerenza dei suoi diritti fondamentali è giustiicata dall’interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell’inclusione summenzionata, all’informazione di cui trattasi».

7 Secondo l’espressione utilizzata da O. Pollicino, Google rischia di “vestire” un ruolo para-costituzionale, in Il Sole 24 ore, 15 maggio 2014.

Dunque: in generale il diritto alla riservatezza e alla privacy prevalgono sul diritto all’informazione. Che prevalessero sull’interesse economico del gestore del motore di ricerca nulla quaestio, ma l’affermazione che in assoluto prevalgano su un diritto comunque riconducibile al più generale diritto alla libertà di espressione qualche perplessità in più la pone. In realtà, il bilanciamento per così dire assoluto risulta mitigato dall’ipotesi della circostanza in cui alcuni elementi, ed in particolare “il ruolo ricoperto [...] nella vita pubblica” dal soggetto del quale sono diffusi i dati personali, rendono rilevante qualsiasi informazione sullo stesso divulgata. Il criterio scelto dalla Corte è quindi di tipo soggettivo più che oggettivo: non è tanto l’interesse sociale, o l’interesse pubblico dell’informazione a renderla meritevole di sopravvivenza nel tempo, oltre e contro eventuali esigenze di oblio, ma è il carattere proprio del soggetto le cui informazioni sono disseminate, il suo rapporto con “il pubblico”, a determinare l’ampiezza del suo diritto all’oblio. Fermo restando però che non è possibile un’interpretazione chiusa del riferimento della Corte al ruolo ricoperto nella vita pubblica trattandosi di un riferimento esempliicativo e non esaustivo degli elementi di possibile esclusione o temperamento dell’applicazione del diritto enucleato.

Fatto sta che in attuazione della sentenza della Corte, i motori di ricerca si sono attivati, dimostrando i limiti intrinsechi alla pronuncia.

Due sono i proili che mi pare vengano in rilievo nel post-sentenza, e che segnano il divario con il sistema statunitense mettendo in evidenza le debolezze che quello europeo presenterebbe qualora, in presenza di un dettato normativo non risolutivo come quello del nuovo regolamento, si affermassero sistematicamente interpretazioni del genere: quello del soggetto chiamato a decidere circa la rimozione, e quello dei soggetti abilitati a richiedere la rimozione stessa.

Sotto il primo proilo, è noto che Google ha immediatamente avviato la redazione di un proprio (auto)regolamento, con la collaborazione di un advisory council che si è avvalso di tecnici ed esperti per deinirne i contenuti: utilizzando uno schema tipico degli strumenti di autoregolamentazione che caratterizzano l’autodisciplina delle categorie professionali, nonché l’organizzazione e la disciplina interna di autonomie ed enti di settore, Google pone dunque una fonte del diritto nelle cui trame si svolge il rapporto tra passato e presente,

Nodi virtuali, legami informali: Internet alla ricerca di regole

con l’evidente capacità di incidere sul futuro, determinando quali dati, quali informazioni meritano e meriteranno di essere sottratte all’oblio.

Sotto il secondo proilo, va tenuto presente che il panorama delle richieste di de-indicizzazione effettivamente presentate a Google dopo la sentenza di cui si è detto è piuttosto vario, si va dall’assassino che dopo anni di reclusione, giunto alla scarcerazione per buona condotta, teme di non potersi ricostruire nella dimensione sociale e di non trovare un lavoro, e vuole quindi cancellare la memoria collettiva del delitto commesso, alla richiesta del minore affetto da malattia degenerativa a suo tempo comparso in un video accanto ad un falso medico e per questo riconoscibile nel presente da tutti nel suo stato di salute, dato personale e sensibile sul quale vorrebbe mantenere il riserbo, ino alla richiesta del condannato per abuso su minori a 18 anni di carcere che vuole nascondere le tracce dell’obbrobrio commesso8 .

Solo alcune richieste conigurano in effetti l’esercizio di un diritto all’oblio, nella deinizione che qui si intende utilizzare e che sarà approfondita nel paragrafo seguente, in altri casi si tratta semplicemente (forse) di situazioni meritevole di riserbo e, talvolta, neppure di quello: tuttavia in tutti questi casi Google diviene arbitro dell’oblio, e si genera il rischio di giungere alla situazione opposta, e più grave, rispetto a quella dalla quale è sorta l’esigenza di protezione sfociata nella sentenza Google Spain. Ciò perché Google da un lato potrebbe mostrarsi propenso ad accogliere le richieste di deindicizzazione, temendo le spese di gestione del relativo contenzioso in caso di mancato accoglimento, acconsentendo anche a richieste prive di effettiva meritevolezza, e così rimuovendo interi bacini di ricordi e segmenti di passato in maniera pressoché randomica e non derivante da un bilanciamento degli interessi in gioco costituzionalmente fondato, dall’altro, com’è stato sottolineato,

«non si può pretendere da un operatore di mercato privato di anteporre al proprio interesse d’impresa quello della collettività alla conoscenza, soprattutto allorquando ciò possa comportare

esternalità negative non preventivabili o dificilmente sostenibili. Al più, l’operatore privato potrebbe perseguire l’interesse collettivo in forma indiretta, nel caso in cui quest’ultimo coincida con il proprio interesse individuale: nella fattispecie in esame, ciò potrebbe veriicarsi ove mai, ad esempio, un numero particolarmente elevato di istanze, tutte massicciamente accolte, potrebbe inire per minare l’afidabilità stessa del motore di ricerca con perdita di appeal di mercato»9 .

9 Cfr. S. Sica, V. D’Antonio, La procedura di de-indicizzazione, cit., e R. Pardolesi, “Gooooglelaw”. Del ricorso alla disciplina antitrust per colpire il tiranno benevolente, in Foro italiano, 2013, 5, 18 ss. In realtà, un’analisi concreta delle richieste di de-indicizzazione e delle relative risposte, mostra come Google, dopo un atteggiamento inizialmente molto positivo nei confronti della cancellazione, si sia ormai attestato su un tasso non altissimo di accoglimento delle richieste, pari al 43,2% delle richieste (dato aggiornato al 31 marzo 2017). L’accoglimento delle richieste varia peraltro in maniera anche abbastanza sensibile a seconda dei Paesi da cui provengono le richieste stesse: dal 48,9% degli URL rimossi su richiesta di cittadini francesi si arriva al 32,6% di richieste italiane accolte: in ogni caso il tasso di accoglimento non supera mai il 50%. Tra le richieste non accolte emergono quella proveniente dall’Ungheria, di un funzionario pubblico che chiede di rimuovere articoli recenti relativi a una condanna penale risalente ad alcuni decenni prima, quella francese di un sacerdote accusato di possesso di materiale pedo-pornograico che ha chiesto di rimuovere articoli che riferivano della condanna e del suo allontanamento dalla Chiesa; risulta invece accolta la richiesta, proveniente dalla Germania, di un insegnante condannato per un reato “minore” più di dieci anni prima a rimuovere un articolo che riguardava la sua condanna. L’impressione complessiva è che l’elemento soggettivo del richiedente abbia una certa rilevanza nel condizionare la decisione di Google circa la rimozione o meno dell’URL. Il fenomeno presenta poi un’indiscutibile effetto di eterogenesi dei ini, rappresentata dal c.d. effetto boomerang (cfr. F. Di Ciommo, cit.) dell’hidden from Google. La visibilità ottenuta dai link rimossi, e come tali evidenziati in rete, e la capacità della notizia di rimozione di suscitare la curiosità e l’interesse del pubblico, più di qualsiasi link scoperto e visibile, testimonia l’impossibilità dell’oblio nella rete, così come essa risulta testimoniata dall’intreccio tra dimensione territoriale e dimensione virtuale della rete: una pagina deindicizzata su google.fr o google.es o google.it, potrà continuare ad essere visualizzata su google.com, memoria e oblio sembrano, proprio nello spazio virtuale della rete, ritrovare i conini territoriali che parevano aver perduto.

3. Oltre la Corte di Giustizia

Se questo è il percorso tracciato dalla Corte di Lussemburgo, non si può dire che si tratti dell’unico orientamento in Europa.

Si è già brevemente ricordata la sentenza Wegrzybowski e Smolczewski vs. Polonia del 16 luglio 2013, con la quale la Cedu ha posto gli archivi online all’interno dell’alveo di tutela dell’art. 10 della Convenzione, riconoscendone l’importanza del ruolo storico e la funzionalità per la ricerca e l’istruzione10. La sentenza in realtà propone un bilanciamento tra libertà di manifestazione del pensiero e libertà di informazione ex art. 10 e tutela della reputazione degli individui ex art. 8, ritenendolo rintracciabile nell’obbligo, posto a carico dell’editore delle notizie di cui si richiede l’oblio, di pubblicare aggiunte o precisazioni all’articolo, che consentano al pubblico un’immediata contestualizzazione dello stesso alla luce degli avvenimenti storici successivi alla pubblicazione. L’obbligo di aggiornamento potrebbe ricordare la già criticata soluzione a cui era addivenuta la Cassazione italiana nel 2012, ma non mancano differenze. La Cedu, infatti, prende le mosse da una tutela imprescindibile della libertà di informare e di essere informati, benché «As a matter of principle the rights guaranteed by these provisions deserve equal respect»11. Sottolinea così il contributo essenziale svolto dagli archivi in Internet al ine di conservare e rendere accessibili le informazioni, ciò che li rende una fonte importante sia dal punto di vista educativo sia della ricerca storica, anche per la loro apertura al pubblico e la loro gratuità. La Corte afferma inoltre che mentre la funzione primaria della stampa all’interno di un sistema democratico è quella di agire come “un cane da guardia”, secondo l’espressione spesso utilizzata dalla Cedu nella sua giurisprudenza sull’art. 10 della Convenzione, un ruolo secondario ma signiicativo è quello che esercita nella conservazione e messa a disposizione di archivi pubblici nei quali sono

10 Sul caso cfr. L. De Grazia, La libertà di stampa e il diritto all’oblio nei casi di diffusione di articoli attraverso Internet: argomenti comparativi, in Rivista AIC, n° 4/2013.

11 La Corte richiama Hachette Filipacchi Associés (ICI PARIS) v. France, no. 12268/03, § 41, 23 July 2009; Timciuc v. Romania (dec.), no. 28999/03, § 144, 12 October 2010; and Mosley v. the United Kingdom, no. 48009/08, § 111, 10 May 2011.

raccolte le notizie in precedenza divulgate: si potrebbe dire che la funzione degli archivi è sussidiaria e complementare all’esercizio delle funzioni democratiche che la stampa (ma forse lato sensu il giornalismo, sia esso svolto attraverso la carta stampata oppure attraverso il web) tradizionalmente svolge.

È all’interno di questo quadro che va collocata l’affermazione della Corte secondo la quale la previsione di un obbligo di pubblicare un adeguato aggiornamento ad un articolo contenuto all’interno di un archivio Internet, nel momento in cui il medesimo aggiornamento è stato apportato all’articolo di giornale nei cui confronti era stata intentata una causa per diffamazione quando pubblicato attraverso la carta stampata, non costituisce un’interferenza sproporzionata nella libertà di espressione. Dunque: non rappresenta una richiesta eccessiva nei confronti dell’editore di un giornale che gestisca anche un archivio online di notizie quella di aggiornare la notizia. A parte il fatto che anche in questo caso non è chiarissimo se lo stesso ragionamento si applicherebbe qualora la notizia non fosse originariamente diffamatoria, vanno evidenziati due aspetti, a mostrare la maggiore cautela dell’approccio di Strasburgo: in primo luogo, si fa riferimento ad archivi collegati a giornali, ove l’applicazione di un trattamento più vicino a quello che caratterizzerebbe la carta stampata si giustiicherebbe dunque anche per la diversa natura di questi soggetti rispetto ad altri “atipici” fornitori di notizie in Internet; in secondo luogo, la Corte sembra a più riprese voler evidenziare quanto limitato e circoscritto sia il ricorso a questo meccanismo di tutela del diritto a salvaguardare la propria reputazione (non si parla in questo caso di diritto all’oblio), e come sia in ogni caso richiesto di giustiicarne l’utilizzo mostrandone la non eccessiva invadenza nella sfera della libertà di espressione.

4. Poche considerazioni conclusive

Per concludere, mi pare che si possa sottolineare come le dificoltà nel circoscrivere il diritto all’oblio e la sua dificile attuazione mostrano l’esigenza di modiicare la prospettiva.

Dalla tutela ex post occorrerebbe forse spostarsi verso una protezione ex ante. Ciò signiica, come è stato recentemente proposto,

«rafforzare la responsabilità, ma in termini di accountability, dei gestori dei dati; il singolo non trova suficiente supporto in consenso informato e strumenti di questo tipo nel sistema dei Big Data»12 . Sotto questo aspetto non mancano ricerche e sperimentazioni che spingono verso il superamento dei tradizionali schemi di consenso previsti dalle privacy policies attuali, sottolineando come il modello esistente risulti inadatto a sostenere effettivamente l’individuo-utente della rete in un corretto utilizzo del servizi che la stessa offre, e soprattutto nella deinizione del miglior equilibrio possibile tra godimento dei servizi da parte del soggetto e rinuncia, da parte sua, alla privatezza dei dati che lo riguardano13 .

Rafforzare la protezione ex ante signiicherebbe però ad un contempo responsabilizzare i titolari dei dati, e penso soprattutto ai più giovani, a chi costruisce nella realtà virtuale un’identità personale che potrebbe poi trasformarsi con il passare del tempo, diventando un fardello pesante, e inanche insopportabile. Penso in particolare alla rilevanza del fenomeno nei social network.

L’educazione, la sensibilizzazione, la cultura, da questo punto di vista, sono chiamate ad un compito assai importante, afinché in un’epoca in cui sia l’oblio sia la memoria sembrano sempre più eteronome, si provi a tornare al naturale, isiologico ritmo del ricordare e del dimenticare.

12 Cfr. A. Mantelero, Il diritto all'oblio dalla carta stampata a Internet, in F. Pizzetti (a cura di), Il caso del diritto all'oblio, Torino, Giappichelli, 2013, spec. p. 163 ss.

13 Ci si riferisce in particolare alla ricerca condotta dal gruppo coordinato da Lucilla Gatt, nell’ambito del Laboratorio Utopia dell’Università Suor Orsola Benincasa, e presentata in questi Atti.

La trasmissione mortis causa del patrimonio e dell’identità digitale Riccardo

Berti, Simone Zanetti

1. Introduzione

Non è usuale, nell’approcciarsi agli strumenti informatici, pensare alle dinamiche successorie. L’orizzonte temporale con il quale ci si afida a questi strumenti è infatti normalmente molto ristretto né si pensa, in prospettiva, alla possibilità di afidare beni o ricordi importanti a servizi o hardware protetti da password che nessun altro conosce.

L’accantonamento, giuridico e di fatto, di questo proilo potenzialmente critico da parte degli utenti, fa sorgere numerosi problemi ed è così che quello della trasmissibilità mortis causa dei beni digitali e dell’identità digitale di una persona è un argomento che sta facendosi strada in dottrina e in giurisprudenza.

A titolo di esempio si cita il recente caso, che ha avuto ampia eco, di un padre di Foligno che sta cercando di ottenere i dati contenuti nell’iPhone del iglio, scomparso all’età di 13 anni, cui non può accedere in quanto lo smartphone è protetto da password1. Alla richiesta del padre Apple ha risposto negando l’accesso ai dati, giustiicando la sua scelta, in questo come in altri casi, da un lato richiamando la necessità di tutela della privacy e del diritto di scelta del defunto e dall’altro lato richiamando le proprie condizioni contrattuali, che esplicitamente escludono i diritti successori per i fruitori del servizio.

Se nel caso del iglio tredicenne prematuramente scomparso possiamo essere d’accordo con il padre che chiede di conservarne la

1 Fonte: https://www.youtube.com/watch?v=pWJbqK_aCqc (ultimo accesso 28.09.2016).

memoria attraverso le fotograie contenute nel suo telefono, in altri casi potremmo invece trovarci a sostenere la prospettiva di chi non è così sicuro che davvero la scelta del defunto sarebbe stata quella di trasmettere senza iltri agli eredi tutto quanto dallo stesso privatamente gestito negli anni precedenti.

Altro problema che inevitabilmente incontrerebbe una normativa nel settore discende dalla natura stessa del diritto successorio, che è fondato in massima parte su istituti radicati nel diritto romano e che hanno visto pochissimi cambiamenti nel corso degli anni, e sono questi stessi strumenti, vecchi di secoli, che si trovano ad affrontare le side del nuovo millennio.

Alla vetustà dello strumento normativo si aggiungono i problemi usuali del linguaggio deontico nell’affrontare le nuove tecnologie ed il loro rapido e costante evolvere.

Altro evidente problema è costituito dal fatto che, come anticipato, queste normative non tengono in considerazione le scelte contrattuali fatte in vita dal de cuius e quindi quanto disposto dalle condizioni di contratto.

Tali problemi consigliano un atteggiamento prudente da parte del legislatore ed un intervento limitato e mirato, in quanto i tempi del diritto non consentono di stare al passo con le nuove tecnologie ed un intervento diffuso potrebbe portare ad una regolamentazione già obsoleta nel momento in cui viene attuata.

2. I beni e l’identità digitale del de cuius

Al ine di proseguire nella presente trattazione è necessario innanzitutto determinare quali siano i beni e i servizi che compongono il nostro patrimonio e la nostra identità digitali.

Possiamo deinire i beni digitali come qualsiasi bene che può essere rappresentato in formato binario e di cui si possiedono i relativi diritti di utilizzo2 .

È evidente che il fenomeno successorio risente, quantomeno di fatto, della natura del supporto di archiviazione dei beni. Per tali

La trasmissione mortis causa del patrimonio e dell'identità digitale

ragioni in assenza di una contraria disposizione da parte del de cuius, gli apparati isici diventeranno di proprietà degli eredi unitamente a tutti i ile ivi contenuti. Diversamente, nel caso in cui il disponente intenda tenere ben distinti i diritti sull’hardware in quanto tale dai diritti sul contenuto, non pare comunque potersi mettere in dubbio che il de cuius possa disporre dei beni digitali presenti su di un supporto isico, anche quando non vanti alcun diritto reale sulla macchina, perché magari concessa in comodato d’uso da un terzo.

Più dificile sarà invece recuperare i beni digitali archiviati online in sistemi di storage (Dropbox, Google Drive o similari) protetti da password, che in alcuni casi prevedono l’eliminazione dei contenuti in caso di morte dell’utente (è ad esempio il caso di Apple).

Se quanto inora esposto appare convincente in tutte le ipotesi in cui i beni digitali presenti all’interno di un supporto isico abbiano un contenuto patrimoniale, altrettanto non può però dirsi qualora i medesimi abbiano contenuto strettamente personale.

Nelle fattispecie in esame appare maggiormente condivisibile la tesi che impone un meccanismo di vocazione anomala dei prossimi congiunti così come previsto in materia di corrispondenza epistolare ex art. 93 della legge sul diritto d’autore (l. 22 aprile 1941, n. 633).

Secondo quest’ultima tesi la natura dei beni in questione, che la dottrina deinisce “speciali”, porterebbe ad escludere la loro inclusione nell’asse ereditario, richiedendo un regime successorio anomalo3, così i beni digitali aventi contenuto strettamente personale non verrebbero trasmessi agli eredi, bensì ai prossimi congiunti, «in quanto portatori di un interesse proprio o al più “familiare”: quello di difendere l’immagine o la stima sociale dell’autore»4 .

Tra questi beni possono facilmente ricondursi molti account online, i quali oggigiorno contribuiscono a deinire quella che comunemente viene chiamata “identità digitale” di un soggetto5 .

3 L. Carraro, Il diritto sui ricordi di famiglia, in Studi in onore di A. Cicu, I, Milano, Giuffrè, 1951.

4 L.C. Ubertazzi, I diritti d’autore e connessi, Milano, Giuffrè, 2000.

5 Una prima deinizione di “identità digitale” può essere rinvenuta all’art. 9 della “Dichiarazione dei diritti di Internet” redatta dalla Commissione della Camera dei Deputati per i diritti e i doveri relativi ad Internet e pubblicata in data 14.07.2015.

Nodi virtuali, legami informali: Internet alla ricerca di regole

A questa deinizione possono ricondursi le informazioni comunque riferibili ad un utente a cui è possibile accedere attraverso un processo di identiicazione6, detti servizi, a seconda dei casi, potranno contenere o meno beni digitali, il cui contenuto il più delle volte sarà prettamente non patrimoniale.

Anche tali categorie di beni digitali potranno essere oggetto di vocazione anomala.

Il principio inespresso ma inerente il diritto ereditario italiano della c.d. patrimonialità della successione, che riconduce all’istituto ereditario solamente i diritti e i beni suscettibili di valutazione economica7, consente quindi di operare una prima macro-divisione fra i beni e servizi digitali patrimoniali e i beni e servizi digitali non aventi contenuto patrimoniale, con conseguenze importanti per la gestione dei detti rapporti.

La soluzione poc’anzi prospettata non potrà però prescindere da quanto previsto all’interno delle condizioni generali accettate dall’utente al momento dell’iscrizione ad uno o più dei diversi dei servizi online.

Sul punto le soluzioni sono le più varie, ad esempio Apple non prevede alcun diritto di successione per l’ID e per il contenuto dell’account8 .

Facebook invece prevede diverse possibilità in caso di morte, tra cui la chiusura dell’account o la sua trasformazione in un account commemorativo con la possibilità di indicare un “contatto erede” per la sua gestione9. Per quanto riguarda la trasmissione a soggetti terzi dei contenuti di una pagina, Facebook dichiara di prendere in

6 E. Norlin, A. Durand, Federated Identity Management, in White Paper on Towards Federated Identity Management, 2002, nel quale i due autori deiniscono l’identità virtuale come «rappresentazione virtuale dell’identità reale, che può essere usata durante interazioni elettroniche con persone o macchine» (traduzione degli autori).

7 A. Zaccaria, Diritti extra-patrimoniali e successioni. Dall’unità al pluralismo nelle trasmissioni per causa di morte, Padova, CEDAM, 1988.

8 Art. IV delle Condizioni di Servizio I-Cloud “Nessun diritto di Successione”, reperibile sul sito web: http://www.apple.com/legal/internet-services/icloud/it/ terms.html (ultimo accesso 28.09.2016).

9 Fonte: https://it-it.facebook.com/help/1568013990080948 (ultimo accesso 02.11.2016).

La trasmissione mortis causa del patrimonio e dell'identità digitale

considerazione richieste di contenuti presenti in account di persone decedute solamente «in rari casi» e precisa che dovranno essere forniti: «un documento che attesti che sei un rappresentante autorizzato (ad es. membro della famiglia) e un decreto ingiuntivo»10 .

Sul suo sito, Google informa che «possiamo collaborare con parenti stretti e rappresentanti per chiudere in alcuni casi gli account online di utenti deceduti. In alcune circostanze, possiamo fornire i contenuti dell’account di un utente deceduto. Qualsiasi decisione relativa alla fornitura dei contenuti dell’email di una persona deceduta verrà presa solo dopo un attento esame»11 .

La procedura di Microsoft relativa ai familiari consente di richiedere i contenuti delle caselle di posta su propri domini e/o la chiusura dell’account stesso, una volta conclusa una procedura di autenticazione12 .

Come si può vedere ad esempio due colossi come Microsoft e Apple adottano soluzioni diametralmente opposte per casi identici, con Microsoft che consente sempre e comunque di recuperare i dati all’erede, e la casa di Cupertino che consente invece al massimo di ottenere la cancellazione dei dati su richiesta.

È altrettanto evidente che poche persone scelgono il proprio provider di servizi sulla base del trattamento da questi predisposto per il ine vita digitale (peraltro unilateralmente modiicabile in ogni momento dal fornitore del servizio), si impone quindi un’analisi per veriicare come sia possibile trasmettere il proprio patrimonio digitale a prescindere da quanto disposto nei singoli contratti stipulati dall’utente.

10 Fonte: https://it-it.facebook.com/help/123355624495297?helpref=related (ultimo accesso 02.11.2016).

11 Fonte: https://support.google.com/accounts/troubleshooter/6357590?visit_id=1636110365867070859-1390502763&hl=it&rd=2 (ultimo accesso 02.11.2016).

12 Fonte: http://answers.microsoft.com/it-it/outlook_com/forum/oaccount-omyinfo/un-membro-della-mia-famiglia-e-deceduto-di/87d9dad1-c966-4779-b043-6366f4ec9abc?auth=1 (ultimo accesso 02.11.2016).

3. Gli strumenti per trasmettere il patrimonio digitale e l’identità digitale

Come visto la problematica della trasmissione dei propri asset digitali si affaccia con particolare rilevanza con riferimento a tutti quei servizi disponibili online e ai quali si può accedere solo mediante autenticazione.

Per prevenire tutta quella serie di problematiche che conseguono la mancata scelta di una destinazione per i propri beni ed account, che può portare anche alla totale perdita dei contenuti se così è previsto nelle condizioni contrattuali del provider, è opportuno rendere disponibili ad un terzo di iducia le proprie credenziali di accesso in caso di morte.

Una prima soluzione potrebbe essere quella di utilizzare l’istituto del mandato post mortem exequendum.

Questo negozio non è altro che un normale contratto di mandato, concluso in vita tra le parti, con il quale il mandatario si impegna a compiere per conto del mandante, a seguito del decesso di quest’ultimo, determinate attività, non patrimoniali ovvero anche patrimoniali (eccetto quanto si dirà di seguito), non aventi ad oggetto atti dispositivi di diritti13 .

Secondo l’orientamento maggioritario in dottrina e giurisprudenza14, detto negozio deve ritenersi valido ed eficace, giacché trattasi di atto compiuto sotto modalità di morte e non causa mortis, come invece sostenuto da un minoritario orientamento dottrinario.

Ben potrà, quindi, il mandato post mortem exequendum essere utilizzato per disporre del proprio patrimonio digitale.

Ad ogni modo, il mandato in questione per non incorrere nel divieto dei patti successori di cui all’art. 458 c.c. dovrà avere ad oggetto disposizioni di carattere non patrimoniale.

Infatti, è necessario aver presente che, seppure in dottrina e in giurisprudenza sia ammesso che il mandato post mortem possa svolgere una funzione patrimonialmente rilevante (purché si tratti

13 N. Di Stasio, Il mandato post mortem exequendum, in Famiglia, Persone e Successioni, 2011.

14

L’orientamento in questione ritiene l’art. 1722, 1° c., n. 4 c.c. liberamente derogabile tra le parti.

La trasmissione mortis causa del patrimonio e dell'identità digitale

di un’attribuzione strumentale e meramente esecutiva di uno spostamento patrimoniale, già perfezionatosi in vita dal defunto), è altrettanto vero che le parti dovranno accertare che il complesso procedimento negoziale non risulti di fatto diretto, nel caso concreto, al raggiungimento di uno scopo vietato, ai sensi dell’art. 1344 c.c.15

Alla luce delle suddette considerazioni, se da un lato l’utilizzo del mandato post mortem risulta senza dubbio valido e tutelato nel nostro ordinamento, soprattutto allorquando le attività del mandatario abbiano carattere non patrimoniale, dall’altro, l’utilizzo di siffatto strumento richiederà un’attenta analisi ogniqualvolta comporti uno spostamento di carattere patrimoniale16 .

Non mancano tuttavia alcune controindicazioni connesse all’utilizzo di questo strumento, soprattutto in merito ai possibili rischi a cui il mandante si espone con riguardo all’abusivo accesso alle proprie risorse di rete.

In particolare, sebbene il negozio in questione abbia carattere iduciario, è chiaro che la consegna delle proprie credenziali ad un terzo soggetto (in qualità di mandatario) espone senz’altro il mandante al rischio di accesso abusivo ai propri account. La possibilità che il mandante, una volta esaurita la iducia nei confronti del mandatario, possa sempre procedere a revocare il mandato post mortem, anche attraverso un comportamento concludente (come previsto ai sensi degli art. 1723 ss. c.c.17), appare contemperare un rischio siffatto per quanto attiene i contratti di carattere non patrimoniale.

Diversamente colui che intenda disporre del proprio patrimonio digitale potrebbe prevedere nel proprio testamento un vero e proprio legato di password18 .

15 Cfr. G. Bonilini, Manuale di diritto ereditario e delle donazioni, Torino, UTET, 2005.

16 S.A. Moncalvo, Sul mandato da eseguirsi dopo la morte del mandante, in Famiglia, Persone e Successioni, 2010, 1, 56-62.

17 L. Nanni, Dell’estinzione del mandato artt. 1722 – 1730 c.c., in Comm. Scialoja-Branca, Bologna-Roma, Zanichelli, 1994.

18 Sebbene Ugo Bechini nel suo Password, credenziali e successione mortis causa, studio n. 6-2007/IG del Consiglio Nazionale del Notariato, consultabile all’interno del sito ca.notariato.it abbia sottolineato l’improprietà dell’espressione “legato di password” in quanto le credenziali rappresentano un metodo di accesso ai dati conservati all’interno di un qualche dispositivo hardware e/o di un server e non un bene suscettibile di un atto dispositivo.

Secondo la dottrina si tratterebbe di un legato a contenuto atipico19, sicché il legato in questione assumerebbe un oggetto complesso, composto da un contenuto immediato (le password) ed uno mediato (il materiale cui le password danno accesso).

Un’altra soluzione offerta al testatore potrebbe essere quella di avvalersi della igura dell’esecutore testamentario ex art. 700 c.c. indicando all’interno del proprio testamento una o più persone di iducia ritenute idonee ad assolvere eficacemente i compiti attribuitogli.

L’esecutore testamentario, quindi, una volta accettato l’incarico (art. 702 c.c.) dovrà curare le disposizioni del testatore ed amministrare i beni ereditari.

Il disponente inine, indipendentemente dal valore economico ovvero meramente affettivo e morale dei propri beni digitali, potrà disporre di quest’ultimi direttamente nel corpo del proprio testamento. Tuttavia, le formalità richieste per la redazione di un valido testamento espongono inevitabilmente il testatore al rischio concreto che le proprie credenziali iniscano nelle mani di diversi soggetti rispetto agli effettivi destinatari20 .

È dunque evidente che l’utilizzo di strumenti previsti dalla normativa italiana appaiono dificilmente conciliabili con la tutela delle particolari esigenze di segretezza che possono essere proprie del testatore, nonché con la necessaria elasticità che la gestione delle credenziali richiede.

Un’alternativa è offerta dai diversi servizi automatizzati che stanno iorendo per la conservazione delle credenziali online21 .

Trattasi di servizi che si propongono di custodire le credenziali di accesso al patrimonio digitale del disponente ed in seguito alla di lui morte provvedono al relativo invio ai soggetti prescelti da quest’ultimo.

19 L. Di Lorenzo, Il legato di password, in Notariato, 2014, 144 ss.

20 U. Bechini, Password, credenziali e successione mortis causa, studio n. 6-2007/IG del Consiglio Nazionale del Notariato, consultabile all’interno del sito ca.notariato.it

21 Cfr. https://www.boxtomorrow.com/it-IT/ e http://www.deathanddigitallegacy. com/

La trasmissione mortis causa del patrimonio e dell'identità digitale

Le modalità con cui tali servizi funzionano sono abbastanza semplici:

1) l’iscritto indica le persone a cui consegnare le credenziali in caso di decesso;

2) il sistema invia periodicamente all’iscritto una email;

3) se l’iscritto non risponde il predetto invio diventa sempre più serrato;

4) decorso un certo periodo di tempo le credenziali vengono inviate alle persone precedentemente individuate.

Non mancano motivi di criticità nell’utilizzo di questi strumenti, in particolare si evidenzia che, in caso di successiva cessazione dell’azienda a cui ci si è rivolti, le credenziali andrebbero chiaramente e inevitabilmente perdute.

Un problema aggiuntivo appare altresì il fattore del tempo entro cui il sistema invia l’email all’iscritto. Mentre l’acquisizione dei dati da parte degli aventi diritto dopo un arco di tempo troppo lungo potrebbe comportare dei danni signiicativi, un periodo di tempo troppo breve potrebbe al contrario determinare un’attivazione indesiderata del servizio con conseguente condivisione delle proprie credenziali prima ancora dell’effettivo veriicarsi del proprio decesso.

Un esempio assimilabile a questi servizi è lo Inactive Account Manager di Google22, che prevede l’indicazione di un contatto al quale inviare, dopo un determinato periodo di inattività dell’account, una serie di dati (ad esempio singoli contenuti o anche credenziali a diversi servizi).

Sono quindi diversi gli strumenti utilizzabili da colui che intenda disporre del proprio patrimonio digitale.

Nella scelta e valutazione tra i diversi strumenti, sarà dunque opportuno che il soggetto disponente presti particolare attenzione non solo alle esigenze perseguite ma altresì ai diversi proili di criticità propri delle diverse soluzioni prospettate.

22 Raggiungibile al sito web: www.google.com/settings/account/inactive (ultimo accesso 02.11.2016).

4. Problemi globali soluzioni locali

Un altro aspetto essenziale da considerare nel valutare gli strumenti del diritto italiano è quello che discende dal consueto affrontare problemi globali con strumenti giuridici locali.

La maggior parte dei servizi online di cui usufruiamo fa infatti capo a operatori statunitensi, dificili da raggiungere e da piegare alle decisioni dei tribunali italiani.

Inoltre è necessario tenere a mente come questi servizi fanno capo a precise disposizioni contrattuali, che è necessario superare se contrarie alla soluzione che vogliamo raggiungere.

Dobbiamo quindi domandarci se le condizioni generali di contratto, che accettiamo ogniqualvolta aderiamo ad un servizio online, compromettono o meno le nostre possibilità di accesso.

Abbiamo visto che i principali servizi web propongono soluzioni molto diverse tra loro, senza un coordinamento ed una opportuna articolazione di alternative da sottoporre all’utente per il proprio ine vita. Gli stessi servizi disciplinano poi la legge applicabile e l’autorità giudiziale competente a risolvere le controversie relative all’applicazione del contratto.

Un importante passo avanti con riguardo a queste problematiche è contenuto nella sentenza della Corte di Giustizia dell’Unione Europea del 13 maggio 2015, C-131/12, Google Spain SL, Google Inc. contro Agencia Española de Protección de Datos, Mario Costeja González, la pronuncia non si è infatti limitata a sancire il cosiddetto “diritto all’oblio” ovvero la possibilità, a tutela di un soggetto e dietro sua richiesta, che non siano diffusi al pubblico precedenti pregiudizievoli per lo stesso, ma ha altresì stabilito importanti conseguenze in tema di diritto applicabile per tutte quelle aziende multinazionali che abbiano uno stabilimento all’interno dell’Unione Europea “nel cui contesto” venga effettuato il trattamento di dati personali di cittadini europei. Nel caso all’esame della Corte tale “contesto” è stato rinvenuto nel fatto che il motore di ricerca avesse in uno stato membro «una succursale o una iliale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro».

La pronuncia si presta senz’altro ad essere applicata nei casi in cui si discuta dell’eredità digitale di un soggetto, spostando le scelte

La trasmissione mortis causa del patrimonio e dell'identità digitale

in tema di diritto applicabile pur in presenza di contratti stipulati con parti negoziali forti con sede oltre oceano, facendo applicare il diritto italiano.

E il diritto italiano, in tema di dati personali, presenta delle disposizioni peculiari e di favore per i prossimi congiunti del defunto23 .

Mentre infatti negli Stati Uniti il diritto alla privacy di un soggetto si estingue alla sua morte, il diritto italiano prevede che gli eredi possano far valere i diritti di cui al Codice privacy in capo al de cuius per suo conto.

L’art. 9 c. 3 del d.lgs.196/2003 prevede espressamente che i diritti previsti dal Codice privacy, ove riferiti a persone decedute, possano essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione.

Tra questi diritti (elencati all’art. 7 del decreto), vi è il diritto all’accesso ai dati personali del de cuius, tra i quali rientrano tutte le informazioni che identiicano o rendono identiicabile una persona isica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.24

Ad esempio una fotograia rientra senz’altro nella deinizione di “dato personale”, e ben si comprende la portata di questo diritto di accesso con riferimento ai servizi online. 25

Finché quindi i dati personali di un soggetto vengono trattati da un soggetto che ha la propria sede o uno stabilimento destinato alla promozione in Europa, sarà applicabile la normativa privacy italiana che consente ai familiari di accedere a tutti i dati che riguardano di-

23 Sul punto si segnala che il recente Reg. U.E. 2016/679 non ha disciplinato il fenomeno della successione del diritto alla privacy, limitandosi alla seguente indicazione, contenuta nel considerando n. 27: «Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute». E il diritto italiano, in dal 2003, prevede la sopravvivenza dei diritti privacy al decesso di una persona.

24 A mente dell’art. 4 c. 1 lett b del d.lgs. 196/2003 e seguenti.

25 In questo senso si possono citare numerose pronunce del garante, ad esempio il Provvedimento del 17 dicembre 1997, in Bollettino, 2, 57, e il Provvedimento del 16 maggio 2002, in Bollettino, 28, 34.

rettamente i de cuius26 anche se si è sprovvisti delle credenziali di accesso.

È però evidente che per poter effettuare l’accesso ai dati del de cuius, così come per esercitare i diritti riconosciuti agli eredi, bisognerà dimostrare:

1) il decesso del titolare;

2) il titolo per il quale si agisce (la qualità di erede o la ragione familiare meritevole);

3) il fatto che l’account o altro servizio appartenesse effettivamente al de cuius.

Con riguardo alla prova della qualità di erede (e, essendo tale qualiica spesso sovrapponibile, di prossimo congiunto) è recentemente intervenuto il Regolamento UE 650/201227 in tema di competenza e legge applicabile in materia di successione e di certiicato successorio europeo.

Il Regolamento promette di rendere più semplice la certiicazione della qualità di erede a livello europeo.

Una simile uniformazione delle certiicazioni (che rende la documentazione multi-lingue e uniforme nei vari stati europei) avrà senz’altro risvolti positivi sul riconoscimento dello status di erede anche di fronte alle società che gestiscono i vari proili di identità digitale del de cuius e che nella maggior parte dei casi possiedono una sede europea.

Agli art. 62 e seguenti del Regolamento è disciplinato il c.d. Certiicato Successorio Europeo che, a mente dell’art. 69 del Regolamento «produce i suoi effetti in tutti gli Stati membri senza che sia necessario il ricorso ad alcun procedimento», sempliicando così le procedure proprio nei casi, come quelli che ci occupano, in cui sia necessario dimostrare la propria qualità di erede ad un soggetto che risiede in uno stato europeo diverso dall’Italia.

La prova invece del fatto che l’account o altro servizio appartenesse effettivamente al de cuius, risulta complicata dal fatto che i sistemi di autenticazione online spesso prescindono dai dati del sog-

26 Ad esempio i dati di terzi verranno oscurati dal soggetto che effettua il trattamento a mente dell’art. 10 c. 5 del d.lgs. 196/2003.

27 Il Regolamento si applica alle successioni aperte dopo il 17 agosto 2015.

La trasmissione mortis causa del patrimonio e dell'identità digitale

getto, ovvero possono essere inseriti dati errati dallo stesso titolare del rapporto.

In questi casi la prova della riferibilità al de cuius del servizio può risultare davvero dificile. Oltre alle prove di tipo documentale (pensiamo ad una email proveniente dall’account che espliciti i dati del defunto) lo strumento di riferimento rimane l’atto notorio, con il quale, ad esempio, dei soggetti che hanno corrisposto in vita con il de cuius all’account di cui si chiede l’accesso certiichino la predetta circostanza.

5. Conclusioni

A questo punto cercheremo di fornire delle soluzioni sia alla luce degli strumenti disponibili oggi per affrontare i problemi di cui stiamo discutendo, sia in una prospettiva de iure condendo, che possa risolvere il contenzioso in materia prima ancora che questo si possa concretizzare.

Chi si trova, oggi, di fronte alla necessità di accedere ai dati del de cuius che non ha trasmesso le credenziali per l’accesso ad un servizio online, potrà infatti agevolmente dimostrare la propria qualità di erede a mente del Reg. U.E. 650/2012 e in forza di ciò potrà fare appello innanzitutto alle condizioni di servizio (se, ad esempio e come visto, si ha a che fare con un account Microsoft), in mancanza potrà dedurre la patrimonialità dei contenuti del servizio e quindi il proprio diritto ad accedere ai contenuti suscettibili di valutazione economica a mente della normativa ereditaria.

Il prossimo congiunto del de cuius potrà poi fare appello alla Sentenza della Corte di Giustizia dell’Unione Europea C-131/12, per applicare il diritto italiano nel caso in cui il gestore del servizio online abbia una succursale per la promozione e vendita di spazi pubblicitari all’interno della U.E., e potrà quindi far applicare la normativa sulla privacy italiana che gli consente, se agisce per ragioni familiari meritevoli di protezione, di accedere ai dati personali del defunto, ovvero alla legge italiana sul diritto d’autore al ine di tutelare l’immagine o la stima sociale dell’autore.

Questi strumenti, come visto, consentono, pur in difetto di programmazione del ine vita da parte del defunto, di ottenere in molti casi accesso ai dati da parte degli eredi e/o dei prossimi congiunti.

Nodi virtuali, legami informali: Internet alla ricerca di regole

I problemi evidenziati nel corso di questo scritto non possono però dirsi risolti, in primo luogo perché le soluzioni appena viste non consentono sempre e comunque di accedere ai dati del de cuius, e da un altro punto di vista perché non è detto che – in tutti i casi e quindi anche in quelli in cui è consentito l’accesso agli eredi – il de cuius davvero volesse condividere con i propri cari i contenuti dell’account protetto da una password che non ha condiviso con loro (o che, ad esempio, ha condiviso con soggetti terzi non eredi quando era in vita).

Potrebbe quindi proilarsi l’idea di una soluzione di tipo normativo alla problematica, soluzione che però è stata tentata in altri ordinamenti con alterne fortune, si pensi ad esempio al caso americano, dove le debolezze delle normative adottate da vari stati sono state evidenziate dalla dottrina e consistono, da un lato nel fatto che molto spesso non si tratta di normative comprensive, ma di leggi che ad esempio si limitano a normare la successione degli account email o simili (a volte per il semplice fatto che gli altri servizi online che hanno assunto rilievo non erano nemmeno noti nel momento in cui i draft legislativi si affacciavano sulla scena politica), e dall’altro lato nel fatto che queste normative non tengono conto dei termini contrattuali accettati dal de cuius al momento dell’adesione al servizio online che, nella libertà contrattuale delle parti, potrebbero andare in direzione opposta rispetto a quanto previsto dalla legge28 .

Il problema dello strumento legislativo discende proprio dalla sua rigidità e dai suoi tempi.

Le problematiche evidenziate, la dimensione globale della questione e le dificoltà di una normativa che davvero risponda alle necessità dell’utente e resista ai cambiamenti dell’informatica, rendono quindi necessario pensare a soluzioni uniformi e preventive che partano dai fornitori di servizi.

Il singolo gestore di servizi ha infatti sempre diretto contatto con i contenuti protetti da password e può gestirli sulla base della scelta del de cuius (a prescindere dalle credenziali), ha poi la completa e unilaterale gestione (con la classica formula take it or leave it) del momento in cui l’utente aderisce al suo servizio, e può sottoporgli in tale sede una scelta in relazione al ine vita.

La trasmissione mortis causa del patrimonio e dell'identità digitale

Tale scelta dovrà necessariamente proporre più d’una alternativa nelle forme della conservazione dei contenuti/cancellazione dei contenuti.

Al ine di “indirizzare” i gestori di servizi online verso soluzioni uniformi e controllate potrebbero essere coinvolti vari attori ed esigenze, è infatti chiaro che i primi soggetti che hanno interesse a risolvere sul nascere la potenziale fonte di contenzioso con gli eredi sono proprio gli stessi gestori di servizi, che saranno quindi interessati a trovare una soluzione condivisa che azzeri il contenzioso in tema di accesso ai dati del de cuius, soluzione che potrebbe essere ricercata ed ottenuta con l’iniziativa e la collaborazione della Comunità Europea ovvero, a livello nazionale, del Garante privacy, che potrebbero suggerire una simile prassi operativa per scongiurare decisioni contro il gestore del servizio.

Una soluzione di uniformità ed alternative come quella appena vista oggi si affaccia, in futuro però, all’aumentare dell’importanza dei beni digitali, si imporrà.

In chiusura un doveroso ringraziamento ai Colleghi Mauro Mazzone e Franco Zumerle del Foro di Verona nonché al Dott. Pierpaolo Lanni del Tribunale di Verona per i preziosi spunti e gli utili suggerimenti.

Internet of Things e veicoli autonomi: le questioni aperte

1. La connessione delle Smart Things

1.1. Dall’Internet of Things all’Internet of Everything

Con l’espressione “Internet of Things” si intende l’estensione di Internet anche al mondo degli oggetti. In particolare si tratta di un’evoluzione della rete Internet grazie alla quale gli oggetti interagiscono tra loro attraverso sensori e senza l’intervento umano, scambiandosi dati e accedendo a informazioni presenti nelle banche dati1 .

In seguito allo sviluppo dell’IoT, il nostro modo di vivere sta cambiando radicalmente. Attualmente sono così numerosi gli oggetti connessi che si è passati dal concetto di “Internet of Things” a quello di “Internet of Everything”. Inoltre, le interconnessioni aumenteranno ulteriormente e si prevede che entro il 2020 più di venti miliardi di oggetti saranno connessi tra loro2. Le smart things comportano

1 R.H. Weber, Internet of Things – New Security and Privacy Challenges, in Computer Law & Security Report, 2010, 23 ss.

2 Stime Gartner, Focus on Startups and Small Vendors as Drivers for IoT Innovation, in www.gartner.com, 2015. Inoltre, il McKinsey&Company ha evidenziato che entro il 2030 vi sarà un forte sviluppo dell’attuale realtà sociale che sarà fondato su tre modelli di mobilità urbana avanzata (clean and shared mobility, private autonomy and seamless mobility), applicabili in maniera diversa a seconda della città di riferimento, in quanto i contesti locali sono i più disparati. Infatti, in ogni città vi sono diversi livelli di trafico stradale e, conseguentemente, diversi livelli di inquinamento ambientale, differenti condizioni atmosferiche, particolari connotazioni dei luoghi e, inine, la forza degli organi esecutivi locali varia di territorio in territorio. In termini generali, la mobilità – con particolare riguar-

Nodi virtuali, legami informali: Internet alla ricerca di regole

diversi vantaggi, sia a livello individuale (si pensi alla domotica e, in particolare, alla smart-home) che a livello collettivo (come nel caso delle smart-city e, in particolare, delle smart-grid).

Tra le principali ragioni di sviluppo del IoT vi è il cloud computing, una modalità di memorizzazione di dati ricevuti su server remoti che sono gestiti da soggetti terzi. I server archiviano, elaborano e trasmettono ad altri oggetti intelligenti i dati ricevuti dall’utilizzo dei devices (come il grado di soddisfazione dell’utilizzatore del prodotto, ovvero la modalità e la quantità di utilizzazione del prodotto stesso).

Il cloud genera un lusso di dati personali che devono essere trattati nel rispetto della normativa privacy vigente3. Per tale motivo, la Commissione europea n. 2013/C174/04 aveva già istituito nel 2013 un gruppo di esperti dei contratti di cloud computing, al ine di deinire clausole contrattuali sicure ed eque4 .

do all’autonomia e all’elettriicazione – sarà combinata con i sistemi integrati di energia, con i trasporti pubblici e con le infrastrutture. Notevoli saranno anche i vantaggi in termini di business. Per un maggiore approfondimento si veda

E. Hannon, C. McKerracher, I. Orlandi, S. Ramkumar, An Integrated Perspective on the Future of Mobility, in www.mckinsey.it, 2016, 1 ss.

3 Il 4 maggio 2016 sono stati pubblicati sulla Gazzetta Uficiale dell’Unione Europea (GUUE) i testi normativi che costituiscono il c.d. pacchetto protezione dati: il Regolamento del Parlamento europeo e del Consiglio relativo alla protezione delle persone isiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, del 27 aprile 2016,n. 679; la Direttiva del Parlamento europeo e del Consiglio relativa alla protezione delle persone isiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a ini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, del 27 aprile 2016, n. 680; la Direttiva del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione (PNR) a ini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, del 27 aprile 2016, n. 681, in www.eur-lex.europa.eu. Il Regolamento sarà applicabile in via diretta in tutti i Paesi membri dell’Unione europea a partire dal 25 maggio 2018, mentre le Direttive dovranno essere recepite dagli Stati membri entro entro 2 anni dal 5 maggio 2016.

4 Nel comunicato stampa della Commissione europea, Cloud computing: la Commissione europea avanza decisa, in www.europa.eu, 28 ottobre 2013, è stato sottolineato che l’obiettivo del gruppo di esperti di cloud computing è quello di individuare le prassi negoziali più adatte per rassicurare i consumatori e le piccole imprese – che molte volte non hanno iducia in questa tipologia di servizi – e

1.2. Internet of Things: le questioni aperte

L’IoT è senza dubbio la più importante innovazione della Information Technology (IT); tuttavia, oltre ai molteplici vantaggi, vi sono numerose questioni ancora aperte. Tra le principali vi è quella relativa ai nuovi proili di responsabilità conigurabili in caso di incidenti provocati dal malfunzionamento di smart things, come purtroppo avviene nelle ipotesi sempre più frequenti di incidenti stradali causati da veicoli autonomi5 .

Un’altra questione di estrema rilevanza è, come già accennato, quella relativa all’interconnessione degli oggetti intelligenti, la quale comporta – tramite il cloud computing – la raccolta, l’elaborazione e il trasferimento di dati personali6. Infatti, i produttori hanno già iniziato a raccogliere dati, non solo sulla performance dei propri prodotti, ma anche dati personali degli utenti, che ne sono spesso inconsapevoli. In tali casi appare naturale domandarsi se gli utenti non debbano ricevere un’adeguata informativa privacy per poi esprimere consapevolmente il consenso al trattamento dei dati personali e come ciò debba avvenire.

Sempre in tema di privacy si pongono, poi, problemi di proilazione degli utenti. I dati personali consentono di elaborare proili dettagliati degli utenti basati, tra l’altro, sui comportamenti, sulle abitudini, sulla salute, sull’età e sull’orientamento sessuale, politico o religioso degli stessi. In questo modo viene a crearsi un monitoraggio particolarmente invasivo della vita privata, che potrebbe condizionare la stessa libertà umana. Allo stesso tempo, però, la proilazione è molto importante per il mercato, in quanto grazie ad essa i produttori sarebbero in grado di individuare con precisione quali sono i prodotti maggiormente richiesti, in quali quantità e, inoltre, potrebbero migliorare gli stessi oggetti sfruttando i dati personali degli utenti. Pertanto, risulta necessario individuare il giusto bilanciamento tra anonimato e proilazione.

sviluppare la produttività economica in tutta Europa, creando un mercato unico per il cloud computing.

5 M.C. Gaeta, Automazione e responsabilità civile automobilistica, in Resp. civ. e prev., 2016, 5.

6 A. Wood, D.R. O’Brien, U. Gasser, Privacy and Open Data, in Networked Policy Series, in cyber.harvard.edu, 2016, 4.

Inine, un ulteriore problema legato all’Internet delle cose è quello della cybersecurity. In particolare, il 39% degli utenti intervistati sostiene che la sicurezza e la privacy siano i principali problemi legati all’IoT7. Il terrorismo e la criminalità costituiscono minacce sempre più gravi per le società a livello globale. Ad esempio, si potrebbe “hackerare” la rete di bordo di un veicolo completamente autonomo attaccando i dispositivi automatici di bordo per causare un incidente, oppure sarebbe possibile introdursi nei sistemi informatici di un’agenzia governativa e copiarne le informazioni in suo possesso.

Per le ragioni elencate e per le ulteriori questioni con le quali bisognerà confrontarsi nei prossimi anni, il Garante italiano per la protezione dei dati personali ha deciso di avviare una consultazione pubblica sul tema, al ine di deinire il fenomeno e introdurre nuove regole atte ad assicurare agli utenti la tutela dei dati personali e la massima trasparenza nell’utilizzo degli stessi8. Per lo stesso motivo il Global Privacy Enforcement Network (GPEN)9 l’11 aprile 2016 ha avviato il Privacy Sweep 2016 – un’indagine a carattere internazionale atta a veriicare il rispetto della privacy nell’Internet delle cose – rafforzando la cooperazione tra le Autorità privacy dei ventisei Paesi del mondo che hanno aderito all’iniziativa10. L’indagine si è conclusa il 22 settembre 2016

7 Stime del Business Insider, We Asked Executives About The Internet Of Things and Their Answers Reveal that Security Remains a Huge Concern, in uk.businessinsider.com, 30 gennaio 2015.

8 Comunicato stampa del Garante per la protezione dei dati personali, “Internet delle cose” sotto la lente delle Autorità garanti privacy, in www.garanteprivacy.it, 11 aprile 2016.

9 Nel 2007, il Consiglio dell’Organisation for Economic Co-operation and Development (OECD) ha adottato la Recommendation on Cross-border Cooperation in the Enforcement of Laws Protecting Privacy. La raccomandazione aveva imposto ai Paesi membri dell’OECD l’obbiettivo di creare un informal network di Autorità per la protezione dei dati personali, da cui è nato il Global Privacy Enforcement Network. Le Autorità garanti del GPEN devono cooperare nell’applicazione della legge sulla privacy, condividere le migliori strategie per affrontare le side transfrontaliere, lavorare congiuntamente per lo sviluppo di iniziative comuni e delle campagne di sensibilizzazione. Tale cooperazione deve avvenire nel rispetto delle disposizioni della raccomandazione e dei relativi ordinamenti giuridici.

10 Privacy Sweep 2016 analizza il funzionamento di dispositivi molto diversi fra loro: orologi che misurano il battito cardiaco e la pressione sanguigna, frigoriferi che segnalano la scadenza dei cibi riposti al loro interno, contatori che regolano

Internet of Things e veicoli autonomi: le questioni aperte

con risultati preoccupanti. Infatti, più del 60% degli oggetti intelligenti connessi in rete non hanno superato l’esame del GPEN.11

Da ultimo appare necessario soffermarsi sulla scelta del metodo da seguire per la conduzione di una ricerca atta a risolvere le molteplici problematiche in qui individuate. Il metodo adottato è a carattere misto, dato che si avvale tanto del materiale tradizionale afferente all’area giuridica, quanto di analisi empiriche. Speciicamente, la ricerca è fortemente basata sullo studio della casistica e, in particolare, di casi pratici e simulazioni tecniche. Per la natura multidisciplinare della materia trattata è inoltre necessario che l’indagine scientiica sia supportata da esperti afferenti ad aree diverse da quella giuridica, come quella ingegneristica e quella della human-machine interface.

La ricerca ha carattere altamente sperimentale. Prende avvio dall’analisi dello stato dell’arte, con consapevolezza che la pervasività di Internet ha inciso sulla vita privata di ciascuno di noi, costantemente monitorato tramite la crescente quantità di tecnologie di identiicazione e tracciamento, sempre in rapido sviluppo.

automaticamente la temperatura, veicoli completamente autonomi che portano il conducente (o meglio il passeggero) direttamente a destinazione e così via. Cfr. Comunicato stampa del Garante per la protezione dei dati personali, “Internet delle cose” sotto la lente delle Autorità garanti privacy, cit.

11 Precisamente, il 59% delle smart things non offre adeguate informazioni su come siano raccolti, utilizzati e comunicati a terzi i dati personali degli utenti, il 68% non fornisce adeguate informazioni sulle modalità di conservazione dei dati stessi, il 72% non spiega agli utenti come cancellare i dati dal dispositivo e il 38% non garantisce agli utenti semplici chiarimenti in merito al rispetto della propria privacy. Migliori, invece, sono stati i risultati delle analisi condotte dal Garante italiano sul rispetto dei dati personali da parte di alcune delle principali aziende produttrici nel settore della domotica. Speciicamente è stato riscontrato che solo il 10% non fornisce agli utenti alcuna informazione su come i loro dati personali siano raccolti, utilizzati e comunicati a terzi. Per un maggiore approfondimento

v. Comunicato stampa del Garante per la protezione dei dati personali, Privacy: “Internet delle cose”, utenti poco tutelati. I risultati dell’analisi internazionale svolta dalle Autorità garanti della privacy di 26 Paesi per il “Privacy Sweep 2016”, in www.garanteprivacy.it, 22 settembre 2016.

2. Autonomous and connected vehicles

2.1. Il panorama attuale

Nell’ambito dei veicoli autonomi la connessione è uno strumento essenziale per la comunicazione tra i veicoli e l’ambiente circostante. In particolare, sono conigurabili tre tipologie di comunicazione. La prima e più comune forma di comunicazione è quella che intercorre tra i veicoli (automatizzati) e le più disparate categorie di dispositivi12; si tratta della Vehicle to device communications (V2D). In secondo luogo, vi è la Vehicle to infrastructure communications (V2I), una tipologia di comunicazione più speciica che si instaura tra i veicoli e le infrastrutture come, ad esempio, i semafori stradali o gli strumenti di controllo della velocità (tutor e autovelox). Inine, la più soisticata tipologia di comunicazione è quella Vehicle to vehicle communications (V2V), in quanto presuppone che siano messi in circolazione veicoli completamente autonomi o, quantomeno, dotati di un elevato livello di automazione.

In tema di IoT, uno dei business in maggiore sviluppo è senza dubbio quello automobilistico. Infatti, entro il 2020 ci saranno circa 250 milioni di autoveicoli connessi in rete13 e il mercato automobilistico – che sarà fondato in prevalenza su sistemi di cloud computing – frutterà all’incirca 149 bilioni di dollari l’anno14. Prevedibilmente, entro tale data saranno ulteriormente sviluppate tutte le tipologie di connessione descritte, mentre intorno al 2025 si raggiungerà un livello di automazione tale che il conducente, durante lo svolgimento di funzioni di guida autonoma, non dovrà monitorare costantemente il veicolo, anche se dovrà essere in grado di riprenderne il controllo in ogni momento.

Conseguentemente allo sviluppo della guida autonoma e connessa, la mobilità si evolverà sempre più rapidamente con notevoli be-

12 Tra i più comuni vi sono gli smartphone, gli smart watch, i tablet e i personal computer, i quali possono essere connessi ai veicoli di ultima generazione tramite apposite applicazioni installabili su tali dispositivi.

13 Stime Gartner, Gartner Says By 2020, a Quarter Billion Connected Vehicles Will Enable New In-Vehicle Services and Automated Driving Capabilities, in www.gartner.com, 2015.

14 Stime Price Watherhouse Cooper, In the Fast Lane, the Bright Future of Connected Cars, in www.strategyand.pwc.com, 2014.

Internet of Things e veicoli autonomi: le questioni aperte

neici. In special modo vi sarà il miglioramento delle condizioni del trafico stradale, la riduzione dell’inquinamento ambientale, lo sviluppo della sharing economy, la maggiore sicurezza dei trasporti15 e l’estensione della mobilità anche a favore di soggetti ai quali la guida è di regola preclusa – bambini, anziani e disabili – trasformando la mobilità in un vero e proprio servizio (mobility as a service).

2.2. I rischi delle auto connesse

In contrapposizione agli importanti vantaggi derivanti dallo sviluppo delle auto connesse in rete, sono conigurabili numerosi rischi che non vanno sottovalutati16. Alla luce dei recenti eventi17, il rischio che preoccupa maggiormente è quello della responsabilità automobilistica in caso di incidenti causati dal malfunzionamento di un autonomous vehicle, sia per problemi legati alla tecnologia meccanica che per problemi di connessione. In questi casi, la solu-

15 Il Parlamento europeo ha approvato il Regolamento sull’e-call, dispositivo elettronico installato sul veicolo che fornisce un servizio pubblico gratuito in grado di effettuare automaticamente una chiamata di emergenza al 112 per allertare i servizi di soccorso in caso di incidente stradale. Il dispositivo e-call sembrerebbe tutelare la privacy degli utenti dato che i veicoli sono tracciabili solo in caso di incidente; inoltre la chiamata effettuata in caso di emergenza fornisce solo i dati necessari (come il tipo di veicolo, il combustibile utilizzato, il momento dell’incidente, la posizione esatta e il numero di passeggeri). Entro il 31 marzo 2018 dovranno essere installati i dispositivi e-call sui nuovi modelli di autoveicoli. Inoltre, il Parlamento europeo ha imposto alla Commissione l’obbligo di veriicare l’eventuale estensione di tali dispositivi ad altre categorie di veicoli (autobus, camion, pullman, ecc.), nei tre anni successivi al marzo 2018. Cfr. Regolamento del Parlamento Europeo e del Consiglio, relativo ai requisiti di omologazione per lo sviluppo del sistema e-call di bordo basato sul servizio 112 e che modiica la direttiva 2007/46/CE, del 29 aprile 2015, n. 758, in www.europarl.europa.eu.

16 Anche nella Declaration of Amsterdam, Cooperation in the ield of connected and automated driving, 14-15 aprile 2016, in english.eu2016.nl, è stata sancita la necessità di sviluppare e mantenere un programma comune con gli altri Stati europei interessati per sostenere gli obiettivi preissati e porre rimedio alle problematiche che derivano dallo sviluppo della guida autonoma e connessa. In tema di sicurezza si veda anche Federal Automated Vehicles Policy, U.S. Department of Transportation, settembre 2016, in www.transportation.gov.

17 Si fa riferimento ai due incidenti Tesla. Per un maggiore approfondimento sul caso Tesla model S si rimanda al post Road death puts the brakes on self-driving cars as laws are exposed, in www.lse.ac.uk, 2016.

zione preferibile è quella di considerare il veicolo come un prodotto, applicandone la relativa disciplina normativa, come già ampiamente affermato in altra sede18 .

In secondo luogo, appare particolarmente dificile la coesistenza di veicoli tradizionali con i veicoli autonomi, dato che il comportamento dei veicoli tradizionali – così come quello dei pedoni – è altamente imprevedibile e le self-driving cars non sono in grado di pronosticare ogni reazione possibile.

Da un punto di vista etico, poi, si teme che i veicoli autonomi possano essere programmati per effettuare una vera e propria scelta su chi salvare nell’ipotesi in cui sia inevitabile ferire o, peggio ancora, sacriicare qualcuno. Ad esempio, ci si chiede come dovrebbe agire l’autoveicolo che si trovi davanti alla scelta di salvare il conducente e la sua famiglia che sono a bordo del veicolo ovvero un gruppo di giovani studenti che stanno attraversando la strada19. Secondo alcuni bisognerebbe basarsi sul rispetto delle norme di legge in materia di circolazione stradale. Tuttavia ciò comporterebbe la programmazione di un robot dotato di poteri decisionali sulla vita delle persone in quanto, scegliendo chi salvare, inevitabilmente si sceglierebbe chi sacriicare. Pertanto, sembrerebbe preferibile la programmazione di un veicolo autonomo in modo tale che tenti di evitare la collisione in ogni modo possibile, senza però operare una scelta su chi salvare. La privacy è un altro aspetto di estrema rilevanza e attualità. Infatti, le auto sono sempre più connesse in rete e tale connessione genera il trasferimento di dati personali che permettono di comprendere le preferenze e le abitudini dei conducenti e degli eventuali passeggeri a bordo del veicolo. Non sempre tali soggetti sono opportunamente informati circa il trattamento dei propri dati personali e ciò comporta il mancato rispetto della normativa sulla privacy. Allo stesso tempo, però, recenti studi hanno evidenziato che gli utenti forniscono il con-

18 Per un maggiore approfondimento si rinvia a M.C. Gaeta, Automazione e responsabilità civile automobilistica, cit. In tal senso anche A. Bertolini, Robots as Products: The Case for a Realistic Analysis of Robotic Applications and Liability Rules, in Law, Innovation and Technology, 2013, 5, 2, 227 ss.

19 Il Massachusetts Institute of Technology ha ideato la Moral Machine, una piattaforma online in cui chiunque può esprimere le sue idee sul punto, soffermandosi sulle reazioni del veicolo autonomo in caso di situazioni estreme. Cfr.moralmachine.mit.edu

senso al trattamento dei propri dati personali quasi sempre e senza prestare attenzione all’informativa privacy, dato che il consenso al trattamento è necessario per poter accedere a determinati servizi – ovvero a particolari funzioni degli stessi – dei quali altrimenti non potrebbero usufruire20. Quindi, la scelta preferibile risulta quella di fornire un’adeguata informativa sul trattamento dei dati personali, in modo che gli utenti sappiano esattamente cosa comporti il trattamento dei propri dati personali. In questo modo è prevedibile che, nella maggior parte dei casi, gli stessi scelgano ugualmente di fornire il consenso al trattamento ma – cosa molto importante – siano consapevoli della propria scelta. Allo stesso tempo, le aziende produttrici non potrebbero incorrere in responsabilità per illecito trattamento dei dati personali avendo informato l'utente nel rispetto della data protection.

Inine, i veicoli autonomi comportano sicuramente una maggiore sicurezza sotto molti punti di vista ma, al contempo, comportano anche forti rischi di manomissione dei dispositivi installati sui veicoli che – con lo sviluppo dell’automazione – aumentano esponenzialmente. Pertanto, appare essenziale adottare una tutela ex ante, fondata sull’adozione di tutte le precauzioni necessarie per evitare tali manomissioni, ad esempio tramite l’introduzione di appositi standard di sicurezza.

3. Gli obiettivi da raggiungere

L’IoT ha creato nuovi modelli di business i quali hanno modiicato il rapporto tra produttore e consumatore. Si è passati da un rapporto “istantaneo” tra produttore e consumatore a un rapporto “di durata” tra fornitore e consumatore. Il rapporto di durata si fonda sulla iducia del consumatore, il quale, dal canto suo, è il motore dell’IoT, dato che gli oggetti connessi raccolgono, elaborano e trasmettono i suoi dati personali. Da questo punto di vista, per tutelare gli utenti, devono essere previste nuove regole di responsabilità del produt-

20 La Fédération Internationale de l’Automobile ha promosso il progetto My car, My Data atto a informare e sensibilizzare i cittadini sul problema della tutela dei dati personali. In Italia l’iniziativa è sostenuta dall’Automobile club d’Italia. Cfr. www.aci.it

Nodi virtuali, legami informali: Internet alla ricerca di regole

tore e del fornitore dei servizi ma, contemporaneamente, devono essere introdotte anche nuove cause di giustiicazione in modo che gli stessi produttori e fornitori siano incentivati a immettere sul mercato prodotti sempre più innovativi21. In effetti, lo sviluppo dell’Internet delle cose è fortemente legato agli obblighi normativi: il rischio per il produttore o il fornitore di incorrere in nuove forme di responsabilità derivanti dall’immissione sul mercato di prodotti o servizi tecnologici difettosi, comporterebbe il rallentamento del processo di produzione che, in alcuni casi, potrebbe paralizzarsi del tutto, impedendo lo sviluppo delle nuove tecnologie e la crescita economica delle aziende produttrici. È necessario, pertanto, sviluppare un’accurata analisi economica del diritto, basata sul rapporto costi-beneici e, in particolare, sul rapporto tra i rischi di incidenti provocati da smart things – con le conseguenti responsabilità – e i beneici dell’IoT.

Nel caso di prodotti e servizi considerati sicuri, invece, i rispettivi produttori e fornitori non potrebbero essere ritenuti responsabili. Per questo motivo risulta estremamente rilevante l’art. 3 della direttiva 2001/95/CE22 (art. 105 cod. cons.), che disciplina espressamente la fattispecie della presunzione di sicurezza del prodotto, stabilendo che un prodotto si presume sicuro nel caso in cui sia conforme alla normativa europea o, in mancanza, sia conforme alla normativa nazionale dello Stato membro in cui il prodotto è commercializzato; un prodotto è sicuro, inoltre, qualora rispetti le norme nazionali non cogenti che recepiscono la normativa europea. Inine, se la disciplina normativa europea o nazionale è assente, un prodotto viene deinito safe, tra l’altro, qualora rispetti il livello di sicurezza che i consumatori possono ragionevolmente aspettarsi (consumer expectations). Pertanto, qualora un prodotto sia al di sotto delle aspettative dei consumatori, appare conigurabile la responsabilità del produttore, dato che proprio quest'ultimo ha messo in commercio un prodotto non suficientemente sicuro.

21 Progetto di relazione del Parlamento Europeo recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica, 31 maggio 2016, in www.europarl.europa.eu

22 Direttiva del Parlamento europeo e del Consiglio relativa alla sicurezza generale dei prodotti, 3 dicembre 2001, n. 95, in www.eur-lex.europa.eu

In merito al fenomeno dell’Internet of Things, quale spazio in cui avviene lo scambio dei dati personali – con particolare attenzione alle problematiche in tema di privacy – appare necessaria l’elaborazione di un framework di regole giuridiche applicabile a livello internazionale, che disciplini le modalità attraverso le quali gli utenti debbano essere informati sul trattamento dei loro dati personali, nel caso speciico di uso di smart things. Tale regolamentazione, dovrà essere elaborata in vista del consenso al trattamento dei dati personali che gli stessi utenti devono necessariamente prestare per poter utilizzare il prodotto, tenendo presente il prevalente orientamento degli users a fornire il consenso quasi sempre23. In questo modo, da un lato si eviterà di incorrere nelle sanzioni previste dal nuovo Regolamento privacy 2016/679/UE sulla responsabilità del titolare del trattamento e del responsabile del trattamento dei dati personali e, dall’altro, si svilupperà il mercato unico digitale consentendo ai consumatori di beneiciare pienamente di una maggiore offerta di cloud computing.

Quanto alla questione della proilazione, è assolutamente necessario creare il giusto equilibrio tra proilazione e anonimato, con lo scopo di non impedire in via generale il trattamento dei dati ma di consentirlo in modo trasparente e solo se necessario24. È essenziale, pertanto, un approccio più selettivo, il quale eviti di catturare un’eccessiva quantità di dati che non si è neanche in grado di analizzare, limitandosi solo ai dati necessari per comprendere le esigenze

23 Si pensi banalmente ai servizi di ricerca e visualizzazione di mappe geograiche che forniscono indicazioni sulla strada da percorrere per raggiungere un determinato luogo i quali, per individuare più rapidamente il percorso migliore da seguire, hanno bisogno di geolocalizzare l’utente. Nella gran parte dei casi l’utente acconsente a comunicare la propria localizzazione al ine di poter godere di un servizio più rapido e preciso.

24 L’art. 3 del d.lgs. 196/2003 prevede il c.d. principio di necessità del trattamento dei dati, per il quale, i sistemi informativi – e prime tra tutti le Information and Communications Technology (ICT) – devono essere predisposti in modo da assicurare che i dati personali e i dati identiicativi siano trattati solo nei casi necessari, cioè quando per il raggiungimento delle inalità consentite non possano essere utilizzati dati anonimi o caratterizzati da una limitata identiicazione degli utenti. Il principio è stato ripreso nel nuovo Regolamento privacy che ha espressamente disciplinato la privacy by default

Nodi virtuali, legami informali: Internet alla ricerca di regole

del mercato e far convergere quanto più possibile la domanda dei consumatori con l’offerta dei produttori. Inoltre, la necessità di proteggere la privacy richiede l’introduzione di nuove norme giuridiche che disciplinino le diverse forme di comunicazione tra gli utenti che spesso si trovano in Paesi diversi e, pertanto, sono assoggettati a leggi differenti25. A tal proposito è stato adottato il nuovo Privacy Shield26, in vigore dal 12 luglio 2016, che disciplina il trasferimento di dati personali a ini commerciali tra Europa e Stati Uniti d’America. Inine, relativamente alla cybersecurity, bisogna aumentare le tutele attualmente previste per gli utenti. Invero, in dalla fase di progettazione dei prodotti e dei servizi, gli operatori coinvolti nella produzione dovrebbero adottare soluzioni tecnologiche a garanzia,

25 A proposito delle comunicazioni, in America è stato approvato l’International Communications Privacy Act, 25 maggio 2016, in www.hatch.senate.gov, che crea un quadro giuridico relativo alle facoltà delle forze dell’ordine di ottenere dati personali relativi alle comunicazioni elettroniche dei cittadini statunitensi, indipendentemente da dove si trovino o dal luogo in cui avvengano le loro comunicazioni. Inoltre, l’atto è applicabile anche ai cittadini stranieri ma solo (e fortunatamente!) in circostanze limitate e in linea con il diritto internazionale. Per un maggior approfondimento si vedano le Council conclusions on improving criminal justice in cyberspace, 9 giugno 2016, in www.consilium.europa.eu, che si soffermano sulla necessità di elaborare norme di legge sul cyberspace.

26 Decisione di esecuzione della Commissione europea, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, del 12 luglio 2016, n. 1250, in www.eur-lex.europa.eu. Fin dalle rivelazioni del 2013 in materia di attività di sorveglianza, l’UE e gli USA hanno tentano di deinire un nuovo accordo per il trasferimento agli USA di dati personali inviati dall’UE per ini commerciali. Infatti, l’Unione europea è tenuta al rispetto dei trattati e della Carta dei diritti fondamentali dell’Unione europea, che ne proteggono tutti i cittadini e, di conseguenza, l’Unione europea deve adottare tutte le misure necessarie a garantire il rispetto della privacy in tutte le operazioni di trattamento dei dati, compresi i trasferimenti, soprattutto quelli transoceanici. Pertanto è stato concluso il Privacy Shield che segna un passo avanti nella tutela dei dati personali anche se l’accordo non pone rimedio a tutte le problematiche. In particolare non prevede in misura adeguata tutti i meccanismi di salvaguardia atti a tutelare i diritti dell’individuo. Per di più, l’autoregolamentazione appare una soluzione applicabile solo nel breve termine mentre, nel lungo termine, non sarebbe suficiente. Inine, il progetto di decisione è incentrato sull’attuale quadro normativo europeo, che sarà ben presto sostituito dal Regolamento privacy 2016/679/UE, applicabile dal 2018.

non solo della privacy, ma anche della sicurezza degli utenti per proteggerli dai cyber attacchi, conigurando le c.d. privacy by design e security by design27. Di conseguenza, appare opportuno prevedere, oltre alle regole ad hoc che disciplinino la privacy by default – stabilendo come impostazione predeinita di trattare solo i dati personali nella misura necessaria, per le inalità previste e per il periodo strettamente necessario a tali ini – anche la privacy by design e la security by design (quest’ultima ancora non espressamente riconosciuta dal Parlamento europeo), con particolare riguardo al limite dell’alternative design28 .

27 La privacy by design – così come la privacy by default – è espressamente prevista nel Regolamento privacy 2016/679/UE ed era già stata introdotta nella Proposta di Regolamento europeo del 25 gennaio 2012, concernente il c.d. pacchetto protezione dati, anche se non opportunamente disciplinata.

28 E. Al Mureden, Sicurezza "ragionevole" degli autoveicoli e responsabilità del produttore nell'ordinamento giuridico italiano e negli Stati Uniti, in Contratto e Impr, 2012, 1523 ss.

Quale statuto per i virus di Stato?

Rilessioni minime sulla compatibilità dei c.d. captatori informatici con i diritti fondamentali

Federico Ponte

1. Premessa sui captatori informatici e sulle

– innovative – potenzialità

Preliminarmente ad ogni trattazione in ordine al rapporto tra i captatori informatici e i diritti fondamentali è dirimente svolgere talune considerazioni volte ad inquadrare il fenomeno da un punto di vista tecnico per coglierne tanto le potenzialità quanto le peculiarità e, si anticipa, le ragioni che suggeriscono di sospettare della legittimità dell’attuale regime giuridico.

I captatori informatici, altrimenti detti trojan o virus di Stato, rappresentano un potente strumento in mano agli inquirenti per ottenere di elementi utili alle proprie indagini. Ciò emerge con chiarezza osservandone il funzionamento: essi altro non sono che un software che, all’insaputa dell’utente se non con la sua inconsapevole collaborazione, viene installato in un device target (potrà consistere tanto in pc portatile, smartphone e tablet quanto in wearable device) in uso al medesimo.

Ad installazione avvenuta, i predetti virus saranno in grado di prendere controllo – sempre all’insaputa della vittima dell’intrusione – del medesimo device, potenzialmente con i soli limiti tecnici a cui lo stesso è assoggettato. Conseguentemente sarà sia possibile fare copia dei dati contenuti nel medesimo sistema (si parla a tal proposito di online search) che monitorare il lusso che intercorre

tra le periferiche e il microprocessore del dispositivo (online survelliance)1 .

Da ciò consegue che molteplici sono le operazioni che potranno compiersi, potendo prendere contezza non solo di quanto avviene all’interno del device, ma anche intorno ad esso: oltre a prendere cognizione di tutti i dati in esso contenuti (e di quelli a cui tramite di esso si può accedere, magari grazie alle password per i sistemi cloud ivi memorizzate), oltre a captare telefonate, videochiamate, sms e dati della navigazione in Internet, sarà possibile attivare il microfono e sentire quello che avviene nell’ambiente circostante, attivare la fotocamera e vedere ciò che accade intorno e, non meno importante, sarà possibile attivarne il GPS e sapere dove il soggetto si trova e in che direzione sta andando.

Ciò peraltro, com’è agevolmente intuibile, non è di per sé tecnicamente coninato a un luogo o a un tempo, ma può astrattamente dispiegarsi per tutta la durata delle indagini e seguire il soggetto che ha il device in uso in ogni sua situazione della vita, ovunque egli lo porti con sé.

Viste le potenzialità non stupisce che si sia acceso il dibattito in ordine all’opportunità di fornire un’adeguata copertura normativa a questi strumenti, essenziali per il perseguimento della ragione di Stato, ma che in assenza di una compiuta regolamentazione sembrano poter mettere a serio rischio le ragioni dei diritti fondamentali2 .

2. La recente giurisprudenza italiana in materia di captatori e le sue remote criticità

Questo attrito tra captatori informatici e diritti fondamentali emerge con chiarezza esaminando la giurisprudenza di legittimità che ino ad oggi si è trovata ad affrontare il tema con strumenti proces-

1 La dottrina ha a lungo osservato gli strumenti. Tra i più recenti si veda M. Torre, Il virus di Stato nel diritto vivente tra esigenze investigative e tutela dei diritti fondamentali, in Diritto penale e processuale, 2015, 1163 ss., A. Testaguzza, Digital forensics, Informatica giuridica e processo penale, Padova, CEDAM, 2014, 81 ss.

2 Di questo avviso diffusamente A. Gaito, S. Fùrfaro, Le nuove intercettazioni “ambulanti”: tra diritto dei cittadini alla riservatezza ed esigenze di sicurezza per la collettività, in Archivio penale, 2016, 2.

suali che, congeniati per una realtà ben differente, applicati oggi iniscono per far pendere l’ago della bilancia più verso le ragioni degli inquirenti che verso quelle degli individui sottoposti ad indagini.

L’esame della realtà giurisprudenziale è d’altra parte essenziale dovendo prendere le mosse dall’assenza di una disciplina normativa ad hoc nel nostro ordinamento, di cui è riprova l’intenzione parlamentare di prevedere una loro puntuale disciplina: magari facendo rinvio a quella delle intercettazioni, oppure – e tra le due sembra potersi preferire – scomponendo i captatori in base alle loro singole funzioni e prevedendo una particolare disciplina per ognuna di esse3 .

Non è questa la sede opportuna per una rassegna della giurisprudenza in materia di captatori informatici, ma la menzione di taluni casi emblematici può aiutare a confermare l’affermazione fatta poco sopra. Ciò permetterà altresì di avvicinarsi al tema che si intende affrontare nello speciico e che sceglie, tra le molteplici applicazioni possibili dei captatori, quella della geolocalizzazione. Ai nostri ini interessa in particolar modo quel ilone giurisprudenziale che ha affrontato il problema delle intercettazioni tra presenti (altrimenti dette «ambientali») mediante virus informatico e, più nello speciico, se con riguardo alla criminalità organizzata (nozione invero giudicata assai ampia nel nostro ordinamento4) è necessaria l’espressa indicazione dei luoghi di privata dimora dove si svolgono le intercettazioni5 .

3 La prima proposta si deve all’On. Greco, a.C. 3470, Modiica all’articolo 266-bis del codice di procedura penale, in materia di intercettazione e di comunicazioni informatiche o telematiche, mentre il secondo approccio sembra quello adottato dall’On. Quintarelli, a.C. 3762 Modiiche al codice di procedura penale e alle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, in materia di investigazioni e sequestri relativi a dati e comunicazioni contenuti in sistemi informatici o telematici. Più avanzato nell’iter legis è però l’a.S. 2067, attualmente al vaglio dell’Assemblea, recante (artt. 29 ss.) delega al Governo per il riordino della disciplina.

4 Si veda, proprio con riferimento alla sentenza Scurato di cui si dirà infra, M.T. Abbagnale, In tema di captatore informatico, in Archivio penale, 2016, 2, 9.

5 È appena il caso di ricordare che l’art. 13 del d.l. 13 maggio 1991 n. 152, conv. dalla l. 12 luglio 1991, n. 203 esclude, ai ini dell’ammissibilità delle intercettazioni di comunicazioni tra presenti in luoghi di privata dimora, il requisito del fondato motivo di ritenere che si stia svolgendo l’attività criminosa, quando si è in presenza di criminalità organizzata.

Un primo orientamento (caso Musumeci6) ha risposto positivamente, affermando con tenore quasi costituzionale che «le norme che prevedono la possibilità di intercettare comunicazioni tra presenti sono di stretta interpretazione, ragion per cui non può considerarsi giuridicamente corretto attribuire alla norma codicistica una portata applicativa così ampia da includere la possibilità di una captazione esperibile ovunque il soggetto si sposti.»

L’orientamento non ha tuttavia avuto fortuna in quanto solo un anno dopo niente di meno che le Sezioni Unite, nel caso Scurato7 , arrivano a sconfessarlo. Ritenendo che per le «cimici» l’indicazione del luogo fosse necessaria all’esclusivo ine di determinare concretamente le modalità tecniche attraverso cui espletare l’attività di intercettazione, per i captatori tale esigenza non si fa sentire. Si fa sentire, dice tra le maglie la Corte, solo laddove in luogo di criminalità organizzata si parli di reati «ordinari», giacché dovrà, a mente dell’art. 266 c. 2 c.p.p., mettersi in luce che nei luoghi di privata dimora vi sia fondato motivo di ritenere che vi si stia svolgendo l’attività criminosa.

A questa pronuncia ne ha subito fatto seguito un’altra che, recependo il principio di diritto enunciato, l’ha portato ad ulteriori conseguenze. È il caso Marino8 in cui si è fatto un passo avanti: oltre a lasciar intendere che una puntuale indicazione del device non è necessaria9, potendo essere suficiente il generico riferimento allo strumento in uso all’indagato, anche l’indagato stesso non è parso più di tanto necessario. Si sono infatti ammesse le intercettazioni anche quando questo era già stato arrestato, il device era rimasto in

6 Cass., sez. VI pen., sent. 26 maggio 2015, 27100.

7 Cass., SS.UU. pen., sent. 1 luglio 2016, 26889. I commenti, complessivamente piuttosto critici nei confronti della pronuncia, non si sono fatti attendere: si vedano A. Gaito, S. Fùrfaro, Le nuove intercettazioni “ambulanti”, cit.; A. Cisterna, Spazio ed intercettazioni, una liaison tormentata. Note ipogarantistiche a margine della sentenza Scurato delle Sezioni unite, in Archivio penale, 2016, 2; L. Filippi, L’ispe-perqui-intercettazione “itinerante”: le Sezioni unite azzeccano la diagnosi, ma sbagliano la terapia (a proposito del captatore informatico), ibid.; L. Picotti, Spunti di rilessione per il penalista dalla sentenza delle Sezioni unite relativa alle intercettazioni mediante captatore informatico, ibid

8 Cass., sez. VI pen., sent. 4 luglio 2016, 27404.

9 Punto 2 del considerando in diritto.

possesso della sua compagna, e i successivi intercettati erano tutti non indagati.

Ecco dunque che, come ribadisce più volte la decisione sinteticamente esaminata, il decreto di autorizzazione deve trovare solo ed esclusivamente nel reato (di criminalità organizzata) la sua giustiicazione. Non rilevando più a questo punto luoghi, persone, speciicità del device. Le ragioni della ragione di Stato sembrano essere soddisfatte, con una piuttosto limitata attenzione per il bilanciamento10 .

Le decisioni ino ad ora esaminante non sembrano certo carenti in punto di diritto, al di là delle critiche che diffusamente sono state mosse dalla dottrina, infatti, il giudice di legittimità ha sempre posto in essere un ragionamento giuridico evolutivo. Non trovandosi nelle condizioni di prendere decisioni «a rime obbligate», per dirlo con le parole della Corte costituzionale, la Cassazione si è pienamente avvalsa del suo potere nomoilattico, adattando strumenti processuali congeniati per il passato (non troppo remoto, ma in rapidissima evoluzione) a nuovi strumenti tecnici.

Non meno signiicativa ai nostri ini è una pronuncia di pochi mesi antecedente11, invero non innovativa12, che ha ad oggetto l’attività di tracking satellitare attraverso il GPS collocato in un’autovettura. L’attività in questione, che permette di individuare in tempo reale dove il soggetto si trova, è stata inquadrata come «prova atipica» da una giurisprudenza pressoché costante, che non ne ha ravvisato gli estremi per qualiicarla come un’intercettazione ai sensi degli artt. 266 ss. A ciò consegue, se il ragionamento giuridico inora espresso dalla Corte sarà portato alle logiche conseguenze, che ai captatori informatici deputati alla geolocalizzazione non sarà richiesto, almeno nel nostro ordinamento13, di passare al preventivo vaglio della magi-

10 Anche la stessa Corte di Cassazione, nella sentenza in commento svolge sì un test di compatibilità verso i diritti costituzionalmente garantiti e quelli previsti dalla CEDU (punto 3 del considerando in diritto), ma lo fa prima di affrontare la questione delle intercettazioni dei non indagati (punto 4 del considerando in diritto), lasciando magari involontariamente intendere che essa sia già un «di più».

11 Cass., sez. V pen., sent. 10 febbraio 2016, 5550.

12 Si veda, di poco più risalente, Cass., sez. V pen., sent. 10 marzo 2010, 9667.

13 Ben diverso è il caso francese, come rileva P. Costanzo, Note preliminari sullo statuto giuridico della geolocalizzazione (a margine di recenti sviluppi giurisprudenziali e legislativi), in Il diritto dell’informazione e dell’informatica, 2014, 3, 334.

stratura, essendo suficiente l’idoneità all’accertamento dei fatti e il rispetto della libertà morale della persona.

3. I diritti fondamentali presi sul serio?

Non resta a questo punto che da vedere come i diritti, alla luce della giurisprudenza che si è ino ad ora illustrata, siano stati «poco presi sul serio» o per meglio dire si sia fatta prevalere la già menzionata ragione di Stato, senza un’adeguata rilessione sulle implicazioni di questa opzione normativa.

È chiaro che i due termini su cui oscilla la questione, essendo esclusa anche in giurisprudenza ogni interpretazione che accosti le attività poste in essere dai captatori a perquisizioni, sequestri e intercettazioni14, anche in virtù delle sostanziali differenze, è quello dell’inquadramento nella disciplina delle intercettazioni o in quella delle prove atipiche.

Quello che si intende cercare di porre in evidenza in questa sede è l’inidoneità di questi istituti a legittimare l’utilizzo dei captatori informatici. A tal proposito, seppur sinteticamente, si cercherà di prendere in considerazione due distinti aspetti, attinenti rispettivamente alla compatibilità della disciplina con la riserva di legge in materia processualpenalistica e coi diritti fondamentali che primariamente vengono in gioco.

3.1. L’attuale giurisprudenza in tema di captatori e la stretta legalità processualpenalistica Appare evidente, per quanto si è avuto modo di sostenere inora, che l’attuale regime giurisprudenziale sconti di una certa «disinvolta aperta» nei confronti dei captatori. Questo deriva in primis dalla non corrispondenza tra il momento storico in cui sono state poste in essere le norme e quello attuale, in cui è evidentemente mutata la realtà tecnologica.

Attraverso le intercettazioni mediante captatori informatici è oggi possibile captare qualsiasi forma di comunicazione, anche non

14 Si veda a tal proposito A. Testaguzza, I Sistemi di Controllo Remoto: fra normativa e prassi, in Diritto penale e processo, 2014, 6, 763. È altresì pertinente il richiamo a Cass., SS. UU., 28 maggio 2003, 36747.

verbale, potenzialmente 24/24 e 7/7, con i soli limiti del decreto di autorizzazione o di esecuzione. Ben diverso dal contesto originario dell’intercettazione per cui, oltre all’intermediazione dell’operatore telefonico (a fronte oggi dell’utilizzo di agenzie private non diversamente qualiicate) per le intercettazioni telefoniche, le intercettazioni di tipo ambientale erano comunque severamente coninate al luogo in cui la cimice era isicamente collocata.

L’utilizzo della prova atipica è parimenti molto discutibile, stante la sua ratio di norma di chiusura del sistema: oggigiorno è molto quello che viene afidato alla memoria dei nostri dispositivi elettronici o alle memorie in cui per tramite di essi possiamo accedere, tanto che possiamo considerarli un’estensione del nostro pensiero: accedervi senza un adeguato controllo vuol dire accedere indiscriminatamente a proili assai intimi dell’individuo.

È evidente pertanto lo scollamento tra il dato normativo e la realtà giurisprudenziale, in costanza di un’evoluzione tecnica non solo quantitativa ma anche qualitativa15 che costringe a parlare di un vero e proprio diritto processualpenalistico di matrice oramai giurisprudenziale. A tal riguardo è stato eficacemente affermato che «oggi il processo penale è spesso regolato in modo del tutto autonomo da pratiche giurisprudenziali devianti»16, lasciando così intendere il divario tra l’art. 111 della Costituzione, che sconta un basso tasso di effettività, e la prassi dei Tribunali e delle Procure.

L’art. 111 Cost. sembra infatti il grande escluso dalle rilessioni – specialmente giurisprudenziali – sui captatori informatici. Esso tuttavia si pone in un momento logico un passo prima degli stessi diritti fondamentali, che ne rappresentano sviluppo prevedendo limiti sostanziali alla legge.

La stretta legalità processuale infatti, che si desume dall’affermazione normativa per cui il giusto processo, quale unico modo per attuare la giurisdizione, è «regolato dalla legge» imporrebbe un certo

15 Di «una nuova e diversa tipologia di mezzo di ricerca delle prove che invade stabilmente l’intera sfera di “riservatezza informatica” della persona o delle persone che entrino nel raggio d’azione dell’intrusore» parla L. Picotti, Spunti di rilessione per il penalista dalla sentenza delle Sezioni unite relativa alle intercettazioni mediante captatore informatico, in Archivio penale, 2016, 2, 9.

16 O. Mazza, I diritti fondamentali dell’individuo come limite della prova nella fase di ricerca e in sede di assunzione, in Diritto penale contemporaneo, 2013, 3, 5.

rigore da doversi adottare nel momento in cui si disciplina la materia delle prove, se non altro quando in gioco vi siano diritti fondamentali.

A questo stride non solo la giurisprudenza che non si fa più interprete ma autrice delle regole probatorie (è soprattutto il caso delle intercettazioni), ma anche la disciplina di matrice legislativa non suficientemente determinata17 (è il caso dei captatori geolocalizzanti quali prova atipica).

Interessanti spunti si rinvengono dalla pronuncia della Corte EDU Zakharov c. Russia18. Il caso trae origine dalla legge russa che obbliga i fornitori di reti mobili a installare apparecchiature che consentono ai servizi segreti di effettuare captazioni su Internet, senza necessità di alcuna autorizzazione preventiva.

Nel dichiarare il contrasto con l’art. 8 della Convenzione la Corte ha colto l’occasione per fare il punto in materia di intercettazioni, ribadendo tra l’altro e per quanto riguarda ai nostri ini che la legislazione nazionale deve chiaramente deinire l’ambito di applicazione dei captatori, dando modo ai consociati di comprendere la natura dei reati e dei potenziali destinatari, e che il contenuto dell’autorizzazione deve prevedere alternativamente o la speciica persona da porre sotto sorveglianza o l’insieme dei luoghi in cui viene disposta.

Nel nostro ordinamento come si è visto l’ambito di applicazione dei captatori informatici idonei a svolgere intercettazioni è attualmente il frutto di un diritto di matrice giurisprudenziale ma che a differenza dei paesi di common law non gode del principio dello stare decisis: di conseguenza se la natura dei reati è per la maggior parte data (si parla di criminalità organizzata), così non è per i destinatari (nell’arresto dell’indagato, è divenuta tale la coniuge) e anche dei luoghi non v’è certezza.

17 O. Mazza, I diritti fondamentali dell’individuo come limite, cit., 8. L’A. sembra qui sostenere l’illegittimità costituzionale dell’art. 189 c.p.p., almeno nella misura in cui questo viene «invocato per ammettere una prova lesiva dei diritti fondamentali». Critico sul rapporto tra GPS e art. 189 c.p.p. anche L. Monteverde, Le nuove «frontiere» delle intercettazioni, in Archivio penale, 2014, 3, 2.

18 Corte EDU, Grande Camera, Roman Zakharov c. Russia, 4 dicembre 2015. Per un commento si veda A. Balsamo, Le intercettazioni mediante virus informatico tra processo penale italiano e Corte europea, in Cassazione penale, 2016, 5, 2276 ss.

Quale statuto per i virus di Stato?

Peraltro, con riguardo ai GPS, il requisito della prevedibilità legislativa ricorreva nel già citato caso Uzun c. Germania: vero è che nel caso di specie una norma non espressamente dedicata ai captatori è stata fatta salva, ma questa era ben più circoscritta alludendo a «altri mezzi tecnici speciali destinati allo scopo della sorveglianza»19 .

Il nostro ordinamento al contrario sembra non accogliere questa impostazione tenendo in piedi, per i captatori, una norma dalle maglie assai più ampie di quella presente nell’ordinamento tedesco ai tempi della decisione.

L’impostazione inora accolta riporta alla mente l’idea del Panopticon di Bentham, e di come questo sia in grado di condizionare l’individuo che, nell’incertezza, «in ogni istante, avendo motivo di credersi sorvegliato, e non avendo i mezzi per assicurarsi il contrario, creda di esserlo»20 .

3.2. L’attuale giurisprudenza in tema di captatori (geolocalizzanti) e i diritti fondamentali

Un proilo altrettanto problematico che emerge è quello della compatibilità tra captatori e diritti fondamentali. Il tema è stato ampiamente analizzato con riferimento alle libertà degli artt. 13, 14 e 15 Cost., nonché con l’art. 8 CEDU e degli artt. 7 e 8 della Carta UE. Ciò signiica che si è prevalentemente posta l’attenzione sui captatori in grado di svolgere intercettazioni di comunicazioni o comunque di accedere ai dati contenuti nel device: in questa sede si svolgeranno invece talune considerazioni sulla geolocalizzazione che, usata come prova atipica ai sensi dell’art. 189 c.p.p., merita talune rilessioni speciiche. Non può in primis tacersi la possibilità di un uso virtuoso dei captatori informatici geolocalizzanti per ini di giustizia: si pensi all’ipotesi in cui di essi si faccia uso per contenere le intercettazioni,

19 Così può essere tradotto l’art. 100c § 1 n. 1 (b) del codice di procedura penale tedesco.

20 J. Bentham, Panopticon, ovvero la casa d’ispezione, Venezia, Marsilio Saggi, 1983, 36. Interessanti rilievi su Bentham e sulla sua possibile «attualizzazione» nella società tecnologica si rinvengono in G. Fioriglio, Sorveglianza e controllo nella società dell’informazione. Il possibile contributo dell’etica hacker, in Nomos, 2014, 2, 10 ss. Si veda altresì M. Surace, Analisi socio-giuridica del rapporto tra sorveglianza e diritto alla riservatezza nell’era di Internet, 2005, disponibile su www. altrodiritto.unii.it e, in particolare, cap. 1.3.

Nodi virtuali, legami informali: Internet alla ricerca di regole

in quanto idonei a delimitare con precisione il loro campo d’azione e dunque escludendone l’uso nei luoghi di privata dimora nei casi non consentiti.

Tuttavia la potenzialità dell’invasività del GPS non deve essere sottovalutata. Sembra, ad avviso di chi scrive, esso ciò che attribuisce «dimensionalità » alla captazione. Se la differenza tra i captatori e le precedenti cimici è che i primi prescindono da ogni vincolo con un luogo isico, ecco che con l’avvallo dei sistemi di GPS il luogo isico riemerge in tutta la sua grave interezza. Non più un unico luogo determinato, ma ogni luogo è determinato proprio in quanto ogni luogo può essere sempre più precisamente determinato.

Ciò non fosse suficiente, dev’essere tenuto a mente quello che la Corte di Cassazione per prima, nelle precedenti pronunce, sembra aver dimenticato: il riferimento è al «domicilio informatico», la cui conigurabilità sfugge da ogni possibile obiezione21. Se già talune perplessità poteva sollevare la mancata attenzione della Corte al summenzionato domicilio, oggi dai più considerato ancor più rilevante del domicilio comunemente inteso, in quanto proiezione della mente dell’individuo, non può sollevare timore la possibile (e, stando ai trends giurisprudenziali, probabile) violazione del domicilio mediante GPS: s’ipotizzi il caso in cui la captazione avvenga in luoghi di privata dimora. Non sarà solo l’art. 16 Cost. a venire in discussione dunque, ma anche l’art. 14 della Costituzione con le relative garanzie. È certo che possa captarsi, mediante una mera prova atipica, il soggetto in sulla soglia del domicilio informatico? In sostanza, il GPS rappresenta il vero e proprio punto di contatto tra il mondo isico e quello informatico: ma non può ritenersi un mero «zerbino sulla porta», ed in quanto tale visibile dalla strada, in quanto va oramai più propriamente letto come punto di contatto tra due realtà la cui somma fa la persona umana. Non stupisce infatti che taluni invitino a un ripensamento della stessa libertà personale proprio in quest’ottica e a questi ini22 .

21 A tal riguardo l’insegnamento è noto. Cfr. Cass., sez. V pen., sent. 26 ottobre 2012, 42021.

22 L. Filippi, Il GPS è una prova “incostituzionale”? Domanda provocatoria, ma non troppo, dopo la sentenza Jones della Corte Suprema U.S.A., in Archivio penale, 2012, 1, 315.

Quale statuto per i virus di Stato?

Ma d’altra parte resta aperto un ulteriore interrogativo, accompagnare l’individuo ino alla soglia della sua abitazione, non sarebbe già una forma di ingerenza? Dev’essere rilevato che ad oggi la Suprema Corte non sembra essersi occupata del GPS mediante captatore, confrontandosi con cimici inserite nelle autovetture degli indagati. Resta pertanto aperto l’interrogativo se l’orientamento resterà immutato con riferimento alla captazione della posizione mediante agente intrusore su un personal device: divenendo questa sempre più precisa, e elevandosi ormai a seconda pelle, ben al di là di quanto un agente di polizia potrebbe fare: la captazione sull’autovettura – non volendo accogliere l’impostazione che riconosce in essa un domicilio – era coninata ai luoghi pubblici ed aperti al pubblico, mentre oggi potrà porsi in maniera estremamente più invasiva.23

A questo punto non sembra del tutto infondata l’emersione a un vero e proprio «diritto a non essere localizzati»24, discendente direttamente dall’art. 16 della Costituzione.

E allora a non convincere è evidentemente la disciplina dell’art. 189 c.p.p., laddove ammetta il pedinamento elettronico. A tal proposito non sembra ragionevole che requisito dell’impregiudicatezza della «libertà morale» richiesto dall’art. 189 c.p.p. venga interpretato come mera «non consapevolezza dell’essere oggetto del mezzo di ricerca della prova».25 La non consapevolezza, espressa nei termini dell’incertezza che deriva dalla portata applicativa della norma probatoria, non sembrerebbe idonea a consentire a una norma di

23 Anche il celebre caso posto all’attenzione della Corte eur. dir. uomo, sez. V, 2 settembre 2010, Uzun c. Germania, che ha ammesso mezzi tecnici particolari anche in presenza di una formulazione normativa generica, faceva riferimento a captatori geolocalizzanti collocati nel veicolo.

24 Cfr. A. Camon, L’acquisizione dei dati sul trafico delle comunicazioni, in Rivista italiana di diritto e procedura penale, 2005, 2, 599. L’A. con riferimento all’art. 16 Cost. afferma che «calato nel XXI secolo, nei ritmi mozzaiato dell’evoluzione tecnologica, il precetto svela ben altre implicazioni e si mostra capace d’abbracciare anche i controlli sui tragitti degli individui: pure queste forme di sorveglianza comprimono la libertà di circolare, anche perché possono fungere da remora, scoraggiando certi spostamenti».

25 Di questo avviso espressamente A. Laronga, Il pedinamento satellitare: un atto atipico lesivo dei diritti inviolabili?, in Questione giustizia, 2002, 5, 1155.

Nodi virtuali, legami informali: Internet alla ricerca di regole

chiusura di divenire una valvola di sfogo e di acritica ammissione di prove non altrimenti disciplinate dalla legge.

Assumendo come paciica l’idoneità ad accertare i fatti26, la libertà morale dell’individuo è evidentemente tutelata non laddove non sa che i suoi diritti vengono continuamente lesi da una sorta di grande fratello orwelliano, ma dove questi diritti sono effettivamente limitati solo da norme rispettose del dettato costituzionale.

4. Conclusioni: recenti tendenze negli altri ordinamenti

Il 27 febbraio 2008 il Bundesverfassungsgericht27, a fronte della possibilità, per un organismo di intelligence governativo, di accedere in maniera segreta ai sistemi informatici collegati in rete, prendendo anche coscienza delle comunicazioni, ha innanzitutto rilevato come questa ingerenza costituisca qualcosa di «diverso» dalle intercettazioni di comunicazioni per cui l’ancoraggio costituzionale della posizione tutelata dev’essere rinvenuto nel diritto generale alla personalità che, con riferimento al tema in oggetto, si declina in un «diritto fondamentale alla garanzia dell’integrità e della riservatezza dei sistemi informatici».

Con ciò non escludendo a priori l’utilizzo dei captatori informatici ai ini del perseguimento dei reati, affermando che le limitazioni a questo diritto (che possono essere fatte tanto per ini di prevenzione che di perseguimento dei reati) devono fondarsi – anche in questo caso – sul rispetto dei principi di chiarezza, precisione e determinatezza della legge.

La pronuncia della Corte costituzionale federale tedesca rappre-

26 Sebbene non manca chi sottolinea come non poche questioni si pongano in ordine alla genuinità e l’immodiicabilità dei sistemi vittima di captatori informatici, proprio in quanto aggrediti da un agente esterno. Cfr. P. Tonini, Documento informatico e giusto processo, in Diritto penale e processo, 2009, 405.

27 A tal riguardo si può vedere R. Flor, Investigazioni ad alto contenuto tecnologico e tutela dei diritti fondamentali della persona nella recente giurisprudenza del Bundesverfassungsgericht: la decisione del 28 febbraio 2008 sulla Online Durchsuchung e la sua portata alla luce della sentenza del 2 marzo 2010 sulla data redention, in Ciberspazio e diritto, 2010, 2, 359 ss.

senta forse uno dei momenti, negli ultimi anni, di più alta attenzione per i diritti fondamentali in ambiente tecnologico. Da allora, esigenze ascrivibili a un percepito bisogno di sicurezza sembrano aver mutato la tendenza sul piano internazionale.

Due esempi recentissimi valgano su tutti: la Corte Suprema degli Stati Uniti, sulla base della sezione 2072 dell’US Code, ha proposto regole di procedura penale che, salvo intervento legislativo del Congresso, entreranno in vigore il 1 dicembre 201628. Tra queste si può citare quello per cui, su richiesta della polizia giudiziaria o del pubblico ministero, un giudice, nel cui distretto si sono veriicare attività connesse a un reato, potrà emettere un mandato di accesso da remoto a – anche plurimi – device elettronici anche al di fuori del suo distretto al solo ricorrere del presupposto che la posizione isica risulti celata mediante l’uso di mezzi tecnologici. Peraltro la perquisizione telematica potrebbe anche non essere mai conosciuta dalla “vittima”, in quanto – stando alla nuova normativa – l’autorità dovrà fare ogni “ragionevole” sforzo per metterla a conoscenza.

Scenario non meno signiicativo è quello svizzero per cui il popolo elvetico (e non un organo giurisdizionale come negli USA) ha approvato alle urne la legge federale sulle attività informative29 che prevede in maniera puntuale, tra l’altro, la possibilità per un’autorità amministrativa di iniltrarsi in sistemi e reti informatiche per acquisire le informazioni disponibili o da lì trasmesse, nonché per perturbare, impedire o rallentare l’accesso alle informazioni.

Sono misure certamente assistite da un adeguato apparato di garanzie legislative e giurisdizionali, ma in ampia parte inedite e che fanno spostare l’ago della bilancia tra privacy e sicurezza certamente a favore di quest’ultima.

In conclusione non può che sostenersi l’importanza di un costante ancoraggio al principio di legalità e ai diritti fondamentali, sia in chiave valoriale che di rispetto della riserva di legge e di giurisdizio-

28 Corte Suprema degli Stati Uniti, Proposed Amendments to the Federal Rules of Criminal Procedure, 28 aprile 2016. Le regole sono volte ad emendare la rule 41 delle Federal rules of criminal procedure

29 Legge federale sulle attività informative (LAIn) del 25 settembre 2015, approvata con voto referendario il 25 settembre 2016.

Nodi virtuali, legami informali: Internet alla ricerca di regole

ne, specie nel momento in cui si intende disciplinare un portato della tecnica tanto ingombrante come quello dei captatori informatici. Il rischio alle porte infatti è quello di una «democrazia totalitaria»30 per cui la sicurezza diventa l’«unico ine ultimo» dello Stato, anche a discapito delle più elementari libertà caratterizzanti una società civile.

30 La formulazione si deve a J.L. Talmon, The Origins of Totalitarian Democracy, London, Secker & Warburg, 1960.

seconda sessione

Nodi virtuali Marketplace of ideas, and goods

Democrazia diretta e Internet

Una dimensione nuova di partecipazione popolare nell’era digitale

Ilaria Rivera

1. La democrazia digitale nel panorama politico contemporaneo

«La sovranità non può essere rappresentata, per la stessa ragione per cui non può essere alienata; essa consiste essenzialmente nella volontà generale, e la volontà non si rappresenta: o è quella stessa, o è un’altra; non c’è via di mezzo. Ogni legge che non sia stata ratiicata direttamente dal popolo è nulla; non è una legge» (J.J. Rousseau, Il contratto sociale, 1792, 15).

Data questa imprescindibile premessa teorica, con la quale l’Autore pone l’accento sull’impossibilità di frapporre un iltro rappresentativo nella approvazione della legge, che rappresenta espressione della volontà popolare generale, occorre però osservare che, nell’esperienza contemporanea anche la partecipazione democratica sembra assumere forme nuove. In particolare, si fa riferimento allo stretto legame tra le forme di democrazia e la sussistenza di strumenti tecnologici che sembrano superare il iltro della rappresentanza partitica e favoriscono forme immediate di espressione del consenso popolare.

Si assiste alla modiicazione dei modi di consultazione della popolazione, che viene coinvolta nelle decisioni politiche attraverso nuovi mezzi1, quali i sondaggi, i forum, i blog, in una sorta di moder-

1 Per un approfondimento, si veda B. Ekdale, K. Namkoong, T.K.F. Fung, D.D. Perlmutter, Why Blog? (Then and Now): Exploring the Motivations for Blogging By Popular American Political Blogger, in New Media & Society, 12, 2, 219 ss.

Nodi virtuali, legami informali: Internet alla ricerca di regole

na “piazza” multimediale.

L’e-democracy2, o democrazia digitale, assume, quindi, particolare importanza nei processi di elaborazione dell’indirizzo politico del Paese. In ogni caso, in questa visione integrata, non si può escludere il ruolo del Parlamento, organo destinato al confronto delle opinioni e delle ideologie espresse dai rappresentanti politici.

2. Il ruolo di Internet quale strumento di dialogo tra governanti e governati

L’interazione tra le forme di democrazia diretta, nelle più recenti rappresentazioni venute ad emersione per il tramite dello strumento informatico, e le modalità di esplicazione della democrazia rappresentativa, di cui la Carta costituzionale ne costituisce il presupposto fondativo, sembra determinare una prospettiva nuova nel panorama politico contemporaneo, nel quale gli ordinari processi decisionali si arricchiscono della consultazione popolare nella elaborazione di scelte politiche condivise o, quanto meno, condivisibili.

In tal senso, la partecipazione popolare attraverso le modalità che la rete consente rappresenta un viatico per la destrutturazione del diaframma sussistente tra i singoli cittadini e le Aule parlamentari, quali luogo di rappresentazione sintetica degli interessi di questi ultimi.

I media, i blog, i forum, come si è potuto notare negli ultimi anni, sono diventati luogo privilegiato di espressione del consenso dei cittadini sulle proposte formulate dai rappresentanti politici o di confronto nella scelta stessa dei soggetti che li rappresenteranno in Parlamento. Internet è ormai lo strumento preferenziale attraverso cui si forma il contatto tra eletti ed elettori. Il ricorso alle piattaforme multimediali consente al cittadino di ottenere un’informazione trasparente sull’operato delle autorità pubbliche3 e di avere la possibilità di controllare le decisioni delle stesse.

2 Per una rilessione sul punto, si veda C. Rabbitto, Il ruolo degli strumenti di e-partecipation nel processo di e-government. Il coinvolgimento dei cittadini nel policy making, in Informatica e diritto, 2008, 435 ss.

3 Così, M. Mezzanotte, I Blog e la politica: l’agorà virtuale per la formazione del consenso, in Federalismi.it, 2015, 1, 9.

Anche la recente approvazione della Dichiarazione dei diritti in Internet, elaborata dalla Commissione per i diritti e i doveri relativi ad Internet della Camera, dimostra come la società contemporanea si stia indirizzando verso meccanismi nuovi di dialogo e di comunicazione, che superano le barriere isiche e costituiscono ormai un elemento acquisito nella vita quotidiana di ciascuno. In specie, nel Preambolo – ove si afferma che Internet contribuisce «a strutturare i rapporti tra le persone e tra queste e le Istituzioni […] Ha ampliato le possibilità di intervento diretto delle persone nella sfera pubblica» – si sottolinea l'importanza del ricorso alla rete per la condivisione di idee e per la circolazione di informazioni tra i cittadini e le Istituzioni.

3. La democrazia digitale e le tradizionali forme di espressione democratica

Ciò che colpisce è la inusuale interazione tra le tecnologie moderne e l’organizzazione politica, che sembra afidare i meccanismi decisionali a piattaforme digitali nelle quale gli individui sono in grado di esprimere la propria opinione circa le proposte politiche avanzate. In tal senso, il web costituisce lo strumento attraverso il quale la democrazia rappresentativa viene afiancata da elementi immediati, che si concretano nella forma – senza alcuna interposizione – tra governati e governanti. È evidente, però, che l’utilizzo di Internet risulta problematico nella misura in cui questo sia accessibile ad una sola parte della collettività, rischiando, con evidente eterogenesi dei ini, di distorcere la rappresentazione reale del consenso popolare. Non può sottacersi, indubbiamente, la portata innovativa del fenomeno digitale nell’elaborazione del processo decisionale, che in questo modo sembra ridurre lo iato esistente tra Istituzioni e cittadini e sembra rinsaldare il legame iduciario che si è progressivamente assottigliato a causa della crisi dei partiti politici4 e della conseguente difidenza nei riguardi di questi ultimi5 .

4 Cfr. G. Azzariti, Internet e costituzione, in Politica del diritto, 2011, 3, 369, il quale sottolinea l’impossibilità che Internet possa sostituirsi completamente al vuoto dei partiti politici, pur rappresentando – “non troppo, non poco” – un valido strumento per consentire la partecipazione popolare nonché la connessione tra le persone.

5 Cfr. G. Brunelli, Partiti politici e dimensione costituzionale della libertà asso-

Come dimostrato dalla recente storia politica, i blog hanno costituito il mezzo di dialogo e di strutturazione di decisioni concertate, soprattutto nella scelta dei candidati in vista delle tornate elettorali6 o nella selezione dei candidati per la carica a Presidente della Repubblica (si pensi, al riguardo, alle Quirinarie, messe in pratica dal Movimento 5 stelle in occasione dell’elezione ultima del Presidente della Repubblica). Il blog, nella sua applicazione speciica alle dinamiche politiche, pare rappresentare la cartina al tornasole del gradimento popolare7 nei riguardi della formazione partitica o del leader di volta in volta in considerazione.

Questo diventa terreno di dialogo che nasce dalla necessità di portare gli orientamenti e gli indirizzi politici assunti a conoscenza della collettività, nella prospettiva della formazione di una volontà consapevole e trasparente8, e si arricchisce nell’intenzione di fare dell’opinione espressa dai singoli la base fondativa del percorso politico da intraprendere, nel soddisfacimento delle esigenze sociali prospettate.

Naturalmente, in quest’ottica, l’e-partecipation9 si afianca ai

ciativa, in F. Biondi, G. Brunelli, M. Revelli, I partiti politici nella organizzazione costituzionale, Napoli, Editoriale Scientiica, 2016, 24, mette in evidenza anche la crisi del popolo, derivante dalla «latitanza dei corpi intermedi (in particolare i partiti), come soggetti che organizzano e rappresentano gli interessi, componendoli e bilanciandoli nella decisione politica parlamentare».

6 Per una disamina dell’utilizzo dei social e dei mass media in occasione delle elezioni presidenziali negli Stati Uniti negli ultimi anni, tra gli altri, cfr. R. Davis, Typing Politics. The Role of Blog in American Politics, New York, Oxford University Press, 2009; F. Pizzetti, Partiti politici e tecnologie, in Federalismi.it, 2008, 2, 11 ss. e ivi compresa la ricca bibliograia richiamata.

7 Cfr. M. Mezzanotte, I Blog e la politica: l’agorà virtuale per la formazione del consenso, cit., 21.

8 Ciò viene sottolineato, in sede internazionale, dallo stesso Consiglio d’Europa, che, nella Raccomandazione CM/Rec (2009)1, si evidenzia che l’e-democracy facilita la fornitura di informazioni per «promuovere migliori e più legittime decisioni politiche».

9 Per una ricostruzione del dibattito dottrinario, cfr. P. Costanzo, Miti e realtà dell’accesso ad internet (una prospettiva costituzionalistica), in Consultaonline. org, 2012; M. Nisticò, P. Passaglia, Internet e Costituzione. Atti del Convegno di Pisa il 21 e 22 novembre 2013, Torino, Giappichelli, 2014. Più nel dettaglio, sulla partecipazione popolare al processo di revisione costituzionale, come per il caso recente della Costituzione islandese, cfr. T. Groppi, La e-partecipation e i processi di elaborazione e revisione costituzionale, in Ianus, 2014, 11, spec. 15 ss.

meccanismi convenzionali di formazione del consenso popolare, quasi a rappresentare una moderna agorà ateniese. Questo, in ogni caso, non preclude la previsione di ulteriori istituti di consultazione; infatti, Internet non vale a contribuire alla formazione di un tertium genus10 nell’ambito di un ordinamento democratico, accanto ai circuiti noti di democrazia rappresentativa e di democrazia partecipativa ma pare costituire lo strumento di valorizzazione della pluralità sociale nella manifestazione della volontà politica.

In altre parole, Internet non costituirebbe un modo nuovo di concepire la democrazia ma semplicemente una modalità esplicativa diversa, da inquadrare pur sempre nel contesto della democrazia rappresentativa e nell’infungibile funzione di intermediazione partitica11 all’interno delle Aule parlamentari. Gli istituti classici di democrazia diretta permangono ma si afiancano alla possibilità di trovare applicazione attraverso più ampie piattaforme informatiche, in grado di raccogliere il consenso di un ampio bacino di individui.

4. L’affermazione di movimenti politici “di

digitale

Peraltro, la recente esperienza politica sembra avvalorare l’importanza assunta dallo strumento digitale anche nella affermazione di partiti e di movimenti12 in grado di raccogliere le istanze dei citta-

10 Così, T. Groppi, ivi, 25 e, analogamente, F. Gallo, Lectio magistralis del Presidente “Democrazia 2.0. La Costituzione, i cittadini e la partecipazione”, in www. cortecostituzionale.it.

11 I quali, in attuazione del dettato costituzionale di cui all’art. 49 Cost., concorrono evidentemente a tutte «le decisioni politiche dello Stato» (cfr. C. Esposito, I partiti politici nella Costituzione, in Studi di diritto costituzionale in memoria di Luigi Rossi, Milano, Giuffrè, 1952, 148). D’altra parte, come sottolineato da attenta dottrina (cfr. C. Mortati, La Costituente, Roma, 1945, 54), solo con l’intermediazione dei partiti politici i cittadini sarebbero in grado di «formare e esprimere una volontà unitaria».

12 Per una disamina del panorama politica, si veda P. Marsocci, Sulla funzione costituzionale dei partiti e degli altri movimenti politici, Napoli, Editoriale Scientiica, 2012.

protesta” mediante lo strumento

dini13, sempre più insofferenti verso una classe politica usurata, e di farsi portatori nelle aule parlamentari del pressante disagio sociale. La previsione di piattaforme digitali e di modalità comunicative immediate tramite la trasmissione di incontri in diretta streaming ha portato, nel corso degli anni, ad una modiicazione evidente del processo formativo del circuito partitico. In particolare, spesso il web ha costituito una modalità espressiva di partiti cc.dd. antisistema – tra i quali il Movimento 5 Stelle14 in Italia, Podemos in Spagna e il partito pirata in Germania e in Svezia – la cui principale vocazione si è dimostrata quella di combattere l’organizzazione istituzionale tradizionale e di affermare un concetto nuovo di democrazia15, nel quale ricomprendere primariamente la volontà popolare, nelle diverse forme di applicazione dello strumento informatico. Senza alcuna pretesa di esaustività, basti osservare che questi partiti – o formazioni politiche, in generale – sembrano inverare una rinnovata manifestazione del patto sociale tra rappresentati e rappresentati il cui tessuto connettivo è formato dalla rete e dai connessi meccanismi comunicativi.

Le conseguenze del progressivo silacciamento delle maglie sussistenti tra le Istituzioni e i cittadini, determinate, peraltro, dallo sfaldamento partitico e dalla frammentazione rappresentativa, sembra dunque aver contribuito a rafforzare la prevalenza di movimenti e, più in generale, organizzazioni politiche in grado di cogliere le istanze sociali e farne la giustiicazione della propria azione politica. Si tratta, per lo più, di soggetti politici la cui missione è quella di porsi in contrasto con le Istituzioni parlamentari, promuovendo una forma

13 A tal proposito, T. Casadei, Il mito del «popolo della rete» e le realtà del capo. Nuove tecnologie e organizzazioni politiche nel contesto italiano, in DPCE, 2015, 3, 893 e 896, evidenza l’emersione di una nuova forma di militanza politica «tutta giocata in rete e nel cyberspazio» ma, più in particolare, che afianca il dato digitale a quello territoriale.

14 Cfr. P. Corbetta, E. Gualmini (a cura di), Il partito di Grillo, Bologna, Il Mulino, 2013; E. Greblo, La ilosoia di Beppe Grillo: il movimento 5 stelle, Milano-Udine, Mimesis, 2011.

15 Al riguardo, C. Biancalena, Il populismo nell’era di internet. Retorica e uso del web nel Movimento 5 stelle, in Il Mulino, 2014, 1, 61, osserva la duplice funzione di queste neoformazioni politiche, ossia quella di placare l’insoddisfazione dei cittadini, dando loro «una valvola di sfogo non violenta» e, al contempo, di alimentarla quando le promesse vengono disattese.

di democrazia partecipativa, nella quale “i cittadini sembrano avere sempre ragione”. Si badi, la forma dubitativa è giustiicata dalla considerazione dalla concreta organizzazione interna a tali strutture partitiche, nelle quali le decisioni continuano ad essere prese16 dai vertici, i quali sono in grado di decidere l’inserimento o, più spesso, l’espulsione di componenti non più graditi. Continuano, quindi, a porsi problemi non tanto di legittimazione esterna al partito o alla formazione politica, bensì di legittimazione interna in ragione del grado di discrezionalità nelle scelte di indirizzo.

5. I passaggi evolutivi del contesto politico-partitico, ossia per una deinizione “digitale” dei soggetti politici

Ad ogni modo, quello che preme evidenziare è che l’avanzamento delle nuove tecnologie sembra aver segnato il passo del progressivo ampliamento degli strumenti di espressione e di propaganda a disposizione dei partiti politici. È possibile, infatti, assistere ad una prima fase, nella quale il consenso si formava nel pubblico confronto di piazza o nei circoli di partito, ino ad arrivare ad altra fase caratterizzata dalla massiccia presenza di mezzi di telecomunicazione e dal loro conseguente utilizzo per ampliicare la eco propagandista dei leader di turno. È in questo momento che trova attuazione un fenomeno del tutto inedito, soprattutto da parte di alcune forze politiche, ossia quello della personalizzazione dell’indirizzo politico e della concentrazione in capo ad un unico leader17 del percorso ideologico di un determinato partito. Questo processo, come anticipato, viene agevola-

16 Sempre attuali sono le rilessioni esposte da Calamandrei nella seduta del 4 marzo del 1947 in sede di Assemblea costituente che evidenzia l’impossibilità che di coniguri realmente un ordinamento democratico «se non sono democratici anche i partiti in cui si formano i programmi e in cui si scelgono gli uomini che poi vengono esteriormente eletti coi sistemi democratici».

17 In questo senso, F. Gallo, Lectio magistralis “Democrazia 2.0. La Costituzione, i cittadini e la partecipazione”, cit., 3, sottolinea la trasformazione dei partiti politici, che «tendono a riorganizzarsi intorno ai leader e, seppur indeboliti, operano ancora da attori necessari». Questi, quindi, «sono anzitutto al servizio di un leader o di un candidato».

to dalla moltiplicazione dei canali comunicativi radiotelevisivi e dalla strumentalità degli stessi ai ini promozionali dell’idea politica.

Questo percorso di ravvicinamento popolare sembra, infatti, accompagnarsi ad una dimensione nuova di rafigurazione delle strutture partitiche, che paiono dissolversi a favore del solo leader che, in questo modo, predomina sulla scena politica. In questo modo, la partecipazione popolare rischia una strumentalizzazione in senso populista, nel senso che i rappresentanti politici fanno progressivamente leva sulle esigenze dei cittadini per legittimare il proprio ruolo. La propaganda assume nuovi accenti con l’affermarsi di Internet e dei social media. Il linguaggio politico certamente risente di meccanismi di rinnovamento dell’architettura sociale e delle innovazioni tecnologiche. Il web si trasforma da strumento meramente informativo a oggetto di rappresentazione del programma politico tramite tecniche comunicative rapide ed eficaci.

Con l’avvento di Internet e dei nuovi mezzi di comunicazione, cambiano ancora una volta le dinamiche relazionali tra soggetti politici e cittadini. Si torna ad un’ottica “di piazza”, anche se, nel caso speciico, questa sembra trovare una collocazione immateriale e dai conini indeterminati.

La partecipazione politica trova, quindi, nuove declinazioni, così come il coinvolgimento politico si vale di ulteriori strumenti persuasivi. Ciò sarebbe dimostrato anche dal frequente ricorso alle piattaforme digitali per la diffusione di informazioni e per il rafforzamento dei meccanismi di idelizzazione dell’elettorato18 . In questo senso, Internet permette al singolo individuo di operare un raffronto immediato e diretto tra i programmi politici espressi e di formare autonomamente una posizione deinita.

La valenza positiva di Internet si ravvisa nella moltiplicazione delle possibilità espressive della collettività nella prospettazione dei propri bisogni e nella partecipazione alla deinizione della politica

18 Ben mette in evidenza M. Revelli, La crisi del partito politico e i paradigmi organizzativi, in F. Biondi, G. Brunelli, M. Revelli, I partiti politici nella organizzazione costituzionale, cit., 135-136, la trasformazione dell’elettorato, «lontano mille miglia da quello che aveva costituito la base della precedente “democrazia di partito”, stabile e inquadrabile […] perché saldamente ancorato alle sottostanti aggregazioni sociali che ne rendono trasparenti e prevedibili le domande e le aspettative».

nazionale19, di concerto con i soggetti istituzionali designati. D’altra parte, non può non evidenziarsi la problematicità del ricorso incondizionato allo strumento digitale per la rappresentazione delle esigenze sociali perché ciò potrebbe comportare una perdita di tono della macchina burocratica complessivamente intesa e della complessità – da intendersi come pluralità – politica tipica di un ordinamento democratico che ambisca a deinirsi pluralista.

Il meccanismo decisionale continua a formarsi nel confronto politico interno alle Aule parlamentari ma sembra trovare il presupposto giustiicativo nella considerazione delle scelte popolari e nell’espressione del consenso dei cittadini in relazione all’indirizzo politico generale. In tale prospettiva, l’elaborazione concertata della volontà politica attraverso lo strumento digitale20 sembra costituire l’aspetto prodromico alla deinizione conclusiva della politica nazionale.

6. La rappresentazione popolare sul web quale mezzo di sintesi delle esigenze sociali

Ciò premesso, però, è di tutta evidenza che le recenti formazioni politiche non riescono a mantenere una certa stabilità nella luidità popolare di cui si fanno portatrici. La considerazione non è di poco momento se si guarda alla possibilità di rimettere interamente al consenso popolare la scelta dei rappresentanti, dei meccanismi decisionali e degli approdi risolutivi. In questo modo si assisterebbe all’esautoramento delle strutture partitiche, non più necessarie nella intermediazione tra istituzioni e cittadini. La ricca potenzialità di Internet nel panorama costituzionale contemporaneo dovrebbe, al contrario, essere sfruttata al ine di agevolare l’affermazione degli organismi politici e di consentire quel rilevante interscambio di opinioni e di proposte tra e con i cittadini.

19 Cfr. P. Marsocci, Cittadinanza digitale e potenziamento della partecipazione politica attraverso il web: un mito così recente già da sfatare?, in Rivista AIC, 2015, 1, 13.

20 Ivi, 14, laddove si sottolinea la possibilità per la democrazia di avvalersi delle nuove tecnologie via via disponibili.

Nodi virtuali, legami informali: Internet alla ricerca di regole

In fondo, è proprio questo che vale a caratterizzare il web, ossia la possibilità di unire attraverso la previsione di network diversi soggetti21, anche a grande distanza tra di loro22, consentendo a questi ultimi di esprimere il proprio parere circa gli intendimenti politici da adottare ovvero di manifestare le proprie necessità.

L’uniicazione, ovvero la sintesi, delle singole posizioni soggettive è dunque possibile attraverso quei “contenitori virtuali”, quali sono i blog, i forum e i social media, che, in ogni caso, non sembrano prendere il posto della realtà isica ma apportano soltanto a quest’ultima gli strumenti per raggiungere un maggior grado di effettività.

A tal riguardo, è interessante, d’altra parte, osservare che la piattaforma digitale è divenuta anche il punto di incontro tra tendenze ideologiche variegate e, a volte, contrastanti, che nella realtà isica avrebbero giocato sul piano dell’antagonismo politico mentre nella prospettiva virtuale sembrano unirsi nell’intento di contestare le Istituzioni parlamentari.

La dimensione politica sembra godere così di una fase di rinnovamento, consentita dal superamento delle barriere isiche e dall’assottigliamento delle distanze tra rappresentanti e rappresentati. D’altro canto, l’allargamento del consenso politico, data la signiicativa articolazione sociale, tende a rendere maggiormente visibile la dificile conciliabilità delle contrastanti posizioni, nell’ottica di un’esigenza uniformatrice della collettività.

Il pluralismo politico che si tratteggia nello Stato costituzionale contemporaneo riceve nuova linfa nella previsione di strumenti digitali di confronto e di elaborazione delle azioni politiche da in-

21 In senso critico, M. Cuniberti, Tecnologie digitali e libertà politiche, in Diritto dell’Informatica e dell’Informazione, 2015, 2, 278 ss., osserva che la rete non può essere assimilata ad una sorta di “formazione sociale” sia per l’assenza di ine comune sia per l’assenza di regole di organizzazione la cui violazione determini l’insorgere di responsabilità giuridica. D’altra parte, il fatto che sia possibile costituire un’associazione tramite Internet non comporta automaticamente che si possa dilatare la nozione di “associazione” anche all’ambito digitale, con conseguente estensione di garanzie costituzionali.

22 Così, P. Marsocci, Cittadinanza digitale e potenziamento della partecipazione politica attraverso il web: un mito così recente già da sfatare?, cit., 3, sottolinea che Internet favorisce l’accesso a «una comunità elettronica di utenti, enormemente vasta, con i quali si può comunicare in diversi modi».

traprendere. L’agone politico si muove su un terreno nuovo – immateriale – che vede l’interazione di soggetti diversi e al di fuori dei circuiti rappresentativi tradizionali.

Come si è tentato di evidenziare, indubbiamente la portata del web come strumento di partecipazione popolare ha il pregio di perseguire l’intento di ridurre la frattura patologica tra governanti e governati; tuttavia, questo può, in talune occasioni, trasformarsi in un mezzo di divulgazione pericolosa di informazioni fallaci e distorsive23, con la probabile devianza della percezione popolare. Per ovviare a questa problematica sarebbe certamente auspicabile prevedere meccanismi di controllo circa la corretta veicolazione delle informazioni ma questo rischierebbe di comportare un’indebita ingerenza nella diretta interazione degli operatori politici con i cittadini nelle forme costituite e costituende, facilitate senz’altro dall’innovazione tecnologica.

In conclusione, così delineato, il quadro ordinamentale sembra individuare un fenomeno democratico 2.0.24

7. Conclusioni: ovvero per un Parlamento 2.0

Pur in considerazione della qualiicata potenzialità dello strumento digitale nella rappresentazione del consenso popolare e nella conigurazione di un canale comunicativo privilegiato tra cittadini e Istituzioni, non è possibile addivenire alla parossistica conclusione che i partiti avrebbero perso la funzione rappresentativa propria nel circuito politico. Il popolo25 rimane sì detentore della sovrani-

23 In senso contrario, cfr. L. Corchia, La democrazia nell’era di Internet. Per una politica dell’intelligenza collettiva, Firenze, Le Lettere, 2011, che esalta il fattore interagente di Internet, in grado di aggirare i tentativi di gruppi organizzati di imporre manipolazioni e censure.

24 Sul punto, tra gli altri, M. Cuniberti, Nuove tecnologie della comunicazione e trasformazioni della democrazia, in Id. (a cura di), Nuove tecnologie e libertà della comunicazione, Milano, Giuffrè, 2008, 343 ss. Più in particolare, sull’e-democracy, tra gli altri, cfr. P. Costanzo, La democrazia elettronica (Note minime sulla c.d. e-Democracy), in Diritto dell’Informazione e dell’Informatica, 2003, 3 ss.; D. Pitteri, Democrazia elettronica, Roma-Bari, Laterza, 2007.

25 Si richiama la categorizzazione di Pierre Ronsanvallon del ruolo del popolo-sorvegliante, popolo-veto e popolo-giudice.

tà26 e determinatore della politica nazionale; ad ogni modo, però, il iltro partitico risulta necessario per l’operazione di sintesi delle plurali istanze sociali. Solo in questo modo, sarà conigurabile una dimensione politica integrata, nella quale le decisioni pubbliche passano per il consenso popolare e si compongono nella rappresentazione – e nella rappresentanza – partitica.

In conclusione, ciò che merita, in questa sede, evidenziare è che l’interazione tra democrazia, politica e nuove tecnologie determina modiiche importanti nella deinizione delle modalità comunicative, che, in ogni caso, non sembrano abbandonare i canali privilegiati di espressione, ma si corroborano nella previsione di strumenti altri.

Volendo portare il discorso ad ulteriori conseguenze e provando ad anticipare possibili prospettive evolutive, non sembra risultare lontano uno scenario nel quale il ricorso al web contribuirà a costruire un Parlamento 2.0.

La partecipazione elettorale elettronica nel caso italiano

1. Voto elettronico e suffragio universale

Le elezioni democratiche costituiscono la celebrazione di diritti umani fondamentali e, in particolare dei diritti civili e politici. Il loro svolgimento, le modalità con cui gli elettori scelgono i propri rappresentanti e, più in generale, partecipano alla vita democratica di una società sono assolutamente rilevanti. Ovviamente, l’introduzione di nuove tecnologie, come in generale per ogni ambito umano, apre anche per le libere elezioni, nuove opportunità e formi oggetto di un esteso dibattito.

Dissertare in tema di voto elettronico signiica anzitutto valutare la sua compatibilità con la struttura legale del Paese. In Italia questo signiica chiarire se esso sia in primo luogo compatibile con la Costituzione, che prevede alcuni irrinunciabili requisiti di una libera espressione di voto che, proprio per la loro collocazione nel rango costituzionale, non possono essere derogati da fonti costituzionali. Tutto ciò nonostante la mancata costituzionalizzazione del sistema elettorale avendo optato per l’afidamento di tale disciplina al legislatore ordinario1 .

L’art. 48, Cost., sancisce anzitutto il principio del suffragio universale. Da questo punto di vista il voto elettronico può estendere o comunque agevolare e facilitare la partecipazione al voto, sia in caso di ambienti non controllati, per esempio il voto via Internet,

Nodi virtuali, legami informali: Internet alla ricerca di regole

che rende più facile esprimere la propria preferenza in quanto non è necessario recarsi al seggio, ma anche in caso di voto in ambiente controllato perché la gestione elettronica potrebbe permettere all’elettore di recarsi in qualsiasi seggio; inoltre renderebbe più agevole l’accesso al voto a persone disabili2 .

Il principio del suffragio universale richiede però che le procedure di voto elettronico siano suficientemente semplici tali da non creare disparità tra coloro che sono forniti di adeguate capacità tecnologiche e coloro che ne sono sprovvisti3 .

2. Personalità, uguaglianza, libertà e segretezza del voto

Il secondo comma dell’art. 48, Cost., prevede che «Il voto è personale ed eguale, libero e segreto». Si tratta di due coppie di garanzie fondamentali: personalità-uguaglianza e libertà-segretezza del voto che sono presenti in maniera implicita o esplicita in gran parte delle Costituzioni degli Stati europei e nelle Dichiarazioni, Convenzioni e documenti sovranazionali4. Queste garanzie esigono un’interpreta-

2 Cfr. E. Palici Di Suni Prat, Democrazia diretta e partecipazione popolare nell’età di Internet: presentazione, in Diritto pubblico comparato ed europeo, 2014, 4, 15441549.

3 Sul digital divide, cfr. M.M. Decina, Digital divide et impera: il ritardo del digitale è un caso, Roma, Editori Riuniti, 2016, passim; M. Ragnedda, G.W. Muschert (a cura di), The Digital Divide: The Internet and Social Inequality in International Perspective, London, Routledge, 2013, passim; A. Kolar Prevost, B.F. Schaffner, Digital Divide or Just Another Absentee Ballot?: Evaluating Internet Voting in the 2004 Michigan Democratic Primary, in American Politics Research, 2008, 4, 510529; P. Costanzo, La democrazia elettronica (note minime sulla cd. e-democracy), in Diritto dell’informazione e dell’informatica, 2003, 3, 465-486.

4 Circa le Costituzioni europee si vedano i casi di Austria (art. 26), Belgio (art. 62), Danimarca (art. 31), Finlandia (art. 25), Francia (art. 3), Germania (artt. 28 e 38), Grecia (art. 51), Irlandia (art. 16, c. 1 e 4), Lussemburgo (art. 51), Paesi Bassi (art. 53), Portogallo (art. 10), Spagna (artt. 68, 69, 140), Svezia (cap. 3, art. 1). In un quadro comparato, cfr. L. Trucco, Il voto elettronico nella prospettiva italiana e comparata, in Diritto dell’informazione e dell’informatica, 2011, 47-72 e L. Cuocolo, Voto elettronico e postdemocrazia nel diritto costituzionale comparato, in Diritto pubblico comparato ed europeo, 2008, 1, 255-275.

La partecipazione elettorale elettronica nel caso italiano

zione dinamica in relazione alla reale evoluzione dei sistemi e contesti politici, ma la dottrina ha sempre ritenuto che l’enunciazione perentoria e completa da parte della Costituzione italiana consenta di pervenire a conclusioni deinitive5 .

Il legame tra personalità ed uguaglianza del voto sta a signiicare che il voto deve essere riconosciuto e attribuito solamente a chi ne abbia maturato il diritto, senza quindi possibilità di cessione a terzi o di mandato, ma anche che la manifestazione del voto medesimo è per ciascun elettore unica e irripetibile. La corruzione elettorale, l’acquisto dei voti, il voto di scambio violano anche il principio di uguaglianza in quanto il voto viene sottratto ai legittimi titolari per essere attribuito di fatto ad altri che avranno così voti plurimi.

Vi sono nel sistema italiano eccezioni alla personalità del voto ma queste riguardano le persone che per disabilità isiche necessitano di assistenza per poter votare. Si tratta, quindi, di eccezioni ragionevoli.

La seconda coppia è libertà e segretezza. Libertà del voto signiica che gli elettori devono essere in grado di esprimere il loro voto liberi da intimidazioni, violenze o interferenze e senza timori di ritorsioni. Ma anche essere liberi di scegliere i propri rappresentanti senza indebite inluenze o pressioni. Per essere libero da indebite inluenze o pressioni il voto deve essere segreto e quindi la segretezza è requisito fondamentale.

La segretezza del voto viene solitamente intesa da un punto di vista essenzialmente interno, soggettivo, cioè come requisito per la tutela della libertà e riservatezza di ciascun votante e le norme che la proteggono servono quindi a soddisfare le esigenze di riservatezza e sicurezza dei singoli.

Ma la segretezza deve costituire anche una garanzia esterna, di rilevanza oggettiva. Non basta che il singolo si senta protetto: occorre che ciascun votante sia ragionevolmente certo dell’effettiva segretezza del voto espresso dagli altri votanti. Questo signiica che la segretezza del voto non può essere un requisito disponibile. Se è ammessa l’esibizione o la dimostrazione del proprio voto davanti a terzi, allora diventa più concreta la possibilità di corruzione o di scambio elettorale. In tal senso è stato stabilito il divieto di accedere

5 Cfr. E. Bettinelli, La lunga marcia del voto elettronico in Italia, in Quaderni dell’osservazione elettorale, 2002, 46, 12 ss.

Nodi virtuali, legami informali: Internet alla ricerca di regole

nella cabina elettorale con dispositivi mobili in grado di scattare fotograie: ciò potrebbe essere utilizzato per fornire la prova del voto6 .

Questa è l’interpretazione del concetto di segretezza del voto data dalla dottrina. Ciò ha come conseguenza che si ritiene compatibile con la Costituzione italiana solo il voto elettronico in ambiente pubblico e controllato. Il voto elettronico via Internet, l’home-voting si ritiene non conforme. Infatti, opportuni espedienti tecnici possono garantire la personalità del voto e la segretezza interna, ma non quella esterna, oggettiva. Come si può essere certi che in un ambiente non controllato il votante sia effettivamente solo al momento dell’espressione del voto7 .

La stessa questione, però, si pone con il voto per corrispondenza: anche in questo caso non si può essere certi che l’elettore sia solo quando vota.

In materia il parere della Commissione di Venezia del 2004 è che il voto remoto, sia esso elettronico che per corrispondenza, è compatibile con gli standard del Consiglio d’Europa8. La stessa Italia ammette il voto per corrispondenza per gli italiani residenti all’estero, introdotto nel nostro Paese con la legge costituzionale n. 1 del 2000, e regolato dalla legge n. 459 del 2001, senza che ciò abbia sollevato questioni di legittimità davanti alla Corte costituzionale.

Nonostante questa importante deroga, la dottrina continua a ritenere compatibile con la Costituzione italiana solamente il voto elettronico in ambiente controllato9. Così anche tutte le proposte e le sperimentazioni hanno riguardato sempre e solo casi di voto elettronico più o meno esteso ma sempre in ambiente controllato.

6 Cfr. ibid., 14 ss.

7 Cfr. E. Bettinelli, La lunga marcia del voto elettronico, cit., 15 ss. e A.G. Oroino, Democrazia telematica e partecipazione democratica. Come la Rete ha trasformato la politica: dalla campagna elettorale in Internet alle elezioni on line, in Ciberspazio e diritto, 2001, 90 ss.

8 Venice Commission, Report on the compatibility of remote voting and electronic voting with the standards of the Council of Europe, Strasbourg, CDL-AD(2004)012.

9 Cfr. E. Bettinelli, La lunga marcia del voto elettronico, cit., 15 ss. e A.G. Oroino, L’e-vote, in F. Sarzana di S. Ippolito (a cura di), E-government. Proili teorici ed applicazioni pratiche del governo digitale, Piacenza, La Tribuna, 2002.

3. Conclusioni

Nell’ambito delle nuove modalità tecniche di partecipazione elettorale sono due le questioni di fondo, ambedue di stretta attualità: da un lato, quella del rapporto tra la partecipazione democratica elettorale e nuove tecnologie informatiche e della comunicazione, e dall’altro, quella delle modalità per agevolare la consultazione elettorale in una fase, come quella attuale, di evidente grave crisi del rapporto tra società civile e sistema politico, o, se si vuole, tra “Paese reale” e “Paese legale”10 .

Il tema s’inquadra in un’ottica giuridica e politologica di ampio respiro e cioè quella gravitante attorno al tema dell’e-democracy, ancorché, ancora frequentemente, la stessa sia percepita come terreno di studio di una sparuta cerchia di specialisti non certo scevri di qualche istanza futuristica11. Del resto, come altre tecnologie legate alla comunicazione, Internet inluenza il comportamento di singoli e organizzazioni, intervenendo soprattutto sulle modalità di interazione individuali e collettive. Più ancora che da altri strumenti di comunicazione, come stampa, posta o televisione, etc., da Internet ci si aspettano trasformazioni così rilevanti da richiedere nuovi concetti. Nel solo campo delle interazioni tra cittadini e Stato, sono stati introdotti termini quali e-participation (cioè la possibilità di esprimere opinioni politiche online), e-governance (cioè la messa online di una serie di possibilità di accesso e informazioni e servizi pubblici) e-voting ed e-referendum (cioè la possibilità di partecipare ad elezioni e referendum online). Si tratta di speciicazioni della più generale trasformazione che l’elettronica porterebbe nella concezione della democrazia: ino a promuovere una e-democracy, deinita come crescita delle opportunità di partecipazione politica dei cittadini per effetto di Internet

10 Cfr. S. Elia, Alcune questioni problematiche circa il voto elettronico, in Ciberspazio e diritto, 2016, 1-2, 83-106.

11 Cfr. T. Zittel, Political Representation in the Network Society: The Americanization of European Systems of Responsible Party Government?, in The Journal of Legislative Studies, 2003, 3, 1-22.

12 Cfr. D. Della Porta, Democrazie, Bologna, Il Mulino, 2011, 127-128.

Dunque l’e-voting si palesa quale ambito partecipativo-elettorale dislocato sul versante degli input del sistema politico dell’era digitale, ma inserito in un quadro più generale, nel quale le Information and Communication Technologies (ICT) ristrutturano vasti e complessi territori dei sistemi politico-istituzionali democratici, in ragione appunto dell’affermazione dell’e-democracy13, dell’e-participation, dell’e-governance (addirittura di scala globale)14 e dell’e-government, anche se, come è stato notato, non sempre queste nuove dimensioni si coniugano in modo osmotico lungo matrici di compatibilità automatica15 .

Tali prospettive non sono però del tutto prive di problematiche con riguardo alla loro concretizzazione alla luce della sussistenza di alcuni punti dolenti come quello del digital divide16, ovvero della diseguaglianza dell’accesso ad Internet e della diseguaglianza nella fruibilità dei suoi vantaggi. Da questo punto di vista, le scuole di pensiero, come noto, si diversiicano; da un lato, Internet è stato presentato come fenomeno largamente democratico, vuoi perché in grado di ampliare la platea degli utenti, vuoi perché propulsivo dell’estensione dei produttori di informazioni17. Non solo, se per alcuni i caratteri di orizzontalità, bidirezionalità e interattività della comunicazione via Internet riducono i tratti gerarchici della politica ed ampliano la partecipazione bottom-up, accrescendo i canali di informazione disponibili per i cittadini e facilitando così la parte-

13 Cfr. B.D. Loader, D. Mercea, Democrazia in rete? Innovazioni sociali, media e politica partecipativa, in Informazione, comunicazione e società, 2011, 6, 757-769.

14 Cfr. R. Rose, A global diffusion model of e-governance, in Journal of Public Policies, 2005, 1, 5-7.

15 Cfr. M. Miani, L’ascesa dell’e-government e il declino dell’e-democracy, in http://www.qualitapa.gov.it/www.urp.it/sito-storico/www.urp.it/Sezione.jsp-titolo=L’ascesa+dell’egovernment,+il+declino+dell’e-democracy&idSezione=987. html, 2006.

16 Cfr. Id., The Democratic Phenix, Cambridge, Cambridge University Press, 2012; P. Norris, Digital divide, Civic Engagement, Information Poverty and the Internet Worldwide, Cambridge, Cambridge University Press, 2011; P. Ferri, Il digital divide: i sommersi e i salvati. L’Information Communication Technology, la globalizzazione, la necessità di uno sviluppo interconnesso, in P. Foradori, R. Scartezzini (a cura di), Globalizzazione e processi di integrazione sovranazionale: l’Europa, il Mondo, Soveria Mannelli, Rubettino, 2006, 259-280.

17 Cfr. D. Della Porta, Democrazie, cit., 129.

La partecipazione elettorale elettronica nel caso italiano

cipazione di chi normalmente non ha voce18, per altri Internet, in realtà, favorisce chi è più munito di risorse culturali, individuali e collettive, avvantaggiando quanti già sono inclusi nei circuiti della partecipazione politica19 .

In ogni caso, la questione dell’e-voting resta nevralgica per le conigurazioni attuali del problema della democrazia, perché costituisce un campo analitico di cruciale interesse in una fase di profonda ristrutturazione del sistema delle relazioni internazionali rispetto al quale è considerato urgente uno sviluppo democratico sovranazionale sul quale ormai le rilessioni giuridiche e politologiche si dipanano in misura incontenibile anche per seguire un’evoluzione che segna l’emersione di autorità multilivello, non sempre, peraltro, munite di legittimità democratica.

Del resto, in questo senso, il posizionamento dell’e-voting – vuoi come momento partecipativo, vuoi come momento democratico – nell’orizzonte della democrazia globale non appare agevolmente rinviabile, atteso che si è in presenza di «una signiicativa internalizzazione dell’autorità pubblica associata a una corrispondente globalizzazione della politica»20. A tacere del fatto che la globalizzazione accresce la consapevolezza della sussistenza di problemi globali che non possono essere trattati a livello di democrazia chiuse nei territori degli Stati nazionali; il che ha portato a ritenere che, ormai, la «democrazia è globale o non è»21. E, peraltro, la crisi inanziaria mondiale e della zona Euro, ma più direttamente dell’impianto istituzionale dell’UE, non è più in grado di affrontare con solerzia ed eficacia questioni riguardanti la vita e i destini dei cittadini dell’Unione, ponendo problemi di governance democratica che travalicano di gran lunga i conini nazionali, rendendo le opzioni legate all’e-voting decisamente rilevanti per la prospettazione di sistemi di governance democratica sovranazionali.

18 Cfr. ibid., nonché D.J. Myers, Social Activism Through Computer Networks, in O.V. Burton (ed.), Computing in the Social Science and Humanities, Urbana, Illinois University Press, 2001, 124-139 e J.M. Ayers, From the Streets to the Internet: The Cyberdiffusion of Contention, in The Annals of the American Academy of Political and Social Sciences, 1999, 1, 132-143.

19 Cfr. M. Margolis, D. Resnick, Politics as Usual. The Cyberspace «Revolution», Thousand Oaks, Sage, 2000.

20 Cfr. D. Held, A. McGrew, Globalismo e antiglobalismo, Bologna, Il Mulino, 2010.

21 Cfr. R. Marchetti, Democrazia globale, Milano, Vita&Pensiero, 2010.

il caso del c.d. hate speech online

1. Introduzione

Come è ormai ricorrente osservare, Internet costituisce un mezzo di comunicazione estremamente “democratico” che, proprio in ragione della sua particolare diffusione e diffusività, impone la ricerca accurata di un sistema regole che ne impedisca un uso improprio1 . Una delle questioni più delicate, da cui muove il presente lavoro, risiede proprio nell’esatta individuazione di nuovi punti di equilibrio tra libertà di espressione sul web, potenzialmente illimitata, e tutela di altri diritti e valori di rango costituzionale, primi fra tutti, i diritti fondamentali e le garanzie di eguaglianza e non discriminazione2 .

È, al riguardo, evidente che Internet offra opportunità di comunicazione potenzialmente illimitate, creando agevolmente reti comunicative transnazionali inalizzate anche all’educazione e alla sensibilizzazione su questioni attinenti alla protezione degli stessi diritti inviolabili. D’altro canto, è altrettanto paciico che Internet venga utilizzato anche per la diffusione capillare di contenuti offensivi e

1 Sulla necessità di un Internet Bill of Rights, cfr. S. Rodotà, Towards an Internet Bill of Rights, intervento al Dialogue Forum on Internet Rights, Roma, 2007. Sul tema, si veda, tra gli altri, D.C. Nunziato, Virtual Freedom. Net Neutrality and Free Speech in the Internet Age, Stanford (Ca), Stanford University Press, 2009.

2 G.M. Teruel Lozano, Il problema della delimitazione della libertà di manifestazione del pensiero on-line, in www.forumcostituzionale.it, 7 settembre 2011.

Il dificile equilibrio tra libertà di espressione e protezione della dignità umana sulla rete:

Pietro Falletta, Luca Di Donato

spesso discriminatori, a carattere razzista, xenofobo o sessista, da parte di individui e gruppi che intendono perseguire opposte inalità di incitamento all’odio.

All’interno di questo contesto, pare quindi necessario che l’ordinamento giuridico ponga le condizioni per un corretto equilibrio tra libertà di espressione e lotta contro le condotte illecite sul web, specie quelle perpetrate nei confronti dei soggetti e dei gruppi sociali più deboli.

2. La disciplina europea e nazionale della rete

La normativa sovranazionale che affronta lo speciico tema della tutela dei diritti fondamentali in Internet, per un verso, è copiosa ed attenta; per un altro verso, tuttavia, essa consiste ancora, pressoché integralmente, in norme di soft law, con limitata eficacia vincolante nei confronti degli ordinamenti degli Stati membri.

Sul versante dell’Unione europea, sono state approvate, in particolare, dichiarazioni (quale quella del Consiglio dell’Unione europea, del 28 giugno 2001), raccomandazioni (tra cui la raccomandazione congiunta del Parlamento e del Consiglio dell’Unione 2006/952/Ce), risoluzioni (la risoluzione del Parlamento europeo sulla libertà di espressione su Internet del 6 luglio 2006) e decisioni (in particolare, rileva menzionare la decisione n. 854/2005/Ce del Parlamento Europeo e del Consiglio dell’11 maggio 2005). Gli interventi dell’Unione sull’utilizzo della rete Internet sono destinati, con ogni probabilità, ad intensiicarsi, specie in caso di discipline nazionali inadeguate o non armonizzate.

Un approccio più deciso per la tutela dei diritti sul web è stato perseguito dal Consiglio d’Europa attraverso l’adozione di due speciici accordi internazionali che potrebbero aprire un varco risolutivo per la lotta ai crimini informatici e, in particolare, alle condotte discriminatorie sul web.

Ci si riferisce, in primo luogo, alla Convenzione del Consiglio d’Europa sulla criminalità informatica, entrata in vigore il 1° luglio 2004 e ratiicata dall’Italia con legge 18 marzo 2008 n. 48, la quale stabilisce le linee guida per tutti gli Stati che vogliano sviluppare una legislazione nazionale completa contro la criminalità informatica, e fornisce anche il quadro per la cooperazione internazionale in questo campo.

Sullo speciico tema della difesa dei diritti fondamentali sulla rete, risulta, tuttavia, determinante l’approvazione del Protocollo addizionale alla suddetta Convenzione, entrato in vigore il primo marzo 2006, che si pone la inalità di «assicurare un buon equilibrio tra la libertà d’espressione e una lotta eficace contro gli atti di natura razzista e xenofoba»3. Anche il nostro Paese ha espresso la volontà di aderire al Protocollo mediante la irma del medesimo avvenuta il 9 novembre 2011.4

Inine, vanno segnalati i rilievi di uno speciico organo del Consiglio d’Europa, ossia la Commissione europea contro il razzismo e l’intolleranza (Ecri) che anche recentemente, nel suo rapporto sull’Italia pubblicato il 21 febbraio 2012, ha raccomandato alle autorità italiane di intensiicare gli sforzi per contrastare la diffusione di materiale di propaganda razzista, xenofoba e antisemita via Internet.

Sotto il proilo della normativa interna, le disposizioni speciicamente rivolte alla tutela contro le violazioni dei diritti inviolabili commesse via web e, più in generale, quelle dirette a disciplinare la realtà di Internet, sono ancora limitate. Il nostro legislatore ha sin qui seguito una strada molto prudente limitando gli interventi volti a regolare in modo diretto i fenomeni connessi ad Internet, e così attivando un ruolo di “supplenza” da parte dei giudici nell’applicare in via analogica, o comunque estendere alla realtà virtuale, disposizioni già esistenti.

La normativa più rilevante dedicata espressamente al web, e applicabile anche come strumento di tutela contro le discriminazioni perpetrate su Internet, è quella contenuta nel d.lgs. n. 70/2003, che regola, all’interno della disciplina del commercio elettronico, la responsabilità dei c.d. Internet Service Provider (Isp), ossia dei soggetti che forniscono servizi di connessione, trasmissione, memorizzazione dati, anche attraverso la messa a disposizione delle proprie apparecchiature per ospitare siti. L’Isp, in breve, può essere considerato come un intermediario, che stabilisce un collegamento tra chi intende comunicare un’informazione e i destinatari della stessa.

3 Cfr. Considerando n. 12 del Protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica.

4 Il governo italiano ha inteso ratiicare tale Protocollo; attualmente il ddl di ratiica ed esecuzione del Protocollo è in esame al Senato (A.S. n. 2471).

Il dificile equilibrio tra libertà di espressione e protezione...

In linea generale, il decreto sancisce che un provider non è responsabile delle informazioni trattate e delle operazioni compiute da chi fruisce del servizio, a patto che non intervenga in alcun modo sul contenuto o sullo svolgimento delle stesse operazioni. Inoltre, sugli Isp gravano obblighi di informazione e di collaborazione nei confronti delle autorità competenti che non comportano, tuttavia, oneri particolarmente gravosi di veriica e iltraggio preventivo di informazioni trasmesse sui propri server al ine di valutarne la possibile lesività per i terzi. In particolare, l’art. 17 del decreto prevede una clausola generale che sancisce l’inesistenza di un obbligo generale di sorveglianza a carico del prestatore di servizi sulle informazioni che trasmette o memorizza, o di un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. Il prestatore diventa, tuttavia, civilmente responsabile del contenuto di tali servizi nel caso in cui, avendo ricevuto una apposita richiesta dall’autorità giudiziaria o amministrativa avente funzioni di vigilanza, non impedisce prontamente l’accesso ai contenuti illeciti, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l’accesso non ha provveduto ad informarne l’autorità competente. Sussiste, pertanto, in capo agli Isp sia un obbligo di collaborazione con le autorità competenti, sia un obbligo di rimozione dei contenuti illeciti in caso di speciica e qualiicata segnalazione.

3. Il ricorso a strumenti tradizionali di tutela: il contrasto al c.d. hate speech

Come ricordato, i tribunali nazionali ed internazionali – per risolvere molte delle nuove fattispecie giuridicamente rilevanti sorte sul web – sono stati costretti a ricorrere a categorie ed istituti tradizionalmente destinati ad altri, seppur analoghi, ambiti giuridici.

Le disposizioni che più comunemente possono essere applicate, in via analogica, alle controversie in materia di tutela dei diritti sulla rete, riguardano, a livello prevalentemente sovranazionale, la normativa sui discorsi di odio, c.d. hate speech, e, nel contesto interno, le disposizioni che puniscono il reato di diffamazione.

I discorsi di odio comprendono le manifestazioni verbali contenenti elementi discriminatori che hanno la stessa inalità dei crimi-

ni di odio5. In ambito normativo, vanno ricomprese nella deinizione di hate speech tutte le manifestazioni di pensiero ai conini della libertà di espressione, e quindi tutte le diverse connotazioni che le “espressioni odiose” possono assumere, dalla discriminazione razziale all’istigazione alla violenza, dai sentimenti xenofobi alle esternazioni misogine, che trovano, evidentemente, sulla rete uno sfogo libero e potenzialmente illimitato6 .

Risulta particolarmente proliica, al riguardo, l’attività normativa delle istituzioni europee ed internazionali, nonché quella delle Corti di Strasburgo e Lussemburgo, tutte volte ad approdare ad un punto di equilibrio tra l’esigenza di contrasto all’hate speech e la tutela delle altre libertà fondamentali previste nelle carte internazionali, prima fra tutte la libertà di espressione.

Al riguardo, la Convenzione europea sui diritti umani (Cedu) è uno dei primissimi documenti internazionali che contiene un’esplicita affermazione del principio di non discriminazione7. Si tratta di un principio riconosciuto, tuttavia, non in senso assoluto, giacché va applicato in modo bilanciato e combinato rispetto agli altri diritti sanciti nella Convenzione stessa.

La Corte europea dei diritti umani (Corte Edu), affermando il carattere “relativo”, oltre che del principio di non discriminazione, anche della libertà d’espressione prevista dall’art. 10, nonché della libertà di associazione (art. 11 Cedu), ha speciicato a più riprese le tipologie di espressione che devono essere considerate offensive o contrarie alla Convenzione (tra cui, razzismo, omofobia, antisemitismo, nazionalismo aggressivo e discriminazione contro le minoranze e gli immigrati)8, e quindi punibili quali forme di hate speech. Per realizzare questo obiettivo, la Corte è ricorsa a due distinti approcci, basati sull’interpretazione combinata delle stesse norme della Convenzione: da un lato, l’applicazione dell’art. 17, che sancisce il divieto dell’abuso di diritto

5 Sulla natura dei discorsi conigurabili come hate speech cfr. G. Pino, Discorso razzista e libertà di manifestazione del pensiero, in Pol. dir., 2008, 287-305.

6 Sul tema, cfr. R. Kakungulu-Mayambala, Internet Censorship and Freedom of Eexpression: A Critical Appraisal of the Regulation of Hate Speech on the Internet, in Il Nuovo diritto delle Società, 2010, 33-49.

7 Vedi l’art. 14 della Cedu.

8 La Corte ha richiamato, al riguardo, le tipologie individuate nella raccomandazione n. R 97 (20) del Comitato dei Ministri del Consiglio d’Europa sull’hate speech

Il dificile equilibrio tra libertà di espressione e protezione...

Nodi virtuali, legami informali: Internet alla ricerca di regole

(approccio adottato quando l’esercizio di un diritto riconosciuto dalla Convenzione, e in particolare della libertà di espressione, provochi una condotta riconducibile all’hate speech così negando i valori fondamentali della Cedu)9; dall’altro, l’applicazione delle limitazioni previste nel secondo paragrafo dell’art. 10 e dell’art. 1110 (approccio adottato quando l’offesa in questione, sebbene ricada nella deinizione di hate speech, non leda sostanzialmente i valori fondamentali della Cedu).

Le materie in cui la Corte si è ritrovata ad applicare i suddetti principi sono quelli che legano la pratica dell’hate speech a considerazioni razziali11, religiose12, negazioniste13, di orientamento sessuale14, legate alla dottrina totalitaria15 o al discorso politico16, anti-costituzionale e nazionalistiche17 .

Ad esempio, in una decisione del 24 giugno 2003, la Corte di Strasburgo ha dichiarato che il diniego e la minimizzazione dell’Olocausto devono essere interpretati come una delle più acute forme di diffamazione razziale e come un incentivo all’odio verso gli ebrei, anche, evidentemente, quando ciò si realizzi sotto forma di hate speech. La negazione o la revisione dei fatti storici di questo tipo mettono infatti in discussione i valori su cui si fonda la lotta con-

9 Vedi l’art. 17 della Cedu.

10 Restrizioni ritenute necessarie al ine di assicurare la sicurezza nazionale, la pubblica sicurezza, la difesa dell’ordine e la prevenzione dei reati, la protezione della salute o della morale e la protezione dei diritti e delle libertà altrui.

11 Aksu v. Turkey (n. 4149/04 et 41029/04); Féret v. Belgium (n. 15615/07); Leroy v. France (n. 36109/03); Jersild v. Denmark (n. 15890/89).

12 Hizb Ut-Tahrir and Others v. Germany (n. 31098/08); Pavel Ivanov v. Russia (n. 35222/04); Norwood v. the United Kingdom (n. 23131/03); Gündüz v. Turkey (n. 35071/97).

13 Garaudy v. France (n. 65831/01); Lehideux and Isorni v. France (n. 24662/94).

14 Vejdeland and Others v. Sweden (n. 1813/07).

15 Refah Partisi (The Welfare Party) and Others v. Turkey (nn. 41340/98, 41342/98, 41343/98 e 41344/98); Communist Party of Germany v. the Federal Republic of Germany (n. 250/57); Medya FM Reha Radyo ve Iletişim Hizmetleri A.Ş. v. Turkey (n. 32842/02).

16 Otegi Mondragon v. Spain (n. 2034/07); Faruk Temel v. Turkey (n. 16853/05).

17 Beleri and Others v. Albania (n. 39468/09); Dink v. Turkey (nn. 2668/07, 6102/08, 30079/08, 7072/09 e 7124/09); Association of Citizens “Radko” & Paunkovski v. “the former Yugoslav Republic of Macedonia” (n. 74651/01); Sürek v. Turkey (n.1.) (n. 26682/95).

tro il razzismo e l’antisemitismo e rischiano di turbare gravemente l’ordine pubblico.

Anche l’Unione europea si è impegnata considerevolmente nel tentativo di arginare il fenomeno dell’hate speech, con evidenti rilessi anche sulla capillare diffusione dei “discorsi d’odio” nell’ambito della rete.

I punti cardinali di riferimento in materia di non discriminazione restano, ovviamente, l’art. 13 del Trattato di Amsterdam18, l’art. 21 della Carta di Nizza sui diritti fondamentali19, la direttiva 2000/43/ Ce del Consiglio del 29 giugno 2000 («che attua il principio della parità di trattamento fra le persone indipendentemente dalla razza e dall’origine etnica») e la direttiva 2000/78/Ce del Consiglio del 27 novembre 2000 («che stabilisce un quadro generale per la parità di trattamento in materia di occupazione e di condizioni di lavoro»).

In particolare, il Consiglio ha fornito un contributo fondamentale tramite la decisione quadro 2008/913/Gai del 28 novembre 2008 sulla lotta contro talune forme ed espressioni di razzismo e xenofobia mediante il diritto penale. La decisione, che fa seguito all’azione comune 96/443/Gai, prevede l’armonizzazione delle disposizioni legislative e regolamentari degli Stati membri per quanto riguarda i reati ispirati al razzismo e alla xenofobia, afinché i comportamenti razzisti e xenofobi costituiscano un reato in tutti gli Stati membri e siano passibili di sanzioni penali eficaci, proporzionate e dissuasive. La decisione quadro si applica ad ogni reato commesso, da parte di un cittadino dell'UE o a vantaggio di una persona giuridica avente sede sociale in uno Stato membro, sul territorio dello Stato membro quando:

- l’autore sia isicamente presente sul suo territorio, a prescindere dal fatto che il comportamento implichi l’uso di materiale ospitato su un sistema di informazione situato sul suo territorio;

- il comportamento implichi l’uso di materiale ospitato su un sistema di informazione situato sul suo territorio, a prescindere dal fatto che l’autore ponga in essere il comportamento allorché è isicamente presente sul suo territorio.

Il dificile equilibrio tra libertà di espressione e protezione...

A tale riguardo, la decisione quadro propone criteri per stabilire la responsabilità delle persone giuridiche. Stabilisce come punibili, in quanto reati, determinati atti commessi con intento razzista o xenofobo, quali:

- pubblico incitamento alla violenza o all’odio rivolto contro un gruppo di persone o un membro di tale gruppo deinito sulla base della razza, del colore, la religione, l’ascendenza, la religione o il credo o l’origine nazionale o etnica;

- la diffusione e la distribuzione pubblica di scritti, immagini o altro materiale contenente espressioni di razzismo o xenofobia;

- la pubblica apologia, la negazione o la minimizzazione grossolana dei crimini di genocidio o contro l’umanità, i crimini di guerra, quali sono deiniti nello statuto della Corte penale internazionale (artt. 6, 7 e 8) e i crimini di cui all’art. 6 dello statuto del Tribunale militare internazionale, quando i comportamenti siano posti in essere in modo atto a istigare alla violenza o all’odio nei confronti di tale gruppo o di un suo membro.

In ogni caso, la motivazione razzista o xenofoba deve essere considerata circostanza aggravante o, in alternativa, tale motivazione dovrà essere presa in considerazione nel decidere quale sanzione inliggere.

Per quanto riguarda le persone giuridiche, la decisione stabilisce che le sanzioni devono essere effettive, proporzionate e dissuasive e devono consistere in un’ammenda penale o non penale ed eventuali altre sanzioni quali: l’esclusione dal beneicio di agevolazioni o sovvenzioni pubbliche; l’interdizione temporanea o permanente dall’esercizio di un’attività commerciale; il collocamento sotto sorveglianza giudiziaria; il provvedimento di liquidazione giudiziaria.

4. La diffamazione online

Uno strumento circoscritto, ma attualmente tra i più eficaci per la tutela dei diritti su Internet grazie ad un ormai paciico orientamento giurisprudenziale, consiste nella estensione di proili di responsabilità per l’ipotesi di c.d. diffamazione online.

Il

In particolare, per la tutela dell’onore e della reputazione, che sono evidentemente tra i diritti più esposti al “libero hate speech” degli utenti della rete, il giudice nazionale ha ritenuto necessaria l’introduzione di una fattispecie limitativa della libertà di espressione sul web, superando in qualche modo anche il divieto di analogia in malam partem previsto per la disciplina penale.

Al riguardo, la Corte di cassazione, sez. V, già con la sentenza n. 4741 del 27 dicembre 2000 aveva avuto modo di chiarire che il legislatore, pur mostrando di aver preso in considerazione l’esistenza di nuovi strumenti di comunicazione, telematici ed informatici20, «non ha ritenuto di dover mutare o integrare la lettera della legge con riferimento a reati (e, tra questi, certamente quelli contro l’onore), la cui condotta consiste nella (o presuppone la) comunicazione dell’agente con terze persone».

Sempre in quell’occasione, il giudice di legittimità aveva, quindi, precisato che l’«utilizzo di un sito Internet per la diffusione di immagini o scritti atti ad offendere un soggetto è azione idonea a ledere il bene giuridico dell’onore nonché potenzialmente diretta «erga omnes», pertanto integra il reato di diffamazione aggravata».

In particolare, la «diffamazione tramite Internet costituisce un’ipotesi di diffamazione aggravata ai sensi dell’art. 595, comma 3, c.p., in quanto commessa con altro mezzo di pubblicità [rispetto alla stampa]» dato che «essendo Internet un potente mezzo di diffusione di notizie, immagini ed idee [almeno quanto la stampa, la radio e la televisione], anche attraverso tale strumento di comunicazione si estrinseca il diritto di esprimere le proprie opinioni, tutelato dall’art.

21 Cost., che, per essere legittimo, deve essere esercitato rispettando le condizioni e i limiti dei diritti di cronaca e di critica»21 .

In quest’ottica, escludere l’applicazione della fattispecie di reato prevista dell’art. 595, co. 3, c.p., «comporterebbe l’inaccettabile creazione di una sorta di zona franca che renderebbe immune dalla giurisdizione penale il fenomeno del web»22. In realtà, «la diffusività,

20 Va ricordato, al riguardo, il ddl. n. 7292 (Anedda, Selva e altri), presentato il 13 settembre 2000 alla Camera, con il quale si intendeva introdurre nel codice penale l’art. 596-bis che avrebbe espressamente e speciicamente punito la diffamazione a mezzo Internet e avrebbe esteso alle “trasmissioni informatiche o telematiche” l’operatività degli artt. 57 e 57 bis c.p.

21 Cass., sez. V pen., 1/07/08, n. 31392.

22 Cass., sez. V pen., 19/09/11, n. 46504.

dificile equilibrio tra libertà di espressione e protezione...

la pubblicità e la incontrollabilità di un sito Internet, nel quale sono inseriti immagini denigratorie, frasi ingiuriose o, come nella specie, dati personali associati a immagini offensive per la natura erotica e vulneranti il proprio patrimonio ideale costituito dal diritto alla salvaguardia della dignità, onorabilità, riservatezza, è pienamente corrispondente – costituendone la misura estrema e parossistica – agli altri mezzi di pubblicità che, con formula onnicomprensiva e lungimirante, contempla il codice»23 .

La tutela riconosciuta dalla giurisprudenza contro la lesione dell’onore e della reputazione degli individui è ulteriormente rafforzata dalla ricostruzione operata dalla stessa Corte di cassazione in ordine al luogo e al tempo di consumazione del reato.

Al riguardo, la Suprema Corte ha chiarito che il «reato di diffamazione consistente nell’immissione nella rete Internet di frasi offensive e/o immagini denigratorie, deve ritenersi commesso nel luogo in cui le offese e le denigrazioni sono percepite da più fruitori della rete, pur quando il sito «web» sia registrato all’estero»24 .

In particolare, la Cassazione precisa che, se da «un esame dello stretto diritto positivo, ed in particolare della disciplina di cui agli art. 3, 6, 9 e 10 c.p., è evidente che nessuna dificoltà insorge in ipotesi di reato commesso agendo dall’Italia in collegamento con un server parimenti installato in Italia, essendo il fatto interamente commesso nel territorio italiano e, conseguentemente, punibile alla stregua del principio generale di territorialità »; allo stesso modo nel caso in cui «l’agente opera in e dall’Italia su un server installato all’estero sussiste la giurisdizione italiana ex art. 6, comma 2, c.p., alla stregua del quale il reato si considera commesso in Italia»; diversa è la situazione qualora «l’agente opera all’estero, e all’estero è pure collocato il server al quale egli accede, ove si riletta che il messaggio è ricevuto, oltre che nel resto del mondo, anche in Italia».

Anche in quest’ultima ipotesi, la Cassazione afferma la perseguibilità del reato in Italia giacché l’evento del reato consiste nella «percezione del messaggio diffamatorio nel territorio nazionale da parte di una indistinta generalità di soggetti abilitati ad accedere

al sistema “Internet”, nulla rilevando che tra costoro vi sia o possa esservi lo stesso soggetto diffamato».

Ne consegue «l’applicabilità della legge italiana, invocando l’art. 6 c.p., poiché la teoria dell’ubiquità consente al giudice italiano di conoscere del fatto-reato tanto nel caso in cui sul territorio nazionale si sia veriicata in tutto, ma anche in parte, l’azione o l’omissione, tanto in quello in cui su di esso si sia veriicato l’evento: dunque, nel caso di iter criminis iniziato all’estero e conclusosi (con l’evento) nel nostro Paese, sussisterebbe la potestà punitiva dello Stato italiano».

Con riferimento alle sanzioni applicabili, la Cassazione ha anche disposto che si possa procedere al sequestro preventivo dei siti Internet laddove venga diffuso materiale diffamatorio25, speciicando che il sequestro costituisce «l’unico mezzo idoneo per scongiurare la reiterazione del reato» e che la «misura cautelare reale, che si concretizza nell’oscuramento del sito Internet che ospita l’attacco denigratorio, è disposta infatti dal giudice per evitare l’aggravarsi delle conseguenze del reato di cui all’art. 595 del codice penale»26 .

5. Conclusioni

La breve sintesi sull’attuale quadro di regolazione della realtà di Internet – con speciico riferimento al complesso rapporto tra libertà di espressione e contrasto alla discriminazione – svela, come detto, la scarsità di strumenti normativi settoriali, soprattutto all’interno del nostro ordinamento. I vuoti di regolazione in ordine alla tutela dei diritti sul web – come anche in materie altrettanto controverse quali il diritto d’autore o i prodotti editoriali online – sono spesso riempiti da ricostruzioni giurisprudenziali, a volte ardite, che cercano di estendere alla rete categorie ed istituti tradizionali.

In quest’ottica, alcuni interventi del legislatore sembrano assolutamente indefettibili, a partire dalla ratiica del Protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica che consentirebbe di rendere operative le disposizioni ivi previste per il contrasto agli atti di natura razzista e xenofobica sul web.

Il dificile equilibrio tra libertà di espressione e protezione...

La piena eficacia delle norme contenute all’interno del Protocollo consentirebbe, infatti, non solo, di rafforzare il quadro giuridico in materia di reati a sfondo razziale e xenofobo commessi su Internet, ma anche di conferire legittimazione agli interventi delle autorità di polizia e giudiziaria al di fuori del territorio nazionale, evidentemente imprescindibili alla luce della conclamata a-territorialità della rete.

L’adozione di norme appositamente dedicate al web dovrebbe essere tuttavia afiancata, anzitutto, da eficaci sistemi di monitoraggio e collaborazione tra operatori ed autorità competenti, e, quindi, da procedure di risoluzione “a-giudiziale” delle innumerevoli dispute giuridicamente rilevanti che possono sorgere sulla rete.

Possono costituire, inoltre, validi strumenti di prevenzione delle condotte illecite – in un’ottica di massimo rispetto per l’autonomia e la libertà della rete – intese istituzionali aperte ad operatori ed utenti del web, volte alla redazione di linee guida orientative per l’autoregolazione degli Isp e dei social network. In sostanza, la scelta di contrastare la circolazione di messaggi lesivi dei diritti fondamentali della persona mediante meccanismi collaborativi e di auto-condotta, può consentire l’approdo ad un giusto equilibrio tra eficacia dell’azione di tutela e garanzie di libera iniziativa economica degli operatori stessi e di libertà di espressione degli utenti della rete. In quest’ottica, sembra opportuno operare su due piani distinti: in via generale, mediante la redazione di linee guida dirette a tutti gli operatori del settore e, in maniera più mirata, concludendo speciici protocolli di intesa con i soggetti maggiormente signiicativi (in primis, i social network più diffusi).

In deinitiva, un’azione pubblica a presidio delle innumerevoli attività che si svolgono sulla rete non può essere osteggiata aprioristicamente, sulla scorta di una pretesa “autodichia” del web, che facilmente può tracimare in una zona franca di impunità. La tutela dei diritti fondamentali, il cui esercizio è sempre più diffuso online, richiede, in realtà, una nuova e assai delicata operazione di bilanciamento che deve avere in ambito legislativo la propria sede privilegiata, ma nella speciicità della rete l’imprescindibile e nuovo spazio di riferimento.

Le “bufale” online e l’inquinamento del public discourse Matteo

1. L’importanza dei nuovi mezzi di comunicazione: i social networks e il public discourse

La rete Internet ha radicalmente cambiato il mondo dell’informazione, come rilevato dal XII° Rapporto Censis-Ucsi (2015), stante ancora il primato dei mezzi di informazione tradizionali, il 51,4% degli italiani per informarsi utilizza anche motori di ricerca e il 43,7% si afida anche a Facebook, a cui risulta iscritto il 50,3% dell’intera popolazione e il 77,4% dei giovani under 30. La percentuale s’inverte in relazione ai giovani, fra cui Facebook è il principale strumento d’informazione (71,1%), seguito dai motori di ricerca (68,7%) e dai telegiornali (68,5%). Il ruolo dei social network nel mondo dell’informazione è quindi destinato a crescere con il ricambio generazionale. Stiamo assistendo alla costruzione di una «nuova gerarchia delle fonti di informazione», secondo le parole del Rapporto. Le potenzialità per il pluralismo informativo sono importantissime: la rete, per la sua diffusione e la sua relativa economicità (la mera connessione Internet), è in grado di valorizzare la c.d. controinformazione come nessun altro mezzo di comunicazione. Questa è favorita anche dalla presenza dei social network, che riescono a raggiungere i singoli internauti e a diffondere capillarmente le notizie, al contrario dei media tradizionali. «Questi ultimi possono certo ancora iltrare le notizie per il grande pubblico, ma la circolazione alternativa dei social network li minaccia perché raggiunge in modo selettivo esattamente quei cittadini che sfuggono all’informazione mainstream per

Nodi virtuali, legami informali: Internet alla ricerca di regole

curiosità intellettuale o sospetto programmatico»1. Ovviamente anche la rete Internet ha dimostrato di non essere la terra promessa2 e fra i lati oscuri vi è sicuramente la diffusione di notizie false che orientano l’opinione pubblica: sono le c.d. bufale.

2. Fenomenologia della “bufala” e distorsione del public discourse

Dal dizionario Treccani si legge che con l’espressione “bufala” s’intende – in senso igurato – «svista, errore madornale; affermazione falsa, inverosimile; panzana». Nel linguaggio di Internet il termine ha assunto il signiicato di notizia falsa, da intendersi come descrizione di avvenimenti non realmente accaduti, ossia di avvenimenti inventati o distorti.

Non è che prima dell’avvento dell’informazione su Internet e sui social network queste pratiche non esistessero3, ma l’effetto non era paragonabile: oggi si parla addirittura di post-truth world4 (mondo post-fattuale). Per capire l’estensione globale del fenomeno5, ma soprattutto il suo caso più estremo, si può pensare all’inluenza delle bufale nell’attuale campagna elettorale americana6, in cui la creazione di false notizie è strumento di inluenza dell’opinione pubblica. In Italia il fenomeno non è senz’altro ancora così estremo, ma sta comunque assumendo dimensioni allarmanti: si pensi alle bufale diffuse sui social network nell’ultimo periodo, dalla “tassa sui condi-

1 F. Colombo, Web 2.0 e democrazia: un rapporto problematico, in P. Aroldi (a cura di), La piazza, la rete e il voto, in Roma, Ave, 2014, 30, 33.

2 Per una ricostruzione critica del pensiero habermassiano e per interessanti riferimenti bibliograici: M.F. Murru, Le potenzialità democratiche delle nuove forme di comunicazione, ivi, 37.

3 Cfr. F. Colombo, Oscurando la verità, in Prob. Inf., 2001, 181, 187.

4 Per alcuni spunti di rilessione: Yes, I’d lie to you, in The Economist, Sep 10th , 2016.

5 Cfr. W. Lee Howell, Digital Wildires in a Hyperconnected World, in Report Global Risks, 2013, 23. F. Vis, The Rapid Spread of Misinformation Online, in Outlook on the Global Agenda, 2014, 28a.

6 F. Endres, Elezioni Usa, così Donald Trump approitta delle false notizie, in Repubblica.it, 15 settembre 2016 (consultato 01.11.2016).

zionatori” imposta dall’UE, agli ipotizzati rapporti sessuali di Greta e Vanessa – le giovani cooperanti italiane rapite in Siria – coi terroristi, dai presunti casi di ebola a Lampedusa a seguito degli sbarchi di immigrati, ino alle pretese di sostegno economico inverosimili dei richiedenti asilo.

Alcune di queste bufale hanno avuto una rilevanza notevole, venendo talvolta riprese anche da importanti esponenti politici o da quotidiani nazionali: sui social network hanno avuto innumerevoli condivisioni, apparendo quindi sulle “bacheche” di innumerevoli utenti di Facebook.

La diffusione delle bufale è ormai correlata anche al mondo del giornalismo a causa di una commistione di vari fenomeni: «la veriica delle fonti supericiale se non inesistente, la ricerca di visibilità e lettori sparandola grossa, l’interesse smodato del pubblico per notizie assurde, morbose o in grado di suscitare reazioni emotive, la necessità di fare i conti con sempre maggiori richieste e minori risorse in tempi di tagli e crisi del settore»7 .

Nella maggior parte dei casi tuttavia dietro alla diffusione di una bufala non vi è una motivazione politica né l’imprecisione di un giornalista, ma quelle che sono vere e proprie “fabbriche” di notizie false che utilizzano il c.d. click baiting per ottenere introiti pubblicitari. La condivisione della notizia consente infatti, mediante l’accesso al sito da parte degli utenti interessati a leggerne il contenuto, di incrementare le proprie entrate pubblicitarie. Eclatante ed esempliicativo il caso della bufala sui rapporti sessuali fra Greta e Vanessa e i loro sequestratori: la viralità della notizia dovuta alle condivisioni sui social network ha «fatto guadagnare al sito e ai suoi gestori “anche 1.000-2.000 euro al giorno”»8 .

L’inserimento di una notizia falsa all’interno della rete (soprattutto la sua condivisione sui social network) può causarne la c.d. viralità9, ossia il caso in cui un contenuto viene condiviso da più soggetti, riuscendo così a raggiungere centinaia di migliaia (a volte

7 F. Costa, Questa notizia è clamorosa (ma falsa): è la bufala bellezza, in IlSole24Ore.com, 26 aprile 2015 (consultato 01.11.2016).

8 Ibid.

9 Cfr. A.A.V.V., Collective Attention in the Age of (Mis)information, in A.A.V.V., Computers in Human Behavior, 2015, 1198.

Nodi virtuali, legami informali: Internet alla ricerca di regole

milioni) di persone. Il fenomeno trova alcune spiegazioni in meccanismi cognitivi e sociologici quali la c.d. social cascade (la diffusione a cascata delle informazioni senza controllo sulla veridicità)10, la c.d. group polarization (la polarizzazione dei gruppi, che tende a favorire la diffusione e il rafforzamento di convinzioni all’interno di gruppi omogenei)11, oltre che l’inluenza delle prior convictions (le convinzioni personali) sulla lettura della notizia12 .

Dal punto di vista giuridico per affrontare il fenomeno serve innanzitutto confrontarsi con il problema della verità nell’ambito dell’informazione. Per alcuni13 essa è concetto metaisico inapplicabile al mondo del diritto, mentre dando per appurato l’«inutile mito»14 (ossia quello dell’«informazione totale e spersonalizzata», in realtà viva nello scontro ideologico e da essa inluenzato15), la verità si dovrebbe intendere come descrizione di fatti realmente accaduti, o meglio non invenzione di fatti non accaduti. Non si tratta della contrapposizione foucaultiana fra vero e falso, a livello di discorso16, ma della contrapposizione fra fatto-evento e non-fatto. Se è pur vero che i fatti non sono «pesci allineati sul banco del pescivendolo»17 , è altrettanto vero che un conto è scegliere di raccontare del tonno invece che del pesce spada (o di cercare di capire perché il tonno è avariato), un altro è raccontare di aver visto al mercato enormi draghi marini e sirene. È proprio quindi nel regime qualiicato della notizia, come oggetto dell’informazione, che la verità – o meglio la veridicità – del fatto/notizia assume un’importanza centrale per il public discourse. Non si tratta di abbracciare una teoria funzionale della libertà di manifestazione del

10 Si rimanda a C. Sunstein, On Rumors, Princeton, Princeton University Press, 2014, 36.

11 Ivi, 50.

12 Ivi, 75.

13 Cfr. F. Ramacci, Cronaca e verità, in Dir. e soc., 1980, 389, 398-400.

14 A. Alessandri, Osservazioni sulle notizie false, esagerate o tendenziose, in Riv. it. dir. proc. pen., 1973, 708, 720.

15 Si veda l’esempio del concentrarsi solo su certe notizie come l’esodo degli albanesi durante la guerra del Kosovo. F.O. Giesbert, La globalizzazione nella produzione delle notizie, in Prob. Inf., 2001, 141, 145.

16 M. Foucault, L’ordine del discorso, Torino, Einaudi, 1972, 13.

17 E. Carr, Sei lezioni sulla Storia, Torino, Einaudi, 1977, 28.

pensiero, ma di recepire una funzionalizzazione della species della libertà di informazione, come riconosciuto anche dalla giurisprudenza costituzionale18: «In conclusione, l’affermato intreccio del dovere del giornalista di informare e del diritto del cittadino di essere informato merita rilevanza e tutela costituzionale se ha come base e come inalità la verità e la sua diffusione»19. Nell’ambito del diritto all’informazione, che pretenda di essere tale, il falso non può trovare protezione20 .

«[L]a diffusione di notizie del tutto “false” costituisce un fatto di certo non protetto dalla libertà di espressione del pensiero»21, indubitabilmente ove vi sia la consapevolezza della loro falsità, ossia siano subiettivamente false22 .

Tuttavia la fattispecie va distinta da altre tipologie di espressione che rientrano, invece, nel novero di manifestazioni del pensiero protette dall’art. 21 Cost.

In primo luogo la creazione e diffusione di bufale va distinta dal diritto di cronaca: il criterio scriminante fra legittima manifestazione del pensiero e, per esempio, lesione dell’onore delle persone è la veridicità di quanto scritto (o perlomeno il controllo delle fonti)23 .

In relazione al giornalismo di inchiesta il carattere di verità sfuma, rendendo possibile presentare fatti presunti purché in forma

18 Corte Cost. sent. n. 11/1968, 98/1968. Si vedano poi le sentenze in tema di diritto a informare e a essere informati: sent. n. 112/1993, 420/1994, 155/2002.

19 Cass pen. sent. n. 41249/2012.

20 La Corte dopo aver ripreso le dichiarazioni del Congresso internazionale dei giornalisti di Bordeaux (maggio 1954) evidenziava «il diritto di attingere notizie, pubblicarle e sottoporle al vaglio della critica deve essere conforme alla verità sostanziale dei fatti». Corte Cost. sent. n. 16/1981.

21 P. Barile, Il soggetto privato nella Costituzione Italiana, Padova, CEDAM, 1953, 121. C. Esposito, La libertà di manifestazione del pensiero nell’ordinamento italiano, Milano, Giuffrè, 1958, 37. In particolare S. Fois (Principi costituzionali e libera manifestazione del pensiero, Milano, Giuffrè, 1957, 210) evidenzia come il principio di verità sia inapplicabile senza rischi per la democrazia, dovendosi arretrare su quello di verosimiglianza.

22 A. Pace, Commentario della Costituzione. Art. 21, Bologna-Roma, Zanichelli, 2006, 91. Il “falso soggettivo” non è dunque ammesso, il falso “obiettivo” solo ove sia stato controllo sulle fonti. Cfr. ivi, 95.

23 Ex pluribus in maniera molto chiara Cass. pen. sent. del 7.7.1987. In materia di diffusione di false notizie G.i.p. Milano sent. del 16/05/2011.

Nodi virtuali, legami informali: Internet alla ricerca di regole

dubitativa, e non palesemente assurdi24. Più complessa la questione relativa alla «verità uficiale», ossia la ricostruzione degli accadimenti come accertata dagli organi di stampa «uficiale»25: una cosa è contrapporre un diverso svolgimento dei fatti come strumento di critica, un’altra è darvi rilevanza di cronaca; in questo ultimo caso, qualora non vi siano fonti o accertamenti che contestino la verità uficiale – accertata a sua volta da fonti – sembra che la condotta vada ritenuta creazione di notizia falsa.

Ugualmente le bufale vanno distinte dal diritto di critica, correlato all’«interesse generale al libero svolgimento della vita democratica»26 che «non si concreta nella narrazione di fatti bensì si esprime in un giudizio o più genericamente nella manifestazione di una opinione che sarebbe contraddittorio pretendere rigorosamente obiettiva ovvero assolutamente oggettiva»27 .

Le bufale vanno anche distinte dalle teorie “complottiste”, ossia quelle complesse costruzioni ideologiche che imputano politicamente determinati avvenimenti a determinate categorie o gruppi e che per quanto bislacche o riprovevoli rispondono all’esistenza della libertà di espressione e del pluralismo ideologico tutelato dall’art.

21 Cost28. Esula dal discorso delle bufale la diffusione delle proprie personali credenze ad esempio sull’esistenza di gruppi di pressione (si pensi alle illazioni sul c.d. Gruppo Bilderberg o sulle lobby dei vaccini).

Ugualmente le bufale vanno distinte dalle credenze religiose più recenti (Scientology, il movimento raeliano), che diffondono “informazioni” religiose rientranti nella libertà religiosa garantita dall’art.

19 Cost.: allo Stato «è vietato di dare giudizi di valore sulla verità in materia religiosa e di fede»29 .

Inine la bufala va distinta dalla satira, particolare forma di manifestazione del pensiero tutelata in base all’art. 21 e, qualora con-

24 Cass. pen. sent. n. 9337/2012.

25 Cfr. E. Bruti Liberati, Notizie false e tendenziose, in Quale giust., 1974, 122, 146.

26 Cass. pen. sent. n. 15236/2005

27 Cass. pen. sent. del 16/4/1993.

28 Cfr. in tema di libertà ideologica ex pluribus Corte Cost. sent. n. 108/1974.

29 G. Dalla Torre, Immagini sacre, abuso della credulità popolare e giurisdizione ecclesiastica, in Iust., 1995, 349.

notata da caratteri artistici, dall’art. 33 Cost30. In comune le due fattispecie possono avere la falsità del fatto descritto: la satira spesso descrive fatti inventati. In relazione a soggetti individuati la satira non è priva di limiti, ma fra i requisiti per l’integrazione della scriminante non vi è la verità dei fatti, non avendo la satira alcuna inalità informativa nel senso di cronaca31. La differenza è nella consapevolezza che ha il lettore/spettatore di satira della totale falsità degli eventi, come descritti. Molti siti di bufale come «La Rebubblica o Il Solo 24 Ore – che diffondono notizie false ma verosimili, inventate ma potenzialmente credibili, e con un forte interesse popolare»32 si “schermano” sotto la denominazione di rivista satirica, non rilevando invece i caratteri della satira (in primo luogo l’individuabilità come tale). Ovviamente il carattere non satirico del sito può essere individuato solo a livello giudiziale.

Il problema è che molte persone credono alla veridicità delle bufale, e questo inluisce sulla formazione (distorta) d’idee in materia: dall’avversione per un soggetto politico, alla cattiva opinione su una vicenda ino all’incremento del sentimento razzista. Se queste conseguenze risultano del tutto legittime e protette dall’art. 21 Cost. in quanto espressione di un pensiero e di una Weltanschauung, non legittimo risulta lo strumento mediante il quale si “generano”, ossia una distorsione del diritto/dovere di informare33. Molte bufale non hanno smentita, o la rettiica non è accompagnata dallo stesso grado di visibilità (non riuscendo a raggiungere le persone che le

30 Cass. pen. sent. n. 37706/2013.

31 «Il diritto di satira, a differenza da quello di cronaca, è sottratto al parametro della verità del fatto». Cass. civ. sent. n. 6787/2016. Tuttavia la Cass. pen. sent. n. 5065/2012 evidenzia che se nel contesto satirico ma fuori dall’oggetto della satira si veicola una notizia si rende necessaria la veridicità della stessa. Più la satira si distanzia dalla verità e da un carattere informativo più essa è tutelata, rischiando in altri casi di avvicinarsi alla cronaca e venir giudicata in quanto tale. Cfr. Cass. civ. sent. n. 5851/2015.

32 Costa, cit.

33 «Se manca questa base di lancio, se non c’è verità, ma calcolata e calibrata sua alterazione, inalizzata a disinformare e a creare inesistenti responsabilità e a inliggere fantasiose condanne agli avversari, il richiamo a nobili e intangibili principi di libertà è intrinsecamente offensivo per la collettività e storicamente derisorio, beffardo per coloro che, in difesa della libertà di opinione, hanno sacriicato la propria vita». Cass. pen. sent. n. 41249/2012.

avevano credute vere) proprio a causa della viralità raggiunta dal contenuto originario sui social network.

Prima dell’avvento di Internet la diffusione di notizie era delegata principalmente a professionisti dell’informazione che per ragioni deontologiche, sanzionatorie, ma anche legate al prestigio sociale di categoria, non avevano interesse/possibilità di creare e diffondere notizie inventate. Inoltre qualora avvenisse il fenomeno non poteva svilupparsi a livello sistemico, sia per le sanzioni penali legate al mondo della stampa, che per la censura sociale che avrebbe colpito tale media34. Nel caso in cui questo fenomeno si sviluppasse attraverso altri mezzi di “informazione” come manifesti, volantini o radio esterne al circuito “professionale” giornalistico esso non poteva tuttavia avere né una grande “estensione” né una così capillare diffusione. In generale serve anche rilevare che i procedimenti di rettiica potevano essere facilmente eseguiti, raggiungendo potenzialmente lo stesso pubblico fruitore della notizia falsa. Al contrario, la diffusione di notizie tramite social network genera nuovi problemi che richiedono nuove soluzioni: la difesa della propria “reputazione” e credibilità non è certo obiettivo di siti preposti alla diffusione di false notizie35 e la rettiica sul web non sembra idonea a garantire l’effettiva correzione delle distorsioni.

Si rendono quindi necessarie forme di tutela dell’informazione, posto che sembra che il marketplace of ideas non sia in grado di “autotutelarsi”, soprattutto a causa del particolare strumento, i social network, col quale questo inquinamento avviene.

34 Non che questo fosse estraneo al mondo del passato, segnatamente connotato da un “mal costume giornalistico” di alterare l’opinione pubblica con notizie false. Cfr. G. Verrina, L’art. 656 c.p. e la libertà di pensiero, in Giur. Mer., 1977, 340, 343.

35 C’è chi segnala questo problema non solo in relazione ai siti creatori di bufale, ma anche in relazione ai giornali e siti partigiani e con lettori già orientati e idelizzati: «la reputazione di per sé non è suficiente a garantire trasparenza e correttezza dell’informazione quando altri siano gli interessi in gioco». G. Pavone, Il reato di diffamazione a mezzo Internet, in Treccani.it, 2010.

3. Strumenti giuridici attualmente vigenti

3.1. La diffusione di false notizie

La norma penale più idonea alla censura delle bufale è quella del reato contravvenzionale di diffusione di false notizie (art. 656 c.p.) su cui si è pronunciata tre volte la Corte Costituzionale, salvandone il contenuto (sent. 19/1962; sent. 199/1972.; sent. 210/1976.) e rideinendone la fattispecie in maniera costituzionalmente conforme. La Corte nella sent. 19/1962 ha inteso il reato diffusione di “notizie false, esagerate e tendenziose” come espressione di un’endiadi36: legittima è la censura solo di quelle notizie totalmente false o talmente alterate (nella tendenziosità della narrazione) da distorcere la verità dei fatti. Pertanto nella costruzione della Corte la fattispecie punibile sarebbe solo quella della diffusione di notizie false totalmente o parzialmente: «Infatti, qualora si addivenisse all’interpretazione per cui la notizia esagerata potrebbe non essere falsa e quella tendenziosa non lo sarebbe affatto, perché sarebbe una notizia vera presentata in modo tendenzioso, si costruirebbero limiti alla libertà di opinione decisamente contrastanti con l’ampiezza di previsione dell’art. 21 Cost.»37 .

La fattispecie va interpretata dunque come legata esclusivamente alla diffusione di notizie false e non al commento (diritto di critica): le congetture, le interpretazioni e i commenti, ancorché fantasiosi in relazioni all’analisi di future conseguenze di fatti veri, non

36 Sulla ricostruzione della fattispecie come endiadi si è assistito, come denunciato dai giudici che sollevarono le altre due questioni di costituzionalità, a una disobbedienza della giurisprudenza ordinaria. Cfr. per la giurisprudenza che non riconosce l’unicità della fattispecie come imposto dalla Corte Costituzionale G. Masante, In tema di pubblicazione o diffusione di notizie false, esagerate o tendenziose, in Giur. It., 1970, pt. 2, 151. Secondo alcuni questo sarebbe dovuto alla riscrittura della norma rispetto a come questa era applicata dai giudici ordinari. Bruti Liberati, cit., 126. La Corte Costituzionale ha però sempre riconfermato la natura dell’endiadi nelle successive sentenze.

37 E. Dinacci, Divulgazione di notizie false, in Treccani.it, 2014. Cfr. Alessandri, cit., 722. Questa interpretazione che sembra effettivamente quella più plausibile accomoderebbe anche i dubbi di P. Barile, La libertà di espressione del pensiero e le notizie false, esagerate e tendenziose, in Foro it., 1962, 1, 855.

integrano il reato in oggetto38 come anche le valutazioni ideologiche tratte da fatti speciici tratteggiati in maniera generica39 o non ancora accertati40 .

Perché la notizia si coniguri come diritto di cronaca basta che sia presente la forma dubitativa e una veridicità minima, soprattutto ove la verità dell’informazione possa essere appurata solo mediante indagini di polizia41, analogamente anche fatti probabili/futuri di cui il giornalista abbia avuto notizia non possono integrare la fattispecie della diffusione di false notizie42. La stessa è punibile sia a titolo di dolo che di colpa, salvo errore inevitabile43 .

In questo modo la tutela dell’informazione è garantita e non si addiviene a indebite e pericolose opere di silencing. Tuttavia per la punibilità delle stesse, secondo la Corte Costituzionale, è necessaria l’idoneità delle notizie false a causare un turbamento dell’ordine pubblico44: la conigurazione è quindi quella di reato di pericolo concreto.

Cercando di conigurare tale reato in relazione alla fattispecie della bufala serve svolgere qualche considerazione: il carattere della diffusione è integrabile mediante lo strumento della rete Internet e dei social network, inoltre la punibilità a titolo di colpa renderebbe sanzionabile anche l’utente che impropriamente condivida la notizia, non veriicando l’attendibilità della sua fonte.

Altri proili tuttavia tendono a rendere inapplicabile il reato in oggetto. Il carattere di reato di pericolo concreto limiterebbe la sanzione penale alle sole bufale idonee a provocare – in una sorta di istigazione indiretta – un pericolo concreto per l’ordine pubblico45 ,

38 Trib. Meli sent. del 15/01/1980. Cass. pen. sent. del 11/1/1977.

39 Trib. Prato sent. del 20/05/1969.

40 Trib. Milano sent. del 10/04/1972.

41 G.i.p. Milano sent. del 16/05/2011.

42 Cass. pen. sent. del 11/01/1977.

43 Cass. pen. sent. del 9/04/1974.

44 Corte Cost. sent. 19/1962 e 199/1972. La giurisprudenza ordinaria si è divisa fra orientamenti fedeli alla costruzione del reato di pericolo concreto (Cass. pen. sent. n. 9475/1996; Trib. Roma, sent. del 15/10/1981) e orientamenti che ritengono suficiente il pericolo astratto (Cass. pen. sent. del 4/02/1976; Pret. Cagliari, 16/04/1969).

45 L’introduzione della fattispecie di reato di pericolo concreto sarebbe legata per

con l’esclusione di tutte quelle non idonee a provocare una reazione immediata.

Il reato quindi risulta dificilmente applicabile alla fattispecie delle bufale e non sembra esser mai stato applicato in relazione alla diffusione online e sui social network. Serve peraltro evidenziare che anche qualora il reato fosse applicato, risulterebbe probabilmente ineficace dati i tempi processuali e l’irrisoria pena (l’arresto ino a tre mesi o l’ammenda ino a 309 euro).

3.2.

La diffamazione

Una norma sicuramente applicabile alle bufale online qualora colpiscano un soggetto individuato è quella del reato di diffamazione (art. 595 c.p.). La diffamazione è reato che protegge il bene giuridico onore, che è leso quando diffondendo il messaggio a più persone si attribuisce un fatto falso a un determinato soggetto.

Secondo giurisprudenza consolidata si prevede l’inquadramento di un’espressione come diritto di cronaca se: i) è rispettato il principio di verità, ossia vi è corrispondenza fra fatti narrati e fatti accaduti (salvo l’irrilevanza di fatti secondari46) o perlomeno vi è un controllo sulle fonti47, assumendo valenza l’errore scusabile; ii) vi è interesse pubblico (pertinenza) a conoscere la notizia (che per alcuni48 ricomprende il carattere veritiero della notizia in quanto non vi è interesse pubblico a conoscere una notizia falsa); iii) vi è continenza nella narrazione della notizia.

Oltre alla cronaca la diffamazione va anche distinta dal diritto di critica che «costituisce attività speculativa che non può pretendersi asettica e fedele riproposizione degli accadimenti reali»49, assumendo quindi un carattere valutativo più che informativo, stante comunque la necessità della verità dei fatti50 .

parte della dottrina alla costruzione dell’endiadi iniziale che non limitandosi alla legittima censura della menzogna pura e semplice richiederebbe l’aggiunta del parametro dell’ordine pubblico. Così P. Barile, La libertà di espressione, cit., 859.

46 Cass. pen. sent. n. 28258/2009.

47 Cass. pen. sent. n. 40415/2004.

48 Ex pluribus D. Chindemi, Diffamazione a mezzo stampa (Radio-Televisione-Internet), Milano, Giuffrè, 2006, 53.

49 Cass. pen. sent. n. 40408/2009.

50 Cass. pen. sent. n. 18262/2016.

Nodi virtuali, legami informali: Internet alla ricerca di regole

Il reato di diffamazione può essere integrato in forma aggravata (pubblicità) sia su Internet che su Facebook51: il reato quindi risulta non solo integrabile mediante siti Internet ma anche mediante social network, dato anche il carattere di viralità che una diffamazione su Facebook può raggiungere52. Il reato inoltre non solo potrebbe sanzionare i siti fabbrica, ma forse anche gli utenti che diffondano dolosamente mediante condivisione un contenuto diffamatorio53 .

Il reato risulterebbe dunque idoneo alla censura delle bufale che riguardino soggetti individuati, tuttavia ciò che lo rende poco eficace è la fattispecie di reato a querela. Un soggetto dovrebbe infatti avviare l’azione penale per censurare le false notizie diffuse da un sito Internet sulla propria persona.

A livello di prassi, comunque, non sembra che il reato abbia mai trovato concreta applicazione in relazione alle c.d. bufale.

Il reato di truffa (640 c.p.) non sembrerebbe idoneo (sussiste solo la dimensione economica di vantaggio per il sito di bufale) alla fattispecie in esame mancando sia la formazione di un rapporto patrimoniale, sia la dimensione del danno patrimoniale per il “truffato”. Il reato di abuso della credulità popolare (art. 661 c.p.) potrebbe essere teoricamente applicabile, benché legato a un turbamento dell’ordine pubblico. Il reato tuttavia è storicamente legato al contrasto alla ciarlataneria: nella prassi l’inquinamento dell’informazione è infatti stato punito mediante il reato di diffusione di false notizie54. Si può poi ricordare il reato di procurato pericolo (658 c.p.), che non sembra idoneo, perché al dato della notizia falsa si aggiunge la necessità che la stessa comporti presso le autorità pubbliche l’attivazione di misure.

51 Cass. pen. sent. n. 24431/2015; Cass. pen. sent. n. 16712/2014.

52 Cfr. Trib. Livorno sent. del 31/12/2012.

53 In passato la Cass. pen. sent. n. 1688/1998 ha ritenuto che si abbia diffamazione anche nel caso di ulteriore diffusione di notizia già pubblicata. In base a questi principi forse si potrebbe avere anche una – non auspicabile – sanzione della condivisone sui social di notizie diffamatorie.

54 Cfr. Bruti Liberati, cit., 138.

4. Conclusioni

Il dilemma sulla necessità della censura delle false notizie è ben espresso dal pretore di Recanati nella sent. 199/1972 della Corte Cost.: «non sembra al giudice a quo che le fondamenta dello Stato democratico repubblicano siano o possano essere mai minacciate dalla diffusione di qualsivoglia notizia. Credere nella democrazia si identiicherebbe al contrario, con il credere nella verità non abbisognevole di tutela penale».

La concezione espressa è molto simile a quella statunitense secondo cui il marketplace of ideas è sempre in grado di far trionfare la verità, ma non sembra tener conto del mondo di Internet e della diffusione di bufale sui social network.

Peraltro, se è stato ritenuto obiettivo sensibile e legittimo da parte del Legislatore la tutela del mercato contro false informazioni online55, perché non tutelare egualmente anche il mercato delle idee?

Considerato il rischio del chilling effect, la soluzione migliore potrebbe essere quella di applicare il reato di diffusione di false notizie ai siti-fabbrica (e a chiunque diffonda dolosamente notizie false)56: ovviamente servirebbe una rideinizione completa del reato in oggetto con sanzione adeguata e sganciamento dalla costruzione di reato di pericolo concreto.

In relazione al fenomeno della condivisione delle bufale sui social network – vero perno della questione – serve probabilmente fare un distinguo.

Per quanto riguarda il quivis de populo, che per errore scusabile o meno condivida le suddette notizie, la strada sembrerebbe dover essere estranea all’extrema ratio del diritto penale: anche l’uso di una semplice sanzione pecuniaria potrebbe essere foriero di gravi rischi di silencing. Quante persone nel dubbio di essere soggette anche solo a una ammenda si arrischierebbero a condividere una notizia

55 Cfr. artt. 185 e 187-ter Tuif, il secondo conigurato come reato di pericolo astratto (Cass. pen. sent. n. 40393/2012).

56 In un senso non dissimile Barile che in relazione al reato del 656 cp prevedeva la necessità di sanzionare penalmente la diffusione di false notizie con dolo (al contrario di chi sia «ignario del falso») come abuso del diritto (P. Barile, La libertà di espressione, cit., 858).

non proveniente dai mass media tradizionali? Il pericolo è quello di perdere quell’importantissimo beneicio di pluralismo informativo e controinformazione che la rete è in grado di fornire.

Vista l’ineficacia degli attuali strumenti previsti da Facebook57 , il Legislatore italiano potrebbe imporre a livello nazionale ai social network – veriicata la falsità della notizia mediante accertamento giudiziale o segnalazione dell’ordine dei giornalisti – la proposizione di rettiiche delle bufale nella bacheca degli utenti che le abbiano condivise o vi abbiano messo “like”. Questo può avere effetto appunto sulla categoria “notizia” come fatto, qualora soprattutto vi siano fonti autorevoli riconosciute a sostegno della smentita (l’accertamento giudiziario, prestigiosi giornali bi-partisan etc.)58. In questo modo si rispetterebbe il principio che vuole la rettiica pubblicata nello stesso locus ove veniva a trovarsi la notizia falsa, si garantirebbe un’opportunità di debunking e non si arriverebbe ad alcuna forma di silencing. Inoltre ciò permetterebbe un binomio pubblico-privato che consentirebbe di evitare i problemi costituzionali della c.d. privatizzazione della censura59 .

Diverso atteggiamento dovrebbe invece valere per i professionisti dell’informazione su Facebook; l’accertamento dei fatti è imperativo deontologico, come previsto dall’art. 2 della l. 69/1963 che impone «il rispetto della verità sostanziale dei fatti»; non si può pensare a un’esimente nella diffusione – condivisione – di bufale per coloro che al contrario del privato cittadino svolgono il ruolo di informare come professione.

57 Gli algoritmi che sfavoriscono i siti bufale o Facebook Newswire non sembrano eficaci e non sono in grado di disincentivare la condivisione, né evitare la viralità né di fornire rettiica, dove addirittura non iniscono per promuovere le bufale nella sezione Trending, come avvenuto in Inghilterra. Cfr. C. Dewey, Il problema di Facebook con le notizie false, in ilpost.it, 15 ottobre 2016 (consultato 01.11.2016).

58 Quasi superluo rilevare l’importanza della «credibility of the source of the correction» (Sunstein, cit., 75). Nel nostro ordinamento tuttavia in relazione ai fatti falsi sembra potersi affermare una certa funzione dei siti di debunking, delle testate giornalistiche o dell’Ansa.

59 M. Bettoni, Proili giuridici della privatizzazione della censura, in Cib. Dir., 2011, 12, 363, 375. In particolare si veda in relazione ai problemi di censura legati ai social network la bibliograia in nota 27.

Cyberbullismo e responsabilità: Internet è veramente un mondo virtuale?

1. Introduzione

La possibilità di entrare in relazione con altri soggetti e di manifestare il proprio pensiero attraverso la Rete è indiscussa, notevole ed in continuo ampliamento, tenuto conto della sostanziale imprescindibilità dell’uso di dispositivi informatici connessi ad Internet1 .

Tra le tante caratterizzazioni di Internet, emerge sovente quella “virtuale”, la quale, seppur signiicativamente diffusa, risulta opinabile in quanto prescinde da quelle che sono unanimemente considerate quali caratteristiche tipiche della c.d. realtà virtuale2 . Infatti, sulla scorta delle nozioni fondamentali di informatica, può essere corretto parlare di realtà virtuale solamente laddove speciiche tecnologie consentano di simulare determinate condizioni ambientali, con un grado di accuratezza talvolta addirittura tale da permettere al soggetto, tramite determinati dispositivi, di immergervisi3 .

1 Si noti, in argomento, il concetto di “umanità mediale”, recentemente enucleato in F. Ceretti, M. Padula, Umanità mediale. Teoria sociale e prospettive educative, Pisa, ETS, 2016.

2 Per una breve illustrazione dell’utilizzo del termine “virtuale” nel linguaggio, anche giuridico, si rinvia a quanto recentemente affermato in R.M. Colangelo, Diritto all’oblio e corpo in Internet. Alcune problematiche della indicizzazione di immagini dimenticate, in Comunicazioni Sociali, 2016, 2, 225-234.

3 In ordine al richiamo alle nozioni di Informatica di base, si rimanda all’ultima versione di uno dei più aggiornati manuali in materia: D.P. Curtin, K. Foley,

Può risultare fuorviante assimilare Internet alla realtà virtuale, in quanto si inirebbe per considerare la Rete stessa come un “altro mondo”, scollegato da quello reale, del quale costituirebbe una mera imitazione, seppur curata nei dettagli graici ed in tutti gli elementi necessari per stabilire una sensibile verosimiglianza.

Inoltre, per quanto maggiormente interessa in questa sede, una siffatta caratterizzazione esercita un inlusso notevole sui naviganti e, signiicativamente, sui più giovani.

In un ambiente virtuale, “simulatore” di realtà, ogni declinazione del concetto di responsabilità andrebbe sostanzialmente svuotandosi, rendendo di fatto irrilevante o comunque impunibile qualsiasi condotta contra legem posta in essere nel corso della navigazione in Internet.

2. Il caso del cyberbullismo

È evidente la tendenza, nei giovanissimi (e non solo), a considerare la rete un “mondo virtuale”, aderendo, spesso senza un’adeguata consapevolezza, ai corollari di tale controverso accostamento.

Questa tendenza risulta spesso favorita anche dalla supericiale parvenza di anonimato che viene comunemente ritenuta caratterizzante il web e che alcuni social network – nello speciico quelli rivolti principalmente ad un pubblico di adolescenti – sembrano espressamente garantire ai propri utenti4 .

K. Sen, C. Morin, Informatica di base, a cura di A. Marengo e A. Pagano, Milano, McGraw-Hill Education, 2016, 15 e 68.

4 Faccio particolare riferimento al social network Ask.fm, il quale consente di porre domande in anonimo ad altri membri. Proprio sui rapporti tra cyberbullismo, anonimato e Ask.fm ho tenuto un intervento nell’ambito della tavola rotonda “Cyberbulli? No, grazie!” organizzata dalla città di Vigevano il 2 marzo 2016.

È notorio che la tendenziale tracciabilità delle attività illecite poste in essere online da un determinato soggetto è possibile grazie alla conoscenza dell’indirizzo IP. In argomento, si veda L. Lupària, G. Ziccardi, Investigazione penale e tecnologia informatica. L’accertamento del reato tra progresso scientiico e garanzie fondamentali, Milano, Giuffrè, 2007, nonché, con particolare riferimento alla manifestazione del pensiero in rete, M. Cavino, L. Conte, Il diritto pubblico e la sua economia, Santarcangelo di Romagna, Maggioli, 2014, 425. La rilevanza dell’indirizzo IP in ordine alla paternità di contenuti pubblicati in Internet è stata peraltro recentemente confermata da Cass., sez. V pen., sent. 29 ottobre 2015-29 febbraio 2016 n. 8275.

Va da sé che, anche nei social strutturati in modo tale che nessun nickname possa funzionalmente assurgere a protezione dell’effettiva identità del navigante, è riscontrabile una inconsueta deminutio degli ordinari freni inibitori, in ordine alla pubblicazione di contenuti di vario tipo, riguardanti non solo la propria esistenza, ma anche – e soprattutto – quella altrui5 .

Con particolare riguardo a soggetti non consapevoli che l’umanità mediale è «un contesto antropico a immaginazione ridotta»6, l’insostenibile connotazione virtuale della rete, unitamente alla promessa di anonimato, tende a costituire uno stimolo ad effettuare domande sconvenienti, a pubblicare espressioni dal contenuto chiaramente diffamatorio, ad istigare al suicidio, ovvero, più genericamente, a porre in essere condotte dalla potenziale rilevanza penalistica o, comunque, lesive dei diritti di terzi.

Molte di tali condotte, se poste in essere in un contesto di bullismo e perpetrate online, possono essere deinite atti di cyberbullismo.

Per comprendere meglio lo statuto ontologico del cyberbullismo, occorre anzitutto notare che «il termine bullismo non indica qualsiasi comportamento aggressivo o comunque gravemente scorretto nei confronti di uno o più compagni di scuola»7 .

Il fenomeno del bullismo, infatti, risulta caratterizzato, contemporaneamente, da «intenzionalità, persistenza, disequilibrio»8, laddove tale ultimo fattore evidenzia che:

«Il bullismo rappresenta […] un tipo di interazione che si realizza all’interno di un preciso con-

5 In argomento, si rimanda a F. Tonioni, Psicopatologia web-mediata: Dipendenza da internet e nuovi fenomeni dissociativi, Milano, Springer-Verlag Italia, 2013, 110, nonché a F. Ceretti, M. Padula, Umanità mediale. Teoria sociale e prospettive educative, cit., 32, ove Ceretti e Padula deiniscono il concetto di plusumanizzazione.

6 Così F. Ceretti, M. Padula, Umanità mediale. Teoria sociale e prospettive educative, cit., 25, ove si afferma altresì che «l’uomo mediale può prevedere solo marginalmente le ricadute di un suo post o di un suo tweet».

7 Così A. Guarino, R. Lancellotti, G. Serantoni, Bullismo. Aspetti giuridici, teorie psicologiche e tecniche di intervento, Milano, Franco Angeli, 2011, 13.

8 M.A. Zanetti, R. Renati, Lo sfondo teorico, in M.A. Zanetti (a cura di), L’alfabeto dei bulli. Prevenire le relazioni aggressive nella scuola, Trento, Erickson, 2007, 14.

testo relazionale, in cui è possibile individuare precise gerarchie e ruoli. È la manifestazione di un comportamento aggressivo che non viene semplicemente esercitato all’interno di sporadiche situazioni conlittuali […]»9 .

Prima di approfondire l’attuale sforzo deinitorio che il legislatore italiano sta compiendo in materia di cyberbullismo, è opportuno sottolineare che una determinata condotta, anche qualora costituisca un atto di cyberbullismo, può risultare punibile in forza delle norme già vigenti, anche incriminatrici.

In tal senso, e con particolare riferimento ai reati di manifestazione del pensiero10, è addirittura la Corte di legittimità ad aver deinito «deprecabile esempio di cyberbullismo»11 una condotta diffamatoria posta in essere nell’ambito di un contesto relazionale scolastico, servendosi di un proilo creato ad hoc in un social network; ne è riprova un’ulteriore celebre pronuncia della Cassazione, inerente ad un episodio di bullismo videoripreso e postato online12 .

Si noti la validità, anche per gli atti di cyberbullismo – tra i quali vanno annoverati i due esempi sinteticamente riportati – della triplice caratterizzazione tipica degli atti di bullismo.

Inoltre, mentre il primo esempio può essere ascrivibile agli atti di cyberbullismo «proprio», il secondo costituisce sicuramente una forma di cyberbullismo «improprio»13 .

9 Ivi, 15.

10 In ordine alla piena applicabilità delle norme incriminatrici «cronologicamente precedenti all’avvento di Internet» a fatti commessi servendosi di dispositivi informatici connessi alla Rete, si rimanda a: S. Seminara, Internet (diritto penale), in Enciclopedia del Diritto – Annali VII, Milano, Giuffrè, 2014, 567-606.

11 Così Cass., sez. V pen., sent. 25 settembre 2013-9 ottobre 2013, 23010.

12 Cass., sez. III pen., sent. 17 dicembre 2013-3 febbraio 2014, 5107; si noti la differenza intercorrente con Cass., sez. III pen., sent. 4 febbraio 2016-26 febbraio 2016, 7882, ove il casus decisus contemplava la ripresa tramite smartphone delle vessazioni, ma a tale operazione non conseguiva la pubblicazione o condivisione delle stesse in rete, bensì la cancellazione dei ile dal dispositivo, al termine della visione dei ilmati da parte degli amici.

13 Tale bipartizione, di origine dottrinale, è stata recentemente riproposta da

Cyberbullismo e responsabilità...

Merita di essere sottolineato anche l’aspetto risarcitorio inerente al danno eziologicamente riconducibile a tali condotte, peraltro espressamente riconosciuto anche dalla giurisprudenza di merito14 .

3. Il più recente orientamento del legislatore in materia di cyberbullismo

Nell’ambito della XVII legislatura, sono state presentate numerose proposte e disegni di legge in materia, i quali evidenziano, de iure condendo, i problemi ed i limiti di plurime deinizioni di cyberbullismo15 .

Tra i vari atti parlamentari in materia, merita sicuramente una più attenta analisi il disegno di legge d’iniziativa dei senatori Elena Ferrara ed altri, il cui testo è stato approvato dal Senato il 20 maggio 2015 e modiicato dalla Camera il 20 settembre 201616 .

Alcuni spunti di confronto tra i due testi permetteranno di notare e comprendere meglio la recente volontà di ampliamento della nozione di cyberbullismo.

L. Frigeni, Bullismo e aspetti processuali, in A.L. Pennetta (a cura di), La responsabilità giuridica per atti di bullismo, Torino, Giappichelli, 2014, 137, ove si richiama un contributo di De Salvatore risalente non al 2013, bensì al 2012: F. De Salvatore, Bullismo e cyberbulling, dal reale al virtuale tra media e new media, in Minorigiustizia, 2012, 4, 94-101. È ridondante precisare che, sulla scorta di quanto premesso, in questa sede non si reputa corretto condividere i richiami operati alla dicotomia reale/virtuale.

14 Cfr. Trib. Teramo, sent. 16 gennaio 2012, 18, ove si conferma espressamente la conigurabilità di responsabilità in capo ai genitori per i fatti illeciti commessi dai igli minori capaci, ivi inclusi atti di cyberbullismo.

15 In ordine a talune delle questioni che scaturiscono dalle plurime deinizioni di cyberbullismo contenute in alcuni degli atti parlamentari della XVII legislatura, si rimanda al seguente contributo, di prossima pubblicazione: R.M. Colangelo, Navigazione online e rilessi penali. Spunti per i docenti, in A. Panzarasa (a cura di), Didatticaduepuntozero. Scenari di didattica digitale condivisa, Milano, Ledizioni, 2017.

16 D’ora in avanti, si farà riferimento al “precedente testo” ed al “nuovo testo”, intendendo rispettivamente la proposta di legge – Camera dei Deputati – n. 3139 (il cui testo è stato approvato dal Senato il 20 maggio 2015) e il disegno di legge – Senato della Repubblica – n. 1261-B, come approvato dalla Camera il 20 settembre 2016 ed attualmente all’esame del Senato.

In prima approssimazione, mentre il precedente testo recava «Disposizioni a tutela dei minori per la prevenzione ed il contrasto del cyberbullismo», quello attualmente all’esame del Senato reca «Disposizioni per la prevenzione ed il contrasto dei fenomeni del bullismo e del cyberbullismo».

All’accennata soppressione dell’espresso riferimento alla «tutela dei minori» fa eco la sostanziale riscrittura dell’art. 1 del precedente testo, il quale contemplava le sole condotte poste in essere «in danno di minorenni».

Si riscontra altresì un evidente ampliamento della materia disciplinanda, laddove, in luogo del primigenio riferimento al solo fenomeno del cyberbullismo, si è inteso disciplinare anche quello del bullismo.

Ciò trova chiaro riscontro nello sdoppiamento della deinizione riportata in apertura del nuovo testo.

È il fenomeno del bullismo ad essere deinito per primo dal nuovo testo, laddove l’art. 1, comma 2 statuisce che esso debba consistere, ai ini dell’emananda legge, in quanto segue:

«l’aggressione o la molestia reiterate, da parte di una singola persona o di un gruppo di persone, a danno di una o più vittime, idonee a provocare in esse sentimenti di ansia, di timore, di isolamento o di emarginazione, attraverso atti o comportamenti vessatori, pressioni o violenze isiche o psicologiche, istigazione al suicidio o all’autolesionismo, minacce o ricatti, furti o danneggiamenti, offese o derisioni per ragioni di lingua, etnia, religione, orientamento sessuale, aspetto isico, disabilità o altre condizioni personali e sociali della vittima».

Il seguente comma terzo dell’art. 1 riporta una deinizione per relationem del fenomeno del cyberbullismo, speciicando che:

«Ai ini della presente legge, con il termine «cyberbullismo» si intende qualunque comportamento o atto rientrante fra quelli indicati al comma 2 e perpetrato attraverso l’utilizzo di strumenti telematici o informatici».

Prescindendo da alcuni problematici richiami17, si noti che, nell’attuale deinizione, sono stati espunti i riferimenti diretti alle fattispecie penali della diffamazione e del furto d’identità, presenti nel testo precedentemente approvato dal Senato.

4. Il procedimento per oscuramento, rimozione o blocco

L’articolo 2, comma 1, prevede e disciplina un particolare procedimento per l’oscuramento, la rimozione o il blocco di determinati contenuti e, nello speciico, dispone quanto segue:

«Chiunque, anche minore di età, abbia subìto un atto di cyberbullismo, ovvero il genitore o il soggetto esercente la responsabilità genitoriale sul minore medesimo, può inoltrare al titolare del trattamento, al gestore del sito Internet o del social media, un’istanza per l’oscuramento, la rimozione, il blocco dei contenuti speciici rientranti nelle condotte di cyberbullismo, previa conservazione dei dati originali, anche qualora le condotte di cui all’articolo 1, comma 3, della presente legge, da identiicare espressamente tramite relativo URL (Uniform resource locator), non integrino le fattispecie previste dall’articolo 16718 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, ovvero da altre norme incriminatrici».

17 Si noti l’inconferenza del richiamo alle «violenze isiche» (art. 1, comma 2) in quanto poste in essere «attraverso l’utilizzo di strumenti telematici o informatici» (art. 1, comma 3): tali condotte, sussumibili o meno in una determinata fattispecie penale, debbono comunque essere rivolte direttamente contro il corpo di una persona, nulla rilevando, in argomento, le nozioni di “corpo elettronico” ed afini, sinteticamente illustrate in: R.M. Colangelo, Diritto all’oblio e corpo in Internet. Alcune problematiche della indicizzazione di immagini dimenticate, cit., 227-229.

18 Si tratta del delitto di “trattamento illecito di dati”.

In luogo dell’attuale riferimento a «chiunque, anche minore di età», il testo approvato dal Senato prevedeva la legittimazione alla formulazione della istanza solamente in capo a «ciascun minore ultraquattordicenne»19 .

Si noti tale estensione dei soggetti legittimati, anche alla luce di una nozione di cyberbullismo che, come si è visto, risulta sensibilmente dilatata e svincolata da ogni riferimento al contesto scolastico o formativo.

Nel merito della procedura speciale, si intende imporre al gestore del sito di comunicare, nel termine di 24 ore20 dalla segnalazione, di avere assunto l’incarico, per poi, nelle successive 48 ore, provvedere all’oscuramento, rimozione o blocco21 .

Il raffronto tra il nuovo testo e quello precedente consente, inoltre, di apprezzare una signiicativa variazione in ordine all’oggetto dell’oscuramento, della rimozione o del blocco.

In tal senso, mentre, nel testo approvato dal Senato il 20 maggio 2015, l’istanza poteva avere ad oggetto «qualsiasi altro dato personale del minore, diffuso nella rete Internet», nel nuovo testo si riscontra – come risulta chiaramente dal disposto dell’art. 2, comma 1 – il più stringente riferimento ai soli «contenuti speciici rientranti nelle condotte di cyberbullismo».

Inoltre, si intende stabilire un termine molto ridotto, di sole 48 ore, afinché il Garante provveda ai sensi degli artt. 143 e 144 d.lgs. 196/2003, nei casi di inadempimento o impossibilità di identiicare il gestore del sito o il titolare del trattamento dei dati.

In argomento, è necessario tenere presenti le criticità, numerose e di non poco conto, che concernono la tutela dei dati personali nell’ambito della rete22 .

19 Così l’art. 2, comma 1, del precedente testo.

20 Si noti che il termine risultava dimezzato (12 ore), ex art. 2, comma 2, del testo precedentemente approvato dal Senato.

21 Così, in forma riassuntiva, l’art. 2, co. 2 del testo approvato dalla Camera dei Deputati.

22 Non essendo possibile soffermarsi su tale tematica, si rimanda all’approfondimento delle questioni enucleate nel recente saggio: P. Passaglia, Privacy e nuove tecnologie, un rapporto dificile. Il caso emblematico dei social media, tra regole generali e ricerca di una speciicità, in Consulta Online, 2016, 3, 332-348, consultabile all’URL: http://www.giurcost.org/studi/passaglia7.pdf

Cyberbullismo e responsabilità...

Emerge, in tal senso, una prima singolare vicinanza tra il multiforme fenomeno oggetto del presente paper ed il diritto all’oblio in Internet23 .

Ciò risulta addirittura testualmente, laddove nella primigenia versione del modulo Google per l’esercizio del diritto all’oblio in Internet era presente uno speciico riferimento a «reati gravi, foto imbarazzanti, episodi di bullismo o di insulti online»24 .

È chiara, pertanto, l’avvenuta proposizione (e trattazione) di richieste di rimozione dai risultati di search engines relative a episodi di cyberbullismo, in quanto considerate rientranti nella nozione di diritto all’oblio in Internet, attualmente dilatata rispetto all’ormai consolidato approdo giurisprudenziale e dottrinale25 .

In relazione alla novità di cui al reg. Ue n. 679/2016, si invita alla lettura di: F. Pizzetti (a cura di), Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, Giappichelli, 2016.

23 In tal senso, le valutazioni, comportanti sovente il bilanciamento tra conliggenti diritti di pari rango costituzionale, vengono in entrambi i casi operate, quantomeno in prima battuta, dai gestori dei siti internet interessati. In materia di diritto all’oblio in Internet, si rimanda ad un interessante contributo pubblicato a ridosso di Corte giust., sent. 13 maggio 2014: O. Pollicino, Google rischia di “vestire” un ruolo para-costituzionale, in Il Sole 24 Ore, 15 maggio 2014.

24 Tale puntiforme citazione è peraltro riportata anche da A. Mantelero, Il futuro regolamento EU sui dati personali ed il dilemma del caso Google: ricordare e dimenticare nella digital economy, in G. Resta, V. Zeno-Zencovich (a cura di), Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, Roma Tre-press, 2014, 136-137. Essa, inoltre, può essere opportunamente contestualizzata, riportando parte della originaria introduzione al modulo Google: «Al momento, abbiamo ricevuto richieste di rimozione per ogni genere di contenuto: reati gravi, foto imbarazzanti, episodi di bullismo o di insulti online, vecchie denunce, articoli di giornale screditanti e molto altro. Per ognuna di queste richieste, siamo tenuti a prendere in considerazione sia il diritto di un individuo all’oblio sia il diritto del pubblico di accedere all’informazione».

Si speciica che l’integrale originaria introduzione al modulo è riportata in:

R.M. Colangelo, L’esercizio del diritto all’oblio in Internet, in La Parabola. Rivista trimestrale di studi e ricerche sulla comunicazione, 2015, 35, 92-93.

Per una veriica dell’attuale assenza di ogni e qualsivoglia riferimento a bullismo

e cyberbullismo nella introduzione ed in tutto il modulo Google, si rimanda a https://support.google.com/legal/contact/lr_eudpa?product=websearch

25 Cfr. M. Mezzanotte, Il diritto all’oblio. Contributo allo studio della privacy storica, Napoli, Edizioni Scientiiche Italiane, 2009.

5. Atti persecutori, tra cyberstalking e cyberbullismo

Ulteriore elemento che caratterizza il nuovo testo è la previsione dell’introduzione di un nuovo comma all’art. 612 bis c.p., rubricato – come è noto – «atti persecutori». È infatti l’art. 8, comma 1, lett. b), del nuovo testo a prevedere tale novellazione:

«La pena è della reclusione da uno a sei anni se il fatto di cui al primo comma è commesso attraverso strumenti informatici o telematici. La stessa pena si applica se il fatto di cui al primo comma è commesso utilizzando tali strumenti mediante la sostituzione della propria all’altrui persona e l’invio di messaggi o la divulgazione di testi o immagini, ovvero mediante la diffusione di dati sensibili, immagini o informazioni private, carpiti attraverso artiici, raggiri o minacce o comunque detenuti, o ancora mediante la realizzazione o divulgazione di documenti contenenti la registrazione di fatti di violenza e di minaccia».

A tale inserimento corrisponde la prevista soppressione della parte del secondo comma dell’art. 612 bis c.p., in cui attualmente si prevede che il delitto di cui trattasi possa essere commesso «attraverso strumenti informatici o telematici»26 .

Tale ipotesi di novellazione corrobora l’introduzione di una nuova ipotesi di ammonimento, già prevista nel precedente testo.

Più precisamente, si tratta dell’estensione dell’applicabilità della procedura di ammonimento di cui all’articolo 8, commi 1 e 2, d.l. 23 febbraio 2009, n. 11, convertito, con modiicazioni, in l. 23 aprile 2009, n. 3827 .

26 Per completezza, va dato atto che l’art. 8, comma 2, del nuovo testo, prevede – sempre de iure condendo – l’introduzione di una nuova ipotesi di conisca obbligatoria, in particolare di beni e strumenti informatici e telematici, laddove statuisce che: «All’articolo 240, secondo comma, numero 1-bis, del codice penale, dopo le parole: “utilizzati per la commissione dei reati di cui agli articoli” sono inserite le seguenti: “612-bis”».

27 Si tratta del medesimo testo normativo che ha inserito nel codice penale la fattispecie delittuosa di «atti persecutori». In ordine alla disciplina ed alle pro-

In argomento, il precedente testo, all’art. 6, disponeva quanto segue:

«1. Fino a quando non è proposta querela o non è presentata denuncia per taluno dei reati di cui agli articoli 59428, 595 e 612 del codice penale e all’articolo 167 del codice per la protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, commessi, mediante la rete internet, da minorenni di età superiore agli anni quattordici nei confronti di altro minorenne, è applicabile la procedura di ammonimento di cui all’articolo 8, commi 1 e 2, del decreto-legge 23 febbraio 2009, n. 11, convertito, con modiicazioni, dalla legge 23 aprile 2009, n. 38, e successive modiicazioni.

2. Ai ini dell’ammonimento, il questore convoca il minore, unitamente ad almeno un genitore o ad altra persona esercente la potestà genitoriale.

3. Gli effetti dell’ammonimento di cui al comma 1 cessano al compimento della maggiore età».

Dalla lettura del disposto risulta evidente il riferimento a quattro determinate fattispecie delittuose, tra le quali non risulta quella di cui all’art. 612-bis c.p.

Si noti anche che la commissione, da parte di minori ultraquattordicenni ed in danno di minorenni, di uno dei reati annoverabili nel ristretto numerus clausus sopra meglio riportato, era necessariamente vincolata all’utilizzo della rete.

blematiche applicative poste da tale procedura di ammonimento, si rimanda a C. Parodi, Stalking e tutela penale. Le novità introdotte nel sistema giuridico dalla l. 38/2009, Milano, Giuffrè, 2009, 103-124.

28 L’art. 594 c.p., nelle more dell’iter parlamentare, è stato espressamente abrogato dall’art. 1, comma 1, d.lgs. 15 gennaio 2016, n. 7. Al contempo, l’art. 4, comma 1, lett. a) del medesimo decreto legislativo ha introdotto una nuova ipotesi di illecito punito con sanzione pecuniaria civile, il quale riprende gli elementi tipici dell’abrogata fattispecie delittuosa. Meritevole di attenzione è l’introduzione dell’espresso riferimento alla «comunicazione […] informatica o telematica».

Tale speciica previsione non trova alcun conforto nel corrispondente articolo del nuovo testo29, ove risultano altresì totalmente soppresso il vecchio comma 3.

Nello speciico, l’art. 7, comma 1, dell’ultimo testo approvato, dispone che:

«Per i fatti di cui all’articolo 1, commi 2 e 3, della presente legge che non integrano reati procedibili d’uficio, ino a quando non è proposta querela, è applicabile la procedura di ammonimento di cui all’articolo 8, commi 1 e 2, del decreto-legge 23 febbraio 2009, n. 11, convertito, con modiicazioni, dalla legge 23 aprile 2009, n. 38, e successive modiicazioni. In caso di minore età dell’ammonito, il questore convoca, unitamente all’interessato, almeno un genitore ovvero la persona esercente la responsabilità genitoriale».

Il soggetto minore30, pertanto, non è più l’unico riconosciuto in grado di compiere atti di cyberbullismo.

Espunto ogni espresso riferimento all’utilizzo della rete ai ini della commissione di reati, risulta chiara l’intenzione del legislatore di estendere la procedura di ammonimento ai responsabili non solo di atti di cyberbullismo, ma anche di bullismo.

Ciò posto, si riconferma, nelle attuali intenzioni del legislatore, la tendenza a consacrare una sempre più diffusa dilatazione delle nozioni di bullismo e di cyberbullismo, senza preclusivi limiti di età in ordine alla qualità di bullo o cyberbullo e di vittima.

29 Si tratta dell’art. 8, il cui disposto corrisponde, con le modiicazioni che si illustrano, a quello dell’art. 6 del precedente testo.

30 Si ricorda che, in forza di quanto previsto dall’art. 97 c.p., è imputabile solo il minore ultraquattordicenne.

6. Considerazioni conclusive

Nonostante le perplessità sinteticamente illustrate, va rapidamente diffondendosi il ricorso a nozioni, più o meno dilatate, di cyberbullismo, soprattutto in riferimento a plurimi episodi di cronaca.

Il paradigma comune, spesso, è il seguente: soggetti adulti diffondono e condividono, senza autorizzazione, video intimi e riservati altrui.

Tali condotte - almeno in una prima e sommaria analisi - risultano carenti di quelli che sono i connotati più pregnanti del bullismo e del cyberbullismo, mentre emerge con maggior chiarezza la rilevanza penale delle stesse.

Inoltre, non si dimentichi che, almeno rebus sic stantibus, è lo stesso legislatore a prevedere la necessaria reiterazione dell’aggressione o della molestia da parte del cyberbullo, come si evince espressamente dall’art. 1, co. 2, del testo attualmente all’esame del Senato.

In argomento, pertanto, risulta evidente che non tutte le condotte diffamatorie perpetrate online possono integrare un atto di cyberbullismo, e viceversa; ciò può affermarsi anche in ordine alla relazione intercorrente tra atti persecutori e cyberbullismo, laddove ulteriori elementi oggettivi della fattispecie paiono coninare una possibile collimazione tre le due “qualiicazioni” solamente nei casi più gravi31 .

Non è, inoltre, pienamente accettabile il riferimento, in casi di siffatta specie e natura, al diritto all’oblio.

Occorre precisare che il diritto all’oblio è stato deinito «“mutante” nel mondo della rete»32. Tale deinizione, risalente al periodo immediatamente precedente alla ormai celeberrima sentenza Costeja González33, viene confermata dalla successiva evoluzione giurisprudenziale di tale diritto, il quale va coincidendo sostanzialmente con il mero diritto alla cancellazione, espressione del più ampio diritto alla tutela dei dati personali.

31 Infatti, a mente dell’art. 612 bis, co. 1, c.p., viene punito «chiunque, con condotte reiterate, minaccia o molesta taluno in modo tale da cagionare un perdurante e grave stato di ansia o di paura ovvero da ingenerare un fondato timore per l’incolumità propria o di un prossimo congiunto o di persona al medesimo legata da relazione affettiva ovvero da costringere lo stesso ad alterare le proprie abitudini di vita».

32 Così F. Pizzetti, Il prisma del diritto all’oblio, in F. Pizzetti (a cura di), Il caso del diritto all’oblio, Torino, Giappichelli, 2013, 37.

33 Corte giust., sent. 13 maggio 2014.

Nodi virtuali, legami informali: Internet alla ricerca di regole

Di converso, va gradatamente scemando la rilevanza, a mero titolo esempliicativo, della liceità della originaria pubblicazione della notizia o, più in generale, dell’informazione, nonché del decorso di un considerevole lasso temporale34 .

Pare riscontrabile, almeno in potentia, un’ulteriore, singolare vicinanza tra il diritto all’oblio ed il fenomeno del (cyber)bullismo, laddove entrambi, nonostante le ontologiche e manifeste differenze, subiscono una sensibile variazione in forza del loro rapporto con la Rete. Ancora una volta, l’enorme pervasività del Web si dimostra atta non solo ad ampliicare le conseguenze di un’azione, ma anche ad incidere sullo statuto ontologico di diritti, istituti e fenomeni.

34 In ordine alla rilevanza del fattore temporale, si richiama l’attenzione alla seguente recente sentenza: Cass., sez. I civ., sent. 4 novembre 2015-24 giugno 2016, 13161.

1. Internet, social network e diritto penale in evoluzione

La rivoluzione tecnologica che ha investito la società nell’ultimo ventennio ha innescato profondi cambiamenti di ordine economico, sociale, culturale e, non per ultimo, giuridico, ivi compresi, per quel che qui interessa, cambiamenti nel e del sistema penale1. Il trasferimento sul piano virtuale di un’amplissima gamma di attività umane ha, per un verso, drasticamente modiicato la dimensione del fenomeno criminale, incidendo su di esso sia in senso quantitativo che in senso qualitativo; per l’altro, ha imposto un complessivo aggiornamento del sistema punitivo, sia tramite l’introduzione di strumenti nuovi che tramite il ripensamento di strumenti già esistenti.

All’interno del mondo web, sempre più rilevanza assumono i cc.dd. social network, ovverosia le reti di interazione virtuale fra utenti portatori di uno o più interessi in comune. Come è stato rilevato, il loro impatto innovativo deriva sia dalla facilità e velocità di circolazione dei contenuti, sia dalla possibilità che questi ultimi vengano “condivisi” con cerchie potenzialmente indeinite di utenti2; tali caratteristiche, se, da un lato, consentono agli iscritti di svi-

1 Per una panoramica introduttiva, G. Pica, voce Internet, Dig. disc. pen., II agg., Torino 2004, 425.

2 L. Picotti, I diritti fondamentali nell’uso e abuso dei social network. Aspetti penali, in Giur. mer., 2012, 12, 2523.

Il delitto di diffamazione al tempo dei social network: punti fermi e spunti problematici

Edoardo Mazzanti

Nodi virtuali, legami informali: Internet alla ricerca di regole

luppare in modo sempre più pieno la propria personalità, dall’altro, moltiplicano le possibilità di aggressione degli interessi altrui3. Un chiaro esempio di tale ambivalenza è rappresentato dal diritto di manifestazione del pensiero: in effetti, non è chi non veda che, tramite il social network, crescono tanto le opportunità di divulgare su larga scala le proprie idee, quanto il rischio che tali idee, una volta divulgate, ledano la reputazione altrui con una diffusività – id est: un’intensità – impareggiabile rispetto ai canali tradizionali.

Breve: all’interno dei social network, la classica tensione tra libertà d’espressione e tutela della reputazione trova nuova linfa; s’impone così una rivalutazione del delitto di diffamazione (art. 595 c.p.), ipotesi criminosa che, in tale tensione, racchiude la propria cifra di disvalore.

2. La diffamazione via social network

Nonostante le iniziali, prevedibili dificoltà di adeguamento4, la giurisprudenza dà ormai per scontata la possibilità di applicare l’art. 595 c.p. – aggravato dal «mezzo di pubblicità » di cui al comma 3 – ai casi di offese veicolate tramite social network. Con riferimento alla piattaforma più nota, la Cassazione ha recentemente ribadito che «la diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca Facebook integra un’ipotesi di diffamazione aggravata ai sensi dell’art. 595 co. 3 c.p. poiché trattasi di condotta potenzialmente capace di raggiungere un numero indeterminato o comunque quantitativamente apprezzabile di persone»5. Più in generale, merita ricordare che, per

3 Si rimanda a E. Falletti, I social network: primi orientamenti giurisprudenziali, in Corr. mer., 2015, 7, 992 per un quadro sintetico e aggiornato.

4 La diffamazione rientra nella categoria dei cc.dd. reati informatici in senso lato; reati, cioè, di per sé “pensabili anche nel mondo reale”, rispetto ai quali il dispositivo, la rete, il dato informatico etc. rappresentano un mezzo di commissione. Da questi, debbono essere tenuti logicamente distinti i cc.dd. reati informatici in senso stretto, rispetto ai quali il dispositivo, la rete, il dato informatico etc. rappresentano elemento tipico e costituiscono obiettivo dell’attività criminale.

5 Cass., sez. I pen., sent. 28.4.2015 n. 24431. Analogamente, per rimanere alle più recenti, Cass., sez. V pen., sent. 13.7.2015 n. 8328; Cass., sez. I pen., sent. 22.1.2014 n. 16712, che equipara il messaggio postato da proilo “aperto” – poiché rivolto a platea indeterminata – e da proilo “chiuso” – poiché rivolto a platea determinata

Il delitto di diffamazione al tempo dei social network...

giurisprudenza unanime, una volta che un contenuto sia immesso nel circuito Internet, la sua diffusione – e quindi la comunicazione con più persone6 – deve presumersi ino a prova contraria7; ne consegue che, qualora detto contenuto risulti lesivo dell’altrui reputazione8, il delitto di diffamazione (aggravata) deve ritenersi integrato.

La trasposizione del reato de quo in un ambito radicalmente diverso rispetto a quello in cui era stato originariamente pensato, d’altra parte, ha dato luogo a molteplici questioni interpretative. Nelle pagine che seguono, tenteremo di dar conto, in modo necessariamente schematico, di alcuni aspetti problematici relativi all’impiego del delitto di diffamazione per offese trasmesse via social network, saggiando lo “spirito di adattamento” di questa vecchia fattispecie a questo nuovo mezzo di comunicazione.

2.1. Il rapporto tra diffamazione e ingiuria

Una delle questioni che si pongono all’attenzione dell’interprete è quella della delimitazione tra diffamazione e ingiuria; delimitazione divenuta ancor più importante in séguito al recente declassamento della seconda fattispecie a illecito civile (art. 4 co. 1 lett. a d.lgs. 15.1.2016 n. 7)9, fattispecie che, per espressa e opportuna scelta legislativa, può essere realizzata anche «mediante comunicazione informatica o telematica».

È noto che la differenza tra le due fattispecie s’incentra sulla presenza o meno dell’offeso; “presenza” che, specie nel nostro ambito, si declina come diretta percezione dell’espressione infamante (comunicazione, scritti o disegni «diretti alla persona offesa»)10 .

ma comunque molto ampia. In assenza di diversa indicazione, le sentenze citate sono reperibili sul portale DeJure.

6 Critica la confusione tra questi concetti, S. Seminara, voce Internet (diritto penale), Enc. dir., Milano 2014, VII Annali, 581.

7 Per tutte, Cass., sez. I pen., sent. 27.4.2012 n. 23624.

8 Da ultimo, offre una compiuta disamina sul punto G.i.p. Rovereto, sent.

19.11.2015, in Dir. pen. cont., 2016, con nota di E. Maschi, G.E. Vigevani, Ai conini della critica: dal Tribunale di Rovereto una lezione sul reato di diffamazione.

9 Su questo nuovo ibrido sanzionatorio, R. Martini, L’avvento delle sanzioni pecuniarie civili. Il diritto penale tra evoluzione e mutazione, www.lalegislazionepenale.eu, 2016.

10 In realtà, proprio l’equiparazione tra le due diverse modalità d’ingiuria porta la dottrina tradizionale a ritenere il concetto di “presenza” da intendersi comun-

Ora, se volgiamo lo sguardo all’universo social, appare evidente che, in linea generale, l’area applicativa della fattispecie di ingiuria risulta piuttosto ridotta11: dal punto di vista oggettivo, ogni post, status, disegno etc. è sempre offerto ad una platea indeinita o, comunque, ad un numero molto ampio di iscritti; dal punto di vista soggettivo, poi, è chiaro che l’utilizzo di un social network per esternare un giudizio denigratorio testimonia la volontà dell’agente non tanto di relazionarsi in via diretta con il destinatario, quanto di diffondere tale giudizio in una cerchia più o meno determinata, più o meno ampia di persone. Così, ad esempio, chi utilizza l’account di Twitter per offendere un altro utente, vista l’apertura indiscriminata delle bacheche, risponde sempre di diffamazione (aggravata), anche laddove “si sia rivolto” a quest’ultimo attraverso lo speciico meccanismo della menzione. In deinitiva, ci pare che, come da più parti sostenuto, possa integrare ingiuria soltanto il messaggio direttamente e speciicamente indirizzato all’insultato12 .

Permangono, tuttavia, alcune zone d’ombra: quid juris, in particolare, in caso di comunicazioni dirette all’offeso eppure alla presenza di altri soggetti (si pensi alle offese rivolte ad un membro di una chat plurima di Messenger oppure di un gruppo “chiuso/segreto” su Facebook)? A modesto avviso di chi scrive, tali casi, a determinate condizioni, si prestano ad essere comunque inquadrati nell’ipotesi di ingiuria, sebbene aggravata dalla presenza di più persone (art. 4 co. 4 lett. f d.lgs. 7/2016): l’ambiente circoscritto in cui avvengono gli scambi, nonché l’immediatezza di quest’ultimi mal si conciliano col carattere di diffusività che deve (rectius: dovrebbe) caratterizzare la que – vale a dire: anche fuori dall’ambito telematico – come percezione diretta da parte dell’offeso. P. Siracusano, voce Ingiuria e diffamazione, in Dig. disc. pen., Torino 1993, 38. Peraltro, si consideri che la dizione «comunicazione informatica e telematica» è stata aggiunta dal d.lgs. 7/2016; l’assenza di medesima formula all’interno del vecchio art. 594 c.p. costringeva a ricondurre le comunicazioni virtuali nel più ampio concetto di «scritti o disegni». In tema, L. Picotti, Proili penali delle comunicazioni illecite via internet, in Dir. inf., 1999, 2, 288 ss.

11 Sulle differenze tecniche tra comunicazione diretta e comunicazione indiretta, rilevanti ai ini dell’inquadramento del fatto nell’ingiuria o nella diffamazione, sempre L. Picotti, Proili penali delle comunicazioni illecite, cit., 295 ss.

12 Fra i molti, L. Scopinaro, Internet e delitti contro l’onore, in Riv. it. dir. pen. proc., 2000, 2, 619 ss.; M. Fumo, La diffamazione mediatica, Torino, UTET, 2011, 95.

Il delitto di diffamazione al tempo dei social network...

«comunicazione con più persone» alla base dell’ipotesi delittuosa13 .

Si tratta di una soluzione in contrasto con la giurisprudenza dominante14 che, tuttavia, da un lato, crediamo sviluppi in modo coerente la differenziazione tra email e siti web che alcune sentenze opportunamente operano15; dall’altro, valorizzando il dettato legislativo del nuovo d.lgs. 7/2016 e il concreto funzionamento di questi speciici strumenti, mira a ridimensionare il ruolo fagocitante del reato di diffamazione, optando a favore della fattispecie meno grave ogni qualvolta l’espressione offensiva non sia resa fruibile ad un numero indeterminato di utenti social.

2.2. La responsabilità del provider

Fra i temi più spinosi del diritto penale informatico, spicca quello relativo ai proili di responsabilità del provider. L’Internet service provider (ISP) è “l’intermediario di connessione” che, sempliicando, mette a disposizione degli utenti una determinata piattaforma web (fra cui, per l’appunto, un social network). In linea generale, ai sensi degli artt. 14-17 d.lgs. 9.4.2003 n. 70 – attuativo della dir. 2000/31/ CE – tale soggetto è gravato da una serie di obblighi di segnalazione, collaborazione con le autorità (ad esempio, ai ini dell’identiicazione di un utente), rimozione dei contenuti illeciti16; la normativa,

13 D’altra parte, come accennato sub § 2, la giurisprudenza affronta il tema Internet postulando una presunzione di comunicazione/diffusione; nulla vieta, crediamo, che, in determinati contesti – quali appunto, le chat o i gruppi chiusi – tale presunzione possa essere superata. Indispensabile, in tale ottica, è che l’autore abbia consapevolezza della presenza dell’ingiuriato all’interno di quella cerchia di persone. Analogamente, in tema di offese via mailing list, seppur in modo problematico, L. Scopinaro, Internet e delitti contro l’onore, cit., 625s. In senso diverso, da ultimo, T. Milano, sent. 11.2.2016 n. 1624, che, in un caso di commenti denigratori tramite mailing list, ha concluso per l’applicabilità del delitto di diffamazione, sebbene escludendo l’aggravante del mezzo di pubblicità.

14 Cfr diffamazione via lettera o via email: Cass., sez. V pen., sent. 15.3.2016 n. 18919; Cass., sez. V pen., sent. 16.10.2012 n. 44980. Contra, Cass., sez. V pen., sent. 10.4.2008 n. 16425.

15 Cfr. Cass., sez. I pen., sent. 21.12.2010 n. 2739, Cass. pen. 2011, 12, 4315, con nota critica di R. Lotierzo, Osservazioni a Cass. penale, 21 dicembre 2010, n. 2739, sez. I.

16 Il regime è differente a seconda che il provider offra servizi di access/mere conduit (art. 12 dir. 2000/31/CE; art. 14 d.lgs. 70/2003), caching (art. 13 dir. 2000/31/CE; art. 15 d.lgs. 70/2003) ovvero hosting (art. 15 dir. 2000/31/CE; art. 16 d.lgs. 70/2003).

Nodi virtuali, legami informali: Internet alla ricerca di regole

tuttavia, esclude che questi abbia obblighi di monitoraggio ex-ante sui contenuti immessi da terzi sul sito ovvero di ricerca attiva di fatti e circostanze che indichino la presenza di attività illecite; tale statuto “privilegiato” non si applica, però, laddove l’ISP non si limiti a compiere attività automatiche di trasmissione e memorizzazione, bensì svolga una qualche attività “aggiuntiva”, quale, ad esempio, la modiica delle informazioni trasmesse17 .

In chiave penalistica, e limitando il discorso all’ipotesi diffamazione, merita distinguere tra (i) condotta omissiva e (ii) condotta attiva.

(i) Dottrina maggioritaria18 e giurisprudenza19 negano che in capo all’ISP sussista un obbligo di impedimento del delitto di diffamazione commesso dai singoli utenti: per un verso, manca una speciica posizione di garanzia20 – tanto di protezione quanto di controllo – non essendo essa desumibile né da disposizioni speciiche, né dalla norma generale di cui all’art. 40 cpv. c.p., né, inine, dagli artt. 57 e 57-

17 Da ultimo, chiarisce la posizione dell’access provider a livello europeo Corte GUE, sent. 15.9.2016, C-484/2014, Tobias McFadden vs Sony Music Entertainment Germany GmbH.

18 Ex multis, con analisi anche di reati ulteriori, R. Bartoli, Brevi considerazioni sulla responsabilità dell’internet service provider, in Dir. pen. proc., 2013, 5, 600; D. De Natale, La responsabilità dei fornitori di informazioni in internet per i casi di diffamazione online, in Riv. trim. dir. pen. ec., 2009, 519; M. Fumo, La diffamazione mediatica, cit., 53 ss.; 161 ss.; A. Gullo, I delitti contro l’onore, in C. Piergallini, F. Viganò (a cura di), Reati contro la persona e contro il patrimonio, Torino, Giappichelli, 2015, 168 ss; A. Ingrassia, Il ruolo dell’ISP nel ciberspazio. Cittadino, controllore o tutore dell’ordine?, in Dir. pen. cont., 2012, part. 25 ss.; G. Pica, voce Internet, cit., 473 ss.; S. Seminara, voce Internet, cit., 597 ss.; suggerisce una valutazione caso per caso, indotta dall’eventuale esistenza di speciici obblighi di protezione nella materia volta volta considerata, L. Picotti, I diritti fondamentali, cit., 2544 ss.

19 App. Milano sez. I, sent. 27.2.2013, in Giur. mer., 2013, 7-8, 1577, con nota di P. Silvestre, La sempreverde tentazione di sostituirsi al legislatore; e F. Resta, Diritti individuali e libertà della rete nel caso Vivi Down. Diversamente, per un controverso caso di responsabilità diretta e monosoggettiva dell’amministratrice di blog per alcuni commenti offensivi lasciati dai lettori, G.i.p. Varese, sent. 22.2.2013 n.

116, in Arch. pen., 2013 (s.m.), 3, con nota critica di M. Minasola, Blogging e diffamazione: responsabilità dell’amministratore del sito per i commenti dei lettori.

20 Sulla necessità che, per aversi concorso mediante omissione al fatto commissivo, l’omittente debba rivestire la posizione di garante dell’impedimento dell’evento-reato, per tutti, G. Fiandaca, E. Musco, Diritto penale. Parte generale, Bologna, Zanichelli, 2012, 629.

Il delitto di diffamazione al tempo dei social network...

bis c.p.; per un altro, mancano in ogni caso reali poteri impeditivi21 , non potendo certo il provider effettuare un controllo pieno ed eficace sull’intera massa di contenuti immessi in rete22. Ciò, esempliicando in ambito social, signiica che i gestori di Instagram non possono essere chiamati a rispondere della fotograia lesiva dell’altrui reputazione postata da un membro, non potendo e non essendo comunque essi tenuti a vagliare preventivamente ogni singola immagine caricata. Tale soluzione, con speciico riferimento ai social network, è stata recentemente avallata anche dalla Corte europea dei diritti dell’uomo23 .

(ii) Viceversa, l’ISP può rispondere del delitto di diffamazione laddove modiichi un messaggio offensivo postato da un utente, così attribuendosene la paternità, ovvero laddove riprenda un certo contenuto infamante da altri siti, così conferendogli nuova (e più ampia) diffusione. Allo stesso modo, esso è punibile a titolo di concorso con l’autore del messaggio diffamatorio quando, con piena consapevolezza (cfr. artt. 15 co. 1 lett. e e 16 co. 1 lett. a d.lgs. 70/2003), fornisca accesso, attività di memorizzazione o tecnologie all’altrui reato prima della sua realizzazione24. Più problematica, di contro, la conigurabilità del concorso omissivo con l’autore in caso di mancata rimozione del messaggio: esempliicando, possono gli apici di Facebook essere chiamati a rispondere per concorso in diffamazione laddove, pur a séguito di ingiunzione dell’autorità, un post offensivo non venga cancellato? Secondo una prima impostazione, nonostante il d.lgs. 70/2003 delinei soltanto un proilo di responsabilità civile (art. 17 co. 3), l’omesso intervento potrebbe rilevare anche come ipotesi di responsabilità penale concorsuale, seppur necessariamente a fronte di un formale provvedimento dell’autorità giudiziaria o amministrativa25; altri, invece, ritengono che l’ag-

21 Sottolinea che la responsabilità dell’ISP, prima che un problema giuridico, ponga un problema tecnico, peraltro incentivato dalla concentrazione del web in mano a pochi, giganteschi provider, G. Pica, voce Internet, cit., 473.

22 Anche a voler ammettere che l’ISP rivesta una posizione di garanzia e abbia effettivamente la possibilità di effettuare un controllo capillare, peraltro, resterebbe scoperto il problema del coeficiente doloso, da provare secondo le scansioni ordinarie.

23 Corte EDU, G.C., sent. 16.6.2015, Deli AS vs Estonia, § 116.

24 S. Seminara, voce Internet, cit., 595 ss.

25 Pur ammettendo che si tratti di soluzione ardita, R. Bartoli, Brevi considerazioni, cit., 602; M. Fumo, La condotta nei reati informatici, in Arch. pen., 2013, 3,

gravamento delle conseguenze del reato derivante dal mantenimento in rete del messaggio offensivo si atteggi a mero post-factum e, quindi, non costituisca partecipazione criminosa, non potendosi inquadrare il delitto ex art. 595 c.p. nello schema del reato permanente26 .

In ogni caso, proprio in relazione ai social network, v’è chi, da ultimo, ha sottolineato che le esenzioni di responsabilità cristallizzate nel d.lgs. 70/2003 «sono state in primo luogo pensate per provider assai meno tecnologicamente evoluti rispetto a quelli che oggi caratterizzano il mercato e, in secondo luogo, che esse non si applicano nel caso in cui gli stessi ISP esercitino un controllo effettivo sui contenuti ospitati»27. Viene da chiedersi, allora, se le migliori dotazioni tecniche unite alle maggiori possibilità di controllo di cui oggi godono i gestori di social network non debbano condurre ad una generale rimeditazione della disciplina, in prospettiva interpretativa28 o, preferibilmente, de lege ferenda.

2.3. Giurisdizione e competenza territoriale

Attesa la natura di Internet quale “non luogo”29, la realizzazione del delitto di diffamazione via social network pone delicati problemi di ordine lato sensu territoriale. Anzitutto, vale la pena ricordare che il delitto

784 ss., il quale, tuttavia, aveva in precedenza puntualizzato che l’omessa rimozione di un messaggio lesivo che l’ISP ha l’obbligo di rimuovere costituirebbe una autonoma ipotesi delittuosa. Id., La diffamazione mediatica, cit., 57 ss.

26 S. Seminara, voce Internet, cit., 597, 599 ss.; A. Ingrassia, Il ruolo dell’ISP, cit., 21 ss., Ex adverso, anche T. Milano sez. VI, sent. 12.4.2010, sul punto confermata da App. Milano sez. I, sent. 27.2.2013, cit.

27 C. Melzi D’Eril – O. Pollicino, Contenuti e responsabilità sui social network che cambiano, in Il Sole 24 Ore, 19 ottobre 2016.

28 È quanto sembrerebbe emergere in relazione alla drammatica vicenda di Tiziana Cantone, morta suicida in seguito alla diffusione virale di un video che la riprendeva durante un rapporto sessuale: stando a quanto riportato dai giornali, il Tribunale di Napoli avrebbe sancito l’obbligo di Facebook di rimuovere il contenuto illecito (per violazione della disciplina sulla privacy), a prescindere da uno speciico ordine dell’autorità. Si veda Tiziana Cantone, il Tribunale di Napoli: ‘Facebook doveva rimuovere i video’, in Il Fatto Quotidiano, 4 novembre 2016.

29 O, meglio, di ambiente immateriale che non può essere delimitato entro conini isici o territoriali.

Il delitto di diffamazione al tempo dei social network

di diffamazione è, secondo l’opinione dominante, un reato di evento, ove l’evento è inteso come avvenimento esterno di tipo «non isico ma, per così dire, psicologico, consistente nella percezione da parte del terzo (rectius: dei terzi) dell’espressione offensiva»; ne deriva che il reato «si consuma al momento della percezione dello stesso da parte di soggetti che siano terzi rispetto all’agente e alla persona offesa»30 . Momento e luogo di consumazione del reato hanno signiicativi rilessi giuridico-spaziali, risultando dirimenti al ine di determinare (i) giurisdizione e (ii) competenza territoriale.

(i) Il discorso relativo alla giurisdizione è relativamente più agevole: ai sensi dell’art. 6 co. 2 c.p., «il reato si considera commesso nel territorio dello Stato quando l’azione o l’omissione che lo costituisce è ivi avvenuta in tutto o in parte, ovvero si è ivi veriicato l’evento che è la conseguenza dell’azione o dell’omissione». Alla luce di ciò, per acquisizione ormai paciica, v’è giurisdizione del giudice italiano tutte le volte in cui nel nostro Paese vi siano soggetti che abbiano preso cognizione del carattere offensivo di un determinato contenuto, a prescindere dall’eventuale collocazione all’estero del server su cui quest’ultimo è stato caricato31 .

(ii) Maggiori dilemmi, invece, sorgono nell’individuazione del giudice territorialmente competente. Negli anni, dottrina e giurisprudenza hanno offerto soluzioni variegate, sovente caratterizzate da contraddizioni logiche e forzature ermeneutiche32. Il problema di fondo è che la diffamazione a mezzo Internet costituisce un vero e proprio tertium genus rispetto alle altre forme di diffamazione mediatica; ne deriva che, tentando di trapiantare in questo ambito i criteri adoperati per la diffamazione a mezzo stampa33 o via radio-

30 Per tutte, Cass., sez. I pen., sent. 21.12.2010 n. 2739, cit. In dottrina, per tutti, F. Mantovani, Diritto penale. Parte speciale, Padova, CEDAM, 2013, 253. Contra,

L. Picotti, Proili penali delle comunicazioni illecite, cit., 295 ss.

31 Cass., sez. V pen., sent. 17.11.2000 n. 4741, Cass. pen. 2001, 6, 1832, con nota di

E. Perusia, Giurisdizione italiana anche per le offese online su un sito straniero. Più di recente, Cass., sez. II pen., sent. 21.2.2008 n. 36721.

32 Signiicativa, in tal senso, la controversa presa di posizione in T. Milano sez. VI, sent. 12.4.2010, ove si afferma che la percezione dell’offesa rappresenta «un dato rilevante per la commissione del reato di cui all’art. 595 c.p., ma non direttamente ai ini della competenza territoriale».

33 È ormai consolidato l’orientamento che radica la competenza per il delitto di

televisione34, l’interprete inisce per plasmare un tipo a geometria variabile, oscillante, a seconda delle esigenze, tra reato d’evento e reato di pericolo, fattispecie di danno e fattispecie di mera condotta, reato istantaneo e reato permanente.

La giurisprudenza più accreditata, nel ribadire che la diffamazione è reato d’evento, dà tuttavia atto della dificoltà, se non dell’impossibilità, di seguire precisi criteri oggettivi; esclusa l’applicabilità degli artt. 8 co. 1 e 9 co. 1 c.p.p., la scelta cade così sull’ipotesi residuale ex art. 9 co. 2 c.p.p., che àncora la competenza nel luogo del domicilio dell’imputato35 .

Per converso, la dottrina maggioritaria ritiene che, in ossequio alla natura del delitto, giudice competente dovrebbe essere quello del luogo in cui si trovano i due soggetti terzi che, collegandosi alla rete, per primi percepiscono la natura diffamatoria del messaggio: la possibilità di acquisire i iles di log che consentono di risalire all’IP del soggetto che effettua la connessione – si argomenta – renderebbe l’accertamento della «comunicazione con più persone» assai più agevole rispetto ad altre forme di divulgazione mediatica36 .

Le soluzioni prospettate, ad avviso di chi scrive, prestano il ianco a critiche di ordine, rispettivamente, logico-dogmatico e pratico. La tesi allo stato preferibile, allora, sembra quella che ritiene competente il giudice del luogo in cui l’autore ha agito caricando il contenuto offensivo sul server37; contenuto che, come noto, non “circola

diffamazione a mezzo stampa nel luogo in cui ha sede la tipograia dalla quale gli stampati sono usciti per essere distribuiti e messi in circolazione. Per tutte, Cass., sez. I pen., sent. 12.6.2007 n. 25804.

34 Ai sensi dell’art. 30 co. 4-5 l. 6.8.1990 n. 223, per i casi di diffamazione commessi attraverso trasmissioni radiotelevisive consistenti nell’attribuzione di un fatto determinato, il foro competente è determinato dal luogo di residenza della persona offesa.

35 Cass., sez. I pen., sent. 21.12.2010, cit.; Cass., sez. I pen., sent. 15.3.2011 n. 16307; in precedenza, Cass., sez. V pen., sent. 17.11.2000, cit.

36 E. Perusia, Giurisdizione italiana, cit., 1875 ss.; R. Lotierzo, Osservazioni, cit., 4319; anche A. Gullo, I delitti contro l’onore, cit., 174, mostra perplessità circa la «assoluta siducia [della giurisprudenza maggioritaria] nella possibilità di determinare la competenza sulla base del locus commissi delicti».

37 Seppur ammettendo che non si tratta di un criterio pienamente soddisfacente, in tal senso S. Seminara, voce Internet, cit., 583.

Il delitto di diffamazione al tempo dei social network

in rete” ma rimane “immagazzinato” e a disposizione degli utenti, i quali, attingendo dal server stesso, ne fruiscono attraverso il proprio terminale. A tal ine, anche a non voler condividere la tesi che postula la rilettura del delitto di diffamazione in termini di reato di mera condotta38, crediamo sia possibile ricorrere all’art. 9 co. 1 c.p.p., che consente di determinare la competenza in virtù dell’ultimo luogo in cui è avvenuta una parte dell’azione39. Per quanto parzialmente “di ripiego”, questa impostazione ha il pregio di individuare il foro in modo preciso, senza peraltro determinare insanabili fratture dai principi generali; in effetti, nel campo della criminalità informatica, le ragioni che ispirano il prioritario criterio del locus commissi delicti – più agevole ricerca del materiale probatorio e appagamento del sentimento di giustizia della comunità (geograica) coinvolta appaiono nettamente afievolite.

In ogni caso, la complessità della questione e la precarietà delle varie soluzioni proposte palesano l’esigenza di prevedere una norma ad hoc che issi la competenza in modo univoco, magari proprio sulla falsariga della legge 223/1990, privilegiando il luogo in cui si trova il domicilio dell’offeso40 .

2.4. Il sequestro preventivo delle pagine social

Fra i principali nodi recentemente sciolti dalla giurisprudenza, v’è quello relativo alla possibilità di disporre il sequestro preventivo delle pagine web, ivi comprese, ai nostri ini, quelle ospitanti social network.

La soluzione affermativa, per vero da tempo nettamente maggioritaria, muove dalla non sovrapponibilità tra Internet e stampa, con ciò che ne consegue in punto di garanzie costituzionali in materia

38 L. Picotti, Proili penali delle comunicazioni illecite, cit., 297 ss., 320 ss. Anche la giurisprudenza, d’altronde, qualora il petitum attenga non al locus bensì al tempus commissi delicti, pare far coincidere la consumazione del reato con l’immissione del messaggio in rete. Così S. Seminara, Locus commissi delicti, giurisdizione e competenza nel cyberspazio, http://informaticagiuridica.unipv.it/ convegni/2012/SEMINARA%2023-11-2012.pdf, 9 ss.

39 In questo senso, Cass., sez. V pen., sent. 19.5.2015 n. 31667, la quale espressamente richiama il principio elaborato dalle Sezioni unite in materia di accesso abusivo (Cass., sez. un. pen., sent. 24.4.2015 n. 17325).

40 In tal senso, sul piano unionista, Corte GUE, sent. 25.10.2011, C-509/09-C-/161/10, eDate Advertising GmbH vs X – Oliver and Robert Martinez vs MGN Limited, § 48.

Nodi virtuali, legami informali: Internet alla ricerca di regole

di sequestri41. Tale soluzione ha da ultimo avuto l’autorevole avallo della Cassazione a Sezioni unite. In dettaglio, i giudici rimettenti dubitavano dell’applicabilità della disciplina cautelare reale alle risorse informatiche, deducendo, da un lato, che il sequestro ex artt. 321 c.p.p. e 104 disp. att. cp.p. avente ad oggetto una pagina web si tradurrebbe non già nella “semplice” sottoposizione di una res a vincolo d’indisponibilità, bensì in una vera e propria inibitoria comportante l’obbligo di tacere; dall’altro, che applicare il sequestro preventivo a «dati informatici» comporterebbe un’indebita applicazione analogica delle disposizioni codicistiche, giacché soltanto l’art. 254-bis c.p.p., regolante il sequestro probatorio, prevede testualmente tale possibilità42 .

Le Sezioni unite43, di contro, facendo perno su argomentazioni di stampo sistematico-teleologico44 e normativo45, stabiliscono che, ricorrendo i presupposti issati all’art. 321 c.p.p., è ammissibile il sequestro preventivo di un sito web o di una singola pagina telematica, anche mediante imposizione al provider di attivarsi per rendere inaccessibile il sito o la speciica risorsa telematica veicolo di reato; si pensi, in proposito, all’oscuramento di un account Twitter appartenente ad un utente che ne abbia offeso un altro46 .

41 L’art. 21 co. 3 Cost. detta un regime “privilegiato” in materia di sequestri di stampati. Sul punto, anche per i numerosi richiami giurisprudenziali, M. Fumo, La diffamazione mediatica, cit., 46 ss.; S. Seminara, voce Internet, cit., 584 ss.

42 Cass., sez. I pen., ord. 3.10.2014.

43 Cass., sez. un. pen., sent. 29.1.2015 n. 31022. In tale frangente, la Corte si è trovata a dover decidere due questioni: quella, appunto, sull’applicabilità del sequestro preventivo ad una pagina internet; e quella, a cui la prima fa da presupposto, sulla possibilità di sequestrare una pagina web di una testata giornalistica online registrata, possibilità negata.

44 La sentenza ripercorre alcuni passi della Relazione al Progetto preliminare del codice di procedura penale del 1988 per chiarire il signiicato della funzione sostanzialmente impeditiva attribuita al sequestro preventivo.

45 Convenzione del Consiglio d’Europa sulla criminalità informatica, Budapest, 23.11.2001, ratiicata in Italia con l. 18.3.2008 n. 48; dir. 2000/31/CE, attuata in Italia col già citato d.lgs. 70/2003.

46 Per un caso di sequestro di pagine di blog, da ultimo, Cass., sez. V pen., sent. 25.2.2016 n. 12536, Dir. pen. cont. 2016, con nota di S. Vimercati, La Cassazione conferma l’inestensibilità ai blog delle garanzie costituzionali previste per gli stampati in tema di sequestro

3. Chiusa

In queste poche pagine abbiamo tentato di delineare lo stato dell’arte sul rapporto tra diffamazione e social network. In linea generale, notiamo la dificoltà della disposizione, così come attualmente formulata, ad adeguarsi pienamente al contesto social; un contesto mutevole ed in continua espansione, retto su scambi veloci e “multidimensionali” (comunicazione del tipo “molti a molti”), ove i contenuti sono caratterizzati da, al contempo, formidabile visibilità e rapida obsolescenza. All’interno dei social network, da una parte, le forme di aggressione dell’onore altrui mutano47; dall’altra, complici la possibilità di nascondersi dietro false identità e la dificoltà nel risalire a contenuti salvati su server esteri, l’accertamento può risultare estremamente complicato48 .

In questa luce, non possiamo che auspicare un intervento legislativo che non si limiti a correggere l’art. 595 c.p. ma, semmai, lo riformi alla radice, in modo da renderlo il più compatibile possibile coi meccanismi di comunicazione di Internet, nell’ottica di garantire un adeguato bilanciamento tra tutela dell’onore e libertà d’espressione anche all’interno dell’universo virtuale49. Con la consapevolezza (serena o rassegnata) che il diritto, piuttosto che accompagnare l’evoluzione tecnologica, è fatalmente destinato a inseguirla50 .

47 Si pensi soltanto alla facilità con cui un messaggio, mediante i meccanismi del retweet, dello share o dello screenshot, può diventare virale.

48 L. Picotti, I diritti fondamentali, cit., 2538.

49 Si veda A. Gullo, La tela di Penelope, in Dir. pen. cont., 2016, part. 17 ss., il quale analizza un recente progetto di riforma del delitto di diffamazione.

50 La felice espressione è di M. Fumo, La diffamazione mediatica, cit., 47.

I social: nuovo modo di comunicare o di esserci? I rischi e le condotte

1. Introduzione. Ma che cosa è un social network?

I soggetti che popolano i social sono gli appartenenti alla cittadinanza digitale, coloro cioè che sono detentori di diritti e di doveri nella realtà digitale, perché anche se di virtualità stiamo parlando, i soggetti che vi interagiscono sono tenuti ad osservare non solo le regole della buona educazione (la così detta netiquette), ma anche le norme di diritto positivo.

È vero che si tratta di un mondo senza conini territoriali, al quale è possibile accedere in qualsiasi momento e da qualsiasi luogo, che non è dotato per sua stessa natura di un sistema centralizzato, ma è vero anche che si tratta di uno spazio sociale, politico ed economico.

Ma che cosa è un social network?

Non è altro che la trasposizione in uno spazio virtuale di ciò che si intende per gruppo sociale: un insieme di persone unite tra di loro da una qualche relazione che condividono interessi ed hanno intenzione di collaborare.

E, affrontando il tema dei social network, non si può non parlare di privacy intesa secondo quando stabilito dalla normativa vigente1: diritto alla riservatezza delle informazioni personali e della propria vita privata, diritto cioè alla non intromissione nella sfera privata e, soprattutto, facoltà di impedire che le informazioni siano divulgate senza autorizzazione.

1 D.lgs 30 giugno 2003, n.196.

Premesso che il concetto di privacy è in continua evoluzione e destinato a mutare con il mutare della cultura, delle esperienze e dell’età dei singoli, è l’avvento della tecnologia, sempre più pervasiva, che ha accelerato la sua attuale conigurazione: basti pensare a come venga vissuta la presenza delle telecamere oggi, simbolo di necessaria sicurezza, rispetto a poco tempo fa, quando erano uno strumento fastidioso e soggetto a difidenza.

2. Rapporto tra privacy e social

E in che rapporto stanno privacy e social?

O meglio: come è possibile parlare di privacy se, aprendo un proilo su un social, già da contratto, diamo piena disponibilità al social stesso di tutto ciò che postiamo, siano foto, video o semplici like?

Il social attiva il proilo solo a condizione che si accettino le clausole che esso, in qualità di società privata, impone con un vero e proprio contratto di diritto privato.

E, a queste condizioni, è dificile invocare la violazione del libero consenso, o il trattamento illecito per poi ottenere il risarcimento del danno da parte del social stesso.

Tanto più che l’apertura di un proilo, per esempio su Facebook, implica l’immediata indicizzazione nei motori di ricerca e l’attribuzione di un valore commerciale dello stesso, che può essere di poco più di un dollaro o di qualche decina.

Diverso il caso in cui la violazione della privacy avvenga da parte di un soggetto che operi per mezzo di un social: il Tribunale di Monza, Sezione Quarta Civile, con la sentenza n. 770 del 2 marzo 2010, la prima in Italia, ha concesso il risarcimento del danno morale, inteso come «transeunte turbamento dello stato d’animo della vittima» del fatto illecito ovvero come insieme delle sofferenze inlitte alla parte danneggiata dall’evento dannoso, da parte di colui che ha leso la reputazione per mezzo del social network, in questo caso Facebook.

Vale la pena, comunque, ricordare che tutte le volte che navighiamo in rete veniamo monitorati e analizzati. Navigando possiamo lasciare informazioni che ci riguardano molto importanti, dal tipo browser utilizzato al sistema operativo installato piuttosto che le pagine web visitate. Quindi, parlare di anonimato in rete, altro non

è che una presunzione, anche quando vengano utilizzati software inalizzati a camuffare o a mascherare l’IP di connessione, visto che è comunque possibile veriicare l’identità dell’internauta attraverso, per esempio, l’OSINT (Open Source Intelligence), ovvero le informazioni open source che il web mette a disposizione.

Nel mondo social vale, piuttosto, la concezione della privacy intesa come strumento di comunicazione e tutela della riservatezza inalizzata a comunicare e non ad isolare, a condizione, però, che l’utente sia “educato” alla rete, nel senso di divenire consapevole di ciò che signiichi essere cittadino digitale.

Il cittadino digitale vive i social come luogo aperto al pubblico2 , piazza virtuale dove, reciprocamente, tutti gli appartenenti a questa tribù possono vedere e partecipare alle pubblicazioni altrui. La natura stessa del social favorisce la comunicazione tra i suoi membri: anche il più pigro può rappresentarsi con una foto o un like, poche parole, talvolta nessuna!

3. Social: comunicazione o rappresentazione?

Ma è comunicazione o rappresentazione?

Sicuramente è una vetrina dove piace mostrarsi per ciò che gli altri si aspettano che uno sia, poco importa di quale “io” venga data la rappresentazione, in un eterno presente con una distorta percezione del tempo passato/presente/futuro.

È il mondo dell’io adesso che si mostra, che, anzi, si rappresenta al popolo social.

Anche il linguaggio è mutato: sintetizzato ino all’eccesso, con abbreviazioni che rendono facilmente individuabile il non-utilizzatore di social, punteggiatura praticamente assente (il punto e virgola questo sconosciuto!), apprezzamenti indiscriminati e giudizi che non consentono rettiiche, perché tutto ciò che viene postato è subito metabolizzato dalla rete e mai più restituito.

2 La sentenza n. 37596/2014 della Corte di Cassazione, pronunciandosi in ordine ad una vicenda integrante il reato di molestia realizzato tramite social network, ha deinito quest’ultimo «luogo virtuale aperto all’accesso di chiunque utilizzi la rete di un social o community».

La ferma convinzione di essere padroni dei contenuti multimediali condivisi mal si concilia con il proliferare di proili falsi, di fake, con l’anonimato (un nickname non impedisce di individuare il reale utilizzatore del proilo!) e, soprattutto, con la non punibilità per aver commesso dei reati.

Fenomeno quest’ultimo sottovalutato, che rende l’utente poco propenso a denunciare di aver subito un danno o di essere vittima di reato per una serie di ragioni che vanno dal ritenere poco grave o risolvibile per altra via il “problema”, al timore di una pubblicità negativa piuttosto che nel non rendersi conto di essere vittima di un reato.

Ma i social sono diventati l’ambiente perfetto dove poter commettere reati, siano essi strettamente legati a ciò che li caratterizza, cioè la comunicazione, o utilizzati strumentalmente per il compimento di azioni delittuose.

4. Rischi e potenzialità dei social

Tra le fattispecie di natura penale ad essere più frequentemente violate vi è la diffamazione, che altro non è che l’offesa all’altrui reputazione veicolata in assenza dell’offeso e con comunicazioni indirizzate a più persone.

In pratica, parlando di social, questa si concretizza pubblicando contenuti denigratori ed infamanti, “battute pesanti”, epiteti, notizie riservate la cui diffusione sia pregiudizievole per la persona offesa, anche indipendentemente dalla indicazione nominativa3, nonché con la pubblicazione di fotograie ritraenti la vittima che comporti ripercussioni potenzialmente negative per la sua reputazione o con l’apposizione di un like ad un post diffamatorio che può addirittura integrare il reato in concorso con l’autore del suo contenuto.

Vale la pena ricordare, però, che la mera condivisione di post offensivi, ancorché corredata da commenti purché privi di insulti, non conigura il reato di diffamazione4 .

Parimenti frequente è il reato di sostituzione di persona che si concretizza allorquando venga creato e utilizzato un determinato proilo

3 Cass., sez. I pen., 24 marzo 2014, n. 13604.

4 Cass., sez. V pen., 29 gennaio 2016, n. 3981.

di un social network, inserendo i dati di un terzo ignaro5 per trarne un vantaggio personale e un danno al titolare dei dati utilizzati.

In concreto: l’attribuzione a sé o ad altri di un falso nome, laddove per nome si intende uno qualsiasi dei contrassegni di identità, come il prenome, il luogo di nascita, la paternità’ l’attribuzione di un falso stato, cioè la condizione complessiva della persona nella società, comprendente la cittadinanza, la capacità di agire, la potestà familiare, la condizione di coniugato, i rapporti di parentela; l’attribuzione di una qualità cui la legge collega effetti giuridici, come nel caso di chi dichiari di aver raggiunto la maggiore età, purché la qualità in questione sia essenziale per la realizzazione dell’atto giuridico.

Ma tramite un social è possibile anche inviare materiale pubblicitario non autorizzato (spamming), utilizzare dei contatti per inviare virus informatici o per acquisire abusivamente codici di accesso per violare sistemi informatici, inoltrare messaggi di propaganda politica, di incitamento all’odio e alla discriminazione razziale, oltre che scambio di immagini pedopornograiche.

Integra, inoltre, il reato di molestia o disturbo alla persona quello attuato mediante l’invio di messaggi, sotto pseudonimo, tramite Internet sulla pagina Facebook della vittima, trattandosi di una community aperta accessibile a chiunque.

Secondo la Suprema Corte, nel caso speciico, i messaggi inviati tramite Facebook possono anche integrare il reato di stalking.

La previsione di questo reato assume una particolare delicatezza anche alla luce dell’attuale era tecnologica. Difatti, i temuti atti persecutori possono essere realizzati non solo con il telefono o lettere anonime, ma utilizzando le nuove tecnologie e quindi tramite i social network, per posta elettronica, con la messaggistica istantanea e strumenti afini.

Purtroppo gli strumenti del web 2.0, proprio perché dotati di una maggiore interattività che consente uno scambio di informazioni più dinamico tra gli utenti, nascondono delle insidie che possono essere sfruttate da malintenzionati ai danni di vittime del tutto inconsapevoli.

L’utilizzo dei social si è rivelato anche particolarmente utile al ine di sviluppare un’azione o una strategia terroristica.

Si tratta del cyber terrorismo, che per alcuni esperti di sicurezza consiste in operazioni condotte sul web e motivate politicamente con lo scopo di provocare gravi conseguenze come la perdita di vite umane o consistenti danni economici o, comunque, per terrorizzare. Per altri si manifesta con gli attacchi o le minacce di attacchi contro computer, reti e informazioni ivi archiviate, con lo scopo di intimidire o costringere un governo o la sua popolazione a determinati comportamenti al ine di conseguire effetti politici o sociali. Altri ancora lo deiniscono come l’insieme di atti che bloccano o distruggono nodi computerizzati delle infrastrutture critiche come Internet, le telecomunicazioni, le reti elettriche, il sistema bancario e così via. Senza ombra di dubbio, l’ambiente social è un’ottima vetrina di propaganda o di reclutamento di soggetti che per aspetti di carattere psicologico, sociale, politico, ideologico-religioso e culturale nonché per meccanismi che investono dinamiche di gruppo – siano quindi essi foreign ighters, homegrown terrorists, lone wolves – attraverso la comunicazione persuasiva del 2.0, riescono ad incanalare energie latenti.

5. I social e i minori

In questa carrellata di rischi e potenzialità date dai social, non restano esclusi i minori nativi digitali, per i quali la rapida ed esponenziale diffusione delle Tecnologie di Informazione e Comunicazione (ICT) ha comportato un profondo mutamento delle modalità con cui costruiscono le relazioni sociali, ricercano e diffondono le informazioni e i saperi nonché i processi che contribuiscono alla crescita ed evoluzione dell’identità di ciascuno.

Infatti, Internet e i social media offrono ai giovani nativi digitali un contesto potente per imparare, per esplorare e costruire la loro identità e vita pubblica, e per socializzare interagendo con i pari e sviluppando relazioni attraverso i siti di social network, chat, blog e giochi online. Internet e i social media sono degli strumenti e dei contesti per migliorare conoscenze e abilità, ma espongono anche al rischio di coinvolgimenti in relazioni violente e interazioni aggressive.

Accanto ai potenziali effetti positivi della Comunicazione Mediata, c’è grande preoccupazione circa i rischi associati alle nuove

forme di comunicazione online, ai siti di social network, ai contatti anonimi, ai predatori online e al sexting, ossia l’invio messaggi sessualmente espliciti.

Statisticamente è stato calcolato che, negli ultimi cinque anni, il 75% dei reati commessi tramite un social sono riconducibili a minori degli anni diciotto, sia come vittime che come autori di reato.

Afiorano nuovi fattori criminogeni, incentivati dall’uso dei social network, che ruotano essenzialmente intorno all’aspetto documentale (evoluzione della real-tv) che, a sua volta, diviene un forte e potente stimolo di emulazione. Si pensi all’informazione trasmessa in rete preceduta dalla progettazione, in gruppo o da soli, di una condotta criminale da ilmare e documentare. In tale ottica, sia nell’infanzia, sia in adolescenza che nell’età adulta (un esempio sono i crimini terroristici), vanno prendendo forma sempre più una serie di condotte criminali progettate solo per essere documentate con videoriprese, immagini e suoni, che hanno una loro vitalità autonoma nel momento in cui sono condivise e scaricate in rete.

Gli eventi criminali sono stati in passato sempre immaginati a posteriori nella loro programmazione e nella loro esecuzione da chi si sentiva, in un certo qual modo, attratto. Il soggetto, potenzialmente emulatore, in passato, immaginava la condotta del suo precursore, immettendo nella propria immaginazione novità che appartenevano più a se stesso che non alla personalità del criminale da emulare. Da qui ne discendeva una ridotta potenzialità di effettiva emulazione.

Attualmente, i ilmati delle condotte criminali distribuite in rete hanno una maggiore capacità evocativa. Il soggetto-emulatore ripete la condotta così come l’ha vista eseguire nel video, per poter sentire le stesse emozioni e per poterle provocare sugli altri.

L’evento criminale è ridimensionato in una condotta che, ripetuta all’ininito (visione del ilmato e vissuti emotivi derivati), si svincola dai condizionamenti spazio/temporali. Tale condotta non ha un passato, né può ipotizzare un futuro, ma può solo vivere e muoversi nei frammenti del presente.

Il crimine acquisisce la caratteristica di essere agito fuori dal tempo e fuori dallo spazio, perché la sua vera vitalità è solo e unicamente in un contesto virtuale, adimensionale: il web.

Mobile commerce: regole e modelli per

merchant italiani

1. Sviluppo e diffusione del mobile commerce

I dati emergenti dalle analisi statistiche del mercato online testimoniano come, a fronte di una generale crisi del settore commerciale, le transazioni concluse tramite web registrino costantemente un incremento, con percentuali che siorano, per 2015, il 19%, generando un volume di affari di circa 29 miliardi di euro. Si tratta di un dato indubbiamente importante che segna una ripresa dopo un biennio di assestamento su percentuali decisamente più basse (nel 2013 l’incremento era stato del 6% e nel 2014 dell’8%), e che, se scomposto, indica, come fattori trainanti di questa ripresa, lo sviluppo dei c.d. centri commerciali online (primo fra tutti Amazon) e del mobile commerce, cioè dell’insieme di transazione poste in essere attraverso dispositivi quali smartphone, tablet, laptop o smartwatch. Sul portato della sempre più pervasiva diffusione del c.d. mobile computing, infatti, il canale di vendita attraverso dispositivi mobili assume un rinnovato valore che lo pone tra le priorità delle imprese che operano online: la facilità di accesso, la possibilità di concludere gli acquisti anche in movimento, in qualsiasi luogo ed in qualsiasi condizione di mobilità determinano una nuova modalità di concepire il commercio elettronico; ed il protagonista di questo mercato online è un cyberconsumatore che non è più l’utente rilessivo degli “scambi senza accordo”, che utilizzava Internet per acquisire le informazioni sul prodotto/servizio da acquistare e ponderava la scelta potendo visi-

una opportunità (ancora) poco sfruttata dai

tare più siti comodamente seduto davanti al proprio pc, ma piuttosto un consumatore dinamico, che ricerca nella facilità dello scambio e nel vantaggio delle offerte, le chiavi del proprio acquisto. Per contro, gli operatori commerciali online, sempre più proiettati nell’ottica del “modern travelling merchant”, cercano di porre in essere strategie basate su forme di direct marketing che permettano di individualizzare le offerte e rispondere, in modo quanto più personalizzato, alle esigenze dei consumatori; al contempo attuano politiche di prezzi ed offerte tese alla idelizzazione, ed utilizzano anche nuovi canali, primo fra tutti quello dei social network, per sperimentare innovative forme di veicolazione dei messaggi e delle campagne promozionali. Analizzando i trend degli ultimi anni, balza subito all’occhio la “golden share” del mobile commerce, che ha registrato, nel 2012, un incremento pari a +54%, e che, in prospettiva futura sembra destinato a superare, per volume d’affari, le più tradizionali modalità e-commerce.

Queste considerazioni hanno determinato, per gran parte degli operatori commerciali, l’adozione di strategie indicate come “mobile irst”, che evidenziano una concentrazione di investimenti, in termini di miglioramento tecnologico e di promozione, presso il pubblico dei consumatori, dei canali di vendita tramite dispositivi mobili. Accanto agli e-shop ed agli e-marketplace, già oggetto di studio da parte della dottrina tanto economica quanto giuridica, si sviluppano infatti sia modalità di social commerce (utilizzando cioè i servizi di social networking, sia per la veicolazione dell’informazione pubblicitaria che per la creazione di vere e proprie community di utenti/consumatori), che modalità di vendita attraverso software applicativo installato sul dispositivo (mobile application): si tratta, in entrambi i casi, di canali che valorizzano il proilo della user experience e che propongono modalità estremamente sempliicate per la conclusione degli acquisti.

Se, dunque, le parole chiave del mobile commerce, possono individuarsi in facilità (di accesso), semplicità (di utilizzo) e celerità (di conclusione della vendita), appare opportuno evidenziare come tutto ciò non debba tradursi in un abbassamento del livello di afidabilità e tutela che deve essere (sempre) garantito ai consumatori; occorre allora interrogarsi su quale sia la disciplina applicabile ai contratti B2C conclusi tramite dispositivo mobile, per valutare se sia suficiente la piena applicazione della normativa dettata in tema di e-commerce (come risultante dalla Direttiva 200/31/CE e dalla Diret-

tiva 2011/83/UE), oppure se debba auspicarsi un qualche (ulteriore) intervento normativo per colmare le lacune dovute alla speciicità del mezzo o del canale di comunicazione utilizzato; in particolare, nel prosieguo dell’esposizione, nel rispetto dei limiti imposti al presente contributo, si cercherà di proporre alcune considerazioni in ordine a due dei fenomeni precedentemente citati: il social commerce e l’utilizzo di mobile application.

2. Dall’e-commerce alla ricerca di regole per il social commerce

Nell’ambito delle tradizionali classiicazioni dell’e-commerce, il settore del B2C ha sempre costituito il polo di attrazione degli interventi normativi, indirizzati a garantire il cyber-consumatore dai rischi di una contrattazione dematerializzata: in questo senso devono leggersi le (poche) norme della Direttiva 2000/31/CE e le disposizioni della Direttiva 2011/83/UE che, per la prima volta, prendono in considerazione la circolazione dei contenuti digitali, i caratteri e gli elementi dei siti di e-commerce e, seppur incidentalmente, le caratteristiche tecniche dei dispositivi mobili; in relazione a quest’ultimo punto, bisogna infatti sottolineare che, nonostante la diffusione del fenomeno fosse già in atto, l’unica considerazione che la Direttiva 2011/83/ UE riserva al mobile commerce riguarda l’indicazione, per i fornitori, di parametrare la modalità di adempimento dell’obbligo informativo nei confronti del consumatore alla grandezza ed alle caratteristiche tecniche dello schermo dei dispositivi mobili: difatti, poiché tali informazioni costituiscono contenuto obbligatorio del contratto e sono poste a tutela della “parte debole”, le (eventuali) ridotte capacità di visualizzazione non potrebbero essere invocate come esimente dal corretto adempimento dell’obbligo in questione.

A parte queste considerazioni, tuttavia, nessuna previsione viene rivolta a modalità e-commerce diverse dall’e-shop: neanche la struttura complessa dell’e-marketplace viene presa in considerazione, nonostante tutte le implicazioni in termini di responsabilità e tutela per gli acquirenti già emerse dalle rilessioni della dottrina.

Tuttavia, se con riferimento a tali fenomeni non sembrano porsi dubbi circa l’applicabilità delle disposizioni della normativa consumeristica di settore, dal momento che la conclusione del

contratto da sito-vetrina (e-shop) o da e-marketplace non sembra possa risentire delle diverse caratteristiche del dispositivo utilizzato (e rinviando ad altra sede le problematiche relative agli acquisti extra-UE), più problematico appare l’inquadramento del fenomeno del social commerce. L’espressione viene comunemente indicata per l’insieme delle strategie e-commerce attuate tramite sistemi di social networking, primo fra tutti Facebook (www.facebook.com/business/a/retail-ecommerce-industry): si tratta di un insieme eterogeneo, che compendia sia semplici ipotesi di veicolazione di contenuti promozionali, che rimandano poi alla pagina web dell’e-shop, sia fenomeni di couponing (cioè offerte di coupon che permettono di acquistare beni e servizi a prezzo scontato), che vere e proprie pagine social-shop che permettono di concludere un contratto di acquisto. In relazione alla prima ipotesi, il proilo problematico potrebbe appuntarsi sulla relazione funzionale tra pagina social e “sito-vetrina”, per veriicare in che termini le informazioni contenute nella pagina debbano conformarsi alle disposizioni relative agli obblighi informativi (precontrattuali) e quando essi possano integrare delle pratiche commerciali scorrette; sulla seconda e sulla terza ipotesi, il primo proilo problematico concerne l’individuazione del ruolo del gestore del social network, che non svolge direttamente attività commerciale, ma si limita a mettere a disposizione l’ambiente social: potrebbe, allora, ipotizzarsi una posizione simile a quella del gestore della piattaforma e-marketplace, posto che in caso di mancato adempimento o di una qualsiasi forma di patologia del contratto, il consumatore dovrebbe rivolgersi unicamente alla controparte del contratto, potendo, al più, inviare al gestore del social, una segnalazione, chiedendo la sospensione o l’oscuramento della pagina.

Ulteriore questione attiene poi alla tutela dei dati e dei contenuti veicolati attraverso la pagina social del consumatore: con la stipula del contratto per l’utilizzo del social network, infatti, l’utente accetta una serie di clausole che vincolano i contenuti immessi; tuttavia tale contratto (si consideri a titolo esempliicativo quello per l’utilizzo di Facebook), non contempla espressamente inalità commerciali, ponendo quindi il dubbio circa l’estensione e la validità del consenso alle attività di trattamento dei dati personali, soprattutto in riferimento alla proilazione ed alla possibilità, attraverso il meccanismo dei collegamenti tra le pagine personali degli utenti, di una diffusione incontrollata di dati ed informazioni personali.

3. Le mobile app

Una diversa declinazione del mobile commerce è data dalla conclusione dei contratti di vendita tramite utilizzo di un software applicativo presente sul dispositivo; la diffusione dei dispositivi mobili ha, infatti, determinato lo sviluppo del mercato di quei particolari software applicativi espressamente strutturati per i device e vengono indicati come “mobile application” o, con espressione ormai entrata nel lessico quotidiano, “app”.

Si tratta di programmi per elaboratore realizzati per essere eseguiti sui principali sistemi operativi dei dispositivi mobili (tra i quali ANDROID, che risulta essere il più diffuso, WINDOWS, IOS, Blackberry OS) attraverso una interfaccia graica ed una modalità touchscreen.

Per i proili di rilevanza ai ini delle presenti considerazioni, appare opportuno evidenziare come le mobile application costituiscono indubbiamente un bene giuridico immateriale e, come tale, possano essere considerate come oggetto giuridico e speciicatamente come oggetto del contratto (per l’elaborazione, lo sviluppo, la implementazione, la protezione delle applicazioni); al contempo, tuttavia, esse costituiscono un canale di comunicazione per la conclusione di contratti e transazioni (elettroniche): questa seconda accezione non soltanto risponde ad una diversa ratio ma richiede un differente inquadramento nella dinamica della vicenda contrattuale, ponendosi come piattaforma distributiva accanto ai tradizionali e-shop ed e-marketplace. Su queste considerazioni sarà possibile parlare di un mercato “delle” mobile application e di mobile application “per” il mercato.

Come beni giuridici immateriali, le app, ricondotte nella più ampia categoria dei software applicativi, ricadono nell’ambito di operatività della normativa sulla tutela del software (in particolare la Direttiva 2009/24/CE), pur presentando alcune peculiarità, che possono determinare una diversa modulazione degli strumenti di tutela a seconda della tipologia considerata. Trattandosi di un settore in continua, incessante evoluzione, una classiicazione esaustiva appare di dificile proposizione ed esulerebbe dall’ambito e dagli spazi a disposizione delle presenti considerazioni; possono, allora, richiamarsi solo alcune classiicazioni rilevanti, seppur parziali, che evidenziano l’estrema articolazione del settore. Una prima classiicazione permette di di-

Nodi virtuali, legami informali: Internet alla ricerca di regole

stinguere app native (installate sul dispositivo) e web app (che consistono, invece, in collegamenti con applicativi in remoto): le prime vengono installate e direttamente utilizzate sul dispositivo mobile, comportano l’utilizzo di una porzione dello spazio di memoria, ma permettono una maggior facilità di utilizzo, poiché non comportano alcun web runtime (il tempo di connessione alla rete Internet), né risentono delle eventuali limitazioni o problematiche legate all’utilizzo dei browser; le seconde, invece, pur non incidendo sullo spazio di memoria del dispositivo, risultano tuttavia condizionate da alcune variabili legate alla qualità e velocità di connessione del dispositivo. Una facile analisi empirica permette di dimostrare come, negli ultimi due anni, sia sensibilmente aumentata la quantità (e la qualità) delle app che vengono pre-istallate sui dispositivi: si tratta di app relativi più diversi servizi, dal servizio di social networking (Facebook o Twitter) a quello di posta elettronica (Gmail), dallo scambio di contenuti digitali (YouTube) all’e-commerce (Amazon), senza dimenticare il settore dei giochi, che costituisce, probabilmente, uno dei canali di elezione dello sviluppo delle app (per il quale occorre, tuttavia distinguere tra le app che riguardano giochi “per tutti”: ad es. Candy Crush Saga, che risulta al 17° posto tra le app più utilizzate, e quelle che, invece, riguardano contratti di gioco e scommessa, riservati al pubblico dei maggiorenni). La presenza di una serie di app pre-istallate sul dispositivo solitamente viene utilizzata come claim pubblicitario dal rivenditore dello stesso, senza comportare alcun onere aggiuntivo per l’acquirente (che ben può, dopo l’acquisto disinstallare l’app); rientra, tuttavia, negli obblighi informativi che gravano sul rivenditore a tutela del consumatore, la comunicazione di ogni costo aggiuntivo collegato all’utilizzo od alla sottoscrizione di servizi in abbonamento (eventualmente) collegati alle app pre-installate.

Accanto alle app pre-installate, qualsiasi dispositivo mobile può essere arricchito con l’installazione di app native reperibili (a pagamento o con altro corrispettivo) negli appositi app-store (tra i quali possiamo ricordare, a titolo esempliicativo, App Store per i dispositivi Apple e Google Play per i dispositivi con sistema operativo Android); su questo punto occorre sottolineare che attraverso l’attività di downloading ed installazione, l’utilizzatore acquisisce unicamente una licenza d’uso, per la quale sottoscrive un contratto accettandone le clausole che, quasi sempre, prevedono la possibilità di accesso, da parte del fornitore, ad una serie di dati archiviati nel

dispositivo mobile (rubrica, contatti, elenco delle altre app presenti) nonché l’autorizzazione alla attività di geo-localizzazione e, talvolta, l’accesso ai dati contenuti nelle pagine personali dei social network e le attività di geo-tagging.

In relazione alla inalità ed al contenuto delle app presenti sul mercato, possono distinguersi, riprendendo una vecchia classiicazione dei contenuti online, quelle afferenti all’area “del mercato” e quelle afferenti all’area del “non mercato”; tra le prime possono annoverarsi gli store/marketplace e tutte quelle app che vengono utilizzate per l’acquisto di beni e servizi con corrispettivo in denaro (ad esempio: Amazon, Booking, Privalia); tra le seconde quelle che, pur prevedendo (eventualmente) un servizio a pagamento, offrono contenuti afferenti al mondo della comunicazione, dell’intrattenimento, del gioco, in generale della ricerca di informazioni e servizi di varia utilità (Whatsapp, Facebook, IlMeteo, YouTube, Google Maps); scorrendo l’elenco delle app più diffuse in Italia emerge come ai primi posti si collochino Whatsapp, Facebook, Google Play, Google Search e Gmail, ma risultino molto utilizzate anche Skype, Instagram, Twitter.

Un settore molto particolare, fra gli altri, è quello dei servizi legati alla salute ed alla medicina, attraverso le c.d. e-health app, che, tuttavia, quando non si limitino alla veicolazione di informazioni ma offrano dei veri e propri servizi di assistenza, pongono delicati problemi in ordine alla tutela dei dati (posto che i dati sanitari sono dati sensibili, che richiedono particolari forme di tutela ed in diversi casi il ricorso all’anonimizzazione), nonché al regime delle responsabilità degli operatori.

Il mercato “delle” mobile app, come emerge dalle analisi della dottrina, risente dell’inluenza di una pluralità di fattori, legati non soltanto alla funzione dell’applicazione, ma anche alle strategie di pubblicità, alle politiche dei costi, nonché alla facilità di utilizzo e, da non sottovalutare, alla capacità attrattiva dell’interfaccia (icone e graica) che si rivela, soprattutto nei riguardi del pubblico più giovane, una variabile di sicuro rilievo. Del resto, proprio le generazioni più giovani risultano essere non soltanto i principali “consumatori” di dispositivi mobili, ma altresì i maggiori utenti del mercato delle app: basti considerare che, da analisi statistiche, il tempo mediamente trascorso utilizzando delle app da smatphone e da tablet è di quasi due ore al giorno nella fascia 18-24 anni, di circa un’ora e

34 minuti per la fascia 25-34, per poi ridursi progressivamente nelle successive fasce d’età, assestandosi comunque intorno all’ora di utilizzo per i c.d. boomers, cioè gli over 65; non sorprende, pertanto, come la maggior parte delle mobile app investano su di una graica accattivante ed intuitiva, e contenuti facilmente accessibili anche ad un pubblico non esperto: come evidenziato in dottrina, sono proprio l’analisi del mercato rilevante e la richiesta degli utilizzatori inali a determinare le scelte in ordine allo sviluppo ed al lancio sul mercato di nuove app.

Si è già detto che le app possono inquadrarsi nella categoria dei software applicativi e che, conseguentemente, la disciplina in ordine alla qualiicazione in termini di opera dell’ingegno, al riconoscimento della paternità e, più in generale, ai diritti morali e patrimoniali, può ricondursi alle disposizioni della legge sul diritto d’autore, come novellata sul portato della normativa di derivazione europea; parimenti il contratto per lo sviluppo di una mobile app può inquadrarsi nella genarle categoria dei contratti ad oggetto informatico e, particolarmente, nei contratti sul software (con una speciica attenzione al proilo della tutela della proprietà intellettuale), che afferiscono alla categoria dei contratti tra professionisti. Qualche rilessione in più merita, invece, il contratto per l’utilizzazione delle app, che può considerarsi nel novero dei contratti B2C ed afferente alla categoria dei contratti di fornitura di contenuto digitale, al momento privi di una disciplina unitaria, ma sui quali si appunta proposta di Direttiva UE presentata nello scorso mese di dicembre (sulla quale si rinvia al paragrafo seguente); in relazione alla stipulazione del contratto, normalmente attraverso compilazione di un form o pressione del tasto negoziale virtuale, dovrebbe ritenersi applicabile la normativa consumeristica, quale risultante dalla Direttiva 2000/31/CE e dalla direttiva 2011/83/UE, in particolare con riferimento agli obblighi di informazione a carico del professionista, in tema di caratteristiche della app, di capacità /interoperabilità con il sistema operativo del device, nonché, dal punto di vista patrimoniale, dell’eventuale presenza di servizi in abbonamento o di c.d. costi occulti, nonché dell’eventuale durata della licenza e della gratuità (o meno) degli aggiornamenti periodici. In tema di costi, particolarmente, il rischio per un consumatore poco accorto, è quello di installare una app che preveda accanto ai servizi gratuiti anche servizi a pagamento (con accredito in conto al dispositivo mobile), e ritrovarsi a pagare per forniture (ab-

bonamenti e c.d. servizi premium) non richieste. Sul punto, peraltro, appare opportuno segnalare che l’Autorità Garante della Concorrenza e del Mercato, nel mese di ottobre 2015, ha sanzionato i quattro più importanti operatori di telefonia mobile in Italia, rilevando l’insuficienza dell’apparato di protezione contro i servizi non richiesti ed attivati accidentalmente dagli utenti: in particolare il provvedimento si collega ad una precedente delibera che imponeva la predisposizione di meccanismo di consenso esplicito ed informato, da parte dell’utente, per l’attivazione dei servizi c.d. “premium”.

Un particolare proilo attiene alla tutela dei dati personali degli utenti che, proprio in forza del consenso prestato al momento della sottoscrizione del contratto, vengono acquisiti dal fornitore della app, il quale, da un lato può effettuare su di essi attività di trattamento, anche a ini commerciali, e dall’altro lato, può costituire, con gli stessi, una sorta di database. L’assenza di una normativa speciica in argomento (che dovrebbe essere colmata dalla Direttiva sulla fornitura di contenuti digitali), determina il ricorso, quanto alla normativa applicabile, alle disposizioni in tema di trattamento dei dati nell’e-commerce anche se, appare opportuno sottolineare, che sarebbe opportuno identiicare una serie di soglie di accessibilità per i dati archiviati nei dispositivi mobili, lasciando così all’utente la possibilità di determinare quali dati rendere accessibili e quali, invece, mantenere in uno spazio di memoria assolutamente “riservato”. Per altro verso, dal punto di vista del merchant e dell’operatore commerciale, la possibilità di creare un database relativo agli utilizzatori delle proprie app, costituisce indubbiamente un investimento per migliorare le tecniche di direct marketing e parametrare le proprie offerte sul criterio del c.d. end user demand.

4. Verso una nuova regolamentazione per i contratti B2C per la fornitura di contenuti digitali

Come già anticipato, nello scorso mese di dicembre, la Commissione europea ha presentato due proposte di Direttiva, indirizzate ai contratti di vendita online ed a distanza di beni mobili ed ai contratti di fornitura di contenuti digitali; si tratta di provvedimenti che si inseriscono nel più ampio progetto della “Strategia per il mercato unico digitale”, adottata dalla Commissione in data 06.05.2015 e

sono indirizzati a rafforzare la iducia dei consumatori nel mercato online, attraverso una armonizzazione della disciplina degli scambi business to consumer.

In particolare, nelle inalità della duplice proposta di Direttiva (alla quale si afianca anche una proposta di Regolamento per la garanzie della “portabilità transfrontaliera dei servizi di contenuto online”), vengono espressamente indicati la rimozione degli ostacoli dovuti alla frammentazione normativa dei singoli ordinamenti e lo sfruttamento delle potenzialità del commercio elettronico transfrontaliero che, sebbene risulti in crescita, tuttavia non esprime appieno le proprie potenzialità di sviluppo. Da una analisi dei dati relativi alle transazioni e.commerce sul territorio europeo, infatti, emerge non soltanto che i consumatori sono più inclini ad acquistare su siti nazionali, ma altresì che le piccole e medie imprese incontrano una serie di dificoltà nel proiettarsi sul mercato internazionale, preferendo mantenersi entro ambiti localistici. In particolare, nella Comunicazione della Commissione al Parlamento Europeo, al consiglio e al Comitato Economico e Sociale europeo del 9.12.2015 – “Contratti nel settore digitale per l’Europa – Sfruttare al massimo il potenziale del commercio elettronico”, si legge che

«la quota rappresentata dal commercio elettronico nel settore complessivo del commercio al dettaglio rimane signiicativamente più bassa in Europa che negli USA: nel 2014 era del 7,2% dell’UE rispetto all’11, 6 negli USA (…) solo il 12% dei dettaglianti dell’UE vendeva online a consumatori di altri paesi dell’Unione, mentre quelli che vendevano a livello nazionale erano tre volte tanto (il 37%) e solo il 15% dei consumatori acquistava online da un altro paese dell’Unione, mentre circa il triplo acquistava a livello nazionale (il 44%)».

Su queste considerazioni, l’armonizzazione della disciplina in ordine alla fornitura di contenuti digitali ed in ordine alla vendita online ed a distanza di beni mobili, potrebbe sicuramente generare una serie di effetti positivi sia per i consumatori che per le imprese: per queste ultime, infatti, non soltanto risulterebbero abbattuti

i costi dovuti alle differenze normative tra i diversi ordinamenti europei ed alla necessità di rimodulare i modelli contrattuali (relativi alle vendite transfrontaliere), ma altresì, sulla base di una maggior certezza delle normative applicabili, verrebbe a crearsi «un ambiente giuridico favorevole, e particolarmente beneico per le PMI»; per il consumatore, invece, aumenterebbe la iducia negli scambi transfrontalieri, anche e soprattutto in relazione alla circolazione dei contenuti digitali ed in caso di contenuti difettosi, potranno avere a disposizione una serie di strumenti rimediali di sicura afidabilità, mentre per la vendita di beni mobili, sarebbero rafforzate ed implementate le garanzie già previste nella Direttiva 1999/44/CE.

Nella Relazione che accompagna la presentazione della proposta di Direttiva sui contratti di fornitura di contenuti digitali viene prospettata, come positiva ripercussione dell’incentivo alle transazioni online in dimensione transnazionale, la possibilità, per più di 120.000 nuove imprese, di affacciarsi al mercato online, con un aumento delle esportazioni intra UE di circa 1 miliardo di euro ed una diminuzione dei prezzi al dettaglio dovuta alla maggiore concorrenza.

Scorrendo l’articolato delle proposte di Direttiva, appare tuttavia manifesto come il legislatore europeo abbia considerato, ancora una volta, in modo unitario il sistema del commercio elettronico, prendendo in considerazione le diverse modalità di diffusione e fruizione dei contenuti solo in relazione all’esecuzione del contratto da parte del fornitore (cfr. in particolare l’incipit del considerando n. 23 «i contenuti digitali possono raggiungere i consumatori attraverso vari canali»), ma senza prevedere che le speciiche caratteristiche dei dispositivi o dei canali di comunicazione utilizzati per la conclusione del contratto; in particolare, poiché la fornitura dei contenuti digitali oggetto della proposta di Direttiva comprende anche quelli per i quali il consumatore non sia tenuto a pagare un prezzo, ma a fornire «attivamente una controprestazione non pecuniaria sotto forma di dati personali o di qualsiasi altro dato», probabilmente sarebbe stato preferibile prestare una certa attenzione a forme quali il social commerce (laddove la commistione tra comunicazione ed attività economica pone a più serio rischio i dati del consumatore) od alla fornitura di contenuti digitali tramite mobile application.

Nodi virtuali, legami informali: Internet alla ricerca di regole

Se, come le statistiche prospettano, la dimensione mobile è destinata non soltanto ad ulteriori incrementi nel corso dei prossimi anni, ma addirittura a realizzare il “soprasso” in relazione al volume delle transazione online, i problemi relativi al mobile commerce (in tutte le sue declinazioni) dovranno necessariamente trovare posto nell’agenda del legislatore europeo, nell’ottica di una completa “Strategia per il mercato unico digitale”, in grado di rispondere al meglio alle esigenze di un “ecosistema”, quale quello di Internet, in continua mutevole evoluzione, ma altresì alla continua ricerca di regole (giuridiche) certe ed afidabili.

Bibliograia

– T. Avidavav, T. Chermoung, Y. Perlman, Consigment Contract for Mobile Apps Between a Single Retailer and Competitive Developers with Different Risk Attitude, in European Journal of Operational Research, 2015, 949 ss.

– G. D’Amico (a cura di), La riforma del codice del consumo, Padova, CEDAM, 2015.

E Falletti, Social network: i primi orientamenti giurisprudenziali, in Corriere Giuridico, 2015, 992 ss.

M.G. Fanelli, Le nuove proposte di direttiva sulla vendita on line a distanza di beni e sulla fornitura di contenuti digitali, in Contratto e Impresa/Europa, 2016, 355 ss.

S. Farina, I contratti del Software, Torino, Giappichelli, 2011.

G. Finocchiaro, F. Delini, Manuale di diritto dell’informatica, Torino, UTET, 2014.

–

A.M. Gambino, I nuovi diritti dei consumatori, Torino, Giappichelli, 2014.

S. Giova, Le vendite on line, in Internet e Diritto Civile, a cura di C. Perlingieri e L. Ruggeri, Napoli, ESI, 2015, 221 ss.

– N. Irti, Scambi senza accordo, in Rivista Trimestrale di diritto e procedura civile, 1998, 347 ss.

–

C. Mariconda, La tutela dei dati personali nella contrattazione on line, in Digital Properties and Digital Consumers. Nuovi diritti e nuove tutele, a cura di G.M. Piccinelli, G. Mazzei e A. Tisci, Napoli, ESI, 2011, 197 ss.

A. Miconi, Teorie e pratiche del web, Bologna, Il Mulino, 2013.

C. Perlingieri, Proili civilistici dei social networks, Napoli, ESI, 2014.

– Id., Gli accordi tra i siti di social networks e gli utenti, in Internet e Diritto Civile, a cura di C. Perlingieri e L. Ruggeri, Napoli, ESI, 2015, 201 ss.

– A. Riva, I social Network, Bologna, Il Mulino, 2010.

– U.G. Schroeter, The Modern Travelling Marchant: Mobile Communication in International Contract Law, in Contratto e Impresa/Europa, 2015, 19 ss.

E.M. Tripodi, Le tendenze della distribuzione commerciale: lo stretto legame con l’innovazione digitale, in Disciplina del commercio e dei servizi, 2015, 17 ss.

– D. Valentino, Manuale di diritto dell’informatica, Napoli, ESI, 2016.

R.M. Visconti, La valutazione delle mobile app, in Il Diritto Industriale, 2015, 481 ss.

1. La complessa qualiicazione giuridica dei servizi dell’economia collaborativa

Rispetto all’ordinamento dell’Unione, così come, del resto, all’ordinamento di ciascuno degli Stati membri, appare incerta la qualiicazione giuridica delle attività svolte dagli operatori economici della c.d. «economia collaborativa», recentemente deiniti dalla Commissione come quei «modelli imprenditoriali in cui le attività sono facilitate da piattaforme di collaborazione che creano un mercato aperto per l’uso temporaneo di beni o servizi spesso forniti da privati»1 . Si tratta, come ben noto, di un fenomeno la cui rilevanza non può essere trascurata per gli evidenti beneici che esso comporta sia per i consumatori che per le imprese. Da un lato, infatti, l’innovazione tecnologica ha condotto allo sviluppo di nuovi modelli imprenditoriali, come le piattaforme online di collaborazione, che costituiscono innegabili elementi di sviluppo della competitività e della crescita; dall’altro, l’accesso a nuovi servizi e, in generale, una loro più ampia offerta e a prezzi più bassi risultano evidenti vantaggi per i consumatori. La complessità del tema, di inquadramento sistematico ma,

1 Comunicazione della Commissione «Un’agenda europea per l’economia collaborativa», del 2 giugno 2016, COM(2016) 356 inal, in https://ec.europa.eu/transparency/regdoc/rep/1/2016/IT/1-2016-356-IT-F1-1.PDF, 3.

I servizi delle piattaforme di intermediazione online fra diritto del mercato interno ed esigenze di modernizzazione

Davide Diverio

evidentemente, pure di indubbia rilevanza pratica, si coglie in maniera chiara, nell’ultimo periodo, ad esempio con riferimento alle attività prestate dalla piattaforma online Uber, riguardo alle quali l’operatore del diritto è chiamato a domandarsi se si tratti di attività astrattamente conigurabili come mero servizio di trasporto, come un servizio elettronico di intermediazione o un servizio della società dell’informazione. L’esigenza di qualiicare correttamente i servizi offerti nell’ambito dell’economia collaborativa deriva dalla possibilità, in astratto, di ricondurre le attività in parola a regimi normativi già in vigore; nessuno dei quali, tuttavia, sembra a prima vista prestarsi a disciplinarne ogni proilo ovvero non a farlo in maniera adeguata perché in origine non pensati per essere applicati a tali, e ben più recenti, fenomeni.

In una prospettiva più ampia, inoltre, la necessità di individuare uno speciico regime giuridico per gli operatori dell’economia collaborativa costituisce parte integrante della strategia varata dalla Commissione europea in tema di mercato unico digitale. Dalla Comunicazione «Un approccio globale per stimolare il commercio elettronico transfrontaliero per i cittadini e le imprese in Europa»2 può infatti desumersi che una tale disciplina rappresenti un tassello del più generale quadro normativo che la Commissione intende promuovere in vista del pieno sviluppo del commercio elettronico nell’Unione europea. Per garantire, contestualmente, alle imprese la certezza del diritto applicabile e tutele speciiche agli utenti della rete, i numerosi atti di soft law via via adottati3 mirano infatti a preparare una futura disciplina legislativa interamente dedicata all’esercizio delle attività economiche del mercato digitale; a ispirarla, due principi fondamentali: quello, centrale dell’ordinamento dell’Unione, della non discriminazione e l’esigenza di assicurare la piena iducia dei consumatori. Nella medesima direzione, peraltro, pare saldamente orientato anche il Parlamento europeo. Da un lato, e innanzitutto, esso collega espressamente la realizzazione di un mer-

2 Comunicazione della Commissione, del 25 maggio 2016, COM(2016) 320 inal, in https://ec.europa.eu/transparency/regdoc/rep/1/2016/IT/1-2016-320-IT-F1-1.PDF.

3 Cfr., ad es., la Comunicazione della Commissione, del 6 maggio 2015, «Strategia per il mercato unico digitale in Europa», COM(2015) 192 inal, in http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52015DC0192&from=IT

I servizi delle piattaforme di intermediazione online...

cato unico digitale alla crescita di competitività dell’Unione e alla migliore occupazione. Dall’altro, e più speciicamente, il Parlamento europeo invoca una regolamentazione del commercio elettronico transfrontaliero degna della iducia di consumatori e imprese, esortando poi esplicitamente la Commissione a trovare, nell’ambito dell’economia collaborativa, «un equilibrio tra la tutela dei consumatori e il conferimento di poteri a questi ultimi e, ove sia necessario un chiarimento, a garantire l’adeguatezza del quadro normativo relativo ai consumatori nella sfera digitale»4 .

2. L’applicabilità delle norme dell’Unione sul mercato interno alle imprese dell’economia collaborativa

È necessario, innanzitutto, chiarire che le attività potenzialmente rilevanti per l’ordinamento dell’Unione nel quadro dell’economia collaborativasonoquellecheattengonoallerelazionicheintercorrono fra la piattaforma online di economia collaborativa (come, ad esempio, Uber) e, da un lato, l’utente del servizio (vale a dire il cliente che, restando ancora al caso della piattaforma Uber, intende raggiungere un dato luogo con un’auto con conducente), e, dall’altro, il prestatore del servizio (cioè colui che, mettendo a disposizione un proprio bene/ un proprio servizio, nel nostro esempio l’autista della propria auto, offre il servizio richiesto dal consumatore). L’economia collaborativa coinvolge, infatti, tre differenti categorie di soggetti: il prestatore di servizi che intende condividere un bene/servizio e la propria competenza, sia in via occasionale (come accade quando si tratti di un soggetto privato che offra un servizio «pari») che in via professionale (nell’ambito, cioè, della sua capacità professionale); l’utente di tale servizio; l’intermediario che mette in contatto i primi due soggetti tramite una piattaforma online agevolando le transazioni

4 Risoluzione del Parlamento europeo del 19 gennaio 2016 sul tema «Verso un atto sul mercato unico digitale» (2015/2147(INI)), punto 78. Analogamente, cfr. anche il parere della commissione per il mercato interno e la protezione dei consumatori sulla relazione annuale della Commissione europea sulla politica di concorrenza dell’UE (2015/2140(INI)), punto 13.

fra di essi5. Secondo i principi generali del diritto dell’Unione e, in particolare, del suo diritto del mercato interno e delle libertà economiche di circolazione, le due relazioni «piattaforma online-utente» e «piattaforma online-prestatore del servizio» assumono rilievo soltanto qualora sia possibile considerarle attività economicamente rilevanti6. La piattaforma online può non ricevere (e di norma infatti non riceve) alcuna retribuzione né dall’utente del servizio né, se non con modalità che sovente possono essere deinite per lo più simboliche, dal suo prestatore, ciò non esclude tuttavia che la sua attività sia sottoposta all’applicazione delle norme sul mercato interno. Giurisprudenza consolidata della Corte di giustizia, facendo propria un’interpretazione assai lata del concetto di «retribuzione»7, impone infatti di concentrarsi sul carattere economico delle attività di volta in volta svolte e sul loro essere «reali ed effettive e non talmente ridotte da potersi deinire puramente marginali ed accessorie»8. La circostanza per cui né il prestatore del servizio né il cliente inale, singolarmente o congiuntamente considerati, remunerino la piattaforma online per i suoi servizi di intermediazione, in deinitiva, non assume perciò rilevanza e non vale a sottrare tali servizi all’ambito di applicazione del TFUE e della pertinente normativa di diritto derivato9. Vengono così in considerazione almeno due distinti livelli di regolamentazione cui il diritto del mercato interno deve ritenersi

5 Per alcune delle criticità derivanti dalla necessità di disciplinare, con le norme del diritto derivato dell’Unione esistenti, il peculiare rapporto trilaterale «prestatore del servizio-utente-intermediario online», cfr. C. Wendehorst, Platform Intermediary Services and Duties under the E-Commerce Directive and the Consumer Rights Directive, in Journal of European Consumer and Market Law, 2016, 30-33.

6 Con riguardo alla relazione «utente-prestatore del servizio», nella particolare ipotesi in cui tale prestatore sia un privato non remunerato (ma soltanto rimborsato per le spese sostenute) per il proprio servizio, cfr. l'ordinanza della Corte giust., 27 ottobre 2016, causa C-526/15, Uber Belgium, EU:C:2016:830.

7 In questi termini, ex multis, Corte giust., 26 aprile 1988, causa 352/85, Bond van Adverteerders, EU:C:1988:196, punto 16.

8 Corte giust., 11 aprile 2000, cause riunite C-51/96 e C-191/97, Deliège, EU:C:2000:199, punto 54.

9 Chiarissima in tal senso, con speciico riferimento ai servizi della società dell’informazione ex direttiva 2000/31/CE, Corte giust., 11 settembre 2014, causa C-291/13, Papasavvas, EU:C:2014:2209, punto 30.

pienamente applicabile: il primo, relativo alla disciplina dell’avvio e dell’esercizio delle attività delle imprese dell’economia collaborativa; il secondo, concernente la tutela degli utenti di tali attività.

3. La disciplina dell’accesso al mercato e dell’esercizio delle attività degli operatori dell’economia collaborativa: TFUE, direttiva sul commercio elettronico e direttiva “Bolkestein”

Concentrandosi sul primo dei citati livelli di disciplina, occorre domandarsi se ed eventualmente in quale misura, alla luce del diritto dell’Unione, le piattaforme di collaborazione possono essere soggette a normative interne che impongano requisiti speciici per l’accesso al mercato, quali ad esempio il rilascio di autorizzazioni o di licenze. Determinante è la considerazione della natura delle attività di volta in volta prestate da tali operatori. Qualora si tratti di (soli) servizi della società dell’informazione a venire in rilievo è la direttiva 2000/31/CE10 e, dunque, la disciplina, già da tempo in vigore, di diritto derivato dell’Unione sul commercio elettronico. Tale regime si applica infatti a «qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi»11 e, dunque, alla piattaforma online che si limiti a mettere in relazione l’utente con un prestatore di servizi.

10 Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico»), in GUCE L 178 del 17.7.2000, 1. Nella vastissima dottrina in argomento, pare qui suficiente il rinvio a A. Antonucci (a cura di), E-Commerce. La direttiva 2000/31/CE e il quadro normativo della rete, Milano, Giuffrè, 2001; U. Draetta, Internet e commercio elettronico nel diritto internazionale dei privati, Milano, Giuffrè, 2005, 59-90.

11 In questi termini l’art. 2, lett. a), della direttiva 2000/31/CE tramite rinvio, oggi, all’art. 1, n. 1, lett. b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015 che prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione (codiicazione), in GUUE L 241 del 17.11.2015, 1.

Ai sensi dell’art. 3 di tale direttiva, signiicativamente rubricato «Mercato interno», principio cardine del regime in parola è il divieto per gli Stati membri di limitare la libera circolazione dei servizi della società dell’informazione che provengano da un altro Stato membro. In altri termini, rispetto a tali peculiari categorie di servizi il legislatore di diritto derivato dell’Unione ha sancito l’applicazione del principio del Paese di origine, imponendo che, pur in assenza di coordinamento fra le differenti legislazioni nazionali pertinenti, uno Stato membro non possa in linea di principio impedire che sul suo territorio possa essere prestato un tale servizio se chi lo fornisce eserciti legittimamente la propria attività nello Stato ove è stabilito (e secondo le disposizioni ivi vigenti).

Le piattaforme online che si limitino a prestare servizi della società di informazione possono perciò essere soggette ad autorizzazione preventiva o ad altro genere di requisiti e formalità equivalenti soltanto alle condizioni previste dalla direttiva 2000/31/CE. In effetti, in via di deroga, quest’ultima ammette che, con riferimento a un «determinato servizio della società dell’informazione»12, lo Stato della prestazione possa limitare la libera circolazione di tali operatori ove ciò sia necessario per ragioni di ordine pubblico, tutela della sanità pubblica, pubblica sicurezza e tutela dei consumatori13 e, più in particolare, qualora si tratti di servizi che ledano tali rilevanti interessi o anche solo rischino, sia pure in modo «serio e grave»14 , di pregiudicarli. Tuttavia, salvi i casi di urgenza, lo Stato membro non può adottare simili provvedimenti restrittivi se non dopo aver chiesto – vanamente – allo Stato di stabilimento dell’operatore economico interessato di assumere misure opportune e aver notiicato alla Commissione tale propria intenzione15 .

Laddove, invece, oltre ai servizi della società dell’informazione la piattaforma online sia diretta fornitrice di una ulteriore (e diver-

12 Art. 3, n. 4, della direttiva 2000/31/CE.

13 Ai sensi dell’art. 3, n. 4, della direttiva 2000/31/CE, fra i motivi di «ordine pubblico» igura, ad esempio, «l’opera di prevenzione, investigazione individuazione e perseguimento in materie penali, quali la tutela dei minori e la lotta contro l’incitamento all’odio razziale, sessuale, religioso o etnico, nonché violazioni della dignità umana della persona».

14 Art. 3, n. 4, lett. a), ii), della direttiva 2000/31/CE.

15 Art. 3, n. 5, della direttiva 2000/31/CE.

sa) attività economica, essa andrebbe soggetta alle pertinenti normative settoriali, in particolare a quelle relative alle autorizzazioni/ licenze richieste per l’avvio e l’esercizio dell’attività di volta in volta considerata. Se, cioè, l’impresa dell’economia collaborativa non si limita a consentire all’utente di utilizzare un servizio offerto in concreto da altri ma lo presta essa stessa, attuando, ad esempio, con i propri mezzi e le proprie competenze un servizio di trasporto o di locazione a breve termine, il trattamento cui essa sarà sottoposta non varierà da quello previsto dalla disciplina normalmente applicabile a coloro che, in qualsiasi contesto e dunque anche in quello dell’economia collaborativa, prestano quel dato servizio. Ove fornisca concrete attività economiche, in deinitiva, la piattaforma online è assimilata a qualsiasi impresa cui sono applicabili le libertà economiche di circolazione del TFUE e le normative di diritto derivato; quelle, generali, relative alla libera circolazione dei servizi (la direttiva «Bolkestein») e, se presenti, quelle settoriali, riferibili al dato settore economico cui quelle attività si riferiscono. La circostanza per cui destinatarie di tali discipline siano imprese dell’economia collaborativa non può in alcun modo legittimare nei loro confronti un trattamento speciale (da intendersi qui, evidentemente, deteriore rispetto a quello generale). Tale constatazione impone semmai una ponderazione tutta particolare e speciica delle ragioni che giustiicano un eventuale ostacolo opposto dagli Stati membri alla libera prestazione dei servizi e un’applicazione più lessibile, a vantaggio di tali imprese, del relativo giudizio di proporzionalità e di adeguatezza. In merito, infatti, la Commissione pare affermare che la circostanza per cui un’attività economica autonoma sia prestata nell’ambito dell’economia collaborativa e, soprattutto, attraverso un’intermediazione online, indurrebbe a riconoscere allo Stato membro ancora meno giustiicazioni a fondamento di ostacoli interni alla libera prestazione dei servizi. Le ragioni di ordine pubblico che in linea generale giustiicano regimi nazionali sull’accesso alle attività, sulle loro qualità e sicurezza, ad esempio, dovrebbero dunque essere soddisfatte con strumenti, diversi da quelli usualmente impiegati, speciici quanto speciico è l’ambito dell’economia collaborativa. Similmente, se la riduzione delle asimmetrie informative fra prestatore e cliente può legittimamente ammettere che l’ordinamento interno imponga il rispetto di determinati requisiti di autorizzazione allo svolgimento di un dato servizio, nell’ambito della economia collaborativa quella

medesima esigenza può, probabilmente, essere soddisfatta attraverso sistemi di reputazione e di valutazione ormai tipici del contesto online. In linea ancor più generale, e sempre in piena coerenza con la prassi applicativa delle norme dell’Unione sul mercato interno, i divieti assoluti e le restrizioni quantitative all’esercizio di un’attività vanno considerate, di norma, soltanto come «misure di ultima istanza»16; mentre, qualora un’autorizzazione o una licenza siano previste, le condizioni per ottenerle debbono essere «chiare, proporzionate e obiettive»17 e la loro durata limitata nel tempo.

Quesito essenziale, e di non agevole risoluzione, si presenta a questo punto quello volto ad accertare quando una piattaforma di collaborazione fornisca, oltre al servizio della società dell’informazione, un’attività economica ulteriore o, secondo le parole della Commissione, un «servizio sottostante»18. La circostanza è da appurare caso per caso, tenendo conto di vari criteri, di ordine sia fattuale sia giuridico, ma preziosa è l’indicazione di una serie di indizi tesa a riscontrare la sussistenza del «fattore determinante»19 da accertare, ovverosia il livello di controllo o di inluenza che la piattaforma di collaborazione può esercitare sul prestatore di servizi.

Si tratta, in particolare, di tre diversi criteri: il prezzo, le «altre condizioni contrattuali fondamentali» e la proprietà dei beni essenziali. Quanto al primo dei criteri proposti, occorre domandarsi se nella determinazione del prezzo inale pagato dall’utente la piattaforma di collaborazione abbia oppure no un’inluenza determinante. Qualora essa si limiti a raccomandare un prezzo, lasciando libero il prestatore di servizi sottostanti di adeguarlo alla proprie esigenze e necessità, tale criterio non può ritenersi soddisfatto. Rispetto alle condizioni contrattuali differenti dal prezzo, quali ogni termine o condizione che incida in maniera fondamentale sull’esecuzione del rapporto contrattuale (si pensi, ad esempio, alla deinizione di istruzioni vincolanti, come l’obbligo di prestare il servizio, per la fornitura del servizio sottostante), occorre anche in questo caso escludere che il criterio sia soddisfatto se tali con-

16 Comunicazione «Un’agenda europea», cit., 5.

17 Ibid

18 Comunicazione «Un’agenda europea», cit., 6 19

dizioni restano nella piena e autonomia discrezionalità del prestatore del servizio sottostante. Inine, è necessario chiedersi se i beni essenziali per la fornitura del servizio sottostante siano di proprietà della piattaforma di collaborazione. Solo ove tutti e tre questi criteri siano soddisfatti è da ritenere che sussistano «forti indizi che la piattaforma di collaborazione esercit[i] un’inluenza o un controllo signiicativo sul prestatore del servizio sottostante, il che può a sua volta indicare che la piattaforma dovrebbe essere ritenuta anche fornitore del servizio sottostante (in aggiunta al servizio della società dell’informazione)»20 .

Accanto a quelli citati, sono inoltre applicabili, a seconda delle diverse circostanze del caso concreto, criteri ulteriori quali, ad esempio, la considerazione che la piattaforma di collaborazione sostenga le spese e si assuma i rischi connessi alla prestazione del servizio sottostante, così come l’esistenza di un rapporto di lavoro subordinato fra la piattaforma di collaborazione e la persona isica che ha fornito il servizio sottostante.

Se gli indici da ultimo ricordati offrono, al pari dei primi, signiicativi indizi circa la sussistenza di quel livello di controllo e di inluenza idoneo a far ritenere che la piattaforma di collaborazione sia anche la fornitrice del servizio sottostante, ve ne sono altri che, invece, pur non potendo essere del tutto trascurati non sono da soli suficienti per poter giungere a una tale conclusione. È il caso, molto diffuso, della possibilità che la piattaforma di collaborazione offra non già il servizio sottostante ma un’attività a quello strumentale come, ad esempio, la fornitura di un sistema di pagamento, o di una copertura assicurativa, o dell’assistenza post vendita o di un meccanismo di recensione da parte dell’utente. A fronte dell’evidente dificoltà di trarre da tali indizi il segno inequivocabile dell’inluenza e del controllo signi-

20 Comunicazione «Un’agenda europea», cit., 7. È applicando i citati criteri (ferma restando la valutazione inale che di essi farà il giudice del rinvio) che l'Avvocato generale M. Szpunar ha escluso, nelle conclusioni dell'11 maggio 2017 relative alla causa C-434/15, Asociación Profesional Elite Taxi (EV:C:2017:364), che il servizio prestato da Uber possa proilarsi come «servizio della società dell'informazione» ai sensi della direttiva 2000/31/CE. A suo giudizio, infatti, Uber controlla i «fattori economicamente rilevanti del servizio di trasporto offerto nel quadro delle sue piattaforme» (punto 51) fungendo di fatto essa stessa da «vero e proprio organizzatore e operatore di servizi di trasporto urbano» (punto 61).

icativi da parte della piattaforma di collaborazione sul prestatore del servizio sottostante, non si può tuttavia non considerare che, in linea generale, «più le piattaforme di collaborazione gestiscono e organizzano la selezione dei prestatori dei servizi sottostanti e il modo in cui tali servizi sono forniti […] più diventa evidente che la piattaforma di collaborazione potrebbe essere considerata anche come prestatrice dei servizi sottostanti stessi»21 .

4. Il legislatore italiano e i servizi dell’economia collaborativa fra istanze di riforma e piena applicazione dei principi di liberalizzazione di matrice

europea

Pur in assenza di una normativa espressamente dedicata alle imprese dell’economia collaborativa, a esse il diritto del mercato interno dell’Unione europea è inequivocabilmente applicabile con una disciplina desumibile dai principi generali relativi alle libertà economiche di circolazione del TFUE e dal diritto derivato che su tali basi è stato via via adottato nel corso del tempo. Con riferimento alle questioni preliminari, dell’accesso al mercato e dei requisiti richiesti per poter svolgere (anche) un’attività dell’economia collaborativa, alle piattaforme di collaborazione risultano infatti applicabili, essenzialmente, la direttiva 2006/123/CE relativa ai servizi nel mercato interno e la direttiva 2000/31/CE sul commercio elettronico.

21 Ibid. Del tutto analogamente va poi affrontato anche il delicato tema dei regimi di responsabilità per le informazioni memorizzate cui sottoporre la piattaforma di collaborazione. Qualora quest’ultima presti esclusivamente un servizio della società dell’informazione a essa sarà applicabile la sola direttiva 2000/31/CE e, dunque, il relativo regime che, in linea generale, esenta un tale operatore economico dalla responsabilità per la cosiddetta attività di «hosting», ovverosia la memorizzazione delle informazioni fornite dall’utente del servizio (cfr. l’art. 14 della direttiva 2000/31/ CE). Ai sensi del considerando n. 42, tale attività è però solo quella che «si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più eficiente la trasmissione» (sul punto, in giurisprudenza, Corte giust., grande sez., 23 marzo 2010, cause riunite da C-236/08 a C-238/08, Google France e Google, EU:C:2010:159, punto 114).

Si tratta, come noto, di due atti di diritto derivato che hanno per comune base giuridica gli attuali artt. 53 e 62 TFUE che abilitano il legislatore dell’Unione ad adottare direttive intese «al coordinamento delle disposizioni legislative, regolamentari e amministrative degli Stati membri relative all’accesso alle attività autonome e all’esercizio di queste»22 e che prevedono, come ovvio, una disciplina coerente con gli articoli del Trattato cui, nella sostanza, mirano a dare attuazione, così come con la giurisprudenza della Corte di giustizia che su di essi si sia consolidata nel corso del tempo23 .

Ciascuna conformemente alle proprie competenze, le istituzioni dell’Unione dimostrano in modo inequivoco la necessità di giungere comunque, ovviamente nel modo più compatibile possibile con i principi dell’ordinamento dell’Unione (in particolare con il diritto del mercato interno), all’adozione di una disciplina speciicamente riservata alle attività e agli operatori dell’economia collaborativa. Da ultima, con la Comunicazione «Un’agenda europea per l’economia collaborativa», la Commissione è intervenuta con un atto che, sia pure di soft law, innegabilmente rappresenta un rilevante (e quanto mai opportuno) punto fermo per fornire necessarie chiavi di interpretazione e adeguamento della normativa vigente; in generale, e nell’ampio contesto della disciplina del mercato digitale, anche il Parlamento europeo, come detto, si è espresso in tal senso.

Al contrario, il legislatore italiano non pare curarsi troppo di fornire alle piattaforme di collaborazione un regime certo e adeguato alle loro istanze. L’AGCM ha del resto in più occasioni invitato il Parlamento italiano a legiferare spingendosi anche, nei limiti delle proprie competenze, a suggerire l’adozione di una disciplina ispirata a principi di liberalizzazione (anche) di derivazione europea24. Tali in-

22 In tali termini recita la parte conclusiva del paragrafo 1 dell’art. 53 TFUE. La direttiva 2000/31/CE, oltre agli artt. 47 e 55 TCE, ha per base giuridica anche l’art. 95 TCE (ora art. 114 TFUE), fondamento normativo generale per l’adozione di direttive volte al ravvicinamento delle normative nazionali relative all’instaurazione e al funzionamento del mercato interno.

23 In proposito, con riferimento alla direttiva 2006/123/CE, si veda Corte giust., grande sez., 16 giugno 2015, causa C-593/13, Rina Services e a., EU:C:2015:399, punti 39-40.

24 Si veda, ad esempio, il parere AS1222 – Legge quadro per il trasporto di persone mediante autoservizi pubblici non di linea, 29 settembre 2015.

Nodi virtuali, legami informali: Internet alla ricerca di regole

viti sono tuttavia allo stato rimasti inascoltati e appare quanto mai signiicativo l’atteggiamento, perlomeno prudente, del nostro legislatore che può ricavarsi dall’esame attualmente in corso in commissione parlamentare del disegno della prima «legge annuale per il mercato e la concorrenza»25 in merito a una possibile riforma della disciplina del trasporto di persone non di linea in modo da renderla il più possibile adeguata (anche) alle istanze degli operatori dell’economia collaborativa. Se, infatti, in tale contesto si sono inizialmente intravisti segnali molto chiari volti a modiicare il regime in vigore per permettere un concreto e disciplinato accesso al mercato anche alle imprese operanti nel mercato digitale, più di recente è emersa l’opposta volontà di non procedere in alcun modo a una novella legislativa della normativa in vigore26 .

Una tale indifferenza desta senz’altro qualche perplessità, finanche preoccupazione in termini di certezza del diritto e tutela del legittimo affidamento, e il noto contenzioso sorto di fronte al Tribunale di Milano fra numerose associazioni sostenitrici delle ragioni

25 Ai sensi dell’art. 47 della l. n. 99/2009 (in GU n. 176 del 31.3.2009, suppl. ord. n. 136), ogni anno (o entro sessanta giorni dalla data di trasmissione della relazione annuale dell’AGCM) il Governo presenta (rectius, dovrebbe presentare) alle Camere il d.d.l. annuale per il mercato e la concorrenza. Tale legge, secondo l’art. 47, n. 1, è adottata «al ine di rimuovere gli ostacoli regolatori, di carattere normativo o amministrativo, all’apertura dei mercati, di promuovere lo sviluppo della concorrenza e di garantire la tutela dei consumatori». È paciico, e del resto l’art. 1 del d.d.l. lo ricorda esplicitamente, che tali obiettivi sono perseguiti «anche in applicazione dei principi del diritto dell’Unione europea in materia di libera circolazione, concorrenza e apertura dei mercati, nonché delle politiche europee in materia di concorrenza».

26 Numerosi sono stati gli emendamenti, rilevanti ai nostri ini, presentati nel corso dell’esame nella commissione «Industria, commercio, turismo» del Senato all’(attuale) art. 52 del d.d.l. per il mercato e la concorrenza (AS.2085) recanti modiiche alla l. n. 21/1992, «legge quadro per il trasporto di persone mediante autoservizi pubblici non di linea» (in GU n. 18 del 23.1.1992). Essi, da un lato, affermavano la sottoposizione a tale legge dei cosiddetti «servizi tecnologici per la mobilità » (e, dunque, delle piattaforme di collaborazione), dall’altro, abrogavano l’obbligo dello stazionamento dei mezzi di trasporto all’interno delle rimesse (così, ad esempio, l’emendamento n. 52.1). Tali emendamenti sono stati tuttavia ritirati, mentre uno più recente (n. 52.0.400) che conferiva delega al Governo per la «revisione della disciplina in materia di autoservizi pubblici non di linea», anche per adeguarla «ai più moderni standard tecnologici» è stato dichiarato inammissibile.

dei Taxi e le imprese del «Gruppo Uber» non può che confermare tali timori. In assenza di una normativa specificamente riservata alle piattaforme di intermediazione online nel mercato del trasporto locale, i giudici milanesi hanno applicato la disciplina vigente relativa al trasporto pubblico non di linea (e dunque la l. n. 21/92) sul presupposto che, «ancorché realizzat[o] con modalità più moderne»27, il servizio prestato dalle imprese del «Gruppo Uber» fosse del tutto assimilabile a quello di radiotaxi. Su tali basi, e dunque correttamente dal punto di vista logico, essi hanno accolto parzialmente, ex art. 700 c.p.c., le istanze cautelari loro formulate e, accertata la sussistenza di atti di concorrenza sleale ai sensi dell’art. 2598, n. 3, c.c., avevano inibito al Gruppo Uber l’utilizzo del servizio «UBER POP», con conseguente blocco e oscuramento del sito Internet e dell’applicazione informatica28 con un’ordinanza, oggetto di reclamo, poi confermata con un’ordinanza successiva29. Come evidente, è la mancanza di una disciplina espressamente appliacabile agli operatori dell’economia collaborativa a imporre, come in questo caso, complesse operazioni di qualificazione giuridica di fenomeni che mal si prestano a essere ricondotti nell’ambito di applicazione di regimi vigenti, a volte anche risalenti nel tempo, che non sono certo stati adottati per essere applicati a tali più nuove e ben differenti realtà. Allo stesso tempo, però, l’individuazione di principi, ancorché generali, di disciplina di derivazione europea dovrebbe condurre a una correzione, nel senso di una interpretazione, come si diceva un tempo, comunitariamente orientata, del tessuto normativo in vigore; operazione, non lo si nasconde, tuttavia senz’altro non semplice che compete al giudice nazionale come pure a tutta la p.a. chiamata ad applicare la normativa in vigore. I ricordati principi di libera circolazione dei servizi di cui al mercato interno dell’Unione restano in ogni caso applicabili e, anzi, sono destinati a prevalere, in caso di conflitto, sulle disposizioni

27 Trib. Milano, sez. spec. impresa, ord., 9 luglio 2015, pubblicata (quasi integralmente) in Rivista Italiana di Diritto del Lavoro, 2016, 2, 46 ss., con nota di A. Donini, Regole della concorrenza a attività di lavoro nella on demand economy: brevi rilessioni sulla vicenda Uber, 46-50.

28 Trib. Milano, sez. spec. impresa, ord., 25 maggio 2015.

29 Trib. Milano, ord., 9 luglio 2015, cit., punto 4.3.

interne eventualmente con essi contrastanti30. In definitiva, dunque, in attesa di un intervento legislativo specificamente dedicato agli operatori dell’economia collaborativa, che ragioni di certezza del diritto comunque auspicano, per quanto possa a prima vista apparire sorprendente, a disciplinare le attività delle piattaforme di intermediazione online sono i medesimi principi generali desumibili dagli articoli sulla libera prestazione dei servizi dell’originario

Trattato CEE31 .

30 Sul punto, per tutti, U. Villani, Istituzioni di Diritto dell’Unione europea, Bari, Cacucci, 2016, 418 ss.

31 Sulla libera circolazione dei servizi nel mercato interno, ex multis, R. Mastroianni, La libera prestazione dei servizi, in G. Strozzi (a cura di), Diritto dell’Unione europea, Parte Speciale, Torino, Giappichelli, 2015, 269 ss.

1.

Titolarità (intellettuale) e privacy. Un contributo a sostegno della “quasi-proprietarizzazione” dei dati personali

Nella nostra c.d. data-driven economy, determinare l’accesso e la proprietà dei dati personali è una sida giuridica particolarmente rilevante. Lo scopo di questo intervento è di contestualizzare il dibattito in tema di proprietà dei dati nel concreto paradigma giuridico dell’Unione Europea ed in particolare alla luce del nuovo Regolamento Generale sui Dati Personali (GDPR).

La Commissione Europea, nella sua strategia sul Mercato Digitale Unico in Europa (Digital Single Market Strategy in Europe, COM(2015) 192 inal) e in particolare con lo scopo di “massimizzare la potenziale di crescita dell’economica digitale” ha annunciato un’Iniziativa Europea per il libero lusso dei dati (European Free Flow of Data Initiative). In tale contesto, la Commissione ha dichiarato l’intenzione di occuparsi dell’emergente problema della “proprietà” dei dati.

D’altro canto, la nuova Proposta di Direttiva sui contratti per la fornitura di contenuti digitali1 stabilisce esplicitamente di trovare applicazione anche per i contratti in cui il fornitore fornisce contenuto digitale e, in cambio, il consumatore fornisce attivamente una

1 Proposal for a Directive of the European Parliament and of the Council on certain aspects concerning contracts for the supply of digital content (COM(2015)634).

«controprestazione diversa dal denaro nella forma di dati personali o altri dati». Questa disposizione sembra rivelare che in termini giuridico-economici i dati personali possono già essere considerati come un bene commerciabile.

In realtà, le istituzioni dell’Unione Europea insistono nell’affrontare il tema della proprietà dei dati, con lo scopo di evitare che i soggetti cadano nella trappola del “mito dei servizi gratuiti”2, ovvero individui che semplicemente non realizzano che molti servizi online “gratuiti” si basano sul trattamento dei loro dati personali.

In altri termini, un esplicito riconoscimento di titolarità sui dati personali sarebbe utile a rendere gli utenti consapevoli di questi scambi per mezzo dell’allocazione di un prezzo sui “loro” dati.

Tale visione è anche supportata autorevolmente in dottrina dall’applicazione delle teorie di economia comportamentale alla privacy3 .

Peraltro, l’impatto di questo tema è globale: negli Stati Uniti, accettare di fornire dati in cambio di servizi online è paragonato alla cessione volontaria delle proprie informazioni, che può rafforzare la progressiva commodiicazione delle identità personali.

Inoltre, i Big Data sidano il tradizione approccio alla protezione dei dati: la regolazione del c.d. data mining sulle informazioni dei consumatori è un’operazione controversa in termini di diritti di proprietà intellettuale4 .

La normativa europea in tema di protezione dei dati personali regola il trattamento di questi dati fornendo una sorta di controllo monopolistico ai soggetti. Al tempo stesso, le compagnie li proteggono come “segreti commerciali”: una forma di quasi-monopolio

2 Cfr. Impact Assessment for the Proposed General Data Protection Regulation, 2012.

3 Z. Borgesius, Behavioural Science and the Regulation of Privacy on the Internet, in A.L. Sibony, A. Alemanno (eds.), Nudging and the Law – What can EU Law Learn from Behavioural Sciences?, Institute for Information Law Research Paper

n. 2014-02, Amsterdam Law School Research Paper 2014-54, disponibile su SSRN: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2513771. Cfr. anche P. Hacker,

B. Petkova, Reigning in the Big Promise of Big Data: Transparency, Inequality, and New Regulatory Frontiers, 2016, Lecturer and Other Afiliates Scholarship Series, Paper 13.

4 Cfr. O. Tene, J. Polonetsky, Big Data for All: Privacy and User Control in the Age of Analytics, in Nw.K. Tech. & Intell. Prop., 2013, 11, 239, 257.

sull’informazione5 .

La sezione 2 mira a dimostrare come i segreti commerciali siano il più interessante e lessibile diritto di (quasi-)proprietà che può far fronte alla sida dell’appropriazione dei dati dei consumatori nell’economia 3.0.

Una volta che tale intersezione sarà chiarita, la sezione 3 discuterà l’opportunità di “proprietarizzare” i dati personali nel paradigma giuridico dell’Unione Europea, in particolare valutando la praticabilità nel panorama europeo del concetto anglosassone di “quasi-proprietà”, un’alternativa alla “commodiicazione” delle identità individuali che sia tanto rispettosa dei diritti umani dei soggetti, quanto praticabile sul piano giuseconomico.

Pertanto, la sezione 4 proporrà una distinzione tra dati personali (ricevuti dai titolari del trattamento, osservati dai titolari del trattamento e dedotti/predetti dai titolari del trattamento) e si proverà a proporre un diverso approccio giuridico per ciascuna di queste categorie: diversi gradi di co-titolarità in base al livello di “relazione” tra dati e soggetti e in base all’opposto livello di attività intellettuale delle imprese per raccogliere e trattare questi dati.

2. I segreti commerciali, una interessante soluzione “proprietaria” sui dati dei consumatori

Come già rilevato in dottrina, il dinamismo dei segreti commerciali ben si sposa con le esigenze del mercato delle informazioni6 . Infatti, in base al considerando n. 1, la ratio della direttiva UE in tema di segreti commerciali 2016/943/EU7 è quella di proteggere una «vasta gamma di know-how ed informazioni commerciali, sia in aggiunta sia in alternativa ai diritti di proprietà intellettuale».

5 G. Malgieri, Trade Secrets v. Personal Data: Possible Solutions for Balancing Rights, in International Data Privacy Law, First published online: January 29, 2016.

6 B.T. Atkins, Trading Secrets In The Information Age: Can Trade Secret Law Survive The Internet?, in U. Ill. L. Rev., 1996, 1151 ss.: 1194, che afferma che il diritto sui segreti commerciali «is the most lexible area of intellectual property law».

7 Directive (EU) 2016/943 of the European Parliament and of the Council of 8 June 2016 on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure.

Questo scopo ampio pare molto appropriato al trattamento dei dati personali8 nel mondo del data mining9 innovativo e di complessi algoritmi sulla personalità10 .

L’unica critica sollevata dalla dottrina in merito all’applicazione dei segreti commerciali ai dati personali dei consumatori detenuti dalle aziende è che la normativa in tema di segreti commerciali è incapace di offrire un modello di armonizzazione bilanciato, date le divergenze nazionali e internazionali11 .

In realtà, ciò non è più vero dal momento che l’Unione Europea ha ormai un approccio armonizzato ai segreti commerciali, come rivela la recente approvazione della Direttiva sui Segreti Commerciali, molto simile peraltro alla disciplina statunitense12 .

2.1. Proprietà (intellettuale) e titolarità sui dati personali: una proprietà de facto

La forte intersezione giuridica, teorica ed economica tra protezione dei segreti commerciali e tutela dei dati personali può offrire un interessante contributo al dibattito in tema di proprietarizzazione dei dati. In effetti, in dottrina si è spesso sottolineato come i dati personali, anche in un contesto di “diritti umani” come quello europeo13, sono in realtà trattati come una proprietà “di fatto” nella nostra economia14 .

8 G. Malgieri, Trade Secrets v. Personal Data, cit.

9 T. Zarsky, “Mine Your Business!”: Making the Case for the Implications of the Data Mining of Personal Information in the Forum of Public Opinion, in Yale J.L. & Technology, 2002, 5, 20.

10 F. Pasquale, Black Box Society, Cambridge (MA), Harvard University Press, 2015; Cfr. B. Reddix-Smalls, Credit Scoring and Trade Secrecy: An Algorithmic Quagmire or How the Lack of Transparency is Complex Financial Models Scuttled the Finance Market, in U.C. Davis Bus L.J., 2011, 12, 87.

11 J. Lipton, Balancing Private Rights and Public Policies: Reconceptualizing Property in Databases, in Berkeley Technology Law Journal, 2003, 8, 820; Ead., Information Wants to be Property: Legal Commodiication of E-commerce Assets, in IRLCT, 2002, 16, 58.

12 Cfr. G. Malgieri, Trade Secrets v. Personal Data, cit.

13 Cfr. Articolo 8, Convenzione Europea per la salvaguardia dei Diritti dell'Uomo (CEDU). Cfr. anche Articoli 7 e 8, Carta dei Diritti Fondamentali dell'Unione Europea.

14 N. Purtova, The Illusion of Personal Data as No One’s Property: Reframing the

I requisiti per una “risorsa” per essere oggetto di proprietà sono la rivalità, l’escludibilità e la scarsità. In effetti, i dati personali in quanto beni-informazioni sono solitamente considerati come beni non escludibili (dati gli alti costi necessari per renderli escludibili) e intrinsecamente “non rivali” a causa dei bassi costi di riproduzione15 .

Ciononostante, nella nostra data-driven economy lo sviluppo di soisticate proilature dei clienti (basate su aggregazioni di dati16 , studi comportamentali, ecc.)17 è sempre più forte: ci sono solo poche oligopolistiche “multinazionali dell’informazione” (e.g. Google, Facebook, Apple), che hanno raggiunto posizioni dominanti nel mercato e contribuiscono così a strutturare un mercato informativo sempre più basato sulla scaristà e la rivalità18 .

Data Protection Discourse, in Law, Innovation and Technology, 2015, 7, 87, secondo cui «the dichotomy ‘private property in personal data vs personal data in public domain’ does not relect the current state of data processing practises, where a de facto property regime of personal data exists, with the Information Industry actively claiming property rights in this new asset». Cfr. anche, J.M. Victor, The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy, in Yale LJ, 2013, 123, 513 ss.: 518-519; E.J. Janger, Privacy, Property, Information Costs, and the Anticommons, in Hastings L.J., 2003, 54, 899 ss.: 913-918; P. Schwartz, Property, Privacy and Personal Data, in Harv. L. Rev., 2004, 117, 2055 ss.: 2060-2070. K.C. Laudon, Extension to the Theory of Markets and Privacy: Mechanics of Pricing Information, in U.S. Dep’t of Commerce, Privacy and Self-regulation in the Information Age, 1997, https://archive.nyu.edu/bitstream/2451/14166/1/ IS-97-04.pdf (last accessed 5.02.2016). K. Basho, The Licensing of Our Personal Information: Is It a Solution to Internet Privacy?, in Cal. L.R., 2000, 88, 1507 ss.: 1526 (according to whom: «under current law, the ownership right to personal information is given to the collector of that information, and not to the individual to whom the information refers»).

15 H. Varian, Markets for Information Goods, http://people.ischool.berkeley. edu/~hal/Papers/japan/, 1998; J.E. Stiglitz, The Contribution of the Economics of Information to Twentieth Century Economics, in Quarterly Journ. of Economics, 2000, 115, 1441 ss.: 1448.

16 Cfr. O. Tene, J. Polonetsky, Big Data for All: Privacy and User Control in the Age of Analytics, in Nw.K. Tech. & Intell. Prop., 2013, 11, 239ss.: 257.

17 Cfr., e.g., J. Mehta, Behavioural Economics in Competition and Consumer Policy, University of East Anglia, ESRC Centre for Competition Policy, UEA Repository, 2013.

18 N. Purtova, The Illusion of Personal Data, cit., 100-105.

Allo stesso tempo, l’escludibilità è una realtà, anche considerando tutte le infrastrutture tecnologiche e le tecniche di cifratura capaci di restringere l’accesso ai dati personali19 .

Peraltro, studi giuseconomici confermano che se situazioni proprietarie “di fatto” non godono di un riconoscimento nel diritto positivo, subiranno un’allocazione proporzionale all’abilità di escludere gli altri dalla fruizione quella risorsa20 .

In altri termini, beni dal grande valore economico senza una opportuna determinazione giuridica dei diritti di appropriazione degli stessi, lasciano ampi spazi agli attori economici più potenti per “catturare” tali diritti. Nel nostro contesto, dunque, dato che i dati personali non sono deinibili come beni appropriabili nel contesto giuridico dell’UE21, l’industria dell’informazione (il più potente attore economico in campo) ha le maggiori opportunità di detenere diritti esclusivi fattuali su questi dati22 .

2.2. La sida della “proprietarizzazione” dei diritti umani

In dottrina si è spesso proposto di allocare la titolarità di diritti proprietari sui dati personali dei soggetti23 .

che in questo contesto la proprietarizzazione delle informazioni non è vista come una forma di commo-

È

19 Cfr., e.g., P. Ganley, Access to the Individual: Digital Rights Management Systems and the Intersection of Informational and Decisional Privacy Interests, in International Journal of Law and Information Technology, 2002, 10, 3, 241-293.

20 J. Umbeck, A Theory of Property Rights: With Application to the California Gold Rush, Ames (Iowa), Iowa State University Press, 1981.

21 V. Mayer-Schönberger, Beyond Privacy, Beyond Rights: Toward a Systems Theory of Information Governance, in Cal. L. Rev., 2010, 98, 1862-1863 (che rileva: «in contrast to the situation in the United States, information privacy in Europe is seen as a fundamental right and accordingly afforded continent wide as well as national constitutional protection. […] Propertizing these rights […] would be contrary to the theory, history and practice of European information privacy and it would require a concerted effort of dramatic proportion»).

22 N. Purtova, The illusion of Personal Data, cit., 89, whose relections are based on J. Umbeck, A Theory of Property Rights, cit.

23 Cfr., inter alia, N. Purtova, cit.; J.M. Victor, The EU General Data Protection Regulation, cit.; C. Prins, Property and Privacy: European Perspectives and the Commodiication of Our Identity, in The Future of the Public Domain, Identifying the Commons in Information Law, The Hague, Kluwer Law International, 2006.

interessante, peraltro,

diicazione commerciale e dunque di sfruttamento economico delle identità personali, ma è pensata al contrario come forma di garanzia per i diritti umani dei soggetti in questione24 .

In effetti, secondo recenti studi, regolare gli scambi di dati e fornire ai consumatori una maggiore autonomia contrattuale, utilizzando diritti e rimedi plasmati sul diritto di proprietà, «offre la migliore opportunità di tutela della dignità e in generale dei diritti umani nel campo della privacy per i soggetti coinvolti dal trattamento di dati»25 .

Inoltre, la direttiva sulla protezione dei dati e il nuovo Regolamento, sebbene ispirati ad un approccio alla privacy sul paradigma dei diritti umani (c.d. human right approach), fornisco in realtà una (seppur debole) struttura di titolarità proprietaria ai soggetti riguardo alle loro informazioni, come illustreremo qui di seguito.

3. Titolarità dei dati personali ai soggetti e il GDPR: rilessioni e prospettive

La direttiva 95/46/EC è generalmente interpretata nel senso di permettere ai soggetti del trattamento dei dati di controllare la divulgazione dei propri dati come regola predeinita26, e come tale contribuisce a garantir loro dei diritti similproprietari sui “propri” dati personali (sebbene in maniera poco chiara e problematica)27 .

Inoltre, il GDPR sembra rinforzare tale titolarità proprietaria. In-

24 Ovviamente, non stiamo parlando del generale e comune diritto di proprietà, ma di un ben determinato diritto esclusivo, basato su requisiti e garanzie speciiche, come delineato da P. Schwartz, Property, Privacy and Personal Data, cit., 2056 ss. Cfr. infra. Cfr. anche J.M. Victor, The EU General Data Protection Regulation, cit., passim; C. Prins, Property and Privacy, cit., 223-257.

25 J.M. Victor, The EU General Data Protection Regulation, cit., 528: «(it) offers the best hope of protecting the dignitary, human-rights-driven privacy interests at stake».

26 N. Purtova, Property Rights in Personal Data: A European Perspective, in Kluwer Law International, 2011, 57 ss.

27 D. Zwick, N. Dholakia, Contrasting European and American Approaches to Privacy in Electronic Markets: Property Right versus Civil Right, in Electronic Markets, 2011, 11, 116 and the criticisms of N. Purtova, The Illusion of Personal Data, cit., 93.

fatti, esso stabilisce nuovi diritti individuali incluso il diritto all’oblio o “alla cancellazione”28 e il diritto alla portabilità dei dati29 che stabiliscono più esplicite relazioni proprietarie tra i soggetti e i “propri” dati personali.

Tali relazioni appaiono ancora più chiare se consideriamo il generale riconoscimento di un “diritto di seguito”30 (o droit de suite) degli individui rispetto ai propri dati personali: in effetti, l’articolo 17(2) del GDPR stabilisce che ogni fruitore dei dati (titolare del trattamento), «tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali». Tali terzi fruitori dei dati sarebbero dunque obbligati a rispettare l’esercizio da parte del soggetto del suo diritto alla cancellazione, salvo incorrere in sanzioni ai sensi del GDPR31 .

In realtà, c’è chi ha sostenuto che il nuovo Regolamento assottiglierebbe la titolarità originaria dei soggetti sui propri dati personali. Infatti, la sostituzione di ogni riferimento alla privacy che era precedentemente nella direttiva32, con l’espressione “protezione dei dati” nel Regolamento33 metterebbe in crisi la connessione normativa tra protezione dei dati ed auto-determinazione informativa (afievolendo l’applicabilità dell’acquis della Corte di Strasburgo in tema di protezione forte ed esclusiva dei soggetti individuali rispetto ai propri dati personali)34 e ciò indebolirebbe la situazione giuridica del soggetto rispetto alla titolarità dei dati personali relativi alla sua persona35 .

28 Articolo 17, GDPR.

29 Articolo 20, GDPR. Cfr. N. Purtova, The Illusion of Personal Data, cit., 94.

30 Già richiamato per identiicare una struttura di controllo proprietario sulle informazioni da P. Schwartz, Property, Privacy, Personal Data, cit., 2097: «the burden which runs with the asset».

31 Cfr. J.M. Victor, The EU General Data Protection Regulation, cit., 525.

32 Cfr., e.g., recital (33), (68), Article 1(1), 95/46/EC.

33 Cfr. Article 1(1) and 1(2) of GDPR.

34 P. De Hert, S. Gurtwirth, Data Protection in the Case Law of Strasbourg and Luxembourg: Constitutionalization in Action, in S. Gurtwirth et al. (eds.), Reinventing Data Protection?, Amsterdam, Springer, 2009, 3-44,15.

35 N. Purtova, The Illusion of Personal Data, cit., 94.

Inoltre, si è stabilito che uno dei più importanti diritti di controllo, la regola del consenso, sta perdendo signiicato sul piano della liceità del trattamento dei dati dal momento che il rafforzamento dei requisiti formali per richiedere il consenso è dificile da applicare, mentre gli standard per le altre cause di liceità del trattamento sono comparativamente più semplici da applicare e forniscono ai gestori dei dati maggiore controllo sui dati limitando i diritti di controllo dei soggetti, come chiedere la cancellazione o invocare il diritto alla portabilità dei dati36 .

Come si proverà a dimostrare, tale diversa gradazione di diritti individuali similproprietari dei soggetti può essere interpretata anche considerando il parametro della “relazione” tra dati e soggetti e il diverso grado di attività intellettuale necessario alle imprese per elaborare tali dati (infra).

Peraltro, per quanto riguarda l’afievolimento della giurisprudenza in tema di privacy come una (perduta) garanzia di titolarità proprietaria dei soggetti, dobbiamo ricordare che l’art. 8(1) della Carta dei Diritti Fondamentali dell’Unione Europea fornisce uno speciico diritto alla “protezione dei dati personali”. Peraltro, il riferimento alla “protezione dei dati” (piuttosto che alla privacy) conduce ad un sistema ancor più proprietario, dal momento che l’attenzione del diritto si sofferma sull’oggetto (l’informazione), piuttosto che sul più ampio interesse del soggetto ad un generale rispetto dei propri spazi (materiali o morali) di intimità e ciò rafforza la struttura teorica di titolarità proprietaria su quei dati37 .

Inoltre, per quanto attiene alle speciiche circostanze in cui nessun esplicito consenso sia stato dato dal soggetto, il titolare del trattamento ha ancora degli obblighi verso il soggetto. Infatti, anche in questi casi speciali di trattamento senza consenso del soggetto (cfr. Articolo 6, GDPR), questi deve essere esplicitamente informato in merito alla raccolta dei suoi dati personali e alla sua facoltà di bloccare qualsiasi trattamento dei dati richiedendo la cancellazione degli stessi dal database in cui il trattamento è in corso (art. 14(1)(b),(d))38 .

36 Ivi, p. 95.

37 J.M. Victor, The EU General Data Protection Regulation, cit., p. 526. Cfr. anche V. Bergelson, It’s Personal, But Is It Mine?, in U.C. Davis L. Rev, 2003-2004, 37, 379 ss.: 418-419.

38 Ivi, 523.

3.1. Caveat: non commodiicazione, ma (quasi-)proprietarizzazione dei dati

Come già detto, il tema della proprietarizzazione dei dati personali ha ricevuto molte critiche in dottrina.

Queste possono essere riassunte in due grandi iloni: critiche “teoretiche” e “tecniche”, ovvero, rispettivamente:

1) l'inappropriatezza della commodiicazione di “risorse” espressive della personalità umana39 .

2) l'intrinseca alienabilità gratuita del bene-informazione non permette agli individui di limitare soggetti terzi nell’uso o trasferimento dei dati40 . In altri termini, «un individuo non può restringere la titolarità di interessi proprietari che ha ceduto»41. Inoltre, è dificile stimare un prezzo appropriato per gli usi secondari dei dati personali di un soggetto42 .

In realtà, entrambi questi problemi possono essere meglio affrontati se, anziché far riferimento alla “commodiicazione”, si adopera il conetto di quasi-proprietarizzazione.

In effetti, non proponiamo qui di considerare i dati personali come meri beni di consumo, ma solo di fornire alla tutela della privacy una struttura giuridica plasmata sui paradigmi della proprietà.

Paul Schwartz ha proposto un interessante modello di proprietà delle informazioni personali, utilizzando un elastico concetto di proprietà: egli infatti riiuta la tradizione deinizione blackstoniana di proprietà come «dominio esclusivo e dispotico sulle cose materiali del mondo»43, ma opta piuttosto per un più dinamico concetto di

39 Cfr. in general M.J. Radin, Contested Commodities: The Trouble with Trade in Sex, Children, Body Parts, and Other Things, Cambridge (MA), Harvard University Press, 1996.

40 P. Samuelson, Privacy as Intellectual Property, in Stanford Law Review, 1999, 52, 1138.

41 P. Schwartz, Property, Privacy, Personal Data, cit., 2090.

42 P. Samuelson, Privacy as Intellectual Property, cit., 1138.

43 «The sole and despotic dominion over the external things of the world».

W. Blackstone, Commentaries of the Laws of England 2 (facsimile ed. 1979) (1766). Per quanto riguarda questo approccio medievale alla proprietà, per un excursus storico sul tema, cfr. P. Grossi, Tradizioni e modelli nella sistemazione post-unitaria della proprietà, in Itinerari moderni della proprietà, Milano, Giuffrè, 1976-1977, 14 ss. Per

proprietà come “fascio di interessi”44, una complessa aggregazione di diversi interessi, con cinque importanti correttivi giuridici: inalienabilità, allocazione originaria ai soggetti, regolazione speciica di un diritto di recesso o “di uscita” (right of exit), dei danni e delle istituzioni pubbliche a tutela della stessa45 .

In particolare, per ciò che qui più interessa, la soluzione di Schwartz all’intrinseco problema della gratuita alienabilità sarebbe una regola di “inalienabilità ibrida”, basata su restrizioni di uso-trasferibilità più una regola di allocazione originaria46.In pratica, la nostra soluzione permetterebbe il trasferimento di dati, ma solo se al soggetto è garantita la facoltà di bloccare ulteriori trasferimenti o usi da parte di soggetti non associati o non collegati ai contraenti originari. Ogni uso o trasferimento ulteriore sarebbe proibito, salvo una esplicita nuova dichiarazione di consenso del soggetto interessato47 .

Contestualizzando tale proposta nel panorama giuridico dell’Unione Europea, è interessante notare come questo sistema di ibrida inalienabilità sia stato già parzialmente implementato non soltanto dalla generica regola del consenso per ogni trattamento ulteriore dei dati ai sensi dell’articolo 6 GDPR, ma anche dall’articolo 17(2) in tema di diritto alla cancellazione, laddove si stabilisce (come già sopra ricordato) che in caso il soggetto eserciti tale diritto il titolare del

un confronto generale tra il concetto di proprietà in civil law e common law, cfr.

A. Gambaro, Proprietà in Diritto Comparato, in Digesto IV sez. civ., XV, 1997. 44 Possiamo trovare una simile deinizione in Kaiser Aetna v. United States, 444 U.S. 164, 176 (1979) che descrive «the right to exclude others» come «one of the most essential sticks in the bundle of rights that are commonly characterized as property». In dottrina si sono espresse opinioni alterne in merito all'approccio alla proprietà come "bundle of stick" (fascio di diritti). Cfr., ad es., P. Benson, Philosophy of Property Law, in J.E. Coleman, S. Shapiro (eds), The Oxford Handbook of Jurisprudence & Philosophy of Law, Oxford, Oxford University Press, 2002, 771 (che sostiene che gli «incidents» della proprietà sono «fully integrated and mutually connected»); H. Dagan, The Craft of Property, in Cal. L. Rev., 2003, 91, 1518 ss.: 1558-70, (2003) (che sostiene che la metafora del "fascio" debba coesistere con la concezione di proprietà); A.M. Honore, Ownership, in A.G. Guest (ed.), Oxford Essays in Jurisprudence, Oxford, Oxford University Press, 1961, 108-134 (che discute gli "standard incidents" della proprietà).

45 P. Schwartz, Property, Privacy, Personal Data, cit., 2095.

46 Ibid.

47 Ivi, 2096.

Nodi virtuali, legami informali: Internet alla ricerca di regole

trattamento deve «adottare le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali»48 .

Si è pertanto ritenuto che il nuovo GDPR piuttosto che fornire una protezione alla privacy puramente in personam, appronti una tutela in rem sui dati stessi49 .

3.2. Quasi-proprietà: una soluzione per la proprietarizzazione dei dati personali

La quasi-proprietà è stata deinita come una categoria di diritti simil-proprietari, consistenti in situazioni in cui la legge tenta di simulare il funzionamento dello ius excludendi alios tipico della proprietà, attraverso un regime “relazionale”, cioè attraverso un paradigma di responsabilità50 .

La quasi-proprietà dunque riguarda la simulazione del paradigma escludente della proprietà entro strumenti limitati per mezzo di meccanismi di titolarità “relazionale”. Una “diritto relazionale escludente” ha un effetto profondamente diverso dall’equivalente titolarità creata dal tradizionale ius excludendi generalmente associato al concetto di proprietà.

Nei paesi con tradizione di common law, la quasi-proprietà è comunemente associata al famoso caso della Corte Suprema USA International News Service v. Associated Press51. In quello speciico caso la Corte si riiutò di riconoscere un pieno diritto proprietario alle informazioni e invece scelse di creare una azione di misappropriation basata sull’azione di concorrenza sleale, che potesse fungere da tutela di un interesse di “quasi-proprietà” sulle informazioni52 .

48 Supra. J.M. Victor, The EU General Data Protection Regulation, cit., 525.

49 J.M. Victor, The EU General Data Protection Regulation, cit., 525.

50 S. Balganesh, Quasi-Property: Like, but not Quite Property, in U. Penn. Law Rev., 2012, 160, 1891.

51 248 U.S. 215.

52 Ivi, 236. Cfr. generally D.G. Baird, Common Law Intellectual Property and the Legacy of International News Service v. Associated Press, in U. Chi.L. Rev., 1983, 50, 411; H.B. Abrams, Misappropriation, and Preemption: Constitutional and Statutory Limits of State Law Protection, in Sup. Ct. Rev., 1983, 509. Cfr. the criticisms of P. Samuelson, Information as Property, in Cath.U.L.Rev., 1989, 365; Ch.T. Graves, Trade

Pertanto, la quasi-proprietà fu concepita esattamente per la proprietà sulle informazioni e poi sviluppata nel campo della concorrenza e speciicamente nel campo dei segreti commerciali53 .

A questo punto, pare necessario valutare se la realtà concreta del “mercato dei dati personali” e il paradigma giuridico attualmente vigente (in particolare il GDPR) possa tollerare forme di comunione quasi-proprietaria (shared quasi-ownership) sui dati personali dei soggetti e in particolare dei consumatori.

Innanzitutto, dobbiamo prendere atto che i dati trattati dalle imprese (fornitori di servizi digitali, data brokers, ecc.) possono essere molto variegati. Infatti, essi possono essere o raw data o dati complessi, laddove con i primi consideriamo generalmente gli “input” utilizzati dai software per il trattamento dei dati, mentre con i secondi consideriamo gli “output” (il prodotto) di tale trattamento.

Scendendo poi in maggior dettaglio, dobbiamo speciicare che i raw data possono essere:

1. dati che sono spontaneamente “forniti” dagli individui, per esempio quando completano un modulo per la registrazione ad un sito web o quando rispondono ad alcune domande da parte di un data controller o comunque qualsiasi informazione sia condivisa spontaneamente dal soggetto. Questi dati possono includere una vasta varietà di informazioni, tra cui il nome, l’indirizzo, le amicizie, le preferenze politiche, ma anche valori sanguigni, stato di salute, ecc. Ci riferiremo a questi dati con l’espressione “dati ricevuti” (received data).

2. Dati che sono raccolti direttamente dalle imprese, previa il consenso degli individui e tramite sensori, Gps, o tramite una semplice combinazione di questi dati. Anche tale categoria può includere una vasta moltitudine di dati, come pressione sanguigna, ritmi sonno-veglia, esercizio isico svolto durante

la giornata, ecc. Faremo riferimento a questi dati come dati “osservati” (observed data).

I dati complessi, invece, possono essere:

1. Dati descrittivi di situazioni passate o presenti della vita degli individui, dedotti dalle imprese dell’informazione per mezzo di data mining54. Essi possono includere qualsiasi categoria di dati, come ad esempio malattie passate, attività sessuale, stato di salute, stato di famiglia, abitudini di consumo, ecc. Parleremo di questi dati come dati “dedotti” (inferred data).

2. Dati predittivi, ricavati da altri dati e riferiti a situazioni di vita future degli individui. Possono includere aspettativa di vita, malattie future, propensione all’acquisto, ecc. Per questa categoria useremo il termine di dati “predetti” (predicted data)55 .

Ciascuna di queste categorie ha una differente relazione con i singoli soggetti, un diverso grado di certezza e implica un diverso grado di attività dell’impresa, e particolarmente diversi livelli di diritti di proprietà intellettuale56 .

Possiamo pertanto classiicare queste diverse categorie di dati attraverso una nuova “tassonomia” di dati personali, basata sul diverso grado di “titolarità” che i diversi soggetti possono vantare su di essi.

In effetti, la stessa deinizione di dati personali è «qualsiasi informazione riguardante (relating) una persona isica identiicata o identiicabile («interessato»)»57. Dal momento che l’unica variabile di tale deinizione consiste nella “relazione” (e dunque nel conseguente grado di “titolarità”) tra l’informazione e il soggetto, è ora fondamentale comprendere il senso di quel “riguardante” (o “relativo” per

54 Si identiica con tale espressione la tecnica di ricavare nuovi dati a partire da dati precedenti attraverso l’applicazione di dati statistici, leggi della scienza, studi empirici o anche tramite l’esplorazione di informazioni pubbliche (o lecitamente ricavate) rinvenibili su una persona ad esempio attraverso complessi software.

55 Cfr. G. Malgieri, Property and (Intellectual) Ownership of Consumers’ Information: A New Taxonomy for Personal Data, in Privacy in Germany-PinG, 2016, 4, 133 ss. (http://www.pingdigital.de/ce/property-and-intellectual-ownership-of-consumers-information-a-new-taxonomy-for-personal-data/detail.html).

56 Ibid.

57 Cfr. Art. 4 (1), GDPR and Art. 2 (a), 95/46/EC.

tradurre meglio l’espressione inglese). Vale a dire, comprendere il collegamento “relazionale” tra individui e dati personali, posto che questa deinizione ha un'ampia applicazione («data relates to an individual if it refers to the identity, characteristics or behaviour of an individual or if such information is used to determine or inluence the way in which that person is treated or evaluated»)58 . In generale, possiamo distinguere tre tipi di dati59:

1. Dati in relazione forte. Questa categoria riguarda dati personali direttamente “ricevuti” dai titolari del trattamento (received data)60. Sono dati che l’impresa non ha ricavato da altri dati e per cui dunque l’attività intellettuale od economica è stata minima. Al contrario sono dati in forte correlazione con gli individui dato che si tratta di informazioni identiicative, ad esempio.

2. Dati in relazione intermedia. Questi sono quelli che abbiamo sopra deinito dati personali “osservati” dalle imprese e veriicabili direttamente nella realtà, perché riferiti al presente, così come i dati “dedotti”. Si tratta dunque di quei dati che le imprese ricavano da una semplice combinazione di altri dati. Per esempio in questa categoria sono compresi i dati riguardanti l’attività isica ricavati da un monitoraggio Gps collegato ad altre informazioni fornite dai soggetti (e perciò incluse nella categoria 1.) oppure le preferenze politiche o commerciali ricavate dalle parole chiave ricercate nei motori di ricerca online. Tali dati (condizioni di salute, partecipazione ad un evento, attività isica, interessi, hobbies, ecc.) sono dati “veri” (rectius, altamente probabili) del presente, facilmente veriicabili e ricavati per mezzo di un’attività economica o intellet-

58 Art. 29 Working Party, document No WP 105, Working Document on Data Protection Issues Related to RFID Technology, adopted on 19 January 2005, 8.

59 Cfr. G. Malgieri, Property and (Intellectual) Ownership of Consumers’ Information, cit.

60 Questi dati sono generalmente chiamati user generated content. Cfr. B. Van Alsenoy, J. Ballet, A. Kuczerawy, J. Dumortier, Social Networks and Web 2.0: Are Users also Bound by Data Protection Regulations?, in Identity in the Information Society, December 2009, 2, 1, 65-79. Cfr. anche, K. Majovski, Data Expiration, Let the User Decide: Proposed Legislation for Online User-Generated Content, in U.S.F.L. Rev., 47, 2013, 807.

tuale non ingente da parte delle imprese61 .

3. Dati in relazione debole. Con questa categoria identiichiamo tutti i dati “predetti” e dunque solo indirettamente ricavati dalla realtà attuale, ma di fatto “creati” da una rilevante attività intellettuale delle imprese con prospettive future. La produzione di tali dati si basa sulla combinazione di più o meno complessi studi comportamentali, previsioni a lungo termine e supposizioni probabilistiche applicate a casi concreti, ecc.62 Tutti questi dati (come l’aspettativa di vita, l’afidabilità creditoria, le previsioni comportamentali, le stime di salute futura, ecc.) sono “potenziali” (o solo “possibili”) e orientati al futuro. Ovviamente l’incremento delle tecnologie e lo sviluppo dei Big Data fanno sì che il grado di plausibilità di tali informazioni future approssimi sempre di più la certezza.

4.1. Diverse categorie con diversi diritti proprietari

Ciò che è interessante, anche per riallacciare la discussione teoretica sopra svolta, è il diverso grado di titolarità proprietaria che ciascuna di queste categorie rilette in base al nuovo GDPR63 .

In particolare, per quanto attiene ai dati in relazione “forte”, l’articolo 20 del GDPR prevede speciici diritti, come il diritto alla portabilità dei dati. Esso infatti è previsto soltanto per i dati “forniti” da un soggetto ad un titolare di un trattamento. Da questa disposizione, possiamo dedurre un pieno controllo del soggetto su questa categoria di dati in “relazione forte” e dunque una titolarità proprietaria originaria (default entitlement). I soggetti interessati possono infatti inanco esercitare il diritto a ricevere quell’informazione in un formato leggibile e di trasmetterlo ad altri titolari di trattamento.

Oltre agli altri diritti del soggetto (accesso, cancellazione, rettiicazione, ecc.) questa categoria è l’unica a poter vantare il diritto alla portabilità.

Possiamo pertanto concludere che i soggetti hanno una forma

61 Cfr. T.Z. Zarsky, “Mine Your Business!”, cit., 11 ss.

62 Ibid.

63 Cfr. G. Malgieri, Property and (Intellectual) Ownership of Consumers’ Information, cit.

esclusiva di quasi proprietà su questi dati fortemente connessi al soggetto, specialmente se consideriamo che il diritto alla portabilità dei dati è considerato in dottrina il maggior simbolo di proprietarizzazione dei dati, de iure condito64 .

Nel caso di dati in “relazione intermedia”, restano tutti gli altri diritti di controllo (accesso, cancellazione, rettiicazione). Infatti, questi diritti (incluso il nuovo diritto alla cancellazione) sono esercitabili su tutti i dati personali oggetto di trattamento65, salvo speciiche eccezioni.

In questa categoria, tuttavia, un minimo sforzo intellettuale od economico dell’impresa è prospettabile, dal momento che il trattamento qui non consiste in una mera ricezione di dati esplicitamente condivisi dal soggetto.

Pertanto, possiamo notare come la titolarità quasi-proprietaria dei soggetti sui dati non è totale, ma temperata. In effetti, i soggetti non possono esercitare un diritto alla portabilità su questi dati66 .

Questa è la prova di come questa categoria sia intermedia tra la relazione forte (dove il soggetto può vantare tutti i diritti di controllo) e la relazione debole (dove, come vedremo fra poco, il soggetto non ha diritti proprietari)67 .

Ciò non signiica che le imprese non detengano “segreti commerciali” su questi dati. Essi sono infatti considerabili segreti commerciali nella misura in cui soddisfano i requisiti di fattispecie dei segreti commerciali ai sensi della nuova direttiva europea. Tuttavia, in questi casi l’interesse dei soggetti prevale sulla proprietà industrial delle imprese68. In altri termini, le imprese possono continuare a proteggere questi dati come segreti commerciali (se sono dati segreti, di valore economico e protetti con ragionevoli sforzi), ma non possono esercitare questi diritti esclusivi contro i soggetti interessati, dal momento che i diritti di controllo di questi ultimi sono pienamente esercitabili per quanto sopra detto.

64 N. Purtova, The Illusion of Personal Data, cit., 98.

65 Cfr. anche il considerando (65) del GDPR.

66 Cfr. Art. 20 GDPR, secondo cui solo i dati che il soggetto interessato ha fornito al titolare del trattamento possono essere oggetto del diritto alla portabilità.

67 Cfr. infra.

68 Cfr. G. Malgieri, Trade Secrets v. Personal Data, cit., passim

Nodi virtuali, legami informali: Internet alla ricerca di regole

del diritto d’accesso da parte dei soggetti interessati può indebolire la protezione del segreto commerciale, dato che per esempio può indebolire il requisito dell’“attuale segretezza” del dato69 .

Possiamo parlare in questo caso di comunione proprietaria sui dati, basata su diritti esclusivi condivisi, in cui comunque in caso di conlitto prevalgono i diritti individuali dei soggetti interessati70 .

Si è infatti ritenuto in dottrina che, visti i grandi sviluppi dei giorni nostri verso interessi multipli sui dati personali, molto presto non ci sarà più uno scenario così statico di dati individuali appartenenti a singoli individui, ma sarà sempre più necessario un approccio di titolarità multi-livello sui dati71 .

Inoltre, tale situazione di comunione quasi-proprietaria multi-livello (dove diversi soggetti possono vantare diversi diritti sulla stessa informazione, ma al tempo stesso in cui gli interessi dei soggetti interessati prevalgono sugli altri attori in campo) è la tipica proprietà “relazionale” descritta dalla “quasi-proprietà”72 .

I soggetti interessati (e dunque, per i rapporti commerciali, i consumatori) avranno pieni diritti esclusivi contro gli attori commerciali interessati nei loro dati (incluse le imprese che detengono una comunione quasi-proprietaria su quei dati); i titolari del trattamento (e dunque le imprese che detengono la quasi-proprietà) potranno esercitare i loro diritti esclusivi solo contro le altre imprese concorrenti ma non contro il soggetto interessato.

Inine, per quanto attiene ai dati in “relazione debole”, dato che i dati in questa categoria sono da considerare come integralmente “prodotti” dall’attività commerciale ed intellettuale di un’impresa (che può essere

69 Cfr. Points 1 and 2 of Restatement of torts, Article 39, 2 (a) and (b) TRIPs and Article 2 (1) (a) and (b) of EU Directive on Trade Secrets. Cfr. anche B.T. Atkins, Trading Secrets in the Information Age, cit.

70 C. Prins, Property and Privacy, cit., 249-250. Cfr. anche, nel dibattito USA, l'interessante dibattito su una "shared privacy" in base ad una c.d. "segretezza relativa": M.I. Coombs, Shared Privacy and the Fourth Amendment, or the Rights of Relationships, in Cal.L. Rev., 1987, 75, 1593 and S.K. Sandeen, Relative Privacy: What Privacy Advocates Can Learn From Trade Secret Law, in Mich. St.L. Rev., 2006, 667.

71 C. Prins, Property and Privacy, cit., 250.

72 Cfr. in generale S. Balganesh, Quasi Property: Like, but not Property, cit., 1904; L.H. Scholz, Privacy as Quasi-Property, in Iowa L. Rev., 2016, 3.

È vero, tuttavia, che l’esercizio

condotta tanto da un agente umano, dato da complessi software)73 e considerando che questi dati hanno solo una relazione indiretta con la realtà quotidiana degli individui, non possono essere considerati nella titolarità quasi-proprietaria dei soggetti interessati. Questi dati, invece, possono far parte di segreti commerciali delle imprese74 .

Ciò non signiica che i soggetti persone isiche non hanno alcuna protezione contro queste operazioni di trattamento di dati. Gli interessi degli individui sono ancora tutelati attraverso una protezione rispetto agli abusi del titolare del trattamento (discriminazione contrattuale, pratiche commerciali scorrette)75 .

L’antico problema dell’asimmetria informativa (e strutturale) tra consumatori e imprese è comunque affrontato dalla legge da speciici diritti di informazione, oltre ad un diritto ad opporsi al trattamento dei dati, per ri-bilanciare la vulnerabilità dei soggetti individuali76 .

In altre parole, i soggetti interessati non dovrebbero essere forniti di diritti di controllo quasi proprietario su questi dati totalmente creati dai titolari del trattamento; ciononostante sono protetti da altri diritti generali in tema di trasparenza e non discriminazione.

4.2 Diverse categorie di quasi-proprietà multilivello sui dati

In sintesi, possiamo affermare che ci sono diversi livello di protezione garantiti.

Determinare se un’informazione personale cade nella prima categoria (relazione forte) o nella seconda (relazione intermedia) è semplice: è suficiente capire se i dati sono forniti esplicitamente dal soggetto oppure sono rilevati dal titolare del trattamento.

73 Cfr. G. Sartor, Cognitive Automata and the Law: Electronic Contracting and the Intentionality of Software Agents, in Artiicial Intelligence and the Law, 2009, 17, 4, 283.

74 B. Reddix-Smalls, Credit Scoring and Trade Secrecy, cit.

75 Datatilsynet, The Great Data Race: How Commercial Utilization of Personal Data Challenges Privacy. Report, November 2015, 40-44.

76 Z. Borgesius, Behavioural Science and the Regulation of Privacy on the Internet, in A.L. Sibony, A. Alemanno (eds.), Nudging and the Law – What can EU Law Learn from Behavioural Sciences?, Institute for Information Law Research Paper n. 201402, Amsterdam Law School Research Paper 2014-54, available at SSRN: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2513771

Al tempo stesso determinare se un’informazione rientra nella seconda categoria (relazione intermedia) o nella terza (relazione debole) è altrettanto semplice. Se i dati si riferiscono al presente e sono dunque veriicabili nella realtà attuale appartengono alla seconda categoria, in tutti gli altri casi sono dati predittivi e dunque in relazione debole.

I soggetti sono pertanto dotati di diritti quasi proprietari per quanto attiene ai dati in relazione forte, di una comunione quasi proprietaria multilivello per quanti attiene ai dati in relazione intermedia e non hanno diritti quasi-proprietari (ma una diversa tutela individuale) per le informazioni in relazione debole.

5. Considerazioni conclusive

Dopo questo ampio excursus, dobbiamo prendere atto che nella società dei Big Data, la titolarità dei dati personali è ancora una grande sida per legislatori, accademici e operatori economici.

Un eventuale riconoscimento di titolarità proprietaria sui dati personali non può prescindere da un bilanciamento con gli interessi economici delle imprese (libertà d’impresa, proprietà intellettuale).

Nella sezione 2 abbiamo dimostrato come i segreti commerciali sono il diritto proprietario più interessante e lessibile per fronteggiare la sida dell’appropriazione dei dati dei clienti nell’economia 3.0.

D'altro canto, l’appropriazione delle informazioni è altamente problematica sia sotto il proilo della tutela dei diritti umani sia dal punto di vista dell’analisi economica del diritto.

Pertanto, per evitare l’alienabilità e il libero commercio dei dati personali (che possono essere una violazione dei diritti umani alla riservatezza e alla tutela dei dati personali) ed anche per evitare distorsioni di mercato, suggeriamo di approntare un sistema (già largamente possibile de iure condito) di quasi-proprietà condivisa e multilivello sui dati personali, plasmata sullo spettro dei segreti commerciali.

Tali rilessioni vanno ovviamente contestualizzate nel panorama di protezione europea dei dati personali. Pertanto, nella sezione 3 abbiamo discusso l’opportunità di proprietarizzare i dati utilizzando gli strumenti già presenti nel panorama giuridico europeo.

In particolare, nella sezione 4 abbiamo distinto diversi tipi di dati personali in base alla loro relazione con la vita attuale dei soggetti interessati e all’inverso grado di sforzo intellettuale od economico dell’impresa per trattare quei dati. Ciascuna categoria ha diversi diritti riconosciuti dal GDPR, che ben simboleggiano i diversi gradi di titolarità individuale sui dati e l’opposto grado di titolarità “intellettuale” delle imprese su quei dati.

Possiamo pertanto concludere che la proprietarizzazione dei dati personali non è soltanto un’interessante soluzione per meglio proteggere la privacy degli individui e la proprietà intellettuale, ma anche una sida emergente a partire dal nuovo GDPR.

Nodi virtuali Tra New Deal e Great Society

Identiicazione e anonimato in rete

1. Le principali fasi “di identiicazione individuale”

Nell’esaminare il tema dell’“identiicazione e dell’anonimato in rete” è opportuno, in via preliminare, mettere a fuoco alcuni dei principali momenti che scandiscono l’attività di identiicazione1 , e cioè:

- la “fase del prelievo”: in cui si colgono le informazioni biometriche (isiche, ovvero somatiche/genetiche) dell’individuo;

- la “fase dell’assegnazione”: che vede l’attribuzione, all’individuo, dei propri dati identiicativi di tipo lato sensu anagraico (che rappresentano le coordinate giuridiche individuali).

I dati prelevati (ed attribuiti) costituiscono “il campione” (identiicativo), in genere destinato ad essere conservato in appositi “registri” e reso disponibile “alla bisogna” per le future attività identiicative individuali. È, quindi, in successivi momenti che si ha

- la “fase certiicativa” (necessaria): la quale comprende tutte le operazioni di riscontro, volte all’accertamento della corrispondenza dei (suddetti) dati “campione” (prelevati/attribuiti nelle precedenti fasi) ai caratteri biometrici (somatici/genetici) peculiari dell’individuo.

1 Per un qualche approfondimento di queste tematiche si rinvia, volendo, a L. Trucco, Introduzione allo studio dell’identità individuale nell’ordinamento costituzionale italiano, Torino, Giappichelli, 2004, 4 ss.; e Ead., Cards elettroniche tra testo unico sulla documentazione amministrativa e codice dell’amministrazione digitale: tecnologie e politiche a confronto, in www.federalismi.it/document/12062008150457.pdf del 1° aprile 2008, 1 ss.

A questo punto, si rende praticabile

- la “fase individuativa” (eventuale) del soggetto (“identiicato”): dal momento che lo stesso individuo risulta a questo punto “distinguibile” dagli altri e con ciò stesso “riconoscibile” e (potenzialmente) “reperibile”.

Di qui dunque la deinizione di - “identiicazione” (individuale) come quel processo di accertamento dell’identità individuale, con la veriica dell’aversi a che fare con un determinato soggetto e non con un altro, a cui è ricollegabile, in controluce, quella di “anonimato”, che in questa sede rileva, come condizione in cui il soggetto è invece “identitariamente ignoto”2 .

Ed è in questo senso che l’identiicazione si distingue da altre situazioni, parimenti note (anche) alle tecnologie informatiche e telematiche, e che paiono invece caratterizzarsi per un certo tasso di “anonimia” e cioè a dire:

- la “rilevazione” (individuale), che si ha quando ci si limiti a “rilevare” l’indeterminata presenza di qualcuno, la cui identità rimane incerta (ad es., un certo numero di collegamenti in una chat); e

- l’“autenticazione” (individuale), che si ha in quei casi in cui si presume che un certo dato sia riconducibile ad una persona la cui effettiva identità, tuttavia, non viene accertata (ad es., uso del bancomat, o, in rete, il combinato “user ID/password”).

Quanto da ultimo osservato ci porta all’ulteriore considerazione per cui le situazioni di anonimia si distinguono da quelle di identiicazione per il fatto determinante costituito dalla mancanza di operazioni di riscontro coi dati biometrici individuali. Ed infatti – e qui sta il punto – nel mondo “isico” così come in quello “elettronico”, la

2 Sul concetto di anonimato v. A. Candian, Anonimato (diritto all’), in Enc. dir., II, Milano, 1958, ad vocem, e G. Finocchiaro (a cura di), Diritto all’anonimato. Anonimato, nome e identità personale, in Tratt. Galgano, XLVIII, Padova, 2008 (ora reperibile anche in https://computerscience.unicam.it/devivo/riservata/informatica1/diritto%20all’anonimato0002.pdf).

disponibilità delle informazioni biometriche riguardanti il soggetto costituisce un elemento dal quale non è possibile prescindere afinché il meccanismo identiicativo funzioni.

Se, poi, il dato biometrico prelevato viene confrontato con un “campione” solo di tipo biologico, si rende possibile la veriica della suddetta corrispondenza dei dati soltanto nel “mondo isico” (senza una qualche associazione, ad es., ad un nome); mentre è quando lo stesso “campione” si compone oltre che del dato biometrico anche con un qualche dato anagraico che risulta possibile collocarlo nel “mondo giuridico” (associandolo, invece, in questo caso, ad es., ad un nome).

2. Identità “reale” vs. “identità virtuale” (e ritorno)

A differenza di un non lontano passato, quando poteva dirsi che, quanto meno nel mondo “naturale”, la possibilità di restare anonimi fosse “la regola” (ed il fatto di essere identiicati l’“eccezione”)3, ad oggi il paradigma di base risulta completamente mutato, essendo l’identiicazione (e l’identiicabilità) individuale a “farla da padrona”… pure sul terreno “virtuale”4. È, dunque, in un tale rinnovato stato di cose che si è innestato il fenomeno internettiano, portando, tra le altre cose, ad interrogarsi sulle analogie e differenze, pure con riguardo ad un siffatto proilo, tra il mondo virtuale e quello reale. Volendo soffermarsi per l’essenziale su quest’ultimo proilo, è possibile osservare come due principali “visioni” vadano confrontandosi sul punto. Così, da un lato, si trovano coloro i quali, muovendo da un approccio “romantico” ad Internet, tendono a mettere di questo in luce la capacità di consentire una più libera costruzione della personalità, grazie, tra l’altro, alla possibilità, offerta dalla natura stessa del mezzo, di assumere identità diverse e parallele per ciascuna delle inestre che si decide di aprire sul proprio computer

3 V., ad es., amplius, al riguardo S. Rodotà, Tecnopolitica, Roma-Bari, Laterza, 1997, passim.

4 Cfr., amplius, in argomento, G. Ziccardi, Internet, controllo e libertà. Trasparenza, sorveglianza e segreto nell’era tecnologica, Gravellona Toce, Raffaello Cortina ed., 2015, 33 ss.

in maniera anonima5. Un’identità, dunque, in questo senso, “anonima”: varia, variabile, intercambiabile, anche multilevel e luida, caleidoscopica, temporanea e “nomade”, in grado di consentire agli individui di esprimere liberamente le proprie opinioni, senza timori di essere identiicati6; ed invece da contrastare secondo chi ritiene che non di un arricchimento della personalità si dovrebbe parlare, ma piuttosto di un modo di mettere la stessa pericolosamente in gioco nel contempo a rischio persone e personalità altrui.

Un approccio più “realistico” è invece seguito, dall’altro lato, da coloro i quali avvertono sull’immanenza del fenomeno identiicativo (anche) al mondo internettiano7, avvertendo, in particolare, di come il codice o l’architettura che individua il computer possa «ben essere arricchito da meccanismi che consentono l’identiicazione del parlante»8 .

Del resto, a ben vedere è l’ambiguità di fondo del mondo virtuale che porta a dare letture diverse del fenomeno, dato che, a dispetto del carattere “etereo” del mezzo, rileva la relativa facilità di rintracciare in questo una qualche “pista numerica” idonea a rivelare l’identità reale del cibernauta “non esperto”, a maggior ragione, poi, se “sprovveduto” (a meno che, s’intende, a nessuno interessi la cosa…). Insomma, lungi dall’essere effettivamente “virtuale”, il mondo internettiano si rivelerebbe, all'opposto, meglio incline, “strutturalmente”, verso l’anonimato “relativo” e “risalibile”. Laddove ad ulteriormente accentuarne una tale propensione sarebbero (al di là di quanto si dirà infra, ai §§ 3 e ss.) le svariate ipotesi in cui l’internauta è tenuto ex lege ad “identiicarsi”9 attraverso l’impiego delle relative

5 Cfr., ad es., in questo senso, J.D. Wallace, Nameless in Cyberspace. Anonymity on the Internet, Cato Institute Brieing Papers, n. 54, 1999, 4 ss. (ora reperibile anche in https://object.cato.org/sites/cato.org/iles/pubs/pdf/bp54.pdf).

6 Cfr., in tal senso, M. Betzu, Anonimato e responsabilità in internet, in http:// www.costituzionalismo.it/articoli/391/, 2.

7 Cfr., in tal senso, L. Lessig, Code and Other Laws of Cyberspace, New York, Basic Books, 1999, spec. 54 ss. (ora reperibile anche in http://codev2.cc/download+remix/ Lessig-Codev2.pdf).

8 Così M. Manetti, Libertà di pensiero e anonimato in rete, in Dir. informaz. inf., 2014, 139-140.

9 Cfr., amplius, sul punto, E. Pelino, L’anonimato su internet, in G. Finocchiaro (a cura di), Diritto all’anonimato. Anonimato, nome e identità personale, Padova,

strumentazioni (irma digitale, Select Electronic Transation, PKI, liberty Alliance, open ID, Windows CardSpace…).

Specie in quest'ottica, centrale risulta il ruolo svolto dalle operazioni di bilanciamento tra le esigenze di identiicazione e quelle, altrettanto ineludibili, di tutela della sfera della privacy10. Versante, questo secondo, attiguo all’anonimato individuale (tanto da portare la Corte Suprema israeliana ad affermare «that in the realm of Constitutional Law – when a person seeks to maintain his right to anonymity on the internet, he enjoys two basic signiicant rights – the right to freedom of expression and the right to privacy»)11 .

È anche e soprattutto in questo senso, dunque, che la questione dell’anonimato in rete – pur distinguendosi concettualmente dal trattamento dei dati personali (riferentesi, come tali, per deinizione, ad una persona identiicata o identiicabile) – rientra e può essere affrontata nel quadro del (più ampio) tema della privacy12. Ed è in questa stessa prospettiva che, come vedremo (infra, al §5), i Garanti europei della privacy si sono dimostrati da tempo ed in varie occasioni attenti alla problematica, anche nel senso di informare della necessità di preservare il nostro anonimato in rete a protezione dei dati personali che ci riguardano e più ampiamente della nostra privacy individuale13 .

CEDAM, 2008, 296 ss.; e C. Nicoll, J.E.J. Prins-M.J.M. Van Dellen, Digital Anonymity and the Law, The Hague, Asser Press, 2003, passim.

10 V., ad es., Israel Supreme Court, dec. del 2010, Rami Mor v. Barak E.T.C the Company for Bezeq International Services Ltd., reperibile in weblaw.haifa.ac.il/ en/.../mor-synopsis%20-%20inal.doc; e U.S. District Court for the Western District of Washington, dec. del 20 aprile 2001, case n. C01-453Z, John DOE, Plaintiff.

11 V., al proposito, la precedente nota.

12 Cfr., ad es., sul punto, in dottrina G. Resta, Anonimato, responsabilità, identiicazione: prospettive di diritto comparato, in Dir. informaz. inf., 2014, 178 ss.

13 Così, da ultimo, pure il Reg. (UE) 2016/679 del 27 aprile 2016 «relativo alla protezione delle persone isiche con riguardo al trattamento dei dati personali» si è posto nell’ottica di considerare l’anonimato (relativo) in rete come un particolare aspetto della tutela dei dati personali (v. il §26).

3. L’(inevitabile?) incrocio tra identità virtuale e reale

È opportuno ora osservare come una prima ed “originaria” commistione tra dati identiicativi (partic. biometrici) “reali” con quelli “virtuali” avvenga all’atto del nostro “ingresso” nel mondo internettiano, segnatamente, al momento di sottoscrivere un contratto di accesso ad Internet con un Internet Service Provider (ISP), e cioè a dire quel soggetto che, per l’appunto, fornisce agli utenti che hanno stipulato un contratto con il provider stesso l’accesso ai servizi Internet14. È noto, infatti, come, di norma (partic. nel nostro Paese) il contratto venga effettuato esibendo la propria carta d’identità, per cui l’ISP entra in possesso di informazioni fondamentali per operare quell’incrocio tra dati reali e virtuali idonei a rivelare l’identità del cibernauta, infrangendone così l’anonimato in rete15. Di qui, dunque, il suggerimento, al ine di salvaguardare il proprio “anonimato in rete” da possibili “interferenze” (per non dire vere e proprie “aggressioni”), di usufruire di “porte di accesso” “altrui”, ad es. di “reti pubbliche”, s’intende, usufruibili in maniera anonima16 .

Più nello speciico, l’ISP con il contratto di accesso ad Internet si obbliga a rendere possibile all’utente il collegamento (regolare) con la rete (l’accesso effettivo si realizza quando l’utente entra online, mettendosi nella condizione di poter reperire – e fornire – informazioni in rete). Tecnicamente, ciò avviene (anche) attraverso l’assegnazione (da parte, per l’appunto, del fornitore di accesso alla rete) del protocollo di comunicazione che consente al nostro sistema di dialogare in/con la rete, e, cioè, l’Internet Protocol Adress (o indirizzo

14 Cfr., amplius, in argomento, A.M. Gambino, I contratti di accesso ad internet, in https://www.dimt.it/2015/02/21/i-contratti-di-accesso-ad-internet/.

15 A proposito della «prima decisione di una Corte suprema europea [quella olandese] in merito all’obbligo di un ISP di fornire ad un soggetto privato i dati identiicativi di un suo utente», v. P. Balboni, Cenni giurisprudenziali e rilessioni sul quadro normativo italiano, in Diritto all’anonimato, cit., 321 ss.

16 Al proposito, più di un qualche problema è stato posto, in Italia, dal d.l. 27 luglio 2005 n. 144, conv. nella legge 31 luglio 2005, n. 155 (c.d. decreto Pisanu). Cfr., amplius, al proposito, S. Bisi, Internet e anonimato: rilessioni in tema di libertà e controllo, Milano, Narcissus, 2012, 23 ss.

IP)17. Quest’ultimo, com’è noto, consiste in una serie numerica, che normalmente viene “tradotta” in un’espressione linguistica, il domain name (DNS), che identiica un dispositivo (detto host) collegato ad una rete informatica (che in questi casi viene denominato client), il quale, per l’appunto, utilizza l’Internet Protocol come standard di rete. Pertanto, è in quest’ottica che l’IP è stato deinito come «una sequenza di numeri binari che, assegnata a un dispositivo (un computer, un tablet o uno smartphone), lo “identiica” e gli consente di accedere alla rete di comunicazioni elettroniche»; considerando, altresì, che «Detto dispositivo, per collegarsi a Internet, deve utilizzare la sequenza numerica assegnata dai fornitori del servizio di accesso alla rete», per cui l’«indirizzo IP viene trasmesso al server in cui è memorizzata la pagina web oggetto di consultazione»18 .

Nel loro insieme, il Protocollo usato ed il Domain name costituiscono l’Universal Resource Locator (URL), ovvero la sequenza di caratteri che viene digitata sulla barra degli indirizzi del browser utilizzato dall’utente e che identiica univocamente l’indirizzo di una risorsa web. Ogni dispositivo (così, ad es., oltre a quelli già più sopra menzionati: router, computer, server di rete, stampanti, palmari, ma anche elettrodomestici all’uopo predisposti…) è dotato, quindi, di un “suo indirizzo” ed in questo senso si può dire che l’indirizzo IP è ciò che consente di rilevare la presenza del terminale in rete. Per la precisione, esso assolve essenzialmente alle funzioni di identiicare un dispositivo sulla rete (inanco localizzandolo geograicamente) e di fornire il percorso per essere raggiunto da un altro terminale o dispositivo di rete in una comunicazione dati a pacchetto.

17 Non si ha modo, peraltro, di approfondire qui il delicato tema della c.d. internet governance, nell’ambito della quale rientrano, tra le altre cose, proprio le regole di creazione e distribuzione dei ranges di indirizzi IP pubblici e privati da parte dell’ICANN (americana), se non per osservare come alcuni abbiano individuato proprio in un tale ente un possibile “gestore” globale dei nomi e delle identità online, paragonabile (fatte le dovute differenze del caso) ad un’anagrafe internettiana mondiale (cfr., sul punto, ad es., O. Iteanu, L’identité numerique en question, Paris, Eyrolles, 2008, 118 e ss.; inoltre, v., amplius in argomento, P. Costanzo, La governance di internet in Italia, in E. Bertolini, V. Lubello, O. Pollicino (a cura di), Internet: regole e tutela dei diritti fondamentali, Roma, Aracne, 2013, 41 ss.).

18 Così l’Avv. gen. M. Campos Sánchez-Bordona nelle Conclusioni del 12 maggio 2016, in C 582/14, Patrick Breyer, §1.

Interessante è notare come nella giurisprudenza più sopra menzionata, prendendosi le mosse dal quanto affermato dalla Corte di Giustizia nel caso Scarlet Extended19, si sia arrivati a dire (senza essere in seguito contraddetti dallo stesso Giudice eurounitario) che gli indirizzi IP “dinamici”, in un contesto in cui la loro raccolta ed identiicazione vengano effettuate da un fornitore di contenuti (come nel caso di specie) oltre che dal fornitore di accesso alla rete (secondo quanto chiarito nel caso Scarlet) «costituiscono dati personali protetti, in quanto consentono di identiicare in modo preciso i suddetti utenti». Nell’occasione è stato pertanto seguito l’approccio c.d. oggettivo, propenso (a differenza di quello c.d. relativo) a parlare di vera e propria “identiicabilità” del cibernauta tramite l’IP (nonostante, come si è detto, in questi casi un tale dato necessiti di accompagnarsi ad informazioni aggiuntive, in vista di svelare l’effettiva identità dell’individuo). Pertanto, sebbene la persona alla quale si riferiscono le suddette informazioni non sia una «persona isica identiicata» (dato che la «data e l’ora di un collegamento, al pari della sua origine numerica, non rivelano, né direttamente né indirettamente, chi sia la persona isica cui appartiene il dispositivo dal quale viene consultata la pagina web, né l’identità della persona che lo utilizza»), tuttavia «un indirizzo IP dinamico, nella misura in cui aiuti – di per sé o unitamente ad altri dati – ad accertare chi sia il titolare del dispositivo utilizzato per l’accesso alla pagina web, può essere considerato un’informazione su una “persona identiicabile”» che, peraltro, si dovrebbe «presumere che, salvo prova contraria […] sia quella che ha navigato su Internet e consultato la corrispondente pagina web» (§§52 e ss.).

Sicché pare possibile, allo stato, concludersi che quando il dato messo in rete contiene informazioni personali “reali”, specialmente di tipo biometrico, allora, per le ragioni che si son si viste (supra, al §1), esso rende possibile procedere all’“identiicazione diretta” del soggetto riguardato, mentre si parla di “identiicazione indiretta” in tutti quei casi (come quello da ultimo richiamato) in cui il dato di per se stesso non sia di tipo biometrico epperò contenga delle informazioni personali idonee, cumulate ad altre, a risalire comunque all’identità reale della persona. 19 V. Corte giust., sent. 24 novembre 2011, in C-70/10, Scarlet Extended SA

4. L’(inevitabile?) incrocio tra app e strumenti

Da quanto si è sin qui osservato risulta confermato, ci pare, come il tema dell’anonimato in rete (“chi” siamo in Rete?) vada viepiù intersecandosi con quello della circolazione delle nostre informazioni personali quando navighiamo (“cosa ne è di ciò che immettiamo in Rete”?). In questo senso, è opportuno ora considerare invece la dificoltà – che per il cibernauta medio tende a farsi vera e propria impossibilità – di non cedere o farsi “prelevare”, prima o poi, durante la navigazione, informazioni personali che lo riguardano (anche in circostanze in cui non sia a stretto rigore necessario…). In un simile ordine di idee, si è avuto modo di osservare ormai da tempo, come l’«informatique est une dévoreuse d’identité, elle capte l’individu sous toutes ses facettes et porte au grand jour des aspects qu’il couhaiterait conserver secrets20», mentre «pour y parvenir dans les réseaux numériques, il faut déployer quantité de ruses et d’efforts» (senza, peraltro, alcuna garanzia di risultato)21. Si pensi, al proposito, anche al di là di quanto si è per l’innanzi osservato (con riguardo all’IP), a come tracce idonee ad incrociare la nostra identità virtuale con quella reale possano rinvenirsi, anche per chi navighi facendo attenzione a preservare un certo anonimato, nello stesso DNS, ma anche nell’impiego di “avatar” e inanco di pseudonimi e nicknames, nella misura in cui questi non risultino del tutto “sconnessi” da riferimenti all’identità reale del cibernauta. Per diverso proilo, si rileva l’importanza del browser, ed alle opportunità connesse alla possibilità di navigare con identità multiple, ma anche e più ampiamente di usare estensioni “Do Not Track” e/o di cifrare i dati in arrivo ed in uscita dal PC, in modo che nemmeno il provider possa intercettarli (o, per meglio dire, in modo che l’ISP entri in possesso dello stretto essenziale).

È necessario poi considerare la possibilità, altresì, attraverso lo stesso protocollo di comunicazione, di svolgere tutta una serie di altre attività, pure tramite appositi software ed app, almeno altrettanto capaci di (rin)tracciarci. Si pensi, al proposito, solo per fare qualche esempio,

20 Così D. Pousson, L’identité informatisée, in L. Pousson-Petit (éd.), L’identité de la personne humaine, Bruxelles, Bruylant, 2002, 373-374.

21 V.M. Untersinger, Anonymat sur Internet: protéger sa vie privée, Paris, Eyrolles, 2014, spec. 180 ss. e 199 ss.

al fatto stesso di ascoltare e scaricare musica e ilm, all’e-commerce ed alla relativa “moneta elettronica”, nonché a tutti i servizi di e-government e inanco di e-democracy. Soprattutto, si deve tener conto delle innumerevoli tracce che lasciamo durante la navigazione (che nel loro insieme compongono i c.d. log iles), e del fatto che queste sono solitamente detenute e conservate – insieme, come si è visto, all’IP – nei server degli stessi fornitori di Internet e particolarmente, dei grandi operatori delle comunicazioni elettroniche (v. Corte di giustizia, caso “Digital Ireland”, per l’appunto, sulla c.d. data retention)22 . Estremamente problematico, da questo punto di vista, risulta (oltre che l’incrocio, anche) l’enorme assemblaggio di dati reso possibile dai motori di ricerca – i quali stanno gestendo tutte le informazioni del mondo virtuale, specie e proprio in quei casi in cui una tale attività conduca alla proilazione di “identità individuali”…23 .

Per non dire poi della possibilità che questo tipo di esiti non risultino più attuali (v., al proposito, il delicato proilo del diritto all’anonimizzazione dei dati giudiziari), ovvero che facciano ormai parte del “passato”, avendovi inciso altri, successivi, accadimenti della vita. In questi casi, infatti, è stata la stessa Corte di giustizia a riconoscere l’esistenza e la possibilità del soggetto riguardato di rivendicare il proprio “diritto all’oblio” nell’ambito del famoso “caso Google”24 .

Una trattazione a parte meriterebbero poi tutte quelle forme – che, peraltro, è talvolta viepiù dificile ricondurre in modo univoco tra le forme di corrispondenza e comunicazione (di cui all’art. 15) o a quelle di manifestazione del pensiero (di cui all’art. 21 della nostra Costituzione) – che svolgiamo in ampia parte attraverso la posta elettronica, i fax telematici ed i servizi di messaggistica, incluse le chat, e che, sul piano pratico, secondo alcuni sarebbe più facile “mettere in chiaro” rispetto ai sistemi tradizionali25. Il pensiero va,

22 V. Corte giust., sent. 8 aprile 2014, in C-293/12 e C-594/12, Digital Rights Ireland Ltd.

23 Cfr., al riguardo, P. Costanzo, Motori di ricerca: un altro campo di sida tra logiche del mercato e tutela dei diritti?, in Diritto dell’internet, 2006, 545 ss.

24 V. Corte giust., sent. 13 maggio 2014, in C-131/12, Google Spain SL.

25 Così, ad es., «Il est bien plus facile […] de surveiller quelqu’un via ses e-mail que via son télephone [ixe]» (cfr. M. Untersinger, Anonymat sur Internet: protéger sa vie privée, cit., 200); cfr., amplius, in argomento, P. Costanzo, Libertà di manifestazione del pensiero e “pubblicazione” su Internet, in Il diritto dell’informazione e dell’informatica, 1998, 370 ss.

in particolare, alle piattaforme in rete come Whatsapp e Skype, delle quali, mentre si apprezza l’attenzione nel garantire una qualche cifratura dei messaggi, vanno messe altresì in luce le problematicità derivanti soprattutto dai legami con la Microsoft, tenuto anche conto delle caratteristiche non open sources dei codici informatici (risultandone dunque la dificoltà di conoscere gli effettivi meccanismi di funzionamento) dei relativi sistemi.

Ancora, si pensi agli enormi incroci di informazioni resi possibili da quei social network programmati proprio al ine di consentire ai cibernauti di “dar notizia” di sé e degli altri (come Twitter, Facebook, LinkedIn, solo per citare i più noti). Ed alle applicazioni create appositamente a ini identiicativi (come ad es. FindFace, che usa dei database fotograici per confrontare le immagini e rivelare i nomi delle persone e viene pubblicizzata proprio come “l’applicazione per scoprire il nome delle persone”…(!)) e di conservazione delle informazioni (c. ad es. tutto il sistema Clouds). Senza poi dire delle informazioni e dei dati condivisi e conservati dagli stessi social (da ultimo, pare, tra Facebook e Whatsapp…)26 e dalle varie occasioni (che anche questi ultimi rendono possibili) di geolocalizzazione individuale27 .

Ma a segnare l’ulteriore “salto di qualità” dell’identiicazione in rete è stata l’espansione pressoché globale dei cellulari – segnatamente, smartphone e tablet – ovvero delle tecnologie voice and touch.

L’uso di questo tipo di strumentazioni ha reso infatti possibile il compimento di quello “step” che ancora si frapponeva alla “rivelazione diretta” dell’identità dell’utilizzatore del terminale, data l'impossibilità, come si è visto, di instaurare un collegamento univoco tra cibernauta e terminale, rendendo ora possibile, invece, l’incrocio diretto delle informazioni immesse in rete coi dati personali di tipo anagraico e, soprattutto, biometrico – voce, impronte digitali, volto… – di chi li immette e inanco la sua geo-localizzazione in tempo reale. Per non dire poi della possibilità di creare collegamenti a distanza estendendone le funzioni ad ulteriori strumenti in grado,

26 V., al proposito, Corte giust., sent. 6 ottobre 2015, in C-362/14, Maximillian Schrems (meglio noto come “caso Facebook”).

27 Cfr., in argomento, P. Costanzo, Note preliminari sullo statuto giuridico della geolocalizzazione (a margine di recenti sviluppi giurisprudenziali e legislativi), in Dir. informaz. inf., 2014, 331 ss.

Nodi virtuali, legami informali: Internet alla ricerca di regole

a loro volta, di memorizzare dati personali (RFID e gli NFC) e, più in generale, di identiicare non solo l’“utilizzatore” del terminale ma anche le persone che gli stanno accanto, secondo rinnovate forme di “monitoraggio diffuso”.

5. Tra anonimato ed identità “infranti”

Secondo alcuni (partic. Enik Enikson) non ci sarebbe «punizione più atroce dell’essere “insentiti” […] del trovarsi in una società dove si sia del tutto trascurati o addirittura esclusi»: «ben più atroce» ci fanno notare altri (James) «delle torture corporali, poiché queste, per quanto dolorose, ci fanno pur sempre capire di non essere naufragati al punto da risultare indegni di alcuna attenzione …»), specie da parte di quelli che per noi «contano»: («inner assuredness»). Quella che Erving Goffman ha deinito la “disattenzione civile” mal si concilierebbe, infatti, con «l’esigenza dell’uomo moderno all’attenzione reciproca intesa in senso non solo percettivo ma soprattutto normativo», la quale implica e presuppone la possibilità di godere, tra l’altro, di quel «rituale interpersonale più pervasivo nel rapporto fra individui in società »: il fatto, cioè, proprio, di essere riconosciuti e considerati (dagli altri).

Ebbene, le ICT – e tra queste Internet – paiono porsi in controtendenza rispetto a questo tipo di dinamiche (di qui, forse, una delle tante ragioni della loro diffusione) in forza della loro idoneità a favorire l’instaurazione di collegamenti “plurilaterali” e la loro moltiplicazione esponenziale … creando così una “rete” inestricabile di “identità reali” e “digitali”, nella quale mentre ci è dato forse modo di affermare noi stessi nei rapporti con gli altri, risulta anche, nel contempo, sempre più concreta la possibilità di perdere il controllo delle informazioni che ci riguardano. Insomma, mentre da un lato ci troviamo irrefrenabilmente indotti a svolgere la nostra personalità individuale in rete, dall’altro, siamo pure consapevoli di come la preservazione di una certa quota di libertà individuale richieda di non esporci personalmente sul web28 .

28 Non si considerano, peraltro, qui i proili di rilievo penale, inclusi i vari tipi di “furti d’identità” in rete.

Le istituzioni eurounitarie – specialmente, oltre alla Corte di Giustizia29, la Commissione EU ma anche, dal canto loro, i Garanti europei della privacy – sembrano avere colto il carattere ambivalente della situazione, dimostrando una particolare attenzione per il tema dell’anonimato in rete, col promuovere, nel quadro delle c.d. privacy enhancing technologies, l’impiego di strumenti c.d. anonimizzatori (per la precisione, anonimizzatori c.d. soft, utilizzabili pure dai cibernauti non esperti)30, idonei a ridurre, per l’appunto, il tasso di informazioni personali circolanti sul web, al ine, in ultima analisi, di valorizzare le enormi opportunità che la medesima navigazione in rete presenta31. Inoltre, è in una tale prospettiva che può guardarsi alla regolamentazione dell’uso dei cookie sui siti web (v. la Direttiva 2009/136/EG, recepita da noi nel quadro delle più ampie modiiche apportate ai “Codici” delle comunicazioni elettroniche e della privacy da parte dei d.lgs. n. 69 e n. 70 del 2012). Materia, questa, su cui è intervenuto a varie riprese lo stesso Garante per la protezione dei dati personali, risultandone ad oggi la necessità dell’acquisizione del consenso da parte degli utenti prima dell’utilizzo dei c.d. cookies di proilazione, oltre che, più in generale, alle c.d. accettazioni delle “informative sulla privacy”32 .

Oltre agli strumenti di anonimizzazione “soft” esistono anche anonimizzatori c.d. hard, i quali consistono (più che in “strumentazioni”) in vere e proprie “sovra/sotto strutture” della rete Internet, usufruibili solo da chi possiede speciiche competenze33 ed in

29 V., ad es. Corte giust., ord. 13 gennaio 2016, in C 517/15 P R, AGC Glass Europe SA.

30 Segnatamente, software di protezione dei terminali (come ad es. antivirus, antimalware, irewall, remailing, suicide machines), adozione di browser rispettosi delle norme europee sui dati personali, nonché trasmissione anonima di informazioni via virtual private network (VPN).

31 V., ad es., tra i primi doc., la Racc. 3/97 del Gruppo di lavoro per la tutela delle persone isiche con riguardo al trattamento dei dati personali, sull’“anonimato su Internet”).

32 Per alcune prime considerazioni sul punto cfr. D. Pousson, L’identité informatisée, cit., 407 ss.; nonché, più di recente, M. Untersinger, Anonymat sur Internet: protéger sa vie privée, cit., 67 ss.

33 Così, ad es., una delle “strutture” più note è quella che, collegando l’IP del terminale di chi naviga (c.d. ping) con l’IP di un altro terminale (c.d. Proxy), fa apparire questo secondo come client, rendendo più dificoltoso per i fornitori di accesso alla rete ricostruire/individuare i reali responsabili di quanto viene com-

grado di garantire (loro), a determinate condizioni, un anonimato assoluto (ovvero un’identità individuale non risalibile). Peraltro, si deve subito osservare come un tale versante tenda a fuoriuscire dai binari strettamente “giuridici” e “statali”, per farsi di tipo “politico” e “globale”, rilevando nelle migliori delle ipotesi come strumento di autodifesa o di ribellione e comunque, come è stato puntualmente osservato, “in rapporto ai concetti di dissenso politico e di democrazia”34 .

Del resto, l’idea stessa di rivolgere le tecnologie contro il potere precostituito non è certamente nuova … la novità sta forse nel fatto che oggi essa può dirsi parte anche di quel substrato culturale e politico (meglio noto come hacktivism) in cui è sorto anche Wikileaks, e cioè a dire quella piattaforma tecnologica ideata da Julian Assange, (con lo pseudonimo di Mendax) sostenuta da soisticati algoritmi di crittograia, grazie alla quale chiunque aveva ed ha la possibilità di depositare, in modo per l’appunto totalmente anonimo, dati riservati in una “buca delle lettere virtuale” che può essere decifrata solo da chi ne conosce i meccanismi di funzionamento.

Pare, poi, che si debba allo stesso governo americano il inanziamento del “progetto TOR” (The Onion Routers), con l’obiettivo proprio di precostituire un canale di comunicazione “sicuro” anche in quanto “anonimo” (v. ad es. l’impiego di questo tipo di tecnologie nei territori palestinesi e siriani).

Tuttavia, l’anonimato che pure si riesce così a garantire in rete può risultare “risalibile” in quei casi in cui l’individuo sia stato comunque identiicato nell’ambito e da parte del proprio ordinamento giuridico di appartenenza. Laddove affatto differente risulta, invece, a ben vedere, la situazione per i soggetti appartenenti a gruppi che non hanno fatto propri gli schemi organizzativi statuali basati sull’anagrafe e/o comunque su strutture di prelievo e registrazione dell’identità degli individui (v., al proposito, supra, il §1)35 .

piuto online (va da sé che più i c.d. ping sono numerosi ed in diverse parti del mondo, e più è dificile risalire allo user “reale” iniziale).

34 Cfr., sul punto, M. Cuniberti, Democrazie, dissenso politico e tutela dell’anonimato, in Dir. informaz. inf., 2014, spec. 122 ss.; e G.E. Vigevani, Anonimato, responsabilità e trasparenza nel quadro costituzionale italiano, ivi, 207 ss.

35 Cfr., sul punto, ad es. S. Bisi, Internet e anonimato, cit., 8.

In tali circostanze, infatti, a quell’esito di anonimato assoluto in rete conseguito da noi con tanti e defatiganti “artiici tecnologici” è dato di arrivare in maniera, si direbbe “più naturale” e “diretta”. Aprendosi, con ciò, un ulteriore capitolo relativo agli standards di identiicazione ed anonimato sul piano internazionale, ancora tutto da scrivere.

L’identità personale alla prova del web. Prime osservazioni sul nuovo Sistema pubblico di identità digitale (SPID)

Mimma Rospi

1. Introduzione

Il web genera “nodi virtuali” ovvero rapporti interpersonali che si basano su un nuovo modo di interfacciarsi con l’altro più celere, più immediato. Tra i nodi virtuali non è certo esente il rapporto tra pubbliche amministrazioni e cittadini, tanto da indurre l’UE e gli Stati membri ad avviare un processo di digitalizzazione della p.a., al ine di garantire un eficientamento dei servizi resi ai cittadini. In ciò si inserisce il nuovo sistema di identità digitale, che trae avvio dal regolamento europeo n. 910 del 23 luglio 2014, c.d. eIDAS, entrato in vigore il 1 luglio 2016, e, in Italia, con la realizzazione dello SPID, previsto nel d.lgs. n. 82, del 7 marzo 2005 e successive modiiche (da ultimo il d.lgs. 26 agosto 2016, n. 179), e a cui è stato dato attuazione con il d.p.c.m. 24 ottobre 2014.

Il sistema SPID, in vigore già dall’aprile 2016, è un sistema federato di gestione dell’identità digitale che consente ai soggetti giuridici, persone isiche e giuridiche, di utilizzare le medesime credenziali per l’accesso ai servizi in rete forniti da diversi fornitori sia privati, che pubblici, perseguendo gli obiettivi che già erano stati posti nel CAD. Si prevede, inoltre, l’obbligo per tutti i soggetti qualiicati dall’art. 3 del decreto ministeriale come “partecipanti allo SPID” di aderirvi, posto che le pubbliche amministrazioni sono obbligate a prendere parte al sistema SPID entro 24 mesi dall’accreditamento del primo gestore dell’identità digitale, peraltro già avvenuto con delibera di Accredita del 28 giugno 2016.

2. Il quadro normativo dell’Ue

Il sistema di identiicazione elettronica è stato oggetto di normazione con la direttiva del 1999/93/CE e, poi abrogata dal regolamento eIDAS. Il regolamento eIDAS pone come obiettivo dirimente l’eliminazione delle barriere transfrontaliere dei mezzi di identiicazione elettronica utilizzata negli Stati almeno per l’autenticazione dei servizi pubblici. È emerso che per raggiungere tale obiettivo, la nuova disciplina è incentrata sulla necessità di garantire effettivamente la sicurezza della trasmissione e condivisione dei dati, nonché una maggiore fruibilità per i soggetti di diritto, tanto persone isiche, tanto persone giuridiche, dei servizi pubblici online che ogni Stato offre all’interno del proprio spazio nazionale, ma che aspira a realizzare un mercato unico digitale in un'ottica transfrontaliera1 . All’art. 8, par. 7, si delega alla Commissione europea il compito di emanare linee guida che determino i tre livelli di sicurezza che devono essere garantiti nell’interoperabilità dei servizi di identiicazione elettronica tra Stati membri, quali il livello basso, signiicativo ed elevato, prevedendo una gradazione crescente dei controlli tecnici per ridurre il rischio di uso abusivo o alterazione dell’identità. In particolare, la Commissione ha emanato la decisione del 24 febbraio 2015 al ine di garantire procedure sempliicate di “revisione inter pares” tra gli Stati membri che intendono accedere a questo sistema di cooperazione ed interoperabilità unionale dei regimi di sicurezza di identiicazione elettronica2 (si ricordi, il riconoscimento reciproco degli strumenti di identiicazione online è obbligatorio per il settore pubblico, mentre è concepito come una facoltà per il settore privato) e, successivamente, la decisione n. 1502 dell’8 settembre 2015, con la quale la Commissione ha stabilito le speciiche tecniche dei livelli

1 Cfr. G. Finocchiaro, Una prima lettura del reg. UE n. 910/2014 (c.d. eIDAS): identiicazione online, irme elettroniche e servizi iduciari, in Nuove Leggi Civ. Comm., 2015, 3, 419 ss.

2 DECISIONE DI ESECUZIONE (UE) 2015/296 DELLA COMMISSIONE del 24 febbraio 2015 che stabilisce modalità procedurali per la cooperazione tra Stati membri in materia di identiicazione elettronica a norma dell’articolo 12, paragrafo 7, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identiicazione elettronica e servizi iduciari per le transazioni elettroniche nel mercato interno

di sicurezza garantiti ponendo come vademecum iniziale il ISO/IEC 29115, quale principale norma internazionale disponibile in materia di livelli di garanzia per i mezzi di identiicazione elettronica3 . Quel che preme sottolineare è che l’interesse dimostrato dall’UE per un sistema unionale di identiicazione elettronica si erge su due pilastri fondamentali, la garanzia della sicurezza del sistema e l’eficentamento dei servizi pubblici online, nel pieno rispetto della direttiva 95/46/CE sul trattamento dei dati personali che rimarrà in vigore ino al maggio 20184. Per raggiungere questo obiettivo si è strutturato un sistema in progress che sarà oggetto di veriiche da parte delle autorità di vigilanza nazionali ed europee, al ine di presentare al Parlamento europeo e al Consiglio i risultati raggiunti entro il 2020, che sarà utile per testare l’impatto dei sistemi di identiicazione elettronica sulla tutela della identità personale e l’eficentamento dei servizi pubblici in rete, anche in relazione alla nuova disciplina eurounitaria sul trattamento dei dati personali, soprattutto perché all’art. 1, comma 1 bis, del nuovo CAD si dispone che le deinizioni nella materia in oggetto rinviano espressamente a quelle previste nell’art. 3 del regolamento eIDAS.

3. Il quadro normativo italiano

Il sistema SPID è stato introdotto nell’ordinamento italiano dall’art. 64 del CAD, già nel 2005, da ultimo modiicato dal d.lgs. n. 179 del 2016. In particolare, dall’articolo 64, comma 2-ter, si ricava una de-

3 Considerando 3, REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE dell’8 settembre 2015 relativo alla deinizione delle speciiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identiicazione elettronica ai sensi dell’articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identiicazione elettronica e servizi iduciari per le transazioni elettroniche nel mercato interno.

4 Il nuovo regolamento UE 2016 (679) del Parlamento e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone isiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), entrato in vigore nel maggio 2016, ma applicabile a partire dal maggio 2018 secondo il disposto dell’art. 99, comma 2.

inizione in nuce di cosa si debba intendere per SPID, ovvero esso «è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’AgID, secondo modalità deinite con il decreto di cui al comma 2-sexies, identiicano gli utenti per consentire loro l’accesso ai servizi in rete». Di conseguenza, il sistema SPID è sia un sistema di identiicazione, sia un sistema di accesso ai servizi in rete, evidenziando una doppia natura e funzionalità.

È innanzitutto un sistema di identiicazione a cui si suole aggiungere l’aggettivo “digitale”, cogliendo l’evoluzione dei tempi che registrano la creazione di una vita “digitale” dei soggetti giuridici accanto alla vita “reale”. Così insieme all'identità personale siamo destinati ad avere una identità digitale senza che ino ad oggi si fosse in grado di comprendere cosa si dovesse intendere per identità digitale, evocando spesso scenari negativi di controllo da parte dei poteri forti sulle identità dei soggetti secondo la classica visione orwelliana. Il d.lgs. n. 179 del 2016 in realtà fa un passo in avanti in questo senso fornendo agli operatori del diritto, riprendendo in parte quanto già espresso nell’art. 1, lett o) del d.p.c.m del 24 ottobre 2014, una deinizione di identità digitale. Si legge all’art. 1, lett. u-quater, che l’identità digitale altro non è che «la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identiicativi, veriicata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità issate nel decreto attuativo dell’articolo 64».

La regolamentazione dello SPID è reperibile nel d.p.c.m. del 24 ottobre 2014, dal quale si ergono le norme, ancora vigenti, che stabiliscono i livelli di autenticazione informatica progressivamente crescenti in termini di sicurezza, stabiliti all’art. 6 del decreto ministeriale, per il quale:

a) nel primo livello, corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a un fattore, quale la password, secondo quanto previsto dal presente decreto e dai regolamenti di cui all’art. 4;

b) nel secondo livello, corrispondente al Level of Assurance LoA3 dello standard ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certiicati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE

del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all’art. 4;

c) nel terzo livello, corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su certiicati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all’art. 4.

L’art. 5 del decreto ministeriale ha delegato all’AgId il compito di emanare regolamenti attuativi per determinare i livelli di sicurezza da garantire agli utenti del sistema, nonché le regole tecniche a cui si sono dovuti adeguare i gestori delle identità digitali e i fornitori di servizi in rete sia pubblici, che privati. L’AgId ha approvato quattro regolamenti attuativi con determinazione n. 44 del 28 luglio 2015, da cui emerge un dato trasversale ovvero la necessità di garantire la sicurezza del sistema di identiicazione e l’utilizzo minimale dei dati personali e dati identiicativi, come espresso nell’art. 3 del terzo regolamento attuativo. Il regolamento più signiicativo ai nostri ini è il terzo, intitolato Recante le modalità attuative per la realizzazione dello SPID, ove sono stabiliti in modo dettagliato i requisiti dei tre livelli di sicurezza di identità digitale che i gestori devono garantire. In particolare nella tabella allegata al regolamento si associa ad ogni livello di sicurezza in proporzione crescente lo standard di danno causabile (basso, moderato, alto), qualora si veriichi una falla nel sistema sia per errore, sia per manomissione, prevendendo voci di danno “potenziale”: danno di reputazione, danni inanziari dell’utente o dell’erogatore del servizio, danno per il rilascio di informazioni sensibili dell’utente, danno per violazione di carattere civile, danno a programmi di interesse pubblico, impatto potenziale per la sicurezza dell’utente o dell’erogatore del servizio. Dal Livello 1 al livello 3 cambia il diverso grado di afidabilità del sistema di sicurezza adottato per cui i dati più importanti, come quelli sensibili che potrebbero subire un danno maggiore, sono inseriti via via nel livello di sicurezza superiore, posto che la raccolta e la gestione dei dati personali da parte dei gestori e degli erogatori dei servizi in rete è soggetta all’art. 3 e agli artt. 33 e ss. del d.lgs. n. 196 del 2003.

Il regolamento non si limita a prevedere regole tecniche dei livelli di autenticazione informatica, ma impone norme stringenti sulla procedura di rilascio della identità digitale al ine di evitare abusi o alterazioni delle identità personali “reali”, imponendo ai gestori di veriicare al momento della richiesta da parte del singolo utente l’identità dello stesso. Al riguardo si prevedono tre diverse modalità alternative di controllo della identità reale del richiedente: si prevede all’art. 7 la modalità di identiicazione a vista del soggetto richiedente, all’art. 8 l’identiicazione a vista da remoto tramite registrazione audio-visive, all’art. 9 l’identiicazione informatica tramite documenti digitali d’identità, all’art. 10 l’identiicazione informatica tramite altre identità SPID, posto che all’art. 2 si prevede la possibilità per ogni soggetto di diritto di richiedere più identità SPID, e all’art. 11 l’identiicazione informatica tramite irma elettronica qualiicata o irma digitale.

4. L’impatto del sistema SPID sull’identità personale

Effettuata una prima analisi della recentissima normativa sul sistema SPID, pare opportuno veriicare quale sia l’impatto che il nuovo sistema di identità digitale può scaturire sulla tutela della identità personale “reale”5. Importante ai nostri ini è deinire cosa si debba intendere per identità6. Al riguardo la dottrina e la giurisprudenza di legittimità ritengono che l’identità sia un bene giuridico che trova tutela costituzionale nell’art. 2 Cost., quale clausola aperta che tutela la libera estrinsecazione e lo sviluppo della personalità dell’individuo. L’identità come bene giuridico è concepibile come un centro da cui irradiano i c.d. diritti della personalità’ essi non sono che forme diverse ed autonome di tutela dello stesso bene giuridico ovvero l’identità del singolo, semplicemente il mondo virtuale ha incremen-

5 V. Amenta, A. Lazzaroni, L. Abba, L’identità digitale: dalle nuove frontiere del Sistema Pubblico di Identiicazione (SPID) alle problematiche legate al web, in Ciberspazio e diritto, 16, 52, 2015, 1, 11-28.

6 G. Finocchiaro, La protezione dei dati personali e la tutela dell’identità, in AA. VV., Diritto di Internet, Torino, UTET, 2014, 151-181. A. Principato, Verso nuovi approcci alla tutela della privacy: “privacy by design” e “privacy by default settings”, in Contratto e impresa, 2015, 1, 197-227.

tato le forme di manifestazione della medesima. Da ciò è possibile comprendere come l’identità digitale non sia tanto un nuovo diritto della personalità, bensì sia lo stesso bene giuridico dell’identità. Del resto ciò pare essere confermato dalla formulazione del nuovo CAD che qualiica come un diritto, per l’appunto, l’assegnazione di un’identità digitale ai sensi dell’art. 3, 1-quinques, per tutti i cittadini e le imprese, nonché, ai sensi del comma 1-sexies, per tutti gli iscritti all’Anagrafe nazionale della popolazione residente7, e non già un diritto alla identità digitale.

Tuttavia si è ingenerato un equivoco terminologico tra gli interpreti del diritto per la qualiicazione normativa di “identità digitale” che viene così equiparata al concetto del diritto all’identità personale. L’identità digitale non è solo il diritto a non vedersi traviata la propria personalità, ma essa si snoda in tutti i diritti della personalità. Ecco perché è necessario tutelare il bene giuridico della identità digitale attraverso forme di tutela della identità personale nei termini anzidetti, garantire il diritto alla riservatezza nella formulazione negativa di escludere gli altri dalla propria sfera personale e familiare per il tramite del c.d. diritto all’oblio, nonché il diritto alla protezione dei dati personali che altro non è che il controllo o autodeterminazione della circolazione dei propri dati personali.

La regolamentazione dello SPID sembra andare in questa direzione ovvero quella di tutelare il bene giuridico dell’identità anche in rete, predisponendo norme giuridiche a garanzia dei diritti della personalità. Non sembra che lo SPID possa ingenerare un mostrum elettronico di raccolta e controllo dei dati sui singoli soggetti, né che i singoli perdano i propri diritti di personalità o che barattino i propri dati in cambio di servizi online cedendo ai sistemi di business intelligent. Viceversa pare che lo SPID rafforzi in rete l’esercizio effettivo dei diritti della personalità, il singolo soggetto di diritto è messo realmente nelle condizioni di poter gestire autonomamente la propria identità digitale, anche correggendo le storture che una pubblica amministrazione elefantiaca e ingessata genera. Ciò è confermato dalla lettura della procedura di rilascio della identità digitale e della sua manutenzione; inoltre, la possibilità di sospendere o revocare l’identità digitale anche a richiesta del soggetto interessato, eviden-

zia che lo stesso può esercitare un maggior controllo dei propri dati personali che circolano fra i fornitori dei servizi in rete tramite il sistema SPID, anziché rimettere tutto il controllo e la gestione ai singoli funzionari amministrativi. La persona potrà autonomamente accedere alla propria identità digitale tramite le proprie credenziali modiicando tali dati, seguendo le norme in tema di ciclo di vita delle identità digitali8 .

Quel che preme sottolineare è che la raccolta e la condivisione dei dati personali tramite SPID tra i gestori delle identità digitali, i fornitori dei servizi in rete e gli users, non sono oggetto di proilazione. Questo sta ad indicare che tali dati sono tutelati pienamente e che non potranno essere oggetto di cessione o scambio economico per ini diversi da quelli istituzionali per i quali ogni singola istituzione pubblica ha richiesto il rilascio per l’accesso al servizio pubblico offerto in rete. Ciò si evince dal combinato disposto degli artt. del CAD e del Codice privacy cui espressamente rinvia l’art. 2, comma V, del CAD. In particolare l’art. 44 del CAD, disponendo i requisiti per la gestione e conservazione dei documenti informatici alla lettera f) del comma I, prevede l’obbligo per i gestori di garantire l’accesso in condizioni di sicurezza alle informazioni del sistema nel rispetto delle disposizioni in materia di tutela dei dati personali, tra i quali rientrano i dati sensibili e i dati giudiziari la cui trasmissibilità tra pubbliche amministrazioni può avvenire solo se previsto da legge, nelle modalità ivi previste e solo per ini istituzionali. Da ciò pare escludersi che i dati sensibili dei soggetti che accedono a SPID siano oggetto di proilazione, dato l’espresso divieto del Codice privacy cui si rinvia interamente per la disciplina del trattamento dei dati personali9. Il fatto che per gli altri dati personali non sensibili non si preveda la stessa tutela, non pare consistere in un indice della debolezza del sistema di tutela degli stessi, bensì si adegua alle normative di settore già previste negli allegati al Codice privacy per il loro trattamento in formato cartaceo, si pensi al trattamento dei dati sanitari, al trattamento dei dati per inalità statistiche e di stu-

8 Capo III, Artt. 19 ss., del Regolamento attuativo SPID, AgID determinazione n. 44 del 2015, reperibile in www.agid.com

9 E.C. Pallone, La proilazione degli individui connessi a Internet: “privacy online” e valore economico dei dati personali, in Ciberspazio e diritto, 16, 53, 2015, 2, 295-327.

dio, e anche al trattamento dei dati ai ini di marketing. Quel che è importante al ine di garantire l’integrità della identità del singolo è che i dati sensibili continuino ad avere una tutela giuridica e informatica maggiore rispetto agli altri dati che sono già più facilmente accessibili dai terzi. Proprio il sistema di gradazione crescente di sicurezza informatica dei tre livelli previsti da SPID, a seconda del tipo di dato raccolto, risponde a questa esigenza.

Quanto espresso pare trovare conferma anche nei successivi artt. 50 e 51, comma II, del CAD, ove i documenti informatici delle pubbliche amministrazioni devono essere custoditi e conservati per garantire l’integrità, la riservatezza, ed evitare l’utilizzo abusivo degli stessi, fuori dai limiti consentiti e solo per le inalità espresse da legge, ovvero le p.a. potranno condividere i dati, grazie al sistema SPID (che si ricordi, è un sistema federato di accesso ai servizi erogati in rete dalle pubbliche amministrazioni e tra pubbliche amministrazioni), esclusivamente per i loro ini istituzionali tramite l’ausilio del sistema pubblico di connettività (SPC). A ciò si aggiunga che l’art. 133 del Codice privacy espressamente rubricato “Internet e reti telematiche”, rinvia all’art. 11 del medesimo codice, richiamato inoltre dall’art. 22 del Codice privacy sulla condotta dei soggetti pubblici, ove si dispone che tutti i dati personali sono oggetto di trattamento secondo le medesime regole, quali:

«a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle inalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identiicazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati»,

oltre che rispettare le norme tecniche per il trattamento elettronico dei dati personali secondo l’allegato B al codice e secondo i regolamenti attuativi SPID prima illustrati.

Nel caso speciico si applicherà anche l’art. 25, comma I lett. b), del Codice privacy, ove si legge che «la comunicazione e la diffusione – dei dati personali – sono vietate […] lett. b) per inalità diverse da quelle indicate nella notiicazione del trattamento, ove prescritta». Ebbene il sistema SPID prevede ai sensi dell’art. 6 del regolamento attuativo che al momento dell'identiicazione del soggetto richiedente l’identità digitale, il gestore deve fornire una completa informativa sul trattamento dei dati personali ai sensi dell’art. 13 del d.lgs. n. 196 del 2003, e speciicare le inalità del rilascio degli “attributi identiicati” e degli “attributi secondari” per la messa in funzione della propria identità digitale10. Inoltre anche qualora si ammettesse la cessione da parte dei gestori delle identità digitali o da parte dei fornitori dei servizi in rete dei dati personali degli utenti anche a soggetti terzi rispetto alle p.a., comunque la decisione ultima di concedere la circolazione e, dunque, la proilazione dei propri dati personali, spetta al singolo soggetto di diritto, il quale dovrà prestare sempre il proprio consenso informato ai sensi dell’art. 13, comma III e ss., del Codice privacy, nel quale si prevede l’obbligo di informativa e di rilascio del consenso da parte dell’utente per tutti i tipi di trattamento dei dati personali, anche per le comunicazioni elettroniche, come si evince dalla lettura dell’art. 122 del codice in questione. Inine si ritiene che a livello di articolato normativo non si impone agli users di “accettare” forme di proilazione dei propri dati per accedere ai servizi pubblici in rete, se così non fosse si negherebbe l’esercizio dei diritti del cittadino. Tali dati non saranno oggetto di scambio commerciale o comunque di scambi che esulino dai ini istituzionali dei fornitori dei servizi pubblici online.

Si ricordi che è stato di recente approvato il nuovo regolamento UE 2016 (679) del Parlamento e del Consiglio del 27 aprile 2016, entrato in vigore nel maggio, ma applicabile a partire dal maggio 2018 secondo il disposto dell’art. 99, comma 2. Il presente regolamento, «relativo alla protezione delle persone isiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)», modiicherà la precedente normativa in materia di trattamento di

10 Per la deinizione di “attributi”, “attributi identiicativi”, “attributi secondari”, “attributi qualiicati”, si rimanda all’art. 1 del d.p.c.m. del 24 ottobre 2014.

dati personali con una ricaduta notevole sulle legislazioni nazionali al ine di uniformare la normativa in questione su scala eurounitaria11. Si pone all’evidenza sin da subito che il regolamento presenta tra i criteri-guida la minimizzazione dell’uso dei dati e la limitazione delle inalità di utilizzo nei sistemi di identiicazione e autenticazione digitali, come espressamente sancito nell’art. 5, lett. b) e c)12 .

5. L’incidenza del sistema SPID nei rapporti tra pubblica amministrazione e cittadini

Ai sensi dell’art. 2, comma 2, del CAD, tutte le pubbliche amministrazioni sono tenute ad adeguarsi al sistema SPID entro 24 mesi dal primo accreditamento13. L’obiettivo che si intende perseguire è quello di rendere concretamente fruibile l’amministrazione digitale, di cui lo SPID ne è un’asse portante14. In particolare si parla di digital irst, ovvero l’obbligo per le p.a. di sostituire gli attuali procedimenti in formato cartaceo con quelli in formato digitale15 .

I regolamenti attuativi offrono un panorama normativo in questo senso incrementando i diritti digitali di cittadini ed imprese, già previsti nell’artt. 3 e 12 del CAD e nel nuovo art. 3 bis della l. n. 241 del 1990, ove si dispone che «per conseguire maggiore eficienza nella loro attività, le amministrazioni pubbliche incentivano l’uso della telematica, nei rapporti interni, tra le diverse amministrazioni e tra queste e i privati»16 .

11 P. Passaglia, Privacy e nuove tecnologie, un rapporto dificile. Il caso emblematico dei social media, tra regole generali e ricerca di una speciicità, in www. giurcost.it, 28 settembre 2016, fasc. n. 3.

12 Regolamento UE 2016 (679) del Parlamento e del Consiglio del 27 aprile 2016: Articolo 5 – Principi applicabili al trattamento di dati personali.

13 V. www.agid.com.

14 F. Brugaletta, Lo stato di informatizzazione della p.a. in Italia e in Europa, in Diritto dell’Internet, cit., 691-712. F. Cardarelli, Amministrazione digitale, trasparenza e principio di legalità, in Diritto dell’informazione e dell’informatica, 2015, 1, 227-273.

15 Cfr. d.p.c.m. 13 novembre 2014, pubblicato in Gazzetta Uficiale n. 8 del 12 gennaio 2015.

16 V. anche l’art. 12 del CAD.

Tuttavia, il timore che le banche dati in possesso delle p.a. e dei gestori delle identità digitali possono essere piegati ad interessi non pubblici, genera scetticismo per la tutela delle identità dei singoli. Se tale timore trova riscontro nei vari episodi di hackeraggio, non deve distogliere l’attenzione dal miglioramento in termini di qualità della vita e di esercizio dei diritti che le nuove tecnologie offrono, ma deve concentrarsi sulla creazione di un sistema di responsabilità in caso di disservizio seguendo lo sviluppo delle tecnologie della sicurezza informatica. Lungo questa via si sta districando la recente giurisprudenza amministrativa che sanziona le amministrazioni inadempienti rispetto all’adeguamento all’Agenda digitale, e individua come responsabili in caso di mal funzionamento delle piattaforme digitali i soggetti pubblici che erogano servizi online17. A tal ine la Corte dei conti ha ritenuto responsabili per danno erariale i dirigenti pubblici di un ente locale, che non avevano raggiunto il livello degli indici di risultato per l’assolvimento degli obblighi di incremento di pubblicità e trasparenza, pur percependo l’indennità di risultato18, mentre il Tar Puglia è andato oltre, stabilendo che è onere della pubblica amministrazione assumersi il rischio dei malfunzionamenti e degli esiti anomali dei sistemi informatici di cui la stessa si avvale19 .

La giurisprudenza amministrativa sembra dare le prime risposte positive ai problemi che un sistema di gestione di identità digitale può causare, facendo trasparire una consapevolezza nei giudici ovvero che l’amministrazione digitale deve essere pienamente perseguita e che non sono più accettati i comportamenti remissivi delle

17 Cfr. T.A.R. Trentino, 15 aprile 2015, n. 149. In particolare il giudice amministrativo ha ritenuto responsabile tanto l’ideatore della piattaforma che non avesse proceduto a risolvere le eventuali anomalie di funzionamento, tanto il pubblico funzionario che, informato delle anomalie, non avesse compiuto le attività necessarie per accogliere le istanze del richiedente. Vedi anche, T.A.R. Friuli Venezia Giulia, Sez. I, 24 novembre 2015, n. 523; T.A.R. Puglia-Bari, Sez. I, 18 dicembre 2015, n. 1646.

18 Corte dei conti Lazio, 2 febbraio 2015.

19 Cfr. T.A.R. Puglia, 28 luglio 2015, n. 1094. V., G. Sgueo, L’Amministrazione digitale, in Giornale di Diritto Amministrativo, 2016, 1, 114 ss. B. Barmann, La responsabilità della amministrazione per il cattivo funzionamento dei sistemi informatici – il commento, in Giornale di Diritto Amministrativo, 2016, 3, 393 ss.

p.a. che si trincerano dietro le problematiche della tutela della sicurezza dei dati in rete.

6. Osservazioni conclusive

Le nuove tecnologie sono diventate strumenti di inclusione sociale nel rapporto tra cittadini e p.a., facilitando l’esercizio dei diritti dei singoli e migliorando l’eficacia della macchina amministrativa. In ciò si comprende il potenziale che offre il sistema SPID, perché ciascun individuo con le stesse credenziali d’accesso potrà autonomamente gestire i propri rapporti con le p.a.; inoltre, le p.a. aumenteranno i propri canali di interoperabilità e comunicazione dei dati, eficentando i servizi pubblici e riducendo i costi di gestione. Per rendere effettivo questo ambizioso progetto è necessario incrementare la formazione digitale dei funzionari amministrativi, perché altrimenti si continuerebbe a giustiicare un comportamento negligente delle p.a. Questo percorso verso il digitale, inoltre, deve investire sull’educazione al digitale dei cittadini, perché le ICTs non diventino strumento di esclusione sociale.

Per quanto concerne la pesante incudine dei sistemi di sicurezza dei dati personali, la ricerca scientiica in questo settore non conosce battute d’arresto. Le opportunità di migliorare l’esercizio dei propri diritti devono fungere da spinta motrice per il miglioramento dei sistemi di sicurezza. Il compito del giurista è quello di stabilire le regole e i principi entro cui la tecnologia può esprimere le proprie potenzialità al servizio dei diritti del cittadino.

Persone con disabilità e web: altri spazi di esclusione?

1. Premessa

Le persone con disabilità hanno sofferto, nel corso dei secoli, una perdurante condizione di esclusione economica, sociale, culturale e politica. Quando Internet e il web hanno iniziato a godere di una maggiore popolarità e diffusione è stato immediatamente chiaro che si tratta di strumenti che offrono grandi opportunità alle persone con disabilità, consentendo di abbattere alcune delle barriere, ancora esistenti, che impediscono loro una piena ed eguale inclusione. Anzi, data la rilevanza che Internet e la rete hanno acquisito nelle nostre vite quotidiane, chi non vi può accedervi si trova a essere, già solo per questo, in una condizione di svantaggio: si tratta del fenomeno – articolato e di non lineare lettura – del digital divide1 .

1 Il tema del digital divide, in termini generali, è stato analizzato da numerosissimi autori: si vedano, fra i tanti, P. Norris, Digital Divide: Civic Engagement, Information Poverty, and the Internet Worldwide, Cambridge, Cambridge University Press, 2001; M. Castells, Galassia internet, Milano, Feltrinelli, 2002, 231 passim; in chiave critica rispetto all’impostazione di Castells, cfr. J.A.G.M. van Dijk, A theory of the Digital Divide, in M. Ragnedda, G.W. Muschert, The Digital Divide. The Internet and Social Inequality in International Perspective, London, Routledge, 2013. Per quanto concerne la relazione fra digital divide e disabilità cfr. P.T. Jaeger, Disability and the Internet. Confronting a Digital Divide, Boulder, Rienner, 2011; K. Dobransky, E. Hargittai, The Disability Divide in Internet Access and Use, in Information, Communication & Society, 9, 3, 313-334. Per un inquadramento “quantitativo” del digital divide con particolare riferimento alle persone con disabilità, si veda M.R. Vicente, A.J. López, A Multidimensional Analysis of the Disability Digital Divide: Some Evidence for Internet Use, in The Information Society, 2010, 26, 48-64.

Per le persone con disabilità, però, nonostante la potenziale e preziosa utilità delle nuove tecnologie della comunicazione in chiave inclusiva, la questione è ancora più complessa: Internet e il web si presentano spesso, pur in misura e con modalità variabili, non accessibili.

Gli esempi sono molteplici, sia in positivo che in negativo: in una prospettiva inclusiva, si pensi alle maggiori opportunità lavorative e di studio offerte dal telelavoro o dall’e-learning; alla possibilità, per chi soffra di una particolare disabilità, di poter entrare in contatto con reti di sostegno o con persone che si trovino nella medesima condizione, senza intermediazione alcuna; o, ancora, si pensi ai possibili ritorni positivi in termini di sensibilizzazione dell’opinione pubblica, tramite un semplice blog o i social network. In termini negativi, si pensi invece, a titolo meramente esempliicativo, ai possibili problemi, per una persona ipovedente, nell’accedere a una pagina web che non sia compatibile con uno screen reader; o all’impossibilità, per una persona con una disabilità auditiva, di fruire di un contenuto video che non sia stato sottotitolato; o, ancora, ai problemi, per una persona con disabilità cognitiva, nel fruire di un servizio web che si presenti come inutilmente complesso o adoperi un linguaggio poco comprensibile. In casi come quelli appena elencati, la condizione d’esclusione iniziale sofferta dalle persone con disabilità è ulteriormente aggravata dall’essere tenuti fuori da una dimensione – quella della comunicazione digitale – che appare sempre più rilevante.

La domanda di ricerca dalla quale questo scritto prende le mosse è quindi relativa al chiarire quali siano i rimedi giuridici per ridurre, almeno parzialmente, il digital divide per le persone con disabilità, con riferimento all’ordinamento degli Stati Uniti d’America e all’ordinamento dell’Unione europea. In particolare, si prenderà in considerazione il versante della web accessibility: non quello, quindi, inerente all’accesso al “mezzo di comunicazione”, ma quello inerente all’accesso ai contenuti di una parte di Internet, il world wide web2. Per

2 Con riferimento all’accesso a Internet delle persone con disabilità si veda G. Chiara, L’accesso a internet dei soggetti diversamente abili; per quanto concerne gli aspetti qui presi più puntualmente in esame, cfr. G.A. Ferro, Note sulla normativa tecnica in materia di accesso dei disabili alla rete Internet; entrambi i lavori citati sono in A. Ciancio, G. De Minico, G. Demuro, F. Donati, M. Villone (a cura di), Nuovi mezzi di comunicazione e identità. Omologazione o diversità?, Roma, Aracne, 2012.

Persone con disabilità e web: altri spazi di esclusione?

quanto concerne il concetto di web accessibility, si farà qui riferimento a una nozione piuttosto ampia, quale quella proposta da Helen Petrie, Andreas Savva e Christopher Power: «all people, particularly disabled and older people, can use websites in a range of contexts of use, including mainstream and assistive technologies; to achieve this, websites need to be designed and developed to support usability across these contexts»3, pur nella consapevolezza che essa ricomprende un concetto – quello di usabilità – differente da quello di accessibilità4. La nozione di accessibilità è stata elaborata in primo luogo per il mondo isico; come per quest’ultimo, anche nel presente ambito di indagine ha acquisito una notevole rilevanza il concetto di progettazione universale (o universal design).

Prima di affrontare l’analisi delle regole volte a garantire la web accessibility negli ordinamenti appena sopra menzionati è però necessario affrontare alcuni punti relativi ai processi di standardizzazione e al diritto internazionale pattizio.

2. Processi di standardizzazione e una Convenzione ad hoc per i diritti delle persone con disabilità

Volgendo lo sguardo al contesto internazionale, si riscontra un fenomeno parallelo: se da un lato, a partire dagli anni novanta, si è affermata la necessità di standard tecnici destinati a garantire un certo grado di accessibilità del web a favore delle persone con disabilità, dall’altro si è avuto un importante processo di negoziazione che ha condotto all’elaborazione e all’entrata in vigore di uno strumento di diritto internazionale pattizio, la Convenzione delle Nazioni Unite sui diritti delle persone con disabilità, conclusa a New York nel dicembre del 2006 e contenente alcune disposizioni rilevanti ai ini di questo scritto.

3 La deinizione sopra riportata è stata elaborata dagli autori supra menzionati sulla base di molteplici e variegate deinizioni presenti in testi scientiici e normativi; cfr. H. Petrie, A. Savva, C. Power, Towards a Uniied Deinition of Web Accessibility, Proceeding of the 12th Web for All Conference, Florence, May 18-20, 2015.

4 Il concetto di usabilità verrà richiamato incidentalmente infra; per una chiara distinzione fra “accessibilità” e “usabilità” v. M. Capponi, Sui concetti di “accessibilità” ed “usabilità”, in Vega Journal, 2007, 3, 3, 12.

2.1 La standardizzazione e la web accessibility: attori e processi

In questa sede non è possibile dare conto dell’importanza che la deinizione di standard tecnici comuni ha acquisito, nel corso degli anni, nella prospettiva di una regolazione non statuale, soprattutto un ambito tecnologico5; attualmente gli strumenti di maggiore rilevanza per favorire la web accessibility sono quelli messi a punto dal World Wide Web Consortium (W3C). Il W3C è un organismo non governativo, con sede negli Stati Uniti d’America, dotato di una struttura simile a quella di altri organismi di standardizzazione: esso è composto da circa 400 membri, fra i quali igurano grandi gruppi industriali, aziende del mondo dell’informatica e delle TLC, enti non proit e centri di ricerca di tutto il mondo. Una sua sezione, la Web Accessibility Initiative (WAI), si occupa speciicamente, a partire dal 1997, dell’elaborazione di standard di accessibilità al web. Gli standard elaborati dalla WAI, qui rilevanti, sono attualmente le linee guida WCAG (Web content accessibility guidelines), le ATAG (Authoring Tool Accessibility Guidelines) e le UAAG (User Agent Accessibility Guidelines). Per quanto riguarda i contenuti, possiamo dire – molto sommariamente – che lo standard WCAG (che è stato aggiornato nel 2008 e è quindi giunto alla versione 2.0) riguarda i linguaggi, i protocolli e gli strumenti cui coloro che realizzano dei siti web dovrebbero fare riferimento per la realizzazione di questi ultimi; le relative raccomandazioni, ruotanti attorno a 4 principi cardine («The website must be “Perceivable” – “Operable” – “Understandable” – “Robust”») sono divenute de facto lo standard internazionale per quanto concerne l’accessibilità, venendo adottate anche dall’International Standard Organization (ISO)6, essendo spesso indicate dalle legislazioni nazionali quali paradigmi di riferimento o fungendo comunque da base per l’elaborazione di ulteriori standard nazionali o sovranazionali.

5 Cfr., ad esempio, F. Cafaggi, New Foundations of Transnational Private Regulations, in E. Palmerini, E. Stradella (a cura di), Law and Technology. The Challenge of Regulating Technological Development, Pisa, Pisa University Press, 2013, 77, passim. Per un inquadramento degli standard nella prospettiva della global polity, cfr. S. Cassese, Chi governa il mondo?, Bologna, Il Mulino, 2013, 15 ss.

6 Il recepimento ha avuto luogo con lo standard ISO/IEC 40500:2012.

Persone con disabilità e web: altri spazi di esclusione?

2.2 La Convenzione ONU sui diritti delle persone con disabilità

Il secondo fenomeno riguarda il diritto internazionale pattizio: in particolare, come si è detto, la negoziazione, la redazione e l’entrata in vigore della Convenzione ONU sui diritti delle persone con disabilità (d’ora in avanti, semplicemente Convenzione ONU), conclusa a New York nel dicembre del 2006, a chiusura di un percorso di consapevolezza e di rafforzamento dei diritti delle persone con disabilità risalente agli anni ’70. Molto si è scritto a proposito della Convenzione, sottolineando l’ambiziosa portata dei suoi obiettivi (consistenti nel coprire tutti gli ambiti di vita delle persone con disabilità attraverso una speciica declinazione dei diritti umani), mettendo in luce il fatto che si tratta del primo trattato internazionale in materia di diritti umani del XXI secolo e rimarcando lo straordinario numero di paesi che lo hanno sottoscritto e reso esecutivo in un lasso di tempo piuttosto contenuto7. Per quanto concerne l’oggetto speciico della nostra analisi, la Convenzione ONU contiene diverse disposizioni rilevanti in materia di accesso (anche) al web. L’art. 2, nel deinire alcuni dei concetti generali che vengono poi richiamati in altri punti della Convenzione, speciica che per “comunicazione” devono intendersi anche «i supporti multimediali accessibili nonché i sistemi, gli strumenti ed i formati di comunicazione migliorativa ed alternativa scritta, sonora, sempliicata, con ausilio di lettori umani, comprese le tecnologie dell’informazione e della comunicazione accessibili» (corsivo aggiunto). Poco più avanti, all’art. 4, lett. f), si legge che gli Stati parte della Convenzione si impegnano a «intraprendere o promuovere la ricerca e lo sviluppo di beni, servizi, apparecchiature e attrezzature progettati universalmente, secondo la deinizione di cui all’articolo 2 della presente Convenzione […]» e – alla lett. g) – che gli SP si impegnano a «intraprendere o promuovere la ricerca e lo sviluppo, ed a promuovere la disponibilità e l’uso di nuove tecnologie, incluse tecnologie dell’informazione e della comunicazione […] adatti

7 I commenti alla Convenzione ONU sono piuttosto numerosi; v. almeno

R. Kayess, P. French, Out of the Darkness into Light? Introducing the Convention on the Rights of Persons with Disabilities, in Human Rights Law Review, 8, 1, 2008, 1-34;

G. Quinn, The United Nations Convention on the Rights of Persons with Disabilities: Towards a New International Politics of Disability, in Tex. J. on C.L. & C.R., 15, 20092010, 33.

Nodi virtuali, legami informali: Internet alla ricerca di regole

alle persone con disabilità, dando priorità alle tecnologie dai costi più accessibili (corsivo aggiunto)». Da richiamare sono poi – nella particolare prospettiva di questo scritto – gli artt. 9 (relativo all’accessibilità)8 e 21 (dedicato alla comunicazione)9 .

Nell’impostazione della Convenzione ONU, ricostruibile anche da una sommaria lettura delle disposizioni appena menzionate, si può cogliere – come evidenziato da Marco Lazzari – la differenza che corre fra due diversi modi di vedere le tecnologie; da un lato, esse possono essere inquadrate come strumenti per «recuperare il terreno che separa “disabili” e “normali”» (ad esempio, in ambito educativo), concependo il computer come calcolatore isico (hardware) e virtuale (software). Ma, dall’altro lato, emerge chiaramente un riferimento agli strumenti tecnologici come dispositivi di informazione e di comunicazione: ed è questa l’accezione in cui essi vengono in considerazione nell'ottica della web accessibility. In questo senso, «si prospetta dunque l’idea che la tecnologia non agisca soltanto da ampliicatore cognitivo, ma divenga un vero e proprio ampliicatore sociale per le persone disabili»10 .

8 L’art. 9 della Convenzione ONU recita, al I comma, che «Al ine di consentire alle persone con disabilità di vivere in maniera indipendente e di partecipare pienamente a tutti gli aspetti della vita, gli Stati Parti adottano misure adeguate a garantire alle persone con disabilità, su base di uguaglianza con gli altri, l’accesso all’ambiente isico, ai trasporti, all’informazione e alla comunicazione, compresi i sistemi e le tecnologie di informazione e comunicazione, e ad altre attrezzature e servizi aperti o forniti al pubblico, sia nelle aree urbane che in quelle rurali». Fra questi impegni rientra anche, alla lett. g) del II comma, il «promuovere l’accesso delle persone con disabilità alle nuove tecnologie ed ai sistemi di informazione e comunicazione, compreso internet», nonché «promuovere alle primissime fasi la progettazione, lo sviluppo, la produzione e la distribuzione di tecnologie e sistemi di informazione e comunicazione, in modo che tali tecnologie e sistemi divengano accessibili al minor costo possibile».

9 All’art. 21 si menziona l’obbligo per gli SP, di «mettere a disposizione delle persone con disabilità le informazioni destinate al grande pubblico in forme accessibili e mediante tecnologie adeguate ai differenti tipi di disabilità, tempestivamente e senza costi aggiuntivi» (lett. a), nonché «di richiedere agli enti privati che offrono servizi al grande pubblico, anche attraverso internet, di fornire informazioni e servizi con sistemi accessibili e utilizzabili dalle persone con disabilità » (lett. g) (corsivi aggiunti).

10 Così M. Lazzari, La Convenzione ONU i diritti delle persone con disabilità e le

Persone con disabilità e web: altri spazi di esclusione?

3. La web accessibility nell’ordinamento statunitense

Quali, quindi, i possibili mezzi utilizzabili per ampliare l’accessibilità del web, nei due ordinamenti che si intendono prendere in esame in questa sede?

L’ordinamento statunitense contempla una nutrita panoplia di strumenti di garanzia dei diritti delle persone con disabilità11; il concetto di “accessibilità”, in particolare, è stato reso oggetto di una speciica tutela normativa da numerosi atti legislativi a livello federale, fra cui possono essere annoverati, per quanto riguarda l’oggetto di questo scritto, almeno il Rehabilitation Act del 1973, il fondamentale Americans with Disabilities Act del 1990 (d’ora in avanti, ADA), lo Individuals with Disabilities Education Act, il Telecommunications Act, il Twenty-irst Century Communications and Video Accessibility Act del 201012 .

tecnologie telematiche, in O. Osio, P. Braibanti (a cura di), Il diritto ai diritti. Rilessioni e approfondimenti a partire dalla Convenzione Onu sui diritti delle persone con disabilità, Roma, Franco Angeli, 2012, 77 passim. L’A. in questione richiama a sua volta A. Mangiatordi, M. Pischetola, Sustainable Innovation Strategies in Education: OLPC Case Studies in Ethiopia and Uruguay, in Proceedings of the III World Summit on the Knowledge Society, Corfù, Grecia, 2010, vol. II, 102.

11 Va sottolineato che gli Stati Uniti non hanno ancora ratiicato la Convenzione ONU; in proposito, per un possibile (positivo) impatto della Convenzione sul sistema statunitense, cfr. A.S. Kanter, The Americans with Disabilities Act at 25 Years: Lessons to Learn from the Convention on the Rights of People with Disabilities, in Drake Law Review, 63, 2015. Si può poi rilevare che il sistema statunitense di tutela dei diritti delle persone con disabilità ha avuto una certa inluenza sul sistema dell’Unione europea: v. in merito M. Priestley, In search of European disability policy: Between national and global, in ALTER – Revue européenne de recherche sur l’handicap, 1, 2007, 61 ss.

12 P.T. Jaeger, Disability, human rights and social justice. The ongoing struggle for online accessibility and equality, in First Monday, 20, 9, 2015: l’A. in questione rileva però che a tale ampia copertura formale non corrisponde una tutela sostanziale di pari latitudine: «Yet, the laws are often lightly enforced and are often ignored […]. This has led to scholars proposing new legal schemes or new ways of enforcing the existing laws […], but these have not led to widespread calls for change to the current legal structures».

3.1 La Section 508 del Rehabilitation Act

Ma fra gli atti citati nelle prime righe di questo paragrafo quello che va analizzato con maggiore è attenzione è il Rehabilitation Act del 1973; in particolare, merita d’essere presa in esame la Section 508 dell’atto legislativo in questione, introdotta durante la seconda amministrazione Clinton, con il Workforce Investment Act del 1998. Che cosa prevede la Section 508?

In buona sostanza, essa stabilisce che, a partire dal 2001, il governo federale degli Stati Uniti d’America debba dotarsi di tecnologie elettroniche e informatiche accessibili alle persone con disabilità. Per quanto riguarda i siti web del governo federale, essa issa degli standard di accessibilità stringenti e giustiziabili, incorporandoli nella regolazione federali degli appalti di fornitura13. La determinazione degli standard da osservare, ai sensi della Section 508, è afidato all’operare di un’agenzia federale (denominata Access Board). All’interno dell’Access Board opera un più ristretto comitato, denominato Electronic and Information Technology Access Advisory Committee (EITAAC), cui spetta la decisione sostanziale circa la standardizzazione; va osservato che, sino a oggi, si è optato per il recepimento degli standard dettati dal W3C. Che impatto ha avuto, in quasi vent’anni, quanto disposto dalla Section 508? La risposta è – tutto sommato – positiva; va innanzitutto premesso che il raggio d’azione della Section 508 di per sé è abbastanza limitato, dal momento che riguarda solo i siti web delle agenzie federali, mentre i siti pubblici dei singoli stati dell’Unione hanno una disciplina a sé. Né – va rimarcato – la Section 508 pone alcun onere di accessibilità per i siti web privati. Il grado di osservanza degli standard da essa dettati è piuttosto alto; stando ai dati resi disponibili dal governo federale statunitense nel mese di agosto 2016, la maggior parte delle Agenzie ha un livello di compliance superiore all’80%.

Tuttavia, l’obiettivo che la Section 508 si era posto, rendendo vincolanti gli standard di accessibilità, era ben più ambizioso; esso consisteva nel creare un mercato tecnologico orientato all’accessibilità, anche nei servizi da elargire via web. È stato centrato? La risposta non è lineare, ma la soluzione statunitense è stata mutuata, con

13 Cfr. L. McLawhorn, Recent Development: Leveling the Accessibility Playing Field: Section 508 of the Rehabilitation Act, in N.C.J.L. & Tech., 3, 2001-2002, 63.

Persone con disabilità e web: altri spazi di esclusione?

alcune variazioni, in diversi altri ordinamenti14 .

Da ultimo, va sottolineato che nel corso del 2015 si è parlato di una possibile riforma della Section 508; l’obiettivo della novella sarebbe lo stare al passo con i progressi tecnologici degli ultimi 16 anni. Fra i punti rilevanti della possibile riforma, vanno menzionati l’allargamento dell’applicabilità degli standard WCAG 2.0 e l’eliminazione di alcuni dei punti poco chiari presenti nel dettato legislativo, oltre a una più nitida deinizione di alcuni concetti e a un rafforzamento delle misure per l’interoperabilità. Si è detto, poco sopra, che nel sistema statunitense non sono presenti speciici oneri di accessibilità per il web “non istituzionale”, nonostante oggi esso abbia acquisito una notevole rilevanza. Merita a questo punto un rapido cenno una particolare evoluzione dell’ordinamento statunitense, relativa – appunto – a tale punctum dolens.

3.2La web accessibility e lo Americans with Disability Act (ADA)

È accettabile che siti web visitati quotidianamente da milioni di navigatori siano – del tutto o in parte – inaccessibili alle persone con disabilità? Alla luce di quanto esposto sino a ora, la risposta è decisamente negativa. In assenza di una disciplina ad hoc, l’ordinamento statunitense ha dato una parziale soddisfazione a quest’istanza d’eguaglianza e inclusione per via giurisprudenziale: per attaccare l’inaccessibilità dei siti web privati si è tentato di ricondurla a una discriminazione che ricada sotto la scure del titolo III dell’ADA15 .

Quest’ultimo vieta, in quanto discriminatoria, l’inaccessibilità di tutta una serie di “public accommodations” e “commercial facilities”, articolate in 12 categorie, che vanno dagli studi medici, alle strutture scolastiche, ai ristoranti, a cinema e teatri. Il punto su cui hanno lavorato i giudici d’oltreoceano riguarda la possibilità di non limitare la nozione di di “public accommodations” e “commercial facilities” agli spazi isici, ma di espanderla ulteriormente16. L’esercizio

14 Cfr. G. Astbrink, W. Tibben, Public Procurement and ICT Accessibility, in Proceedings of the 7th International Convention on Rehabilitation Engineering and Assistive Technology (pp. 1-4). Singapore: Singapore Therapeutic, Assistive & Rehabilitative Technologies (START), 2013, 1-4.

15 Va ricordato che l’accessibilità delle public entities è coperta dal II Title dell’ADA.

16 L. Wolk, Equal Access in Cyberspace: On Bridging the Digital Divide in Public Accommodations Coverage throught Amendment to the Americans with Disabilities

Nodi virtuali, legami informali: Internet alla ricerca di regole

ermeneutico non è stato inane, ma – come sottolineato in letteratura – sarebbe preferibile, allo stato attuale, tentare un aggiornamento più deciso dell’ADA, che consenta di cogliere alcuni sviluppi tecnologici non prevedibili quando esso, oltre vent’anni fa, è stato approvato dal Congresso e successivamente trascurati all’atto della novella del 200817 .

4. Across the pond: il diritto dell’Unione europea. La web accessibility fra soft law e hard law

Per quanto concerne il quadro della web accessibility delineato all’interno della legislazione dell’UE, va preliminarmente sottolineato che l’Unione è vincolata, a differenza dell’ordinamento statunitense, da quanto previsto dalla Convenzione ONU18 .

L’UE, a partire dagli anni ‘90, ha diffuso una serie di documenti sull’accessibilità del web; si trattava di atti riconducibili alla categoria del soft law. Fra essi, seguendo un ordine cronologico, possono essere menzionati il piano eEurope – an Information Society for Act, in Notre Dame L.R., 91, 1, 2015.

17 Oltre a L. Wolk, Equal Access in Cyberspace: on Bridging the Digital Divide, cit., cfr. anche B.A. Areheart, M.A. Stein, Integrating the Internet, in The George Washington Law Review, 83, 2015, 449 ss. e R. Colker, The Americans with Disabilities Act is outdated, in Drake Law Review, 63, 3, 2015: l’A. appena citata osserva, a pagina 788, che «No statute is perfect, however, and the ADA has been slow to catch up to the 21st century’s emphasis on information technology. Neither the statutory nor regulatory language explicitly responds to the technological changes that impede access for many individuals with disabilities – especially those with visual or learning disabilities – even though the preamble to the original 1991 ADA regulations aspires to meet this need».

18 Circa il rapporto fra diritto UE e Convenzione ONU si vedano L. Waddington, The European Union and the United Nations Convention on the Rights of Persons with Disabilities: a Story of Exclusive Shared Competences, in Maastricht J. Eur. & Comp. L., 18, 2011, 431 ss., nonché D. Ferri, The Conclusion of the UN Convention on the Rights of Persons with Disabilities by the EC/EU: A Constitutional Perspective, in G. Quinn, L. Waddington (eds.), The European Yearbook of Disability Law, vol. II, Antwerp, Intersentia, 2010, 47 ss.; J.W. Reiss, Innovative Governance in a Federal Europe: Implementing the Convention on the Rights of Persons with Disabilities, in European Law Journal, 20, 1, 2014, 107-125.

Persone con disabilità e web: altri spazi di esclusione?

All, lanciato nel 1999; fra il 2001 e il 2002 si registrano in particolare la comunicazione dalla Commissione al Consiglio, al CESE, al Parlamento e al Comitato eEurope 2002: Accessibility of Public Web Sites and their Content, ove si richiamava un documento più ampio (lo eEurope – european action plan) e si evidenziava la necessità, per le istituzioni dell’Unione e per gli stati membri, di adottare gli standard WAI. Inoltre, nel documento in questione si delineava un pur tiepido meccanismo di controllo (con l’individuazione di alcune good practices da monitorare) e – è interessante rilevarlo – l’intento di saldare quanto previsto in tema di web accessibility con il contenuto dei programmi quadro di ricerca inanziati dall’UE. Inoltre, va sottolineato che l’adozione degli standard di accessibilità veniva considerato uno strumento di carattere politico, funzionale all’inclusione delle persone con disabilità nella società dell’informazione19. Un importante obiettivo, all’epoca, veniva individuato nell’implementazione delle linee guida in occasione dell’anno europeo sulla disabilità, proclamato per il 2004. In occasione di tale appuntamento venne proposto, già nel 2003 uno European disability plan (più volte rilanciato), in cui la web accessibility è ben presente. Altri documenti – non vincolanti – in cui si fa menzione della web accessibility sono stati stilati nel 2005, nel 2007 e nel 2009; e – merita rilevarlo – nel 2010, con la Strategia europea sulla disabilità 2010-2020, ove si precisa che per “accessibilità” si deve intendere «la possibilità per le persone disabili di avere accesso, su una base di uguaglianza con gli altri, all’ambiente isico, ai trasporti, ai sistemi e alle tecnologie dell’informazione e della comunicazione (TIC) nonché ad altri servizi e strutture» (corsivo aggiunto); nello stesso anno, l’Agenda digitale europea rilanciava l’impegno dell’UE per una società dell’informazione accessibile20. Sin qui, come detto, il soft law. Va però registrata, nelle settimane in cui questo scritto vede la luce, un importante punto di svolta: il 26 ottobre 2016 il Parlamento europeo ha approvato, in seconda lettura, una propo-

19 Lo sottolinea G.A. Ferro, Note sulla normativa tecnica, cit., 97 20 È appunto questo (Verso una società dell’informazione accessibile) il titolo di una Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, richiamata all’interno dell’Agenda digitale europea.

Nodi virtuali, legami informali: Internet alla ricerca di regole

sta di direttiva, il cui iter è iniziato nel 2012, che intende rendere obbligatori, per i siti istituzionali dell’Unione e degli Stati membri, oltre che per le relative mobile app, degli standard europei approvati nel 2014 e basati sugli standard WCAG 2.0, nella prospettiva della creazione di un mercato digitale accessibile. L’armonizzazione richiesta agli Stati membri sarà oggetto di una speciica azione di monitoraggio, deinita dall’art. 8 della Direttiva in questione.

Inoltre, de iure condendo, avrà probabilmente, anche in quest’ambito, un impatto notevole lo European Accessibility Act, destinato a regolare organicamente l’accessibilità di beni e servizi all’interno del mercato unico europeo e attualmente in fase di elaborazione.

5. Stati Uniti ed Europa: conclusioni e spunti di comparazione

Da quanto esposto emerge un trend convergente: le due sponde dell’Atlantico sono – sotto il proilo della web accessibility – piuttosto vicine: in entrambi i casi, infatti, si è individuato nel public procurement il mezzo idoneo a spingere il mercato verso la piena accessibilità del web, almeno sul versante pubblico; sul versante privato, come detto, non mancano nodi piuttosto intricati da sciogliere. Nell’ambito dell’Unione europea si parla da tempo dell’inserimento di standard di accessibilità anche per i siti commerciali, con l’approvazione dell’European Accessibility Act, menzionato appena sopra, non senza resistenze e perplessità da parte di alcuni attori economici21. Abbiamo visto come problemi simili si siano posti negli Stati Uniti. In proposito, erano stati riportati, da parte degli organi di stampa, alcuni segnali di una possibile disciplina federale. Tuttavia, dato il successo elettorale di Donald J. Trump nelle elezioni presidenziali del novembre 2016 e l’indecifrabilità, al momento, del suo programma in materia di inclusione delle persone con disabilità, non è possibile azzardare pronostici per il futuro.

21 Si vedano, ad esempio, alcune delle perplessità e delle obiezioni riportate in J. Harris, O. Marzocchi, The European Accessibility Act – In-depth analysis, paper redatto dal Policy Department on Citizens’ Rights and Constitutional Affairs del Parlamento europeo, 15 agosto 2016.

Persone con disabilità e web: altri spazi di esclusione?

Si è detto (cfr. n. 12) che la disciplina statunitense, nonostante l’alta percentuale di osservanza degli standard da parte del governo federale, non è riuscita a plasmare un sistema nel quale i siti web del governo sono universalmente accessibili; e allo stesso modo, è stato osservato che è stato solo (assai) parzialmente conseguito l’obiettivo europeo di creare un sistema di e-government pienamente accessibile22. Inoltre, in conclusione, va ravvisato come non manchino voci critiche nei confronti della stessa idea di standardizzazione dei requisiti di accessibilità del web, alla luce dell’intrinseca politicità delle scelte di standardizzazione e del fatto che esse, nella loro attuale impostazione, inirebbero per non rispettare la natura della disabilità quale fenomeno complesso e culturalmente variabile23 .

22 Cfr. C. Easton, Website accessibility and the European Union: Citizenship, Procurement and the Proposed Accessibility Act, in International Review of Law, Computers & Technology, 27, 2013, 1-2, 187-199: come sottolinea l’A. in questione «The failure to create accessible public websites demonstrates the implementation gap between the, often opaque, legislative requirements and the achievement of access for all. The Digital Agenda and the EU Citizenship Report highlight the importance of accessible egovernment and, ultimately, commercial websites. The piecemeal development of legislative provisions in relation to disability access has led to a fragmented position that has not resulted in tangible change, even in the public domain».

23 Cfr. S. Lewthwaite, Web Accessibility Standards and Disability: Developing Critical Perspectives on Accessibility, in Disability and Rehabilitation, 36, 16, 2014, 13751383.

Neutralità della rete e uguaglianza: dallo

stato di natura al diritto

1. Introduzione

Tra i temi più dibattuti relativamente al binomio regola e Internet vi è certamente quello della c.d. net neutrality, ossia il principio di neutralità della rete Internet.

Tema di grande rilevanza non solo perché riprende principi e domande centrali del diritto – se e quando è necessario normare un determinato fenomeno, chi sia il legislatore, gli utenti di Internet (i c.d. internauti)1 o lo Stato2, che tipo di norme deve

1 La possibilità di una regolamentazione di Internet da parte degli utenti e dei suoi operatori si basa sul concetto di autonomia privata collettiva che si afianca all’autonomia privata individuale di cui all’art. 1322 c.c. Tra l’individuo e la società vi sono infatti dei gruppi intermedi, riconosciuti dall’art. 2 Cost., che pur essendo inseriti nel corpo sociale non lo sono però nell’organizzazione giuridica dello Stato. L’ordinamento riconosce a questi gruppi l’utilizzo di strumenti giuridici di diritto privato per la soddisfazione dei propri interessi, al pari di quanto succede per il singolo con l’autonomia privata individuale. La differenza è che mentre nell’autonomia privata individuale l’interesse del singolo è limitato solo dagli interessi dello Stato, nell’autonomia privata collettiva l’interesse dei singoli appartenenti al gruppo è limitata e subordinata anche all’interesse del gruppo nel suo complesso.

Così P. Pugliatti, voce Autonomia collettiva, Enciclopedia del diritto, 369 ss.

2 A superamento delle teorie eteronome e autome è stata proposta la c.d. co-regulation, igura ibrida che ha la base nel naturale evolversi del diritto dei privati, propria della self-regulation, ma che riconosce la necessità della presenza di un soggetto autoritativo, il quale concederà la forza tipica dei suoi atti in cambio di una riduzione dell’autonomia negoziale degli autori privati. Così G. De Minico, Internet Regola e anarchia, Napoli, Jovene, 2012, 13 ss.

usare3, come inluisce l’ambiente e il contesto di riferimento con la situazione giuridica da normare4 – ma anche perché si presta ad illustrare il passaggio, o la necessità del passaggio, da uno stato di anomia, di assenza di regole giuridiche, a uno normato, un ordinamento giuridico.

La net neutrality può essere considerata un fenomeno interdisciplinare che coinvolge questioni eterogenee5. Tale eccentricità si rilette nel nome stesso, risultando criptico per alcuni e spingendo altri a ragionare su una nomenclatura differente6. Ecco quindi che al nome neutralità si afianca subito quello di uguaglianza. Dal punto di vista giuridico infatti, la net neutrality trova un precedente illustre proprio nel principio di uguaglianza.

Compito di tale trattazione è quindi quello di illustrare perché la neutralità della rete può essere considerata una declinazione, un’applicazione concreta del generale principio di uguaglianza al nuovo mondo del c.d. cyberspazio.

3 La dottrina sostiene la necessità che la disciplina di Internet sia contemporaneamente eteronoma (autoritativa) e autonoma (soft law), al ine di coniugare una disciplina valevole per tutti e che riequilibri i rapporti tra le diverse parti in gioco, col rispetto della multiforme e luida realtà derivante dalla continua evoluzione tecnologica. Così G. De Minico, Internet Regola e anarchia, cit., 8.

4 «a) il tema delle libertà sia in primo luogo il tema dei poteri pubblici incidenti su singoli aspetti della personalità individuale e solo in via conseguenziale degli strumenti posti dall’ordinamento a disposizione del singolo per reagire all’esercizio di tali poteri; b) […] la libertà è una delle variabili che si determinano in funzione di circostanze storiche […]; c) le circostanze storiche e positive siano considerate preliminari […]; d) i problemi posti dalla libertà debbano essere inquadrati in un contesto piuttosto storico che dogmatico […]». Così G. Amato, Individuo e autorità nella disciplina della libertà personale, Milano, Giuffrè, 1967, XII, 2.

5 M. Mensi, P. Falletta, Il diritto del Web, Padova, CEDAM, 2015, 99.

6 F. Chiusi, Net Neutrality a rischio. Cos’è e perché ci riguarda tutti, in ValigiaBlu, 7 novembre 2015, www.valigiablu.it/netneutrality/. M. Oroino, La declinazione della net-neutrality nel Regolamento europeo 2015/2120. Un primo passo per garantire un’Internet aperta?, in Federalismi.it, 21 novembre 2016.

Neutralità della rete e uguaglianza: dallo stato di natura al diritto

2. La rilevanza del principio di uguaglianza nel nuovo luogo del cyberspazio

Internet non è solo un mezzo di comunicazione. È un luogo, una nuova dimensione dell’agire umano7. È uno spazio pubblico in cui esercitiamo diritti, adempiamo doveri e usufruiamo di ininiti servizi.

L’uomo ha scoperto un nuovo territorio: il cyberspazio. Un territorio tutt’altro che virtuale, ricco di opportunità ma dove si può anche esser vittima di truffe e reati8 .

Nonostante si parli tradizionalmente di Internet come qualcosa di diverso dalla realtà, non vi è in verità distinzione tra realtà e virtuale essendo entrambe realtà, entrambe vere, due manifestazioni dell’agire umano. Tutt’al più si potrebbe distinguere tra realtà materiale e immateriale9 senza che però questa distinzione tolga all’immaterialità di Internet la valenza di spazio, di formazione sociale per alcuni10, in cui l’uomo può svolgere la sua personalità.

7 «Una dimensione ulteriore, rispetto a quelle “classiche”, nella quale l’essere umano vive, si forma, si informa, comunica, forgia, cioè, la sua identità, come uomo e come cittadino». Così P. Passaglia, Internet nella Costituzione italiana: considerazioni introduttive, in Consulta Online, 8. Si veda anche: A. Morrone, Internet come spazio pubblico costituzionale. Sulla costituzionalità delle norme a tutela del diritto d’autore deliberate dall’Agcom, in Federalismi.it, 24 novembre 2015, consultabile al link: www.federalismi.it/nv14/articolo-documento.cfm?Artid=28020; F. Marcelli, P. Marsocci, M. Pietrangelo, La rete Internet come spazio di partecipazione politica, Napoli, Editoriale Scientiica, 2015.

8 «Il modo in cui si sta evolvendo la partecipazione popolare alla vita politica, con l’emersione progressiva di una vera cittadinanza globale, esige appunto che Internet venga considerato come un common, uno spazio comune, dove dev’essere respinta ogni forma di diseguaglianza digitale, controllo esterno, censura».

Così S. Rodotà, Il diritto di avere diritti, Roma-Bari, Laterza, 2013, 131.

9 Per approfondire il rapporto tra realtà materiale e immateriale si veda: S. Quintarelli, Costruire il domani. Istruzioni per un futuro immateriale, Milano, in Il Sole 24 Ore, 2016, 1, 7: «Materiale e immateriale non sono sinonimi di reale e virtuale. Il reale può essere materiale o immateriale. Per questo, con i miei interlocutori, scoraggio l’uso del termine “virtuale” per riferirsi al reale immateriale».

10 «[Internet] uno spazio immateriale, ma non astratto, che si offre per una nuova compresenza di libertà e diritti; nella sua dimensione di Agorà, aggiuntiva ma non sostitutiva ai luoghi isici per l’esercizio dei diritti fondamentali, non può che ap-

Nodi virtuali, legami informali: Internet alla ricerca di regole

Inoltre, anche Internet ha una sua isicità materiale e ontologica. È infatti un insieme di cavi, nodi e snodi che avvolgono il pianeta e all’interno dei quali passano le informazioni sotto forma di pacchetti di dati. Quei dati siamo noi, le nostre informazioni, i nostri pensieri, i nostri studi, la nostra attività d’impresa o professionale, la nostra vita.

Così come nelle città o negli Stati circolano le persone, allo stesso modo nel cyberspazio circolano i dati di queste persone. In ultima analisi i dati diventano la rappresentazione immateriale delle persone, le persone stesse nello spazio cibernetico: noi11 .

Ne seguirà così che: come non sono più tollerate discriminazioni di alcun tipo ai diritti umani, allo stesso modo non si potrebbero tollerare forme di discriminazione nella gestione del trafico dati – e quindi dei dati – su Internet perché anche questa sarebbe una limitazione delle possibilità umane, dei diritti dell’uomo ma su Internet12 .

Ecco perché uguaglianza. Il principio di uguaglianza (formale) vieta ogni tipo di discriminazione ad eccezione di quelle necessarie per garantire l’effettivo esercizio dei diritti da parte di tutti (uguaglianza sostanziale).

La stessa ratio si rinviene nella net neutrality13, ossia il principio secondo il quale il trafico dati online non deve subire discriminazioni partenere a tutti e quindi a nessuno. Il suo essere un bene a imputazione diffusa è il rilesso del suo porsi al servizio di libertà a titolarità generalizzata» Così G. De Minico, Net Neutrality come diritto fondamentale di chi verrà, in costituzionalismo.it, fascicolo 2016, 1, 3. A. Morrone, Internet come spazio pubblico costituzionale, cit.; F. Marcelli, P. Marsocci, M. Pietrangelo, La rete Internet come spazio di partecipazione politica, cit.

11 «la nostra rappresentazione sociale è sempre più afidata a informazioni sparse in una molteplicità di banche dati, ed ai “proili” che su questa base vengono costruiti». Così S. Rodotà, Il diritto di avere diritti, cit., 396.

12 Tale ricostruzione, che comporta l’espansione del campo di applicazione del principio di uguaglianza anche alla realtà online, ripercorre quella analoga relativa all’estensione della tutela della libertà personale alla tutela dei dati personali e, quindi, al passaggio dal c.d. habeas corpus all’habeas data. T.E. Frosini, Libertè Egalitè Internet, Napoli, Editoriale Scientiica, 2015, 20; S. Rodotà, Il diritto di avere diritti, cit., 397; S. Russo, A. Sciuto, Habeas Data e informatica, Milano, Giuffrè, 2011.

13 «Essa [Net Neutrality], anche se priva di una deinizione univoca, trova il suo contenuto minimo nel divieto per il fornitore dell’accesso alla rete di discriminare in qualità o velocità contenuti, applicazioni o servizi offerti da chi vuole diffonderli alla comunità indifferenziata dei naviganti in Internet». Così G. De Minico, Net Neutrality come diritto fondamentale di chi verrà, cit., 2.

Neutralità della rete e uguaglianza: dallo stato di natura al diritto

irragionevoli14. Perché discriminare il trafico dati può voler dire privilegiare alcuni a discapito di altri, far andare più veloce alcuni e non altri, limitare la libertà di scelta o alterare la libera concorrenza15 .

Ecco quindi che la net neutrality verrebbe a conigurarsi come la versione digitale del principio di uguaglianza. È quindi quel principio che, imponendo un trattamento a condizioni equivalenti di tutti i dati, assicura l’uguaglianza degli uomini nel nuovo luogo Internet. Assicura che tutti abbiano accesso agli stessi mezzi, le stesse opportunità e gli stessi diritti.

È ormai entrato nel linguaggio comune il paragone tra il navigare sui mari e su Internet.

I mari sono spazi di cui l’uomo nel tempo ha acquisito sempre più la disponibilità16 .

In questo luogo dapprima non c’era alcuna regolamentazione se non quella tecnica per consentire e migliorare la navigazione. Ciò ha chiaramente agevolato il naturale sviluppo della tecnologia, il libero accesso a questi luoghi, la crescita del commercio e altre attività.

14 A. Fuggetta, Concepts, Facts, and Myths in the Net Neutrality Debate, in Medium, marzo 2015: https://medium.com/@alfonsofuggetta/concepts-facts-andmyths-in-the-net-neutrality-debate-86bb4002812b#.pyoaha12d Il terzo comma dell’art. 3 del Regolamento UE 2015/2120 recita: «Il primo comma non impedisce ai fornitori di servizi di accesso a Internet di attuare misure di gestione ragionevole del trafico. Per essere considerate ragionevoli, tali misure devono essere trasparenti, non discriminatorie e proporzionate e non devono essere basate su considerazioni di ordine commerciale ma su requisiti di qualità tecnica del servizio obiettivamente diversi di speciiche categorie di trafico. Tali misure non controllano i contenuti speciici e sono mantenute per il tempo strettamente necessario».

15 Il riferimento è al fenomeno del c.d. Zero Rating che, in alcuni casi, può essere un ostacolo all’ingresso sul mercato di nuovi operatori e falsare la concorrenza. Essa è deinita dalle Guidelines to National Regulatory Authorities on the implementation of the new net neutrality del Berec come: «where an ISP applies a price of zero to the data trafic associated with a particular application or category of applications».

16 Sia consentito rinviare a G. D’Ippolito, Audizione informale sui ddl. nn. 1371 e 1561 (diritto di accesso ad Internet), Comm. Affari Costituzionali del Senato della Repubblica, 4 marzo 2015: www.senato.it/application/xmanager/projects/leg17/ attachments/documento_evento_procedura_commissione/iles/000/002/399/CULTURA_DEMOCRATICA.pdf

Con il passare del tempo però un soggetto è diventato più forte degli altri imponendo i suoi interessi. Questo perché l’assenza di norme, sul lungo periodo, ha come naturale conseguenza l’applicazione della legge del più forte.

Uno spazio lasciato a se stesso perde la capacità di svilupparsi e di crescere in modo uguale per tutti17. È questo il momento in cui alla regolamentazione tecnica si è afiancata quella giuridica, al ine di garantire a tutti gli stessi diritti e le stesse possibilità di crescita e sviluppo18 .

Queste stesse dinamiche si possono rinvenire oggi su Internet.

L’uomo ha scoperto un nuovo luogo e lo ha visto crescere spontaneamente inché, in un certo periodo storico e in uno spazio di anomia, all’esercizio dei diritti si è afiancata la loro repressione, a volte anche inconsapevole, da parte di soggetti che, per motivi sia leciti che illeciti, hanno ottenuto una posizione di supremazia19 .

Anche su Internet, o meglio nel Cyberspazio, le regole tecniche20 non bastano più ma servono norme giuridiche che garantiscano a tutti pari opportunità, paciica convivenza, sviluppo tanto del singolo quanto del sistema, concorrenza leale21 .

17 L. Lessig, Introduction, in Free Software, Free Society. The Selected Essay of Richard M. Stallman, Boston, GNU Press, 2002.

18 V. Crisafulli, Lezioni di diritto costituzionale. I Gli ordinamenti giuridici – Stato e costituzione. Formazione della Repubblica italiana, Padova, CEDAM, 1970, 8 ss.

19 «Lo slogan “libere reti in libero cyberspazio” cozza con un principio che noi giuristi conosciamo bene, ovvero che la libertà ha sempre bisogno di un quadro istituzionale che le consenta di rimanere al riparo dagli attacchi che a essa possono essere portati anche senza una volontà censoria». Così T.E. Frosini, Libertè Egalitè Internet, cit., 31.

20 Anche per Internet ritroviamo il tradizionale dibattito tra tecnica e diritto e la riteorizzazione della c.d. tecnocrazia. L’ideologia tecnocratica è infatti quella concezione che si basa sulla preminenza della competenza e della tecnica sulla politica, vista come il regno dell’incompetenza, della corruzione e del particolarismo. Ci si interroga così sulla necessità di un ricorso alle c.d. norme tecniche affrontando la questione secondo due direttrici: da una parte si indagano le conseguenze e i problemi che possono derivare dall’applicazione di norme tecniche, tanto da parte dei pubblici poteri che dei soggetti privati; dall’altra, a partire dalla metà del ‘900, ci si è soffermati sui problemi che derivano tra le norme tecniche e le norme giuridiche e la possibilità delle prime di essere collocate nel sistema delle fonti. Così F. Salmoni, Le norme tecniche, Milano, Giuffrè, 2001, 4 ss. e 31 ss.

21 Quali siano le regole migliori per garantire le libertà online e il nuovo spazio

Neutralità della rete e uguaglianza: dallo stato di natura al diritto

Oppure, se si guarda il fenomeno con riferimento ad un sistema giuridico complesso e che prevede forme di regolamentazione riferite a contesti ormai passati, non si può ignorare la possibilità di adottare nuove norme. Norme che se disegnate sui mutati assetti della società, comprendendone i relativi interessi spesso contrastanti, potrebbero essere più idonee per scongiurare il rischio che quelle vecchie soffochino business nascenti, come pure lasciare aperte lacune da cui possono nascere monopoli dannosi e in contrasto con l’utilità sociale22 .

Tale passaggio da una condizione di assenza normativa alla sua necessità lo si può leggere in due eventi che possono essere convenzionalmente considerati come date spartiacque tra un’“era” e l’altra: il 1996 e il 2014. La prima, relativa alla proclamazione della «dichiarazione di indipendenza del Cyberspazio», con la quale si rivendicava la totale estraneità di Internet dagli Stati e dalle loro regole23; la seconda che, in presenza di un contesto sociale rapidamente cambiato e con un numero sempre maggiore di persone (e cose)24

di Internet è questione affrontata da: G. De Minico, Towards an Internet Bill of Rights, in Loy. L.A. Int’l & Comp. L. Rev., 2015, 1, 37, disponibile su: http://digitalcommons.lmu.edu/ilr/vol37/iss1/1

22 A. Longo, Nicita: “Serve un nuovo framework regolatorio per accompagnare la rivoluzione digitale”, in Cor.Com, 6 ottobre 2016: www.corrierecomunicazioni. it/tlc/43801_nicita-serve-un-nuovo-framework-regolatorio-per-accompagnare-la-rivoluzione-digitale.htm

23 Ormai celebri sono le parole di tale dichiarazione, scritta da John Perry Barlow e pubblica online nel febbraio del 1996: «Governments of the Industrial World, you weary giants of lesh and steel, I come from Cyberspace, the new home of Mind. On behalf of the future, I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty where we gather. […]». Il testo è disponibile al seguente link: https://w2.eff.org/Censorship/Internet_censorship_bills/barlow_0296.declaration.

24 Il riferimento è al c.d. Internet of Things (IoT), l’Internet delle cose o degli oggetti, ossia una possibile evoluzione dell’uso della Rete: gli oggetti si rendono riconoscibili e acquisiscono intelligenza grazie al fatto di poter comunicare dati su se stessi e accedere ad informazioni aggregate da parte di altri. Le sveglie suonano prima in caso di trafico, le scarpe da ginnastica trasmettono tempi, velocità e distanza per gareggiare in tempo reale con persone dall’altra parte del globo, i vasetti delle medicine avvisano i familiari se si dimentica di prendere il farmaco. Tutti gli oggetti possono acquisire un ruolo attivo grazie al collegamento alla Rete. P. Magrassi, Supranet, in Dizionario dell’economia digitale, V. Di Bari (a cura di), Milano, in Sole 24 Ore, Pirola, 2002.

connesse ad Internet, giunge al riconoscimento della necessità di una Magna Charta per Internet25, una «Internet Bill of Rights»26, che assicuri l’uguaglianza e le libertà su Internet.

L’esperienza del costituzionalismo ci ha insegnato la necessità del principio di uguaglianza. Esperienza che si ripropone oggi in veste moderna, tramite i dubbi se riconoscere o meno, da un punto di vista giuridico, un principio di uguaglianza ad hoc per Internet e lo spazio da esso creato.

È essenzialmente questo il dibattito sulla net neutrality: serve un suo riconoscimento giuridico? Con quali strumenti sarebbe meglio agire? Bastano le tradizionali espressioni della sovranità statale o bisognerebbe guardare ad altro e, forse, oltre i conini statali?

3. Neutralità della rete come applicazione del generale principio di uguaglianza

Per evitare discriminazioni si è fatto dell’uguaglianza il più fondamentale dei principi giuridici27. Esso è contenuto nelle carte dei diritti, sia a livello nazionale che internazionale28 o sovrannazionale29 .

25 Nel 2014 fu proprio Tim Berners-Lee, l’inventore del World Wide Web, ha chiedere la stesura di una “Magna Carta” per Internet: www.webat25.org/news/timberners-lee-calls-for-a-magna-carta-for-the-web-ted-talk.

26 Sono ormai diverse, nel mondo, le proposte di Internet Bill of Rights stilate da diversi soggetti. Tra le più famose si segnala il Marco Civil da Internet, la legge brasiliana sui principi, garanzie, diritti e doveri per l’utilizzo di Internet. Sulle problematiche e il ruolo di tali documenti: G. De Minico, Towards an Internet Bill of Rights, cit., disponibile su: http://digitalcommons.lmu.edu/ilr/vol37/iss1/1. Anche l’Italia, grazie ad un’apposita commissione alla Camera dei Deputati composta da parlamenti e tecnici, ha redatto una sua Dichiarazione dei diritti in Internet (www.camera.it/leg17/1179), per la quale si rinvia a: M. Bassini, O. Pollicino (a cura di), Verso un Internet bill of rights, Roma, Aracne, 2015.

27 P. Ridola, Diritti fondamentali. Un’introduzione, Torino, Giappichelli, 2006.

28 Per esempio gli artt. 1 e 2 della Dichiarazione universale dei diritti dell’uomo, promossa dalle Nazioni Unite e irmata a Parigi il 10 dicembre 1948, o all’art. 14 della Convenzione Europea dei diritti dell’uomo irmata a Roma il 4 novembre 1950.

29 Si pensi per esempio agli artt. 20 ss. della Carta dei diritti fondamentali dell’Unione europea.

Neutralità della rete e uguaglianza: dallo stato di natura al diritto

Nel nostro ordinamento, tale principio è contenuto nell’art. 3 Cost. che al primo comma enuncia il principio di eguaglianza formale, insieme a quello che è stato deinito lo “zoccolo duro” del principio di uguaglianza che esplica alcuni possibili motivi di discriminazione e, al secondo, quello di uguaglianza sostanziale.

Questo è un principio generale valevole in ogni caso, anche su Internet. Tuttavia viene poi declinato in altre disposizioni. La Costituzione contiene infatti formulazioni particolari del principio di uguaglianza per ambiti speciici.

Per esempio: l’uguaglianza è prevista nei confronti delle minoranze linguistiche con l’art. 6 Cost. («La Repubblica tutela con apposite norme le minoranze linguistiche»), in ambito religioso con l’art. 8 Cost. («Tutte le confessioni religiose sono egualmente libere davanti alla legge»), in ambito penale con l’art. 25 Cost. («Nessuno può essere distolto dal giudice naturale precostituito per legge. Nessuno può essere punito se non in forma di una legge che sia entrata in vigore prima del fatto commesso»), nel matrimonio con l’art. 29.2 Cost. («Il matrimonio è ordinato sull’eguaglianza morale e giuridica dei coniugi […]») e tra i igli, che sono tali sia se nati dentro che fuori dal matrimonio, con l’art. 30.3 Cost. («La legge assicura ai igli nati fuori dal matrimonio ogni tutela giuridica e sociale, compatibile con i diritti dei membri della famiglia legittima»), nella scuola con l’art. 34 («La scuola è aperta a tutti»), nell’esercizio del diritto di voto con l’art. 48.2 («Il voto è personale ed eguale, libero e segreto»), nella pubblica amministrazione con l’art. 97 Cost. («3. Agli impieghi nelle pubbliche amministrazioni si accede mediante concorso»).

Si potrebbe così desumere come la net neutrality ben può essere un’ulteriore declinazione del principio di uguaglianza, costituendone la sua applicazione alla realtà digitale.

Motivo per cui un suo riconoscimento, anche a livello costituzionale, potrebbe trovare giustiicazione sistematica al ine del riconoscimento giuridico di un fenomeno sempre più rilevante per la vita dell’uomo.

Riconoscimento normativo che nel panorama internazionale è avvenuto in più forme e con valore e rango diverso.

Come speciicazione del principio di uguaglianza potrebbe trovare riconoscimento in una norma costituzionale, magari legato ad un altro diritto fondamentale per la realtà digitale, il diritto di accesso

Nodi virtuali, legami informali: Internet alla ricerca di regole

ad Internet30, considerato la precondizione di ogni attività online.

A tal riguardo, limitandosi al solo piano nazionale – pur sottolineando come altrettante se non di più sono le esperienze straniere sia de iure condido e che de iure condendo – si può rilevare come in Parlamento, soprattutto al Senato della Repubblica, si sta discutendo un disegno di legge costituzionale per l’introduzione dell’accesso ad Internet come diritto sociale, l’art. 34-bis31 che fa esplicito riferimento alla neutralità della rete32 .

Ed ancora, la neutralità della rete può essere riconosciuta con strumenti diversi per produrre effetti diversi da una norma costituzionale. Può essere riconosciuta nelle carte di diritti, come la Dichiarazione dei diritti in Internet, redatta da parlamentari e esperti della materia alla Camera dei Deputati33, o in una legge, come sta facendo il ddl. 2520 del 2014 attualmente in discussione in Parlamento34 .

30 Ex multis: M.R. Allegri, Rilessioni e ipotesi sulla costituzionalizzazione del diritto di accesso a internet (o al ciberspazio?), in Rivista AIC, 2016, 1; G. D’Ippolito, Il diritto di accesso ad internet nella costituzione italiana, in Innovazione e Riforme, 2016, 1, 50 ss.: www.culturademocratica.org/storage/app/media/ir-2016-1.pdf; P. Tanzarella, Accesso ad Internet: verso un nuovo diritto sociale, Convegno annuale dell’Associazione Gruppo di Pisa, I diritti sociali: dal riconoscimento alla garanzia. Il ruolo della giurisprudenza, Trapani, 8-9 giugno 2012; F. Borgia, Rilessioni sull’accesso ad internet come diritto umano, in La Com. Intern., 2012, 395 ss.; L. Cuoccolo, La qualiicazione giuridica di accesso ad internet, tra retoriche globali e dimensioni sociale, in Pol. Dir., 2012, 2-3, 263 ss.; P. Costanzo, Miti e realtà dell’accesso ad internet (una prospettiva costituzionalistica), Consulta online: www.giurcost.org/studi/Costanzo15.pdf; P. Passaglia, Diritto di accesso ad internet e giustizia costituzionale. Una (preliminare) indagine comparata, Consulta Online: www.giurcost.org/studi/passaglia.htm; P. Passaglia, L’accesso a Internet è un diritto (il Conseil Constitutionnel francese dichiara l’incostituzionalità di parte della c.d. legge anti ilesharing), in Il Foro Italiano, 2009, 4, 473 ss.

31 L’art. 34-bis è contenuto al Senato della Repubblica nel ddl. Cost. n. 1561 del 10 luglio 2014, attualmente in discussione presso la Prima Commissione Permanente Affari Costituzionali (www.senato.it/leg/17/BGT/Schede/Ddliter/44665.htm), e alla Camera dei Deputati nel ddl. Cost. 2816 del 14 gennaio 2015 (www.camera.it/ leg17/126?tab=1&leg=17&idDocumento=2816&sede=&tipo=).

32 Sia consentito rinviare a G. D’Ippolito, Il diritto di accesso ad internet nella costituzione italiana, cit.

33 Il testo della dichiarazione e l’attività della Commissione per i diritti e i doveri relativi ad Internet sono consultabili al link: http://www.camera.it/leg17/1179

34 Il ddl è consultabile al link: www.camera.it/leg17/126?tab=&leg=17&idDocumento=2520&sede=&tipo=

Neutralità della rete e uguaglianza: dallo stato di natura al diritto

Ma soprattutto, il principio di neutralità della Rete, e in modo meno esplicito il diritto di accesso ad Internet35, è stato da ultimo riconosciuto dal Regolamento UE 2015/2120. Le relative disposizioni sono poi state speciicate dall’azione del BEREC, l’Organismo dei regolatori europei delle comunicazioni elettroniche, dopo un periodo di consultazione pubblica, che il 30 agosto 2016 ha redatto le linee guida in materia di neutralità della Rete36. Line guida che ora dovranno essere applicate e tradotte in regole chiare dalle autorità nazionali di regolazione (l’AGCOM in Italia)37 .

Ed è proprio all’interno di questo Regolamento che si rinviene, in un testo normativo, una deinizione di neutralità della rete come se fosse un principio di uguaglianza nel mondo del cyberspazio.

I riferimenti sono diversi. Ma alcuni tra i più importanti sono i seguenti:

- Art. 1: «Oggetto e ambito di applicazione – 1. Il presente regolamento deinisce norme comuni per garantire un trattamento equo e non discriminatorio del trafico nella fornitura di servizi di accesso a Internet e i relativi diritti degli utenti inali»;

- ma ancor di più l’art. 3, co. 3: «Salvaguardia dell’accesso a un’Internet aperta – 3. I fornitori di servizi di accesso a Internet, nel fornire tali servizi, trattano tutto il trafico allo stesso modo, senza discriminazioni, restrizioni o interferenze, e a prescindere dalla fonte e dalla destinazione, dai contenuti cui

35 Art. 3 Regolamento 2015/2120: «Salvaguardia dell’accesso a un’Internet aperta:

1. Gli utenti inali hanno il diritto di accedere a informazioni e contenuti e di diffonderli, nonché di utilizzare e fornire applicazioni e servizi, e utilizzare apparecchiature terminali di loro scelta, indipendentemente dalla sede dell’utente inale o del fornitore o dalla localizzazione, dall’origine o dalla destinazione delle informazioni, dei contenuti, delle applicazioni o del servizio, tramite il servizio di accesso a Internet».

36 Le Guidelines on the Implementation by National Regulators of European Net Neutrality Rules sono disponibili sul sito del BEREC: http://berec.europa.eu/eng/document_register/subject_matter/berec/regulatory_best_practices/ guidelines/6160-berec-guidelines-on-the-implementation-by-national-regulators-of-european-net-neutrality-rules.

37 A. Nicita, Neutralità della Rete, Nicita: “Avviamo la fase delle prime regole operative”, in agendadigitale.eu, 2 settembre 2016, www.agendadigitale.eu/infra-

strutture/neutralita-della-rete-nicita-cominciamo-la-fase-delle-regole-operative_2442.htm?utm_source=twitterfeed&utm_medium=twitter

Nodi virtuali, legami informali: Internet alla ricerca di regole

si è avuto accesso o che sono stati diffusi, dalle applicazioni o dai servizi utilizzati o forniti, o dalle apparecchiature terminali utilizzate. Il primo comma non impedisce ai fornitori di servizi di accesso a Internet di attuare misure di gestione ragionevole del trafico».

- Tale norma acquisisce una rilevanza particolare proprio in considerazione della sua composizione che, con le dovute differenze anche formali, ricalca la costruzione che l’art. 3 Cost. italiana fa del principio di uguaglianza: abbiamo infatti una formulazione del principio in senso formale, con conseguente esempliicazione di alcune ipotesi di discriminazione (zoccolo duro) e, successivamente, un’ulteriore qualiicazione dello stesso ma in senso sostanziale.

4. Ubi societas, ibi ius

In conclusione, se è vero che Internet è nato come uno spazio di libertà e possibilità non si potrà non riconoscere che afinché rimanga tale e anzi continui a far crescere non solo il singolo ma la società, sarà necessario stabilire principi, diritti, regole, buone pratiche38. Ciò afinché quel principio di uguaglianza che nel mondo materiale riguarda la nostra persona, trovi adeguata, precisa e puntuale applicazione anche nel mondo immateriale del cyberspazio, in riferimento ai nostri dati.

Tali dati sono infatti il nostro patrimonio digitale, gli elementi della nostra cittadinanza digitale, la nostra identità digitale e quindi, in ultima analisi, la nostra persona; la proiezione di noi stessi nel nuovo mondo del cyberspazio.

Internet e il diritto a conoscere nei confronti delle pubbliche amministrazioni

1. L’evoluzione del diritto a conoscere nell’ordinamento giuridico

La trasparenza costituisce lo strumento fondamentale per garantire l’apertura del patrimonio informativo pubblico, al ine di consentire un controllo permanente dell’operato delle amministrazioni e permettere la partecipazione dei cittadini, promuovendo allo stesso tempo l’accountability degli amministratori pubblici.

Il principio di trasparenza ha conosciuto un crescente interesse da parte della normativa italiana, particolarmente accentuato negli ultimi anni.

La trasparenza, che già nella legge 7 agosto 1990, n. 241, come modiicata nel 2005, costituisce principio dell’attività amministrativa1 , si conigura come garanzia di accesso per coloro che ne hanno diritto2, ma nell’evoluzione normativa si pone, altresì, come accessibilità che prescinde dalla sfera giuridica di determinati soggetti ed è tesa ad assicurare una conoscenza diffusa e generale delle informazioni.

L’avvento e la diffusione delle tecnologie informatiche si pongono come signiicativi alleati del principio di trasparenza: Internet è

1 Art. 1, co. 1, legge 241/1990, come modiicato dalla legge 11 febbraio 2005, n. 15, che pone il principio accanto ai criteri di economicità, eficacia, imparzialità (inserito dalla legge 18 giugno 2009, n. 69) e pubblicità.

2 Il Capo V della legge 241/1990 è dedicato al diritto di accesso ai documenti amministrativi.

capace di rendere l’informazione disponibile a un numero indeinito di soggetti e consultabile in ogni momento da luoghi isici diversi, permettendo così una diffusione inedita e pervasiva. Di conseguenza, la trasparenza caratterizza fortemente il codice dell’amministrazione digitale, il d.lgs. 7 marzo 2005, n. 82; è stata poi fortiicata da successivi interventi normativi, che hanno aumentato le informazioni oggetto di pubblicazione obbligatoria, come la legge 18 giugno 2009, n. 69, ai sensi della quale gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale si intendono assolti con la pubblicazione nei propri siti web da parte delle amministrazioni3 .

La c.d. Riforma Brunetta (di cui alla legge delega 4 marzo 2009, n. 15 e al relativo d.lgs. 27 ottobre 2009, n. 150) segna un passaggio signiicativo, dal momento che, con particolare riferimento all’organizzazione e alla gestione del personale pubblico, statuisce il concetto di total disclosure, accessibilità totale coniugata alla inalità di forme diffuse di controllo del rispetto dei principi di buon andamento e imparzialità4. Nel corso degli anni, sono state emanate al riguardo norme, direttive e linee guida; anche la profonda modiica al d.lgs. 82/2005, recata dal d.lgs. 30 dicembre 2010, n. 235, ha inciso sugli strumenti con cui si garantisce la trasparenza, ampliandoli e cercando di conferire loro maggiore effettività5 .

L’evoluzione normativa conduce al cosiddetto decreto trasparenza, il d.lgs. 14 marzo 2013, n. 33 che, in attuazione della cosiddetta legge anticorruzione (legge 6 novembre 2012, n. 90), ha compiuto un corposo riordino degli obblighi di pubblicità, trasparenza e diffusione delle informazioni previsti da disposizioni che si erano succedute e sovrap-

3 Art. 32, legge 69/2009.

4 Art. 4, co. 7, legge 15/2009 e art. 11, co. 1, d.lgs. 150/2009 (quest’ultimo è stato abrogato dal d.lgs. 33/2013). Cfr. M. Savino, Il Foia italiano. La ine della trasparenza di Bertoldo, in Giornale di diritto amministrativo, 2016, 5, 593 ss. che sull’“accessibilità totale” sottolinea che «tale non poteva essere, giacché le informazioni pubbliche (accessibili online) erano soltanto quelle corrispondenti alle ipotesi di pubblicazione doverosa».

5 In merito sia consentito il rinvio a F. Faini, Dati, siti e servizi in rete delle pubbliche amministrazioni: l’evoluzione nel segno della trasparenza del decreto legislativo n. 235 del 2010, in D. Tiscornia (a cura di), Open data e riuso dei dati pubblici, in Informatica e diritto, 2011, 1-2, 263 ss.

poste nel corso degli anni; il decreto trasparenza è stato oggetto di una profonda recente riforma, recata dal d.lgs. 25 maggio 2016, n. 97, in attuazione della legge 7 agosto 2015, n. 124, cosiddetta Riforma Madia.

2. Trasparenza proattiva: la pubblicazione

Le disposizioni che caratterizzano i provvedimenti normativi nel corso degli anni sono risultate prive di forti meccanismi di enforcement, spesso frammentarie, ridondanti e caratterizzate da un alto tasso di inosservanza: il d.lgs. 33/2013 ha tentato di ovviare a tali problematiche6 .

A tal ine, il d.lgs. 33/2013 ha riordinato gli obblighi di pubblicazione, suddividendoli in macro-ambiti concernenti l’organizzazione e l’attività delle pubbliche amministrazioni, l’uso delle risorse pubbliche, le prestazioni offerte e i servizi erogati e, inine, i “settori speciali”7: il web diventa la strada maestra per la trasparenza, che viene garantita dalla pubblicazione di documenti, informazioni e dati concernenti l’organizzazione e l’attività delle amministrazioni nei siti istituzionali8; si parla al riguardo di trasparenza proattiva.

Il d.lgs. 33/2013 disciplina una speciica sezione nella home page del sito web istituzionale, denominata “Amministrazione Trasparente”, in cui devono conluire i dati, le informazioni e i documenti oggetto di pubblicazione ai sensi della normativa vigente, dettagliandone organizzazione e struttura, in modo da conferire volto omogeneo alla trasparenza delle amministrazioni9: i siti istituzio-

6 Cfr. M. Savino, La nuova disciplina della trasparenza amministrativa, in Giornale di diritto amministrativo, 2013, 8-9, 795 ss.

7 Tra i settori speciali rientrano i contratti pubblici di lavori, servizi e forniture, le attività di pianiicazione e governo del territorio, le informazioni ambientali, il servizio sanitario nazionale, ecc. Seppur il decreto Trasparenza compia un corposo riordino, alcuni obblighi di pubblicazione non sono compresi nel d.lgs. 33/2013, ma sono previsti da norme vigenti, precedenti e successive: per esempio gli obblighi di pubblicazione previsti in materia di class action dagli art. 1, co. 2, e art. 4, co. 2 e 6, d.lgs. 20 dicembre 2009, n. 198.

8 Art. 2, co. 2, d.lgs. 33/2013.

9 Art. 2, co. 2 e art. 9, co. 1, d.lgs. 33/2013. L’allegato A dettaglia struttura e organizzazione dei contenuti della sezione “Amministrazione Trasparente”.

Nodi virtuali, legami informali: Internet alla ricerca di regole

nali, ai sensi dell’art. 54 del d.lgs. 82/2005, devono contenere i dati di cui al d.lgs. 33/2013.

Il principio di trasparenza viene fornito di un solido fondamento costituzionale quale canone interpretativo e di orientamento, dotato di chiara forza espansiva: acquisisce esplicita e diretta derivazione costituzionale e viene posto in posizione servente, quale sorta di meta-principio, rispetto a una serie di principi costituzionali10 .

Al ine di garantire effettività a quanto disposto, il d.lgs. 33/2013 prevede signiicativi meccanismi di enforcement, quali strumenti di vigilanza sull’attuazione delle disposizioni e sanzioni relative al mancato rispetto delle norme11. In particolare, al ine di permettere un controllo democratico, agli obblighi di pubblicazione viene collegato un istituto, l’accesso civico, ossia il diritto di chiunque di richiedere documenti, informazioni e dati oggetto di pubblicazione obbligatoria, nei casi in cui sia stata omessa la loro pubblicazione, senza necessità di motivazione e gratuitamente (art. 5, d.lgs. 33/2013, nella formulazione prima della riforma del d.lgs. 97/2016)12 .

Di conseguenza, il d.lgs. 33/2013, prima della riforma del d.lgs. 97/2016, non prevedeva un vero e proprio diritto all’informazione nei confronti delle istituzioni, dal momento che la normativa si afidava esclusivamente ad un meccanismo di pubblicità obbligatoria di speciici documenti, dati e informazioni, garantiti dalla possibilità di azionare il diritto di accesso civico, che aveva come presupposto

10 Art. 1, co. 2 e 3, d.lgs. 33/2013 e art. 1, co. 36, legge 190/2012. In tal senso E. Carloni, I principi del codice della trasparenza (artt. 1, commi 1 e 2, 2, 6), in B. Ponti (a cura di), La trasparenza amministrativa dopo il d.lgs. 14 marzo 2013, n. 33, Rimini, Maggioli, 2013, 38 ss.

11 In particolare Capo VI (art. 43 ss.). La vigilanza sull’attuazione delle disposizioni viene afidata a una serie di soggetti interni ed esterni all’amministrazione, quali il Responsabile per la trasparenza, gli Organismi Indipendenti di Valutazione (OIV) e l’Autorità Nazionale Anticorruzione (ANAC). L’inadempimento delle disposizioni costituisce elemento di valutazione della responsabilità dirigenziale, è eventuale causa di responsabilità per danno all’immagine dell’amministrazione e comporta comunque una valutazione ai ini della corresponsione della retribuzione di risultato e del trattamento accessorio collegato alla performance individuale (art. 46); sono previste inoltre sanzioni per casi speciici.

12 M. Savino, Il Foia italiano. La ine della trasparenza di Bertoldo, cit., 593 ss. rileva come lo strumento dell’accesso civico nella prassi sia rimasto pressoché lettera morta.

l’inadempimento degli obblighi di pubblicazione; per tutto ciò che non è oggetto di pubblicazione obbligatoria, la trasparenza è facoltativa, a seguito della scelta discrezionale dell’amministrazione, e la disciplina di riferimento resta quella del diritto di accesso della legge 241/1990, che prevede la necessità di una legittimazione soggettiva e di una motivazione: si conigura un “diritto a conoscere” condizionato13 .

In considerazione di questi limiti e alla luce del contesto internazionale che tutela il right to know nei cosiddetti Freedom of Information Act in molti Paesi, anche a seguito delle sollecitazioni della società civile14, è stato approvato il decreto legislativo 97/2016 che, in virtù della delega di cui all’art. 7 della legge 124/2015, ha modiicato il d.lgs. 33/2013, al ine di garantire un autentico “diritto a conoscere” della collettività nei confronti delle istituzioni.

La trasparenza, a seguito della riforma, viene intesa come «accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche»15 .

Per raggiungere tali obiettivi, il d.lgs. 97/2016 ha apportato profonde modiiche al d.lgs. 33/2013; fra queste vengono razionalizzati e resi più sostenibili gli obblighi di pubblicazione16 e si ampliano responsabilità e sanzioni17 .

Le novità più signiicative riguardano il diritto di accesso civico.

13 In tal senso E. Carloni, cit., 29 ss.

14 In particolare l’iniziativa Foia4italy, che ha coinvolto più di 30 associazioni (www.foia4italy.it).

15 Art. 1, co. 1, d.lgs. 33/2013.

16 La sempliicazione degli obblighi di pubblicazione si pone come conseguenza del riconoscimento del right to know come diritto fondamentale, come sarà esaminato nel paragrafo successivo. Per un’analisi dei meccanismi di razionalizzazione degli obblighi di pubblicazione, cfr. M. Savino, Il Foia italiano. La ine della trasparenza di Bertoldo, cit., 593 ss.

17 Questi obiettivi del d.lgs. 97/2016 sono precisati dalla stessa relazione illustrativa al provvedimento. Per un commento sistematico del d.lgs. 33/2013, a seguito della riforma del d.lgs. 97/2016, cfr. B. Ponti (a cura di), Nuova trasparenza amministrativa e libertà di accesso alle informazioni, Rimini, Maggioli, 2016.

3. Trasparenza reattiva: le diverse forme di accesso

Accanto alla “trasparenza proattiva” (proactive disclosure), che si realizza con la pubblicazione di documenti, informazioni e dati, viene deinita come “trasparenza reattiva” (reactive disclosure) quella che si ottiene in risposta alle istanze di conoscenza avanzate dagli interessati18. Sotto questo proilo il d.lgs. 97/2016 ha portato signiicative novità: il diritto di accesso civico disegnato dal d.lgs. 33/2013 viene profondamente modiicato e viene ampliato il “diritto a conoscere” della collettività nei confronti delle istituzioni; per questo motivo è stato denominato come il Freedom of Information Act (FOIA) italiano.

Il d.lgs. 97/2016 non impatta sulla legge 241/1990 e sul diritto di accesso ivi previsto, che pertanto rimane strumento vigente19, ma incide sul diritto di accesso civico disciplinato nel d.lgs. 33/2013. Di conseguenza, nell’ordinamento giuridico italiano vigente convivono diverse forme di accesso, quali strumenti di “trasparenza reattiva”: l’accesso ai sensi della legge 241/1990, che non viene superato, e l’accesso civico “generalizzato” ai sensi del d.lgs. 33/2013, che viene introdotto dal d.lgs. 97/2016 e si afianca adesso all’accesso civico “semplice”, ossia quello già previsto come risposta all’inadempimento degli obblighi di pubblicazione.

Le modiiche si sono rese necessarie per tutelare pienamente il right to know.

Il diritto di accesso della legge 241/1990, infatti, prevede un diritto a conoscere, che si può dire condizionato, dal momento che sono necessari alcuni requisiti per poterlo esercitare: la legittimazione soggettiva, che spetta a tutti i soggetti privati, compresi quelli portatori di interessi pubblici o diffusi, che abbiano un interesse diretto, concreto e attuale, corrispondente a una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso (art. 22) e la motivazione, in quanto l’istanza deve essere motivata (art. 25). La distanza dalla freedom of information si coglie anche nel li-

18 In tal senso il Consiglio di Stato nel parere sullo schema di quello che sarebbe diventato il d.lgs. 97/2016, reso nell’adunanza di sezione 18/02/2016 (n. 00515/2016 del 24/02/2016).

19 L’art. 6, co. 11, d.lgs. 97/2016, esplicitamente afferma che restano ferme le diverse forme di accesso degli interessati previste dal capo V della legge 241/1990.

mite al controllo generalizzato: «non sono ammissibili istanze di accesso preordinate ad un controllo generalizzato dell’operato delle pubbliche amministrazioni» (art. 24, co. 3, legge 241/1990). Il diritto di accesso, ai sensi della legge 241/1990, si esercita mediante esame ed estrazione di copia dei documenti amministrativi: la richiesta di accesso deve essere rivolta all’amministrazione che ha formato il documento e che lo detiene stabilmente, che ha un termine di 30 giorni per rispondere, altrimenti la richiesta si intende respinta; vige di conseguenza il cosiddetto silenzio diniego. Sono previste ampie esclusioni e limitazioni nell’art. 24, relative alla difesa di interessi pubblici e privati, quali il segreto di Stato, il segreto statistico, il segreto industriale e la protezione dei dati personali20 .

Si atteggia in modo diverso il diritto di accesso civico “generalizzato”, che si somma all’accesso civico “semplice”, già previsto prima della riforma.

Il principio, posto dalla legge delega, è il riconoscimento della libertà di informazione21: tale libertà è «garantita, nel rispetto dei limiti relativi alla tutela di interessi pubblici e privati giuridicamente rilevanti, tramite l’accesso civico e tramite la pubblicazione di documenti, informazioni e dati concernenti l’organizzazione e l’attività delle pubbliche amministrazioni»22 .

Il diritto di accesso civico “generalizzato” permette a chiunque senza motivazione di accedere ai dati e ai documenti detenuti dalla pubblica amministrazione, ulteriori rispetto a quelli oggetto di pubblicazione obbligatoria: oltre al diritto di chiunque di richiedere documenti, informazioni o dati di cui sia stata omessa la pubblicazione obbligatoria (accesso civico “semplice”), la riforma ha previsto il diritto di accesso civico su documenti e dati diversi e ulteriori rispetto a quelli oggetto di pubblicazione obbligatoria (accesso civico “generalizzato”)23. Lo strumento è, infatti, teso a «favorire forme

20 In caso di diniego, espresso o tacito, o di differimento il richiedente può presentare ricorso al tribunale amministrativo regionale o richiesta di riesame al difensore civico competente o alla Commissione per l’accesso ai documenti amministrativi.

21 Art. 7, co. 1, lett. h), legge 124/2015.

22 Art. 2, co. 1, d.lgs. 33/2013.

23 Art. 5, co. 1 e 2, d.lgs. 33/2013. M. Savino, Il Foia italiano. La ine della trasparenza di Bertoldo, cit., 593 ss.: «Di questo nuovo diritto si detta una disciplina es-

diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche» e nel «promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, d.lgs. 33/2013).

L’esercizio del diritto di accesso civico cosiddetto “generalizzato”, a differenza del diritto di accesso della legge 241/1990, non è sottoposto ad alcuna limitazione quanto alla legittimazione soggettiva del richiedente, non richiede motivazione e non prevede il limite del controllo generalizzato24. L’istanza di accesso identiica i dati, le informazioni o i documenti richiesti, può essere trasmessa in via telematica e presentata alternativamente a una pluralità di ufici dell’amministrazione, previsti dalla norma25 .

A seguito di istanza, il procedimento di accesso civico deve concludersi con provvedimento espresso e motivato nel termine di 30 giorni (non è ammesso il silenzio diniego) e il riiuto, il differimento e la limitazione dell’accesso devono essere motivati con riferimento ai casi e ai limiti stabiliti26: grava, di conseguenza, sull’amministrazione dover provare l’esistenza di motivazioni che impediscono di soddisfare l’istanza27. La normativa dispone, infatti, il diniego dell’istanza se necessario per evitare un “pregiudizio concreto” alla tutela degli interessi pubblici e privati protetti dall’ordinamento e previsti dall’art. 5-bis: le eccezioni disposte sono state interpretate come numerose, particolarmente ampie e talvolta eccessivamente indeterminate28. Al riguardo, è prevista l’approvazione di linee guida recanti senziale, che lascia in vita le altre forme di accesso procedimentale (1990) e civico (2013) destinate, tuttavia, col tempo, a divenire superlue».

24 Art. 5, co. 3, d.lgs. 33/2013.

25 Il rilascio di dati o documenti in formato elettronico o cartaceo è gratuito, salvo il rimborso del costo effettivamente sostenuto e documentato dall’amministrazione per la riproduzione su supporti materiali. Art. 5, co. 3 e 4, d.lgs. 33/2013.

26 Art. 5, co. 6, d.lgs. 33/2013.

27 Sono previsti il ricorso al tribunale amministrativo regionale, la possibilità di richiesta di riesame al responsabile della prevenzione e della trasparenza dell’amministrazione e, qualora si tratti di atti delle amministrazioni delle regioni o degli enti locali, il rimedio stragiudiziale del ricorso al difensore civico (art. 5, co. 7 e 8, d.lgs. 33/2013).

28 Cfr., inter alia, E. Carloni, Se questo è un FOIA. Il diritto a conoscere tra modelli e tradimenti, in Rassegna Astrid, 2016, 4, e B. Ponti (a cura di), Nuova trasparenza amministrativa e libertà di accesso alle informazioni, cit., ma contra M. Savino, Il Foia italiano. La ine della trasparenza di Bertoldo, cit., 593 ss.: «il numero e la

indicazioni operative, adottate dall’ANAC, d’intesa con il Garante per la protezione dei dati personali e sentita la Conferenza Uniicata, ai ini della deinizione delle esclusioni e dei limiti dell’accesso civico (approvate con determinazione n. 1309 del 28/12/2016)29 .

L’ordinamento giuridico vigente conosce, pertanto, una “trasparenza reattiva” che si articola in diverse forme di accesso, fra le quali, a seguito del d.lgs. 97/2016, il diritto di accesso civico “generalizzato”: grazie a questo strumento l’ordinamento italiano si allinea oggi agli altri Paesi del contesto internazionale, prevedendo una disciplina della freedom of information30 .

4. Trasparenza attiva: gli open data

La trasparenza si declina in proattiva e reattiva, ma nell’evoluzione normativa italiana si collega, altresì, in modo signiicativo con l’apertura, grazie alle possibilità offerte dalle nuove tecnologie: si conigura una trasparenza che si può deinire “attiva”, realizzata con gli open data31. Il paradigma che emerge è quello di restituire i dati alla collettività, per mezzo degli open data, e lasciare che l’intelligenza

formulazione degli interessi-limite indicati dal legislatore delegato sono in linea con lo standard prevalente. I dieci interessi pubblici e privati indicati dall’art.

5-bis corrispondono all’elencazione che compare nella maggior parte dei FOIA europei, rispetto ai quali, anzi, il nostro legislatore è stato più parco. Occorre, poi, considerare che gli interessi indicati coincidono con differenze marginali con quelli del FOIA dell’Unione europea».

29 Art. 5-bis, d.lgs. 33/2013. Le amministrazioni pubbliche e gli altri soggetti previsti devono adeguarsi alle modiiche introdotte e assicurare l’effettivo esercizio del nuovo diritto di accesso civico, entro sei mesi dalla data di entrata in vigore, avvenuta il 23 giugno 2016 (art. 42, co. 1, d.lgs. 97/2016).

30 Il Consiglio di Stato, nel parere sullo schema di d.lgs. cit., parla esplicitamente di una «trasparenza di tipo “reattivo”, cioè in risposta alle istanze di conoscenza avanzate dagli interessati. Il passaggio dal bisogno di conoscere al diritto di conoscere (from need to right to know, nella deinizione inglese F.O.I.A) rappresenta per l’ordinamento nazionale una sorta di rivoluzione copernicana, potendosi davvero evocare la nota immagine, cara a Filippo Turati, della Pubblica Amministrazione trasparente come una “casa di vetro”».

31 Sugli open data, inter alia, D. Tiscornia (a cura di), Open data e riuso dei dati pubblici, in Informatica e diritto, 2011, 1-2.

collettiva ne faccia uso, potendoli trasformare in leve di nuove e inedite potenzialità economiche e sociali32 .

L’ordinamento fornisce una deinizione normativa degli open data. I dati aperti o open data sono deiniti nelle dimensioni giuridica, tecnologica ed economica dall’art. 68, co. 3, lett. b), del d.lgs. 82/2005, come modiicato dal cosiddetto decreto Crescita 2.0 (d.l. 18 ottobre 2012, n. 179 convertito con modiicazioni dalla legge 17 dicembre 2012, n. 221) e, di recente, dal d.lgs. 18 maggio 2015, n. 102 e dal d.lgs. 26 agosto 2016, n. 17933. I dati di tipo aperto sono i dati che presentano le seguenti caratteristiche:

1) «sono disponibili secondo i termini di una licenza che ne permetta l’utilizzo da parte di chiunque, anche per inalità commerciali, in formato disaggregato» (dimensione giuridica)34;

2) «sono accessibili attraverso le tecnologie dell’informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, in formati aperti […], sono adatti all’utilizzo automatico da parte di programmi per elaboratori e sono provvisti dei relativi metadati» (dimensione tecnologica)35;

32 Sul collegamento tra trasparenza e apertura cfr., inter alia, B. Coccagna, G. Ziccardi, Open data, trasparenza elettronica e codice aperto, in M. Durante, U. Pagallo (a cura di), Manuale di informatica giuridica e diritto delle nuove tecnologie, Torino, UTET, 2012, 395 ss. e G. Mancosu, Trasparenza amministrativa e open data: un binomio in fase di rodaggio, in federalismi.it, 2012, 17. Gli open data possono essere prodotti da soggetti privati o pubblici; la presente analisi tratterà questi ultimi, deinibili quali open government data, per i quali, però, per semplicità, sarà utilizzato il generico termine open data.

33 Secondo la Open Knowledge Foundation un contenuto o un dato si deinisce aperto se chiunque è in grado di utilizzarlo, riutilizzarlo e ridistribuirlo, con la limitazione, al massimo, della richiesta di attribuzione e condivisione allo stesso modo (http://okfn.org e http://opendeinition.org).

34 I dati hanno un titolare (art. 1, co. 1, lett. cc), d.lgs. 82/2005) e, di conseguenza, l’uso legittimo del dato avviene per mezzo di apposita licenza. Le licenze aperte, usate per gli open data, si distinguono dalle licenze di tipo chiuso in relazione ai diversi diritti concessi a chi fruisce dell’insieme di dati protetti dal diritto d’autore, ai sensi della legge 22 aprile 1941, n. 633: più che stabilire quali sono i limiti di utilizzabilità, tendono a garantire una serie di diritti; si parla di copyleft (in contrapposizione al copyright). Sono licenze aperte le Creative Commons (CC) (www. creativecommons.it) e le Italian Open Data Licences (IODL) (www.dati.gov.it/iodl/2.0).

35 L’art. 68, co. 3, lett. a), d.lgs. 82/2005 deinisce un «formato dei dati di tipo

3) «sono resi disponibili gratuitamente […] oppure sono resi disponibili ai costi marginali sostenuti per la loro riproduzione e divulgazione, salvo i casi previsti dall’articolo 7 del decreto legislativo 24 gennaio 2006, n. 36, e secondo le tariffe determinate con le modalità di cui al medesimo articolo» (dimensione economica).

Gli open data permettono di raggiungere molteplici inalità. Sono strumento di trasparenza e di controllo democratico, contribuiscono a garantire maggiore eficienza pubblica e costituiscono eficace mezzo di prevenzione e lotta alla corruzione; questo permette di rafforzare la iducia nelle istituzioni, garantendo allo stesso tempo maggiore partecipazione. I dati aperti contribuiscono, poi, al miglioramento della qualità di vita dei cittadini che possono utilizzarli e condividerli e, allo stesso tempo, concorrono al miglioramento delle politiche pubbliche, costituendo un valido supporto alle decisioni. Last but not least, gli open data permettono di dare sostegno allo sviluppo economico: i dati aperti possono essere utilizzati per creare nuovi prodotti, app e servizi che impattano sulla pubblica amministrazione, sulla collettività e sullo sviluppo economico36 .

Negli ultimi anni la normativa italiana ha promosso esplicitamente gli open data e l’apertura del patrimonio informativo pubblico, sotto lo stimolo del panorama internazionale ed europeo.

Già il d.lgs. 24 gennaio 2006, n. 36, in attuazione della direttiva 2003/98/CE (modiicata dalla direttiva 2013/37/UE), trattava il riutilizzo dei documenti nel settore pubblico, ma non imponeva l’obbligo di consentirne il riutilizzo, seppur i dati pubblici siano visti come importante “materia prima” per prodotti e servizi digitali, da riutilizzare per contribuire alla crescita economica e sociale. Di recente il d.lgs. 102/2015 ha attuato la direttiva 2013/37/UE, modiicando il d.lgs.

aperto» come «un formato di dati reso pubblico, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati stessi». Sul grado di “apertura” è comunemente richiamata la classiicazione “5 stars” di Tim Berners-Lee (http://5stardata.info).

36 I dati “da aprire” sono un elenco necessariamente non deinibile, perché non ne sono predeterminabili gli usi e, di conseguenza, tutti i dati possono risultare utili: dati sui bilanci, dati ambientali, dati sanitari, dati sui trasporti pubblici, dati geograici, dati turistici, ecc.

36/2006, e ha rafforzato gli obblighi delle istituzioni, prevedendo che le amministrazioni provvedano afinché i documenti siano riutilizzabili a ini commerciali o non commerciali secondo le modalità previste.

Il d.lgs. 82/2005, negli artt. 52, 53 e 68, modiicati dal citato decreto Crescita 2.0, dal d.lgs. 102/2015 e, di recente, dal d.lgs. 179/2016, ha introdotto l’esaminata deinizione di open data e ha inserito disposizioni generali con la inalità di razionalizzare il processo di valorizzazione del patrimonio informativo pubblico nazionale. Le pubbliche amministrazioni sono tenute a pubblicare sul proprio sito web il catalogo dei dati e dei metadati deinitivi, nonché delle relative banche dati in loro possesso e i regolamenti che disciplinano l’esercizio della facoltà di accesso telematico e il riutilizzo di tali dati e metadati, fatti salvi quelli presenti in Anagrafe tributaria37 .

Il favor verso gli open data è evidente nel principio dell’“open data by default”: i dati e i documenti pubblicati dalle amministrazioni con qualsiasi modalità, senza l’espressa adozione di una licenza, si intendono rilasciati come dati di tipo aperto, ad eccezione dei casi in cui la pubblicazione riguardi dati personali; l’eventuale adozione di una licenza deve essere motivata ai sensi delle linee guida nazionali deinite dall’Agenzia per l’Italia digitale38 .

L’art. 52 del CAD si preoccupa di assicurare effettività a quanto previsto e, a tal ine, collega espressamente le attività volte a garantire l’accesso telematico e il riutilizzo dei dati delle pubbliche amministrazioni ai parametri di valutazione della performance dirigenziale39. Inoltre, da un punto di vista di governance, la normativa assegna un ruolo signiicativo all’Agenzia per l’Italia digitale, organismo cui sono attribuite funzioni strategiche e tecniche al ine di assicurare la corretta attuazione delle norme e accompagnare le amministrazioni nell’apertura dei dati40 .

In questo percorso si è inserito il d.lgs. 33/2013, da ultimo modiicato dal d.lgs. 179/2016, che collega esplicitamente trasparenza e apertura nel combinato disposto degli artt. 3 e 7: tutti i documenti, le informazioni e i dati oggetto di accesso civico, compresi quelli og-

37 Art. 53, co. 1-bis, d.lgs. 82/2005.

38 Art. 52, co. 2, d.lgs. 82/2005.

39 Art. 52, co. 4, d.lgs. 82/2005.

40 Art. 52, co. 5, 6 e 7, d.lgs. 82/2005.

getto di pubblicazione obbligatoria ai sensi della normativa vigente, sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’art. 7; i documenti, le informazioni e i dati oggetto di pubblicazione obbligatoria, resi disponibili anche a seguito dell’accesso civico, sono pubblicati in formato di tipo aperto e sono riutilizzabili ai sensi del d.lgs. 36/2006, del d.lgs. 82/2005 e del d.lgs. 30 giugno 2003, n. 196, senza ulteriori restrizioni diverse dall’obbligo di citare la fonte e di rispettarne l’integrità. Pertanto la normativa pone non solo il diritto a conoscere, ma anche il diritto all’apertura e al riutilizzo41 .

L’apertura, ancor più della trasparenza, deve necessariamente fare i conti con esclusioni e limiti previsti a tutela di altri interessi protetti dall’ordinamento, quali il segreto di stato, il segreto statistico, il diritto d’autore. Da tale punto di vista risulta particolarmente complesso il bilanciamento tra open data e protezione dei dati personali. Il proilo è oggetto di norme speciiche nel d.lgs. 33/201342 e delle linee guida del Garante per la protezione dei dati personali del 201443, secondo cui i dati pubblicati online non sono liberamente utilizzabili da chiunque per qualunque inalità e i dati personali sono riutilizzabili solo in termini compatibili con gli scopi per i quali sono raccolti e nel rispetto delle norme sulla privacy; non possono essere riutilizzati dati sensibili e giudiziari44 .

41 Per il diritto al riutilizzo cfr. B. Ponti, Il regime dei dati oggetto di pubblicazione obbligatoria: i tempi, le modalità ed i limiti della diffusione; l’accesso civico; il diritto di riutilizzo (artt. 4, 5, 7-9, 52 commi 2 e 3, 53), in B. Ponti (a cura di), La trasparenza amministrativa dopo il d.lgs. 14 marzo 2013, n. 33, cit., 112 ss. Nel 2011 il Governo italiano ha lanciato il portale nazionale di open data (www.dati.gov.it) e nel corso degli anni ha realizzato portali tematici. Anche le amministrazioni territoriali e gli utenti (cittadini, associazioni e imprese) sono stati particolarmente attivi nel realizzare progetti in materia di open data.

42 In particolare art. 7-bis, d.lgs. 33/2013.

43 Provvedimento n. 243 del 15 maggio 2014, doc. web n. 3134436.

44 Art. 7-bis, co. 1, 3 e 4, d.lgs. 33/2013 e provvedimento del Garante privacy n. 243 del 15 maggio 2014, secondo cui le pubbliche amministrazioni devono inserire nella sezione “Amministrazione trasparente” un alert con cui informare il pubblico che i dati personali sono riutilizzabili solo in termini compatibili con gli scopi per i quali sono raccolti e nel rispetto delle norme sulla privacy. Al riguardo cfr. E. Carloni, Le Linee guida del Garante: protezione dei dati e protezione dell’opacità, in Giornale di diritto amministrativo, 2014, 11, 1113 ss. e sia consentito il rinvio

Nodi virtuali, legami informali: Internet alla ricerca di regole

Nell’evoluzione normativa italiana, si assiste pertanto ad una maturazione della trasparenza: viene garantita oggi in modo proattivo dalla pubblicazione e dall’ampliamento significativo delle possibilità di accesso, grazie al nuovo strumento dell’accesso civico “generalizzato”, ma viene assicurata, altresì, come trasparenza “attiva”, nella prevista possibilità di riutilizzare i dati per creare nuova conoscenza, inediti prodotti e servizi, a favore dell’evoluzione della società.

a F. Faini, Quale equilibrio fra trasparenza, apertura e privacy nello scenario del d.lgs. 33/2013?, in Diritto, Economia e Tecnologie della Privacy, 2014, 57 ss.

La Piattaforma Europea per la risoluzione delle controversie online

1. Il quadro normativo istitutivo della Piattaforma

ODR

La piattaforma ODR è stata istituita dal Regolamento UE n.524/2013 del Parlamento Europeo e del Consiglio del 21 maggio 2013 relativo alla risoluzione delle controversie online dei consumatori (di seguito “Regolamento”)1, che modiica il regolamento CE n.2006/2004 e la direttiva 2009/22/CE.

La Piattaforma è un sito web interattivo che offre un unico punto di accesso elettronico e gratuito per consumatori e professionisti che desiderano risolvere in ambito extragiudiziale le controversie derivanti da operazioni online2.Essa costituisce il tramite tra gli utenti e l’organismo ADR scelto dalle parti, che una volta designato è responsabile della gestione della procedura ODR vera e propria.

Il Regolamento ha un ambito di applicazione ristretto dato che concerne solo le controversie che riguardano “obbligazioni contrattuali derivanti da contratti di vendita o di servizi online tra un consumatore residente nell’Unione e un professionista stabilito nell’U-

1 G.U.U.E. L 165 del 18.6.2013, 1.

2 P. Loutocky, Online Dispute Resolution to Resolve Consumer Disputes from the Perspective of European Union Law: Is the Potential of ODR Fully Used, in Masaryk Univ. J. of Law and Technology, 2016, 113; J. Hornle, Encouraging Online Dispute Resolution in the EU and Beyond – Keeping Costs Low or Standards High?, in Eur. Law Rev., 2013, 200.

nione”3. Esso deinisce quindi il proprio scopo di applicazione ratione materiae e personae. Per quanto riguarda il primo proilo, il Regolamento si applica solo ai contratti di vendita o di servizi online, in cui il professionista offre beni o servizi mediante un sito web o altri mezzi elettronici e il consumatore ordina tali beni e servizi su tale sito web o mediante altri mezzi elettronici. Restano invece esclusi i contratti di vendita o di servizi conclusi ofline. Per quanto riguarda il secondo proilo, il Regolamento si applica solo alle controversie B2C, instaurate dai consumatori nei confronti dei professionisti e solo in alcuni casi dai professionisti nei confronti dei consumatori (qualora la legislazione dello Stato membro, in cui il consumatore risiede, autorizza abitualmente la risoluzione di tali controversie attraverso l’intervento di un organismo ADR)4, ma in nessun caso alle controversie B2B, cioè tra professionisti.

Il Parlamento e il Consiglio hanno ritenuto che le ODR fossero più adatte della giurisdizione ordinaria per risolvere questo tipo di controversie scaturenti da contratti di vendita o di servizi online, e pertanto hanno inteso incoraggiarne il ricorso tramite l’istituzione della Piattaforma. Per comprendere le ragioni di questa scelta, bisogna considerare le caratteristiche tipiche delle controversie scaturenti da questa categoria di contratti online. Si tratta di controversie che hanno generalmente degli elementi comuni, quali la “relationshipless”5,dato che le parti coinvolte sono distanti e anonime e vengono in contatto per la prima volta e solo per un singolo rapporto giuridico deinito “one-shot transaction”6; il valore di queste controversie è generalmente esiguo, a differenza dei costi elevati che potrebbero derivare da un’azione giudiziaria ordinaria dovendo gli stessi in taluni casi includere costi di trasporto, spese per i legali, costi per traduzioni e interpreti; si adattano

3 Art.2 Reg. UE 524/2013. Sul punto si veda T. Maiorescu, Speciic Aspects Regarding the Settlement of Litigations within the Consumers Protection Field, from the Perspective of the New European Regulations, in J of Law and Adm. Sciences, 2015, 113.

4 Art, 2, co. 2° Reg. UE 524/2013.

5 E. Katsh, E-commerce, E-Disputes and E-Dispute Resolution in the Shadow of “eBay Law”, in Ohio State Journal of Dispute Resolution, 2000, 714. Quest’autore con il termine “relationshipless” intende riferirsi alla mancanza di contatti tra le parti precedentemente alla transazione da cui è sorta la lite.

6 Ibid

La piattaforma Europea per la risoluzione delle controversie online

bene alla natura transfrontaliera di queste controversie, e permettono di eludere almeno parzialmente i problemi di diritto internazionale privato relativi alla localizzazione del foro7 e alla scelta del diritto applicabile8, dato che si svolgono “in the shadow of the law”9; inoltre, esse permettono “di cancellare le barriere del tempo e dello spazio”10 , svolgendosi in luoghi virtuali e in un tempo ridotto.

2. Il funzionamento della Piattaforma e le fasi della procedura

Tramite l’accesso al sito web della Piattaforma, gli utenti possono attivare la procedura prevista dal Regolamento.

La procedura può essere idealmente scomposta in due fasi principali. La prima fase è preliminare all’instaurazione della procedura

ODR vera e propria, ed è gestita dalla Piattaforma. La seconda fase, che è eventuale e dipende dall’esito della prima, è invece gestita dagli organismi ADR designati dalle parti di comune accordo.

Tutta la procedura, dal momento dell’instaurazione ino alla sua conclusione, può essere descritta secondo la seguente sequenza temporale: (i) presentazione e invio del reclamo, (ii) designazione dell’organismo di risoluzione della controversia, (iii) trattazione della controversia da parte dell’organismo.

Le prime due fasi sono gestite dalla Piattaforma, mentre la restante è gestita dall’organismo ADR eventualmente designato.

L’instaurazione della procedura tramite la Piattaforma è standardizzata e uguale per tutti gli utenti.

L’atto introduttivo della procedura è la presentazione del reclamo da parte del consumatore11, attraverso la compilazione di un modu-

7 R. Sali, Risolvionline della Camera Arbitrale di Milano: il modello e la procedura, disponibile su www.camera-arbitrale.it, 22.

8 T. Schultz, Private Legal Systems: What Cyberspace Might Teach Legal Theorists, in Yale Journal of Law and Technology, 2008, 153.

9 R. Mnookin, L. Kornhauser, Bargaining in the Shadow of the Law: The Case of Divorce, in YALE L.J., 1979, 968.

10 C. Menichino, Art. 19, d.lg. 70/2003 (composizione delle controversie), in Diritto dell’informatica, a cura di G. Finocchiaro e F. Delini, Torino, UTET, 2014, 457.

11 Art. 8 Reg. UE 524/2013.

lo online, accessibile collegandosi alla Piattaforma, che consente di identiicare le parti e deinire l’oggetto della controversia.

Il reclamo viene poi inviato alla controparte tramite la Piattaforma. Trattandosi di procedimenti consensuali, la fase di attrazione della parte alla conciliazione si rivela cruciale12, e da essa dipende la prosecuzione dell’intera procedura. La parte invitata è chiamata a decidere, nel termine di 30 giorni, se accettare di partecipare al procedimento. In caso affermativo, designa di comune accordo con il consumatore un organismo ADR presente nell’elenco della Piattaforma. In alcuni casi gli utenti sono obbligati a ricorrere a un organismo speciico, e ciò accade principalmente se la controversia deve essere instaurata innanzi ad organismi paritetici.

Se decorsi i 30 giorni la parte riiuta di partecipare, esprimendo tale diniego o non rispondendo all’invito, il reclamo non può essere più trattato13. In questo caso, al consumatore è preclusa la strada delle ODR tramite l’utilizzo della Piattaforma.

Nel caso in cui le parti raggiungono un accordo, la Piattaforma trasmette i dettagli della controversia all’organismo ADR prescelto14. L’organismo ha a disposizione tre settimane per decidere se ha la competenza per trattare il reclamo. Bisogna tenere in conto che alcuni organismi per potersi dichiarare competenti a gestire le controversie, devono soddisfare dei requisiti ratione materiae, dato che possono trattare solo speciici tipi di controversie, relativi a determinati settori, e dei requisiti ratione personae, dato che possono trattare controversie insorte soltanto tra determinati soggetti. Se entrambi i requisiti ratione materiae e personae sono soddisfatti, l’organismo ADR si dichiara competente a gestire la procedura.

Gli organismi ADR presenti sulla Piattaforma sono inseriti in un elenco, ed è possibile iltrare la ricerca degli stessi utilizzando il parametro del paese dov’è operativo l’organismo.

Per l’Italia sono indicati al momento circa venti organismi, in cui igurano gli organismi di mediazione di alcune camere di com-

12 R. Sali, Risolvionline, cit., 14.

13 Art. 8, co. 8° Reg.524/2013.

14 Art. 8, co. 6° Reg. 524/2013.

La piattaforma Europea per la risoluzione delle controversie online

mercio, tra cui Napoli15 e Milano16, e una serie di organismi di conciliazione paritetici di alcune multinazionali quali Trenitalia17, ENI18 e varie compagnie telefoniche19 .

Ciascun organismo ha un proprio regolamento, e offre determinati tipi di ODR. Tuttavia, gli ODR providers devono uniformarsi ad alcune regole comuni imposte dal Regolamento a salvaguardia dell’eficacia delle procedure. Tra queste norme comuni, il Regolamento prevede in capo all’organismo designato degli obblighi di trasmissione delle informazioni alla Piattaforma20, e alcuni obblighi in merito alle modalità di conduzione delle procedure, tra cui la regola per cui non deve essere richiesta la presenza isica delle parti21 .

3. Gli obiettivi del Regolamento e assessment dell’effettiva attuazione degli stessi

L’art. 1 del Regolamento stabilisce che il suo obiettivo “è di contribuire, mediante il raggiungimento di un livello elevato di protezione dei consumatori, al corretto funzionamento del mercato interno, in particolare alla sua dimensione digitale, mettendo a disposizione una piattaforma ODR europea (‘piattaforma ODR’) che agevoli la risoluzione extragiudiziale indipendente, imparziale, trasparente, eficace, rapida ed equa delle controversie online tra consumatori e professionisti”.

Il Regolamento intende assicurare ai consumatori un “elevato grado di protezione”, aumentando la iducia degli stessi nella dimensione digitale del mercato interno. Per realizzare pienamente quest’obiettivo, il Regolamento ha previsto che le parti dovessero

15 Il regolamento dell’organismo della CCIAA di Napoli è disponibile sul sito www.na.camcom.it.

16 La Camera Arbitrale di Milano ha istituito il servizio “RisolviOnline”, che ha un sito dedicato www.risolvionline.com.

17 Accessibile dal sito http://www.trenitalia.com.

18 Accessibile dal sito http://www.eni.com.

19 Tra queste la Tim (http://www.tim.it), la Vodafone (http://www.vodafone.it) e la Wind (http://www.wind.it).

20 Art. 10, lett. c Reg. 524/2013.

21 Art.10, lett. b Reg. 524/2013. Sul punto si veda T. Maiorescu, cit., 121.

avere facile accesso alle ODR, considerate come “mezzi facili, eficaci, rapidi e a basso costo”22 per risolvere eventuali controversie.

In questo paragrafo cercheremo di valutare se l’istituzione della Piattaforma ha effettivamente realizzato l’obiettivo sopra menzionato.

La creazione della Piattaforma contribuisce indubbiamente ad aumentare la iducia dei consumatori nel mercato digitale, nella misura in cui offre a questa categoria di utenti la possibilità, quanto meno in astratto, di tentare una strada alternativa ai procedimenti giurisdizionali, qualora sorgano delle controversie con i professionisti. Questa possibilità, anche se solo eventuale e subordinata all’esistenza del consenso di entrambe le parti, può effettivamente essere percepita come un valore aggiunto da un consumatore che si appresta ad effettuare un acquisto transfrontaliero online. Tuttavia, al di là della previsione astratta della tutela del consumatore, bisogna veriicare se un elevato grado di protezione dello stesso è stato effettivamente assicurato in concreto.

Per consentire alla Piattaforma di esplicare pienamente le sue potenzialità, è necessario prima di tutto sensibilizzare i consumatori sull’esistenza della stessa. A tal ine, il Regolamento pone un vero e proprio obbligo d’informazione in capo ai professionisti stabiliti nell’Unione e operanti con contratti di vendita o di servizi online, stabilendo che questi ultimi debbano fornire sui propri siti web un link elettronico alla piattaforma ODR, e un indirizzo di posta elettronica che possa essere utilizzato dai consumatori come primo punto di contatto a lite insorta23. Tuttavia, è agevole costatare che la maggior parte dei professionisti che rientrano nella categoria sopra indicata e che operano online, non si è uniformata al disposto del Regolamento, e pertanto la Piattaforma resta al momento sconosciuta ai più24 .

Dall’analisi del meccanismo della Piattaforma emergono numerose criticità, che attengono sia al funzionamento della stessa, sia alla scelta delle ODR come mezzo per assicurare gli obiettivi del Regolamento.

22 Considerando 2 del Reg. UE 524/2013.

23 Art. 14, Reg. UE 524/2013.

24 Le sanzioni applicabili in caso di violazione del Regolamento devono essere previste dagli Stati membri (art. 18 del Reg.).

La piattaforma Europea per la risoluzione delle controversie online

Ad avviso di chi scrive, la Piattaforma avrebbe potuto meglio assicurare gli obiettivi della rapidità, del basso costo e della riservatezza della procedura. Il primo luogo, si può rilevare che la Piattaforma prevede che l’intervento degli organismi ADR è obbligatorio in ogni caso, e che quindi la funzione della Piattaforma sia soltanto quella di limitarsi a favorire il contatto delle parti con questi organismi. Ciò può avere un impatto negativo su due variabili della procedura: la durata e i costi. Per designare l’organismo ADR, le parti hanno a disposizione un termine di trenta giorni dalla presentazione del reclamo online sulla piattaforma (cui poi va aggiunta la durata della procedura ODR, che può arrivare ad un massimo di 90 giorni).

Questo lasso temporale di trenta giorni, non breve, poteva essere utilizzato in maniera differente. Si poteva ad esempio consentire alle parti di tentare una negoziazione tra loro, anziché ricorrere direttamente alla mediazione effettuata tramite un organismo ADR. La negoziazione delle parti si sarebbe potuta svolgere tramite il ricorso a ODR totalmente automatizzate, quali ad esempio un solution set database sul modello di Square Trade’s Direct Negotiation, che è stato utilizzato da E-bay e ha prodotto ottimi risultati. Un solution set database è un expert system, che si basa su una forma di intelligenza artiiciale, che si aggiorna costantemente sulla base dei casi che gli sono sottoposti. Questo software sottopone alle parti dei casi tipo, che possono corrispondere alla loro situazione, e in seguito raccomanda degli accordi transattivi che sulla base di statistiche risultano adeguati a risolvere il caso individuato. I contratti di vendita e di acquisto online hanno delle dinamiche facilmente prevedibili, e pertanto questo tipo di ODR può funzionare adeguatamente. La Piattaforma avrebbe potuto mettere a disposizione delle parti un software simile consentendone l’utilizzo gratuito e, nel caso in cui le stesse fossero state in grado di risolvere le proprie controversie, non sarebbe stato necessario l’intervento dell’organismo ADR e quindi il pagamento degli ulteriori costi di gestione della procedura e del mediatore.

Le tariffe degli organismi ADR sono in genere stabilite in base a scaglioni che corrispondono al valore della lite. Comparando i vari tariffari degli organismi ADR, si può evincere che se la controversia è d’importo esiguo, queste procedure ODR si rivelano poco convenienti per il consumatore. Spesso si pone l’accento sull’“economicità” delle ODR. In realtà tale economicità vale soltanto se i costi delle procedu-

re ODR sono paragonati a quelli dei giudizi ordinari relativi a controversie transfrontaliere,dato che le stesse riescono ad abbattere alcune voci di costo importanti come sopra indicate. Il Regolamento ODR e la direttiva ADR 2013/11/UE pongono l’accento sulla necessità che queste procedure abbiano un basso costo25, che non risultino, in altri termini, troppo onerose per il consumatore al punto da dissuaderlo a cercare una risoluzione della controversia. Al contrario, le ODR restano onerose per il consumatore qualora il contenzioso sia di valore esiguo, elemento che caratterizza una larga fascia delle controversie legate all’e-commerce, al punto da dissuaderlo dal tentare una risoluzione delle stesse. La predisposizione di una prima fase di negoziazione condotta tramite sistemi automatizzati avanzati avrebbe potuto assicurare meglio l’obiettivo dell’economicità. La Piattaforma si limita invece a esercitare un ruolo passivo, di mero tramite tra le parti e l’organismo ADR, mentre forse sarebbe stato auspicabile un ruolo attivo anche di sperimentazione dell’utilizzo delle nuove tecnologie nelle ODR.

Altra osservazione può essere fatta in merito al ventaglio di ODR offerto dagli ODR providers selezionati per l’Italia. Da uno sguardo sulle opzioni disponibili, si può riscontrare una mancanza di varietà dell’offerta e un basso livello di sperimentazione. Gli organismi selezionati offrono delle procedure ODR piuttosto basilari, che consistono quasi unicamente in “technology-assisted ODR mechanism”, e non in “tecnology-based ODR mechanisms”. In altri termini, la tecnologia è utilizzata in questi tipi di ODR soltanto per facilitare lo svolgimento della procedura, fornendo dei mezzi di comunicazione più rapidi, quali chat ed e-mail. Ma non si riscontrano innovazioni o sperimentazioni signiicative che mettano al centro delle ODR la tecnologia con tutte le sue potenzialità innovative, dato che la stessa viene considerata ancillare allo svolgimento del procedimento e mai come arteice dello stesso. L’ODR viene ancora concepita come una categoria di ADR migliorata dall’utilizzo di tecniche informatiche, e non viene considerata come una categoria nuova, capace di modiicare gli strumenti tradizionali e il modo di concepire la risoluzione delle controversie26. Si poteva ad esempio trarre ispirazione

La piattaforma Europea per la risoluzione delle controversie online

da contesti in cui sono state già fatte sperimentazioni signiicative, e in cui si sono sviluppate interessanti forme di ODR, quali le “automated negotiation or blind bidding”27, i “multi-variable resolution optimization programs”28, e i “solution set databases”29. Tuttavia, le ODR offerte consistono quasi unicamente in conciliazioni condotte con l’ausilio dei mezzi informatici ma che replicano in tutto e per tutto lo schema della conciliazione non virtuale.

Altre criticità possono essere osservate in merito alla scelta delle ODR come mezzo per attuare il Regolamento. Questi mezzi alternativi di risoluzione delle controversie si adattano bene per la grande lessibilità, la rapidità, la riservatezza30, e per la mancanza di formalità processuali, a essere utilizzate per risolvere eventuali controversie transfrontaliere legate all’e-commerce. Tuttavia, il grado di protezione che esse sono in concreto in grado di assicurare alle parti può essere considerevolmente ridotto per alcune caratteristiche strutturali di queste procedure.

Il primo fattore che può considerevolmente diminuire l’eficacia delle ODR è legato alla natura contrattuale di queste procedure.

Come abbiamo rilevato in precedenza, per instaurare queste procedure è necessario che entrambe le parti vi consentano. La manifestazione del consenso è necessaria, nel meccanismo della Piattaforma, non solo per l’instaurazione della procedura, ma anche in seguito ad esempio per l’individuazione dell’organismo ADR competente a gestire la procedura. È agevole comprendere che a lite insorta, il raggiungimento del consenso tra le parti può diventare un’impresa ardua, perché i rapporti si sono già compromessi. Il riiuto della parte di partecipare alla procedura costituisce una barriera insormontabile per la parte che adisce l’organismo ADR.

Il secondo fattore che può avere un impatto sull’eficacia, è legato all’esito di queste procedure, che possono concludersi con atti non

27 Tra gli ODR providers che offrono questi servizi si vedano Cybersettle (www. cybersettle.com) e SmartSettle (www.smartsettle.com).

28 Un esempio di questo sistema è SmartSettle program, offerto da SmartSettle (www.smartsettle.com).

29 Un esempio di solution set database era costituito da SquareTrade’s Direct Negotiation, elaborato per risolvere le controversie scaturenti da E-Bay.

30 C. Menichino, Art. 19, cit., 457.

vincolanti, o con atti che hanno valore di un contratto31. La loro esecuzione può quindi essere rimessa alla volontà delle parti.

La piattaforma non affronta adeguatamente nessuna delle due questioni appena menzionate. Sia per quanto riguarda l’attrazione della parte nella procedura sia in ordine all’esecuzione della proposta transattiva, la Piattaforma non prevede dei meccanismi che possano incentivare il professionista a ricorrere alle stesse o ad adempiere. Al ine di incentivare l’uso delle ODR, non basta prevedere in “astratto” la possibilità di ricorrere a queste procedure, ma bisogna anche prevedere meccanismi che possano favorirne l’uso in concreto. Le ODR possono essere davvero eficienti soltanto se il consumatore ha fondati motivi per ritenere che in caso di controversia avrà una possibilità concreta di tentare una risoluzione della controversia con il professionista. La volontarietà della procedura è un elemento importante nelle ODR, ma è intuitivo comprendere che senza adeguati incentivi l’utilità di questi mezzi di risoluzione delle controversie può essere vaniicata del tutto, e con essa anche l’obiettivo fondamentale della protezione del consumatore nel mercato digitale.

Queste questioni sono state affrontate con soluzioni interessanti in altre “piattaforme virtuali”, in cui si sono predisposti dei meccanismi che potessero incentivare le parti a partecipare alle procedure e a dare esecuzione a un’eventuale proposta transattiva. Questi incentivi fanno leva su un elemento fondamentale per i professionisti che operano nel web: la preservazione della “propria reputazione” in rete, e quindi la iducia dei consumatori verso il professionista. In alcuni “mercati online” sono infatti stati creati dei veri e propri sistemi di feedback e trustmark, che hanno la funzione di rendere noti a tutti gli utenti l’eventuale afidabilità di un professionista e la sua condotta sul web.

I primi, anche deiniti reputation management systems, operano attraverso i feedback rating systems che sono dei software che rico-

31 Il Reg. UE 524/2013 prevede all’art. 9, co. °5, lett. e, che le parti siano preventivamente informate circa la natura vincolante o non vincolante dell’esito della procedura. Sul tema si veda S. Azzali; Regazzoni, Composizione extragiudiziale delle controversie e strumenti di ADR, in C.C. Rossello, G. Finocchiaro, E. Tosi (a cura di), Commercio elettronico, Torino, Giappichelli, 2007, 252.

La piattaforma Europea per la risoluzione delle controversie online

struiscono la reputazione di un dato professionista sulla base dei feedback rilasciati dagli utenti, e che sono resi pubblici e facilmente accessibili al consumatore che si appresta ad acquistare dal professionista. Nel sistema di E-Bay ad esempio, se una parte si riiuta di partecipare a una ODR, oppure di dare esecuzione alla proposta transattiva, può ricevere un feedback negativo dalla parte che l’ha invitata a partecipare alla procedura, che viene pubblicamente esposto sul suo proilo online. Per rimuovere questo feedback negativo, che è visibile a tutti gli utenti, la parte ha a disposizione due strade: iniziare con la controparte una procedura per la rimozione del feedback negativo, che sarà decisa da una “corte online” composta da 21 utenti E-Bay32; oppure accettare di partecipare alla mediazione che aveva riiutato in precedenza. Questa sorta di “sanzioni private” hanno dato prova di essere particolarmente eficaci nei mercati globali gestiti dalle grandi multinazionali, dato che riescono a screditare la reputazione di un professionista, a cui i consumatori preferiranno professionisti che non hanno ricevuto feedback negativi e che dimostrano quindi di avere una buona condotta sul web. Prova della loro eficacia può essere rinvenuta nel fatto che i professionisti sono disposti a intentare i c.d. reputational claims al ine di rimuovere il feedback negativo.

I trustmark sono invece degli strumenti che consentono ai consumatori di individuare i professionisti afidabili33. Si tratta di sigilli che sono rilasciati da enti privati o pubblici ai professionisti che soddisfano determinati standard. I sigilli attestano, tra l’altro, che il professionista si impegna effettivamente a ricorrere alle ODR. Questi meccanismi sono esposti sul sito internet del professionista, e consentono ai consumatori di individuare facilmente i professionisti non afidabili e a preferirgli quelli che invece lo sono.

In ultimo si può osservare che l’utilizzo isolato delle ODR non può essere in grado di assicurare un elevato grado di protezione dei consumatori nel mercato digitale. Le ODR sono dei rimedi di extrema ratio, cui si ricorre a lite insorta. La protezione dei consumatori nel

32 Rabinovich-Katsh, Technology and the Future of Dispute Systems Design, in Harvard Negotiation Law Review, 2012, 174.

33 Si veda Rabinovich-Einy, Technology’s Impact: The Quest for a New Paradigm for Accountability in Mediation, in Harv. Negot. L. Rev., 2009, 11, 253.

mercato digitale deve essere garantita preventivamente, proprio per evitare che sorgano eventuali controversie. A tal ine, possono svolgere un ruolo fondamentale i sistemi di ODP guarantees (ossia Online Dispute Prevention Guarantees)34, quali ad esempio i meccanismi di “credit card charge back” o gli “escrow agreements”. Queste garanzie sono capaci di assicurare un maggiore livello di protezione dei consumatori rispetto a quanto possano fare le ODR, e per questa ragione dovrebbero essere sviluppati parallelamente alla Piattaforma.

L’istituzione della Piattaforma costituisce un primo passo importante nella giusta direzione, e contribuirà senza dubbio alla diffusione della cultura delle ODR. Tuttavia il mondo delle ODR è molto complesso, eterogeneo, in continua evoluzione, e le sue potenzialità per aumentare la fiducia dei consumatori nel mercato digitale dovrebbero essere esplorate attraverso una maggiore sperimentazione

Il Fascicolo sanitario elettronico nell’esperienza italiana: beneici

potenziali e criticità da affrontare

1. Introduzione

Nell’ultimo decennio l’impiego degli strumenti informatici nella PA è andato crescendo, sulla scorta delle previsioni legislative che, recependo gli stimoli provenienti dalle istituzioni europee1, hanno sempre più spesso incentivato negli ufici pubblici l’uso del digitale sia nei rapporti tra amministrazioni che tra queste ultime e i privati2 .

1 Tra i principali documenti europei con le quali le istituzioni UE hanno evidenziato l’importanza dell’uso dell’informatica da parte delle amministrazioni nazionali, possono essere ricordati: Commissione europea, Piano strategico Europa 2020, reperibile sul sito www.ec.europe.eu/eu2020/pdf; Commissione europea, Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni. Un’agenda digitale europea, Bruxelles, 19.5.2010, COM(2010)245 deinitivo, reperibile su www.eur-lex.europa.eu. Sul tema della sanità digitale, in particolare, si annoverano la Direttiva 2011/24/UE, con particolare riferimento agli artt. 11 (“Riconoscimento delle prescrizioni rilasciate in un altro Stato membro”) e 14 (“Assistenza sanitaria online”) nonché Commissione europea, eHealth Action Plan 2012-2020 – Innovative Healthcare for the 21th Century, Brussels, 6.12.2012, COM(2012)736 inal, reperibile su www.ec.europe.eu/digital-single-market/ en/news/ehealth-action-plan-2012-2020-innovative-healthcare-21st-century.

2 Sotto questo speciico proilo, si pensi all’introduzione dell’art. 3-bis nella legge n. 241/1990, avvenuta ad opera della legge 11 febbraio 2015, n. 15, il quale recita che «Per conseguire maggiore eficienza nella loro attività, le amministrazioni pubbliche incentivano l’uso della telematica nei rapporti interni, tra le diverse amministrazioni e tra queste e i privati». Più in generale, si segnala che con il d.lgs. 7 marzo 2005, n. 82 è stato introdotto nel tessuto giuridico nazionale il c.d. Codice dell’Amministrazione

Nodi virtuali, legami informali: Internet alla ricerca di regole

In questo contesto generale, anche la sanità è stata interessata da un crescente processo di digitalizzazione, tutt’oggi in ieri, che si è declinato sui diversi fronti dell’e-government, dell’e-procurement e degli e-services3 .

Nel prosieguo del lavoro, ci si soffermerà sulle principali iniziative avviate in Italia nel campo dell’e-health, concentrandosi poi sui beneici e sulle criticità legate all’impiego del Fascicolo sanitario elettronico (Fse).

2. Le iniziative e-health in Italia: lo stato dell’arte

Nel contesto della tripartizione in macro-settori sopra riportata, che individua i tre campi elettivi di applicazione delle tecnologie informatiche in sanità, l’ambito degli e-services può a sua volta essere scomposto in diverse micro-aree4, le quali, lette complessivamente, forniscono un quadro abbastanza completo delle iniziative che sono state avviate in Italia nel settore dell’e-health.

La menzionata classiicazione consente di incasellare in tre micro-settori le principali iniziative di sanità digitale conosciute dall’ordinamento italiano.

digitale. Per un approfondimento sul CAD, ex multis, E. Carloni, Codice dell’amministrazione digitale – Commento al d.lgs. 7 marzo 2005, n. 82, Rimini, Maggioli, 2005;

G. Cassano, C. Giurdanella (a cura di), Il codice della pubblica amministrazione digitale – Commentario al d.lgs. n. 82 del 7 marzo 2005, Milano, Giuffrè, 2005;

I. D’Elia,

M. Pietrangelo, Il Codice dell’amministrazione digitale nel processo di sempliicazione normativa: genesi e criticità, in Informatica e dir., 2005, 9 ss.

3 Cfr. A. Paltrinieri, Sanità e Internet: la sida degli e-services per la salute, in Tendenze nuove, 3, 2002, 375, il quale afferma, appunto, che l’introduzione del digitale in sanità sia avvenuta in relazione a tre macro-settori, che egli deinisce, rispettivamente, e-government, e-procurement e e-services. Nel primo caso, Internet costituisce uno strumento di governo del sistema sanitario complessivo; nel secondo, un mezzo di eficienza negli approvvigionamenti; nell’ultimo, uno strumento innovativo per l’erogazione dei servizi.

4 Anche questa classiicazione si ritrova in A. Paltrinieri, Sanità e Internet, cit., 380-385. L’A. fa riferimento alle seguenti categorie di servizi sanitari digitalizzati: servizi informativi clinici e di outcome; gestione di dati sanitari personali; sostegno a pazienti cronici in un’ottica di continuità assistenziale; traduzione informatica di servizi già erogati in modalità tradizionali.

Il Fascicolo sanitario elettronico nell'esperienza italiana...

Una prima area è rappresentata dai servizi informatici che consentono la gestione in forma elettronica dei dati sanitari dei pazienti. A questa inalità risponde proprio il Fascicolo sanitario elettronico5, un documento digitale personale, diverso dalla “cartella clinica digitale”6, che raccoglie dati sanitari e socio-sanitari di ciascun individuo, utili a ricostruire la sua storia clinica, e che, in presenza del consenso dell’interessato, mette tali informazioni a disposizione del personale sanitario che tale soggetto prende in cura.

L’ingresso del FSE nel tessuto ordinamentale italiano è avvenuto attraverso un percorso che ha preso le mosse dall’iniziativa di alcune Regioni, le quali, in assenza di una base normativa nazionale, hanno dato avvio ad una serie di iniziative sperimentali7. Solo successivamente, con la inalità di estendere a tutto il territorio na-

5 In generale sul Fascicolo sanitario elettronico, si vedano, P. Guarda, Fascicolo sanitario elettronico e protezione dei dati personali, Università degli Studi di Trento, Quaderni del Dipartimento di Scienze Giuridiche, 2011; G. Comande’, Circolazione elettronica dei dati sanitari e regolazione settoriale: spunti ricostruttivi su “interferenze sistematiche”, in A.A.V.V., Studi in onore di Davide Messinetti, Edizioni Scientiiche Italiane, 2008, 279 ss.; G. Comande’, L. Nocco, V. Peigné’, Il Fascicolo Sanitario Elettronico: uno studio multidisciplinare, in Riv. It. Med. Leg., 2012, 1, 105 ss.; V. Peigné, Il Fascicolo Sanitario Elettronico: verso una “trasparenza sanitaria” della persona, ivi, 2011, 6, 1519 ss. Per un’analisi speciica delle problematiche sollevate dalla gestione del FSE di un soggetto minorenne, si veda R. Ducato, U. Izzo, Diritto all’autodeterminazione informativa del minore e gestione dei dati “supersensibili” nel contesto del Fascicolo Sanitario Elettronico, in Dir. Inf., 2013, 4-5, 703 ss.

6 P. Guarda, Fascicolo sanitario elettronico, cit., 150 si sofferma su questa differenza, speciicando che il Fse «modiica le categorie organizzative stesse della documentaristica sanitaria, costituendo un contenitore più ampio di dati relativi alla storia clinica di un paziente [rispetto alla cartella clinica digitale] e garantendogli un livello di interoperabilità e di coinvolgimento sconosciuti in passato». Per un’analisi, in generale, del regime giuridico della cartella clinica, si veda ivi, 149, con particolare riferimento alla dottrina richiamata nella nota n. 91. Si noti, inoltre, che assai dibattuto è il valore giuridico della cartella clinica. Sul punto, per una sintesi delle diverse posizioni sostenute negli anni, F. Frè, La cartella clinica nel sistema sanitario italiano, in Nuova rass. legisl., dottr.e giur., 2007, 23-24, 2387.

7 Si sofferma sulle esperienze avviate in alcune Regioni italiane, P. Guarda, Fascicolo sanitario elettronico, cit., 58 ss.

zionale tale strumento, il Governo si è attivato per regolamentare il fenomeno unitariamente. Lo ha fatto, in prima battuta, nel novembre 2010, attraverso l’adozione delle Linee Guida sul Fse ad opera del Ministero della Salute, elaborate da un tavolo inter-istituzionale istituito dall’allora Ministro della Salute, composto da esperti ministeriali, da rappresentanti delle Regioni, da esperti del Dipartimento per la digitalizzazione della PA e l’innovazione tecnologica (incardinato nella Presidenza del Consiglio), di DigitPA e dell’Autorità Garante per la protezione dei dati personali; successivamente, attraverso la positivizzazione della nozione di Fse e delle sue inalità attraverso una fonte di rango primario, ossia il d.lgs. n. 179/2012; inine, con il D.P.C.M. n. 178/2015, con il quale l’esecutivo ha adottato la relativa disciplina di dettaglio.

Una seconda area di applicazione delle tecnologie informatiche in sanità è quella del monitoraggio di pazienti cronici da remoto, attraverso applicazioni di telemedicina, le quali favoriscono la continuità della relazione tra il paziente e il medico e, in questo modo, la qualità e adeguatezza delle cure. Inoltre, oltre a declinarsi nella forma di “tele-monitoraggio”, quale è quella appena descritta, esse possono conigurarsi anche come “tele-consulto” o “tele-conferenza”, entrambe modalità di dialogo tra più medici e/o specialisti che hanno in cura i medesimo paziente, o anche come “tele-reporting”, ossia modalità telematica di trasmissione di dati tra medici8 .

La terza area di impiego dei servizi informatici in sanità concerne le prestazioni che sono già fruibili attraverso modalità tradizionali ma che, attraverso l’informatica, possono trovare nuove modalità di erogazione.

Rientra in questo ambito il sistema CUP, il quale consente di prenotare prestazioni sanitarie e diagnostiche attraverso un unico punto di accesso, aziendale o inter-aziendale9, il quale, pe-

8 Per una ricognizione dell’evoluzione della nozione di “telemedicina”, si veda G. Cangelosi, I servizi pubblici sanitari: prospettive e problematiche della telemedicina, in Dir. fam., 2007, 1, 437 ss.

9 Per una ricostruzione dell’evoluzione dei sistemi CUP in Italia, si rinvia a C. Cipolla, A. Paltrinieri (a cura di), I CUP in Italia. Lo sviluppo delle reti telematiche per l’accesso alla sanità, Milano, Franco Angeli, 1999.

Il Fascicolo sanitario elettronico nell'esperienza italiana...

raltro, permette di monitorare la domanda e l’offerta sanitaria nonché di individuare casi di incongruenza tra le due e di porvi rimedio nonché, nei casi in cui l’unità territoriale di riferimento del sistema sia più ampia della singola realtà aziendale, può aiutare a governare e ridurre le liste d’attesa, consentendo ai pazienti di fruire delle prestazioni richieste presso presidi sanitari vicini, con minore attesa.

Il sistema CUP non è stato ancora compiutamente regolamentato a livello centrale. Il Ministero ha soltanto emanato, nell’ottobre del 2009, le Linee Guida Nazionali sul Sistema CUP. In sede legislativa, poi, il Governo si è limitato a sancire una esplicita preferenza per l’uso dei sistemi di prenotazione elettronica all’art. 47 del d.l. n. 5 del 4 aprile 2012, prevedendo che nei piani di sanità nazionali e regionali debbono essere privilegiati proprio i sistemi elettronici.

A questa micro-area, fanno capo anche la dematerializzazione delle ricette cartacee in favore di quelle telematiche e la refertazione online.

La dematerializzazione delle ricette è stata prevista dal d.l. n. 78/2010 ed è stata ribadita dal d.l. n. 179/2012, che ha deinito un percorso graduale di sostituzione delle prescrizioni cartacee con quelle elettroniche (60% nel 2013, 80% nel 2014, 90% nel 2015).

L’invio dei referti online, invece, è stato introdotto, in prima battuta, in modo autonomo da singole realtà locali, soprattutto private.

Sul fronte della normativa statale, il d.l. n. 70/2011– in particolare all’art. 6, co. 2, lett. d) nn. 1) e 2) – ha disposto che le strutture del SSN provvedano a predisporre meccanismi per consentire sia il pagamento online delle prestazioni sanitarie sia l’invio telematico dei relativi referti. Tale disposizione è stata attuata con previsioni più speciiche attraverso il D.P.C.M. 8 agosto 2013.

Prescindendo da un’analisi speciica dei singoli aspetti positivi legati alle singole applicazioni delle tecnologie digitali in sanità – richiamate nel precedente paragrafo – s’intende qui soffermarsi, tra di essi, su quelli speciicamente legati all’impiego del Fse.

Nodi virtuali, legami informali: Internet alla ricerca di regole

Tali beneici possono essere raggruppati attorno a due poli.

Occorre, infatti, rimarcare come l’uso di tale strumento possa produrre vantaggi sia sotto il proilo, per così dire, “individuale” sia sotto un proilo, diciamo, “istituzionale”10 .

Nella prima accezione, l’impiego delle tecnologie informatiche si rivela funzionale ad assicurare un’effettiva adeguatezza ed una migliore qualità delle cure.

Il Fse, infatti, si differenzia dalle raccolte di dati sanitari in formato cartaceo per la quantità di informazioni in esso presenti. In questo senso, in un contesto sanitario che, secondo alcuni, è sempre più frammentato11, esso consente ai sanitari di avere una visione completa dello stato di salute del paziente12 .

Nella seconda accezione, invece, il Fse può determinare il miglioramento dell’assistenza sanitaria sotto il proilo dell’eficienza e del contenimento dei costi.

Esso, infatti, permette, grazie allo stoccaggio di dati, di evitare la duplicazione di analisi inutili. Inoltre, in forma anonima, può essere impiegato anche per inalità di governo, ossia per ottenere informazioni utili a modulare, in un’ottica di maggiore eficienza e di razionalizzazione delle risorse, l’offerta sanitaria.

10 Evidenziano questa duplice inalità, tra gli altri, V. Peigné, Il Fascicolo sanitario elettronico, cit., parr. 2.1 e 2.2., 1520 nonché R. Ducato, U. Izzo, Diritto all’autodeterminazione informativa del minore, cit., 704.

11 Si esprime in questi termini, A. Pagni, Dalla condotta medica alla medicina telematica, Lettura magistrale alle giornate nazionali di studio in medicina telematica, 8-9-10 aprile 2010, reperibile su www.medicinatelematica.it, il quale evidenzia come lo sviluppo tecnologico e il progresso della ricerca medica abbiano determinato una crescente specializzazione del personale sanitario, con la conseguenza che l’attenzione si è spostata dalla malattia del paziente alla malattia del singolo organo/ apparato, con l’abbandono di una visione d’insieme della salute del paziente.

12 Così, V. Peigné, Il Fascicolo Sanitario Elettronico, cit., 1519.

4. Le criticità legate all’impiego del Fse

4.1. La riservatezza dei dati sanitari

Il legislatore nazionale, già in sede di approvazione del testo unico in materia di tutela dei dati personali (Codice privacy)13, ritenne di approntare un regime di tutela rafforzato, rispetto a quello generale14 , per il trattamento dei dati sanitari15, dedicando ad esso l’intero titolo V del Codice privacy.

L’introduzione delle tecnologie informatiche in sanità ha, sotto alcuni aspetti, reso necessario declinare tali previsioni in modo nuovo, sì da adattarle alle accresciute occasioni di rischio derivanti dall’immissione dei dati sanitari nella Rete; l’effettività ed eficacia del sistema di protezione dei dati sanitari online può infatti condizionare la iducia dei pazienti, che, in assenza di garanzie, potrebbero essere scoraggiati dall’impiego di tali tecnologie.

Della necessità di adeguare la normativa al nuovo contesto digitale, si è mostrata sin da subito consapevole l’Autorità Garante per la privacy, la quale, in perfetta assonanza rispetto ai principi espressi

13 L. 30 giugno 2003, n. 196. Per un commento, ex multis, F. Cardarelli, S. Sica, V. Zeno-Zencovich (a cura di), Il codice dei dati personali. Temi e problemi, Milano, Giuffrè, 2004; V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), Il codice del trattamento dei dati personali, Torino, Giappichelli, 2007; J. Moducci, G. Sartor (a cura di), Il codice in materia di protezione dei dai personali, Padova, CEDAM, 2004.

14 Sul rapporto tra la disciplina avente ad oggetto i dati sanitari e quella generale contenuta nella Parte I del Codice, con particolare riferimento alla possibilità di qualiicare o meno di detto rapporto alla stregua di una relazione species-genus, si veda F. Canestrari, G. Ferrando, C.M. Mazzoni, S. Rodotà, P. Zatti (a cura di), Il governo del corpo, Tomo I, in S. Rodotà, P. Zatti (diretto da), Trattato di biodiritto, Milano, Giuffrè, 2011, 996-997, nota 27.

15 Con l’espressione “dato sanitario” si intende fare riferimento al dato idoneo a fornire informazioni sulla salute di un individuo. Il concetto di “salute di un individuo” deve essere inteso in senso ampio, inclusivo degli aspetti isici, psichici e relazionali della persona. A sostegno di tale impostazione, si vedano, J. Moducci, G. Sartor (a cura di), Il codice in materia di protezione dei dai personali, cit., 257;

G.M. Riccio, Privacy e dati sanitari, in F. Cardarelli, S. Sica-V. Zeno-Zencovich (a cura di), Il codice dei dati personali, cit., 247 nonché C. Casonato, Diritto alla riservatezza e trattamenti sanitari obbligatori: un’indagine comparata, in Quaderni del Dipartimento, Dipartimento di Scienze Giuridiche dell’Università degli Studi di Trento, 1995, 32.

qualche anno prima in sede europea16, ha adottato due diverse Linee Guida17, una in materia di Fascicolo sanitario elettronico18, le cui disposizioni sono state recepite in gran parte dal D.P.C.M. n. 178/2015, e l’altra in materia di invio dei referti online19 .

Con speciico riferimento al Fse, i principi issati dal Garante e dal legislatore costituiscono il risultato di un bilanciamento tra interessi contrapposti, costituiti, da un lato, dal rispetto delle scelte del paziente – che può valutare se creare il proprio Fse, a chi consentire l’accesso e quali dati mostrare – e, dall’altro, gli indubbi beneici, individuali e collettivi, che, come si è visto, questo strumento è in grado di produrre. Di tale bilanciamento sembra possa essere data una valutazione positiva.

Infatti, in linea di continuità con i principi fondamentali dell’ordinamento italiano, che pongono al centro la tutela della persona e che sanciscono la centralità, appunto, del principio di autodeterminazione del paziente in ambito sanitario20, le previsioni poste dal legislatore in materia di tutela della riservatezza dei dati immessi nel Fse sembrano attribuire maggiore considerazione proprio alle scelte del paziente rispetto ai beneici ottenibili dall’impiego delle tecnologie digitali.

Una rapida ricognizione delle principali tra le regole issate dal D.P.C.M. n. 178/2015 consente di dimostrare tale assunto.

Un primo insieme di previsioni pare poter essere inquadrato come applicazione diretta del principio di autodeterminazione.

16 Cfr. Gruppo di lavoro Articolo 29, Documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche, 00323/07/EN WP 131, reperibile su www.ec.europa.eu/justice/policies/privacy/docs/ wpdocs/2007/wp131_IT.pdf.

17 P. Guarda, Fascicolo sanitario elettronico, cit., 95, ritiene che i due documenti, pur distinti, abbiano affrontato problematiche distinte ma sovrapponibili.

18 Garante per la protezione dei dati personali, Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario – 16 luglio 2009, pubblicate nella GU n. 178 del 3 agosto 2009.

19 Garante per la protezione dei dati personali, Linee guida in tema di referti online – 19 novembre 2009, pubblicate sulla GU n. 288 del 11 dicembre 2009.

20 Di tale impostazione si trova traccia già nel disposto dell’art. 32 Cost. nonché dell’art. 33 della legge n. 833/1978. In questo senso, P. Guarda, Fascicolo sanitario elettronico, cit., 102-103.

Il Fascicolo sanitario elettronico nell'esperienza italiana...

Tra queste, rientra il dovere per il personale sanitario di fornire adeguata informativa al paziente circa la creazione del Fse, completa di tutte le informazioni indicate dall’art. 13 del Codice della privacy, rese in forma intellegibile, informando speciicamente quest’ultimo che il suo consenso è necessario sia per la creazione del Fse che in occasione di ogni singolo accesso ad esso da parte dei soggetti autorizzati (art. 6, co. 1-2). Ad essa si aggiunge la previsione della revocabilità in ogni momento di tale consenso, con conseguente interruzione dell’alimentazione del Fse, il quale cade in una condizione di “congelamento”, nel senso che i dati immessi restano memorizzati ma viene disabilitato l’accesso ad essi cosicché, nel caso in cui il consenso venga nuovamente prestato, i dati già immessi prima della revoca vengano resi nuovamente visibili (art. 7). Inoltre, il legislatore ha riconosciuto il principio dell’oscuramento. Tale strumento consente al paziente di rendere visibili i dati (o alcuni di essi) solo a se stesso e al sanitario che li ha generati, con l’esclusione di ogni altro soggetto. L’oscuramento impedisce a terzi non solo di consultare i dati oscurati ma anche di avere consapevolezza dell’esistenza di tali dati e del fatto che siano stati oscurati (c.d. oscuramento dell’oscuramento).

Altre previsioni costituiscono attuazione dei principi di proporzionalità e necessità del trattamento.

Il disciplinare tecnico allegato al D.P.C.M. prescrive un sistema di accesso “modulare”, che attribuisce un set differenziato di facoltà a seconda del soggetto che accede e dei dati in relazione ai quali viene effettuato l’accesso. Dunque, ad esempio, se il MMG potrà accedere ai dati prescrittivi con facoltà di scrittura, il farmacista potrà solo prendere visione di essi.

Il D.P.C.M., inoltre, prescrive che l’accesso al Fse sia consentito solo per le informazioni pertinenti al processo di cura per il quale esso venga effettuato e attribuisce alle Regioni (e Province autonome) la facoltà di predisporre un servizio di notiica tramite SMS o mail, che avverta il paziente di ogni accesso effettuato al proprio Fse (art. 13).

Un ultimo insieme di disposizioni riguarda le misure di sicurezza di cui il sistema informatico deve essere dotato al ine di evitare accessi illeciti e dispersione di dati.

Il sistema informatico del Fse deve prevedere un sistema di classiicazione delle informazioni contenute nel fascicolo e un sistema di

Nodi virtuali, legami informali: Internet alla ricerca di regole

classiicazione dei soggetti che accedono, in modo da selezionare le informazioni visibili a seconda di chi effettui l’accesso. A ciò può essere aggiunto dalle Regioni un ulteriore livello di classiicazione relativo al contesto nel quale esso venga effettuato (emergenza, continuità assistenziale ecc…). L’accesso al Fse deve essere preceduto da alcune azioni sequenziali: è necessaria la registrazione del soggetto che intende accedere (durante la quale il sistema deve veriicare la sua identità e il suo ruolo), a seguito della quale egli riceverà le credenziali di accesso. Solo successivamente, il soggetto potrà autenticarsi. Tutte le operazioni che vengono svolte sul Fse – sia quelle annullate sia quelle andate a buon ine – devono essere registrate. Ciò consente di ricostruire le posizioni di responsabilità nel caso di operazioni illecite. In sintesi, le previsioni richiamate dimostrano un’elevata considerazione dei principi di autodeterminazione, di proporzionalità e di necessità nonché un’adeguata considerazione delle esigenze di tutela della sicurezza rispetto ad altri interessi contrastanti. Certo, alcune di essere presentano qualche proilo di criticità: si pensi, ad esempio, alla dificoltà di stabilire a priori la pertinenza di alcune informazioni nei casi di patologie con una sintomatologia analoga o nei casi di possibile interazione tra diverse prescrizioni farmaceutiche. Eccettuate, però, tali situazioni, la riservatezza dei dati immessi nel Fse è assistita da un sistema che, tanto sotto il proilo normativo quanto sotto quello delle strutture informatiche, se rigorosamente rispettato, sembra essere in grado di assicurare un adeguato livello di protezione.

4.2. Il problema dell’alfabetizzazione informatica

L’impiego delle nuove tecnologie e delle nuove opportunità che Internet reca con sé non devono indurre a trascurare gli effetti negativi che si producono in capo a chi, da tali innovazioni tecnologiche, rimane escluso21, con conseguenze sfavorevoli sullo sviluppo complessivo del Paese22 .

21 In questo senso, L. Sartori, Il divario digitale: l’accesso a Internet, in Nuova inf. bibl., 4, 2006, 683.

22 Così, M.L. Parisi, S. Vergalli, Il digital divide frena lo sviluppo, in Equilibri, 2011, 2, 222, ove gli A.A. evidenziano come la distribuzione non equa delle tecnologie informatiche rischi di accentuare le differenze sia tra diversi Paesi (con particolare riferimento a quelli in via di sviluppo rispetto a quelli sviluppati) sia all’interno del medesimo Paese.

Il Fascicolo sanitario elettronico nell'esperienza italiana...

L’esclusione può trovare origine sia nel c.d. digital divide sia nelle digital inequalities23 .

La prima espressione si riferisce alle disomogeneità nelle possibilità di accesso alla Rete24 mentre la seconda, alle differenze nelle capacità individuali di utilizzo dei mezzi informatici25 .

Entrambi i fenomeni, che vengono ricondotti alle disomogeneità in termini di reddito e di livello di istruzione – accompagnate ad ulteriori variabili, quali la dimensione del nucleo familiare, l’età, il sesso e la localizzazione26 – sono piuttosto diffusi in Italia, ove si registrano rilevanti differenze legate al luogo (Nord-Sud), all’età (giovani e anziani) e alla condizione occupazionale del soggetto27 .

23 La distinzione tra le due categorie è stata elaborata in prima battuta da P. Norris, Digital Divide: Civic Engagement, Information Poverty, and the Internet Worldwide, New York, Cambridge University press, 2001 ed è stata successivamente ripresa in Italia da L. Sartori, Il divario digitale. Internet e le nuove disuguaglianze sociali, Bologna, Il Mulino, 2006.

24 La nozione di digital divide si è molto evoluta nel corso degli anni. Questo aspetto è adeguatamente evidenziato da L. Sartori, Il divario digitale: l’accesso, cit., 684, la quale afferma che «[d]a una deinizione semplicistica e polare (haves [ossia, quelli che avevano l’accesso ai mezzi informatici] e have-nots [ossia, coloro che tale accesso non avevano]) si è giunti a considerare […] il digital divide come un fenomeno multidimensionale, che va oltre la mera mancanza di un PC connesso alla rete. Una delle posizioni più recenti suggerisce di interpretarlo come un continuum lungo il quale sono individuabili diverse gradazioni di grigio che vanno dalla mera esclusione dall’accesso alla dotazione di strumenti (hardware e software) di ultima generazione».

25 L’espressione digital inequalities e, soprattutto, la sua autonomia rispetto a quella di digital divide sono legate alla presa di coscienza che l’accesso alla Rete non risolve tutte le possibili disuguaglianze, potendo queste ultime ricomparire sotto forma di diverse capacità di impiego della tecnologia informatica. Sul punto, non è mancato chi, in ragione delle differenze tra le due nozioni, abbia proposto di autonomizzare lo studio di ciascuna di esse. In questo senso, P. Di Maggio, E. Hargittai, C. Celeste, S. Shafer, From the Digital Divide to Digital Inequality: Studying the Internet as Penetration Increases, Princeton University Center for Arts and Cultural Policy Studies, Working Paper, 29, Autunno, reperibile su www.princeton.edu/-artpol/workpap29.html.

26 In questi termini, A.M. Pinna, L’economia/“Digital Divide”, in Equilibri, 3, 2001, 219 ss. nonché L. Sartori, Il divario digitale, cit, 690.

27 Per un approfondimento sulla situazione italiana, si veda L. Sartori, Gli italiani e il ritardo tecnologico, in Il Mulino, 2011, 2, 340 ss.

L’accesso al Fse e la gestione dei dati in esso contenuti presuppongono, da parte dei pazienti, la disponibilità di strumenti informatici e la capacità di utilizzarli28. Possibilità di accesso omogenee e una diffusa capacità di utilizzo delle tecnologie informatiche sono presupposti necessari per evitare che il divario si traduca nell’esclusione di alcuni (presumibilmente, i più anziani, ossia coloro che hanno maggiore bisogno di prestazioni sanitarie) dalla fruizione dei servizi sanitari telematici, con pregiudizio per un uniforme grado di tutela del diritto alla salute.

Questa criticità deve essere affrontata attraverso politiche attive, rifuggendo l’idea che tali differenze possano appianarsi spontaneamente con il passare del tempo29 .

Con speciico riferimento all’uso del Fse, si ritiene che l’impegno verso la riduzione dei limiti all’accesso e delle disuguaglianze debba seguire le seguenti tre direttrici.

In primo luogo, è utile che l’architettura informatica dei sistemi di Fse sia costruita nel modo più semplice possibile; analogamente è fondamentale che l’interfaccia attraverso la quale si accede al Fse sia semplice e chiara.

In seconda battuta, sarebbe opportuno che le strutture sanitarie organizzassero degli incontri nei quali spiegare, in modo semplice ed intellegibile, i meccanismi di utilizzo del Fse, soprattutto alle persone a maggiore rischio di esclusione, come le più anziane.

Inine, proprio per la popolazione più anziana, potrebbe essere disciplinato l’istituto della delega, ad un familiare o un parente di iducia, del potere di accedere al proprio Fse. È evidente che, al ine di

28 Più in generale, sul fatto che l’alfabetizzazione informatica costituisca precondizione per l’esercizio dei diritti digitali nei confronti della PA, si veda F. Cardarelli, Amministrazione digitale, trasparenza e principio di legalità, in Dir. Informazione e Informatica, 2015, 2, 241.

29 Su questo aspetto, si sono fronteggiate negli anni due diverse teorie. La teoria della normalizzazione afferma che il tempo risolve spontaneamente il divario poiché anche coloro che, sotto il proilo della digitalizzazione, sono rimasti indietro saranno capaci di colmare il ritardo. La teoria della stratiicazione, invece, sostiene che soltanto speciiche politiche volte a rimuovere gli ostacoli all’accesso possono evitare, appunto, la stratiicazione delle disuguaglianze, che non sono in alcun modo capaci di dissiparsi da sole. Sul punto, L. Sartori, Il divario digitale: l’accesso, cit., 692.

Il Fascicolo sanitario elettronico nell'esperienza italiana...

garantire un’eficacia tutela della riservatezza sui propri dati sanitari, occorre che la regolamentazione della delega sia approntata con molto rigore. Quest’ultima, infatti, genera una dissociazione tra l’identità della persona che effettua l’accesso e l’identità digitale rappresentata dalle credenziali, la quale non corrisponde a quella del delegato.

Per far fronte a tale criticità, potrebbero essere fornite delle credenziali ad hoc al delegato, immettendo le quali il sistema riconosca che l’accesso è effettuato dal delegato e veriichi l’esistenza di una delega valida ed eficace30 .

4.3. Il delicato ruolo delle Regioni

In conclusione della relazione, pare necessario soffermarsi sul problema dell’interoperabilità dei sistemi informatici31 .

Il richiamato D.L. n. 179/2012 ha afidato alle Regioni (e alle Province autonome) il compito di istituire il Fse; il D.P.C.M. n. 178/2015 ha speciicato, nel menzionato Disciplinare tecnico, alcuni aspetti, di natura, appunto, tecnica, volti a garantire l’interoperabilità, ossia la possibilità per i sanitari di accedere a Fse relativi a pazienti provenienti da altre Regioni.

Al di là di queste disposizioni adottate dal Governo, la concreta implementazione dei sistemi digitali è stata dunque lasciata alle Regioni.

Sul punto, nonostante sia stato previsto l’utilizzo del Sistema Pubblico di Connettività (SPC) quale mezzo di “comunicazione” tra le reti, è stato rilevato in senso critico come la fase della concreta messa in opera dei sistemi non sia stata accompagnata da un’assidua presenza degli organi centrali32, in funzione di coordinamento, pur presente in fase di elaborazione della normativa, e come questa circostanza abbia determinato un’evoluzione a «diverse velocità» nelle diverse aree d’Italia33 .

30 Sul tema della delega per i servizi di sanità elettronica – in particolare, per il Fse – e sulle criticità che essa presenta, P. Guarda, Fascicolo sanitario elettronico, cit., 201 ss.

31 In generale, sul tema dell’interoperabilità tra i sistemi informatici delle PPAA, si vede, a titolo esempliicativo, D. De Grazia, Informatizzazione e sempliicazione dell’attività amministrativa nel “nuovo” codice dell’amministrazione digitale, in Dir. Pubbl., 2011, 2, 643 ss.

32 Così, P. Coletti, L’innovazione digitale nella amministrazione pubblica: le azioni delle Regioni, in Amministrare, 2013, 3, 471.

33 Ivi, 472, il quale guarda alla sanità digitale come caso esempliicativo dell’a-

Nodi virtuali, legami informali: Internet alla ricerca di regole

In questo senso, si può ben comprendere l’importanza di un’azione di effettivo raccordo tra le varie Regioni34. Il gap tra diversi territori dello Stato, infatti, rischia non solo di accentuare le problematiche, già presenti, di digital divide e digital inequalities ma anche di introdurre elementi di discriminazione nella tutela di un diritto fondamentale, quale il diritto alla salute.

zione frammentata delle Regioni rispetto all’impiego delle applicazioni informatiche sul territorio nazionale.

34 Così, ancora P. Coletti, cit., 479.

Dall’anomia alla comunità organizzata: le regole per la rete e la dificile ricerca della loro effettività

Antonello Soro

1. La società digitale: vantaggi e vulnerabilità

Le tecnologie digitali hanno cambiato il mondo, l’economia, il lavoro; hanno dilatato le nostre conoscenze, migliorando in modo indiscutibile il nostro modo di vivere la quotidianità, tanto che nessuno oggi sarebbe in grado di privarsene.

Siamo cittadini del pianeta connesso.

La dimensione digitale è progressivamente diventata l’ambiente – aperto e accessibile – cui afidiamo parti sempre più importanti della nostra esistenza, sia privata che pubblica.

Ma quella che, abbiamo nel tempo deinito come la rivoluzione digitale, ha anche messo in evidenza le contraddizioni che ineluttabilmente accompagnano ogni mutamento epocale.

Nella nuova dimensione immateriale della vita può apparire velleitario garantire una tutela effettiva dei diritti.

Le esperienze di questi anni hanno dimostrato l’esistenza di una sorveglianza di massa che spinge verso la società del controllo e che rimanda al potere indiscusso delle piattaforme digitali che, nel ricostruire tutte le tracce che disseminiamo in rete, ci espongono ogni giorno di più al minuzioso monitoraggio delle nostre preferenze, abitudini ed attività.

I problemi legati al tema della sicurezza, del potere avvolgente dei motori di ricerca, della fragilità degli utenti digitali, della progressione incontenibile di informazioni che riversiamo in rete, sono fonte di crescente inquietudine.

Nodi virtuali, legami informali: Internet alla ricerca di regole

E a rendere lo scenario ancora più complesso si aggiungono le diffuse preoccupazioni in merito alle potenzialità – non ancora del tutto esplorate – dei Big Data, alla concentrazione e delocalizzazione dei nostri dati nel Cloud, ai pericoli – sempre più concreti – dovuti alle violazioni informatiche dei sistemi o delle banche dati.

L’espansione delle nuove forme di comunicazione, il conine sempre più sottile tra dimensione materiale e immateriale, la sorveglianza diffusa possono erodere i nostri spazi di libertà: nel mondo digitale siamo più vulnerabili, più esposti e meno protetti dalle insidie anche perché, affascinati dalla novità e dall’apparente gratuità dei servizi che ci vengono offerti in cambio dei nostri dati, dei nostri proili, diventiamo sempre più spesso internauti imprudenti.

2. Come opporsi alla “dittatura dell’algoritmo”?

Si tratta di aspetti sui quali è indispensabile una matura rilessione. Penso che non dobbiamo rassegnarci alla possibile deriva cui la società digitale ci potrebbe esporre, che la vera sida del nostro tempo sia quella di trovare l’equilibrio per essere insieme liberi e connessi, responsabili dei nostri comportamenti e partecipi della nuova stagione di innovazione e cambiamento.

Dobbiamo passare dall’anomia alla comunità organizzata.

L’esigenza di elaborare una governance della rete sconta inevitabilmente la dificoltà di disciplinare in modo adeguato fenomeni che hanno dimensione globale, di individuare e promuovere regole condivise in ordinamenti (e quindi in contesti sociali, politici, istituzionali) profondamente diversi tra loro.

Su questa prospettiva pesano nuove tensioni che rimandano a temi controversi: ad esempio la disciplina dell’anonimato che esprime, forse più e meglio di ogni altra questione, il rapporto tra autorità e libertà’ tra diritti individuali ed esigenze collettive; tra ragion di Stato e Stato di diritto.

Né può essere sottovalutata la dificoltà delle istituzioni nazionali ad esercitare una qualche sovranità tecnologica rispetto al potere economico e politico che fa capo a pochi soggetti che, in ragione di questa conoscenza esclusiva sfruttano l’assenza di conini che caratterizza il mondo digitale e si presentano come unici interlocutori per affermare – se non imporre – soltanto le loro regole e i loro interessi prevalenti.

La chiamano “dittatura dell’algoritmo” ma forse non è proprio così.

D’altra parte lo scopo delle piattaforme digitali non è certamente quello di rendere il mondo della rete più o meno libero, più o meno civile quanto piuttosto quello di continuare ad offrire nuovi servizi e diffonderli nel mondo.

Questa consapevolezza dovrebbe spingere tutte le Istituzioni, governi e parlamenti a svolgere in modo attivo i propri compiti anche nella dimensione digitale, in quegli spazi che comunque sono “popolati” dai loro cittadini.

So bene che le soluzioni non sono sempre agevoli da ricercare, ma certamente la rilessione su questi temi costituisce una premessa ineludibile per dominare la complessità del nostro tempo.

L’idea di una rete ingovernabile, di uno spazio aterritoriale e anomico dove è possibile violare impunemente i diritti, comincia ad essere scalita da un processo che, per quanto lentamente, è destinato a dare nuova centralità alla persona, partendo dalla considerazione che la tutela dei diritti fondamentali non possa essere lasciata ad una sorta di autodichia dei monopolisti di Internet, che occorra garantire nella dimensione immateriale la stessa tutela accordata alle persone nella dimensione materiale.

3. La centralità dei diritti della persona

Alcuni recenti passaggi hanno in questi anni segnato in modo concreto e signiicativo questo lento cambiamento.

Le rivelazioni di Snowden da una parte e, dall’altra, una più generale conoscenza dell’attività degli OTT (compresi i loro legami con le agenzie governative…ultima Yahoo…) hanno rivelato le gigantesche operazioni di sorveglianza elettronica che è possibile realizzare attraverso l’uso spregiudicato delle tecnologie e, soprattutto, hanno reso visibile il conlitto tra diritti e poteri globali, tra rispetto della libertà e potere di chi vuole esercitare un controllo sulle persone senza limiti e senza frontiere.

L’allarme prodotto ha diffuso a livello globale una prima consapevolezza sul valore che il diritto alla protezione dei dati deve avere nella società digitale: strumento necessario per per opporsi alle spinte, sempre più forti, verso una società della sorveglianza, della classiicazione e selezione sociale. Per difendere la libertà.

In Europa, la giurisprudenza, prima ancora della politica, ha maturato sensibilità ed attenzione verso le questioni poste dalla società digitale.

La Corte di giustizia, con una sentenza del 2014, ha cancellato la direttiva dell’Unione europea sulla conservazione dei dati di trafico.

Una direttiva giustiicata con esigenze di sicurezza che violava la Carta dei diritti fondamentali per carenza delle garanzie minime necessarie ad impedire che un prezioso mezzo di ricerca della prova potesse degenerare in uno strumento di sorveglianza di massa.

Il principio che l’ingerenza nelle nostre vite digitali debba incontrare necessariamente dei limiti, la Corte lo ha affermato anche, e soprattutto, nei confronti delle piattaforme tecnologiche, a partire dalla nota sentenza sul diritto all’oblio.

Il semplice interesse economico, nel caso speciico quello del gestore di un motore di ricerca, non può giustiicare la compressione del diritto all’autodeterminazione della propria identità, il diritto ad essere dimenticati rispetto, appunto, alla indicizzazione totalizzante delle nostre vite.

La memoria collettiva di Internet, accumulando ogni nostra traccia, rischia infatti di renderci prigionieri del passato, di un dettaglio, di errori da cui è impossibile liberarsi reinventando la propria personalità libera dal peso del ricordo e dal controllo sociale di chiunque possa accedere alla rete.

L’impostazione di fondo è forse cambiata e i diritti fondamentali, sacriicati nel nome della sicurezza e dell’economia, devono assumere un ruolo prioritario quando si opera un bilanciamento con interessi di altra natura.

Un’ulteriore signiicativa affermazione del rafforzato panorama dei diritti è rappresentata anche dalla nota sentenza della Corte sul caso Shrems vs Facebook, che ha dichiarato invalido il cosiddetto Safe harbour – l’accordo che consentiva il trasferimento dei dati verso gli Stati Uniti – per l’insuficiente tutela dei dati dei cittadini europei dalla massiva ingerenza delle Agenzie governative.

4. Il nuovo quadro giuridico europeo

In tale mutato contesto si inserisce il nuovo Regolamento Ue in tema di protezione dei dati che – tra l’altro – stabilisce il vincolo del nostro ordinamento per i servizi offerti dai grandi attori dell’economia digitale, sottratti in passato alla giurisdizione delle autorità europee.

E lo stesso Regolamento, il cui principale obiettivo è quello di adeguare le norme alla luce dell’evoluzione tecnologica, punta anche, e soprattutto, a rafforzare le tutele degli utenti: dal nuovo diritto alla portabilità dei dati ai limiti più stringenti per le attività di proilazione; da una maggiore attenzione per i minori che navigano in rete a modalità più adeguate per esprimere in modo consapevole – ma eficiente – il proprio consenso o esercitare il diritto di opposizione anche nel web.

Sono passi signiicativi che dimostrano la possibilità per l’Europa di guidare un processo virtuoso, di essere un riferimento globale nella complessa costruzione del nuovo diritto nella società digitale.

D’altra parte sappiamo che solo quando l’Europa parla con un’unica voce può affrontare e vincere le grandi side che trascendono i conini di un singolo Paese.

Una di queste ineludibili side è costituita dalla possibilità di garantire anche nella rete dei presidi sicuri, perché non esiste libertà senza responsabilità.

5. Per un uso consapevole della rete

E la prima “comunità” nella quale è sempre più necessario promuovere il rispetto della persona ed i più elementari principi di tolleranza è proprio quella degli utenti, dei cosiddetti web users.

Nel complesso sistema di Internet, della rete che avvolge tutto e tutti, non possiamo infatti più sottovalutare la preoccupante deriva dei comportamenti di quegli utenti che utilizzano in modo distorto le nuove forme di comunicazione.

Gli utenti da soggetti passivi si sono trasformati in parte attiva quali produttori di contenuti di ogni genere.

E spesso riversano in rete questi contenuti, senza alcuna remora, anche quando sono delicati, anche quando sono suscettibili di pregiudicare la loro riservatezza e la loro dignità.

Per altro verso le piazze immateriali dei social network e dei blog, create per interloquire con gli “amici” possono essere utilizzate come canali in cui si propagano ingiurie, minacce, piccole o grandi vessazioni.

Spazi non circoscrivibili, privi di conini di tempo, in cui spesso sbiadisce sino ad annullarsi il conine di ciò che è lecito ed accettabile.

Facebook, Google, Twitter, che gestiscono le principali piattaforme attraverso le quali i nostri pensieri, le nostre opinioni e le storie che raccontiamo diventano accessibili al mondo intero, da luoghi di incontro spesso si trasformano in luoghi dello scontro, dove il disprezzo e l’insulto sono tollerati come libere manifestazioni di espressione piuttosto che considerati segnali di imbarbarimento.

Le nuove forme di comunicazione offerte dai social network per esprimere in tempo reale le proprie opinioni e condividere dati (foto, messaggi, video), hanno progressivamente moltiplicato la capacità di intrattenere relazioni interpersonali ma hanno, ad un tempo, reso possibile veicolare in forma virale e incontrollabile contenuti lesivi della dignità personale.

Parole e immagini che verranno cristallizzate nella rete per un tempo ininito.

Tragici e recenti episodi di cronaca hanno squarciato il velo di generale indifferenza rispetto a quelle forme espressive presenti nella rete, agli effetti spesso drammatici prodotti da comunicazioni improntate a cattiveria gratuita, violenza verbale, piacere della gogna: un cortocircuito del pensiero.

Una comunicazione pervasiva, fatta di commenti, video, parodie, foto, usati spesso con incredibile ferocia per irridere gli altri e con una sopraffazione pari all’impotenza della vittima.

Naturalmente il problema non è la rete ma l’uso che se ne fa.

È evidente che si tratti di comportamenti che Internet agevola in quanto indebolisce le remore morali e rende gli utenti – non solo i giovani – più sicuri, disinibiti e meno responsabili delle proprie azioni permettendo comportamenti aggressivi anche a coloro che nella vita reale non avrebbero il coraggio di compierli.

Comportamenti favoriti, spesso, dall’errata convinzione che Internet possa garantire l’anonimato, oppure che esistano servizi o sistemi in grado di cancellare automaticamente le immagini od i messaggi scambiati: in realtà in rete tutto può essere tracciato, conservato e riproposto nel tempo, con gravi conseguenze per i soggetti coinvolti.

6. L’etica del digitale

Ma la rete è e rimane comunque un semplice mezzo che ci permette di comunicare con forme innovative, non la causa di tutti i mali delle moderne società.

Dobbiamo piuttosto chiederci se esso non sia la spia, in realtà, di una profonda mutazione culturale dove la gogna “mediatica”, il desiderio sfrenato di esibizione, l’intolleranza rancorosa non siano diventati uno stile di vita comunemente accettato, una cultura largamente presente – prima ancora che nella rete – nella politica, nei giornali, nelle televisioni.

E proprio in ragione di queste considerazioni, e soprattutto delle peculiarità della rete e di una comunicazione virale con i suoi effetti espansivi, non sempre la strada corretta da percorrere è quella di tentare di colmare lacune legislative – spesso solo presunte – con interventi normativi che rischiano di non adattarsi al mondo digitale.

Come nel caso della legge sul Cyberbullismo – appena approvata alla Camera – che presenta non pochi proili di criticità a partire dalla dilatazione del campo di applicazione; per altro verso non bisogna enfatizzare le misure repressive, che scontano la possibilità di interventi inalizzati soltanto a “contenere” gli effetti lesivi di comunicazioni distorte o offensive.

Le side che dobbiamo allora affrontare sono davvero tante e ogni discussione intorno al tema della “governabilità” della rete – con particolare riguardo a quello riferito ai limiti necessari per contenere le distorsioni presenti nei social network – non può prescindere dalla ricerca di soluzioni capaci di assicurare, ove necessario, tutele che siano concrete.

Devono allora essere in primo luogo implementate procedure condivise con i gestori delle piattaforme digitali per consentire alle vittime di comportamenti lesivi di effettuare valide segnalazioni e alle autorità di velocizzare l’oscuramento di contenuti offensivi. Una strada che, da tempo, la nostra Autorità percorre, anche in via collaborativa, con l’obiettivo di rendere tali misure ancora più eficaci.

Le molte esperienze dimostrano, infatti, che il tempo di intervento delle Autorità e le risposte dei gestori delle piattaforme alle diverse istanze devono risultare decisamente brevi.

Anche in questa direzione, dobbiamo registrare qualche signiicativo passo avanti, come dimostra il recente Codice di condotta sottoscritto dagli operatori con la Commissione Ue in tema di incitamento all’odio online.

Sono solo i primi passi.

I grandi operatori della rete dovranno prendere atto che non può esserci antagonismo irriducibile tra esigenze del “mercato” e riconoscimento dei diritti; che la tecnologia da sola non sempre permette di risolvere problemi complessi con un semplice click.

Soltanto se matura una nuova coscienza, un’etica della società digitale, sarà possibile ripensare al valore della rete e conciliare lo sviluppo ed il progresso tecnologico con i sistemi giuridici e valoriali del nostro tempo.

Occorre un rinnovamento culturale per educare gli operatori, le istituzioni e, soprattutto, gli utenti ad avere un rapporto equilibrato con le tecnologie, promuovendo l’idea che la presenza continua in rete e la velocità di connessione senza limiti non sono necessariamente il presupposto di una maggiore libertà.

Nel mondo digitale occorre essere cittadini prima che semplici proili o utenti.

La precondizione per avere successo risiede in un forte investimento, da parte di tutte le istituzioni, in educazione civica alla società digitale.

Questa sessione, la cui attenzione è focalizzata principalmente sugli utenti che, con le loro condotte, popolano Internet ha l’obiettivo di una rilessione sui limiti e le opportunità della rete, ma anche sugli strumenti necessari per renderla una dimensione dei diritti e delle libertà.

1. Il ruolo dell’Agenzia per l’Italia digitale: migliorare il design dei servizi per rispondere alle vulnerabilità del presente

L’Agenzia per l’Italia Digitale (AgID), che opera sotto la Presidenza del Consiglio, ha da statuto il dificile compito contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica.

Il Nuovo Codice dell’Amministrazione Digitale (GU del 14 settembre il d.lgs. 26 agosto 2016 n. 179) conferma il ruolo di AgID nella deinizione di regole tecniche e principi, nella stesura della strategia e nella sua declinazione all’interno del Piano triennale dei sistemi informativi della pubblica amministrazione.

Come si traducono queste attività dell’Agenzia nell’impegno per garantire uguaglianza, libertà e diritti? Riesce un’agenzia statale giovane, veramente operativa da pochi mesi, a incidere nella complicata e liquida società di oggi, con la pervasività degli strumenti digitali e delle nuove connessioni sociali che si sono create?

Il compito dell’Agenzia è proprio questo: evitare che il pubblico sia a corto di soluzioni, di strategie e di regole nell’affrontare le vulnerabilità del presente, incapace di sfruttare l’onda lunga della digitalizzazione della società e di metterla davvero al servizio dei cittadini e non di qualche esclusiva piattaforma o compagnia privata.

L’Agenzia non produce prodotti o servizi. Non serve a niente realizzare qualcosa se poi i processi non cambiano. Un servizio digitale

Al servizio del cittadino: il design per rispondere alle vulnerabilità del presente

che replica i processi analogici non può funzionare, così non cambia la burocrazia, anzi si aggiunge un altro strato inutile.

La missione dell’Agenzia è quindi quella di sempliicare la vita dei cittadini, delle imprese e delle pubbliche amministrazioni, trasformando il rapporto con la burocrazia, sfruttando e sostenendo politiche di innovazione, indicando i migliori strumenti ed evitare uno spreco di risorse, umane e inanziarie. Prendiamo ad esempio i servizi digitali. In Italia abbiamo un triste primato: secondo il DESI (Digital Economy and Society Index https://ec.europa.eu/digital-single-market/en/desi il sistema di benchmark delle politiche digitali più utilizzato in Europa) siamo tra i paesi europei con la maggior offerta di servizi digitali ma anche quelli che li utilizzano di meno. Non c’è una singola causa, ma un insieme eterogeneo di ragioni: scarse competenze, scarsa connettività, scarsa comunicazione, ma anche scarsa qualità dei servizi stessi. Per qualità intendo l’esperienza nell’utilizzare il servizio, che non deve essere considerata un tema superluo, un accessorio inutile che grava sulle esigue inanze di un ente pubblico. Al contrario, è un nodo essenziale di un più vasto orizzonte, vitale alla democrazia, alla trasparenza, alla qualità delle nostre vite. Servizi pubblici semplici, comprensibili, lineari che fanno risparmiare tempo al cittadino, che ti guidano verso quello che vuoi ottenere nel minor tempo possibile, senza creare altre domande. Una migliore esperienza nel rapporto con le pubbliche amministrazioni non alimenta forse la iducia nelle nostre istituzioni, non incrementa la trasparenza dei processi burocratici, non ci fanno più felici per il tempo risparmiato da lunghe code e da inutili reclami?

La “bellezza” estetica diventa quindi etica, un ine morale da perseguire per il bene comune.

I servizi si migliorano tramite il design, una parola inglese che signiica progettare, a sua volta derivato dal latino proiectare, gettare avanti. Questo signiicato rende bene l’idea: quando si progetta un servizio si deiniscono nuovi sistemi di relazione tra diversi componenti, lo spazio di interazione e si inluenzano nuovi comportamenti. È un approccio interdisciplinare che raccorda l’esperienza di chi usa il servizio con le operazioni di gestione di chi lo eroga, mantenendo visione olistica e cura per il dettaglio.

2. Design.italia.it: un’identità coerente dei servizi pubblici

Al sito, al servizio “da utilizzare” dobbiamo saper sostituirne uno “da vivere”. Solo attraverso un’esperienza piacevole e appagante, dove la creatività, la semplicità, l’armonia sono valori riconosciuti, vi sono le condizioni per un rapporto sereno con la pubblica amministrazione, dove il cittadino si sentirà a pieno titolo parte di una comunità.

Quindi insieme alla Presidenza del Consiglio, l’Agenzia per l’Italia Digitale ha rilasciato design.italia.it, dove si possono trovare linee guida per migliorare la progettazione dei servizi, che raccoglie le migliori esperienze internazionali e le traduce in principi e strategie chiari, al passo con le normative comunitarie.

Proprio sull’apertura e sull’inclusività si concentrano alcuni passaggi: come ad esempio il primo principio delle linee guida, dove si sottolinea la necessità di pensare prima ai cittadini, i veri utilizzatori:

«Tutti i cittadini hanno pari dignità sociale e devono poter accedere ai servizi senza distinzione di sesso, di lingua, di età, di condizioni personali e sociali. È compito della Pubblica Amministrazione rimuovere gli ostacoli di ordine tecnologico, geograico, sociale e culturale che, limitando di fatto la libertà e l’eguaglianza dei cittadini, impediscono il pieno utilizzo dei servizi e l’effettiva partecipazione alla vita civica e democratica del Paese».

Un mutamento di paradigma notevole, che richiede il cambiamento totale nell’ideazione, nello sviluppo e nel rilascio di un servizio, che si interseca con l’art. 3 della Costituzione, sancendo il principio di uguaglianza formale e sostanziale anche nella sfera pubblica digitale (dai conini sempre più labili con la realtà “isica”).

Principi che hanno già attuazione in alcune delle infrastrutture immateriali come SPID, il sistema pubblico di identità digitale (Art. 64 del nuovo Codice dell’Amministrazione digitale – www.spid. gov.it), che permette l’utilizzo dei servizi pubblici e privati in modo semplice, ma sicuro (attraverso sistemi di riconoscimento dell’iden-

tità) che non lede i diritti alla privacy dei cittadini in quanto non permette la proilazione, ma solo l’autenticazione.

Nei prossimi anni si perderà l’uso della parola “digitale”, perché tutto sarà digitale, per principio.

Fare le politiche sarà un esercizio di service design, dove le idee e la loro implementazione saranno ben collegate e i servizi plasmeranno il modo di governare, non viceversa: mettendo i cittadini al centro, lavorando in maniera agile, aprendo dati e processi, lo stesso governo cambierà, perché verrà ripensato anche il modo di emanare le leggi: sarà più veloce, più frequente, passando dalla sequenza alla circolarità.

Uno Stato che passa dal presentarsi “utilizzatore del digitale” all’“essere digitale”, ovvero che riesce ad applicare le culture, le pratiche, i processi e le tecnologie utilizzate oggi per rispondere alle aspettative e ai bisogni dei cittadini, cercando sempre di ridistribuire le opportunità, le informazioni e i dati, risorse sempre più preziose nella società della conoscenza e disinnescando le potenziali vulnerabilità di sicurezza e di privacy che stanno minando i nostri rapporti sociali.

Synopsis of “Citizen’s rights and business’ rights in a progressively

1. Introduction

I consider profoundly wrong to talk about new technologies to describe digital technologies which instead have existed for the past twenty years, and I consider as well semantically wrong to talk about real and virtual worlds. For this reason I put a special emphasis in using terms like “material dimension” and “immaterial dimension”, in spite of “real world” and “virtual world”1. And the term “dimension” emphasizes they are not alternative to each other but rather complementary.

In the last few years, online platforms and tools, which handle our immaterial socio-economic relations, enjoyed a regulatory framework with limited constraints with regards to competition, starting from the “eCommerce European directive”2 which introduced an important exemption from responsibility for systems that simply transmit, host or cache contents. The underlying idea, was that since the contents were provided by users, they should be accountable for them. Furthermore, the exclusion of an editorial

1 Seeing things by this prospective, helps to understand that a teenager does not spend most of his time with his phone or on WhatsApp, but he spends its time with his friends and schoolmates. Even when he is materially away.

2 2000/31/CE.

more immaterial world”

Stefano Quintarelli

liability, was justiied by the absence of human activity since the platforms were considered, merely a software. However, platforms have evolved trough years, and I doubt that the original ratio of the European directive is still consistent with the present scenario3 .

2. User interfaces in an immaterial dimension

In the contest of the favorable regulation framework enjoyed in recent years, several platforms have grown and become the main interfaces of the immaterial dimension: the main system we interact trough, which is, in turn, rapidly becoming (and for some of us has already become) the main user interface of the material dimension.

We use tools of the immaterial dimension in order to complement and sustain our socio-economic relations in the material dimension.

Since a system is characterized by its user interface, if a feature is not accessible in the user interface, that very feature does not exist for the user.

Therefore, when we are excluded from the user interface of the immaterial dimension, we tend to be increasingly disadvantaged and marginalized also in the material dimension.

News4 reported that a mere change in Google’s search algorithms resulted in a proit reduction for E-bay of about 200 millions dollars.

In turn, Venture Capital corporations invest billions in companies operating in the immaterial dimension, young businesses that rapidly grow and become world leaders in the ield of new intermediation for the material dimension. The more people use tools in the immaterial dimension to nurture socio-economic relations in the material dimension, the more these new intermediaries achieve a position of extreme relevance.

3 A recent social experiment analized the impact on users’reactions of positive and negative messages, randomly selected on Facebook by an algoritm. For more information see: http://blog.quintarelli.it/2014/07/epic-epic-challenges-face-

books-manipulation-of-users-iles-ftc-complaint.html.

4 http://searchengineland.com/google-ebay-penalty-cost-197031

3. There are very different rules: are they justiied?

As opposed to what happens in the material dimension, where every business operation has marginal costs and requires time, in the immaterial dimension information moves at speed of light with negligible marginal costs.

While in the material dimension, economic returns usually decrease over time, as we have learned from Malthus onward, in the immaterial dimension they tend to increase over time, as explained by Brian Arthur, favoring the creation of oligopolies/oligopsonies, or worse, monopolies/monopsonies.

Since the deregulation of telecommunications, network rules for operators (which must bear extremely material infrastructural investments) have been designed to guarantee users’ fundamental rights, and to favor competition.

As an example, we can recall:

- Rules regarding universal access and service, to make sure that nobody is left behind.

- Interoperability rules, to minimize network effects and to guarantee that customers of smaller operators are not disadvantaged.

- Rules pertaining to the conservation and protection of personal data, and similar rules to exclude other uses.

- Rules to prevent from using utility bills to pay other goods and services.

- Asymmetric regulations, to favor new entrants against preexisting monopolists.

- Rules to favor the possibility of contending customers, allowing for number portability from one phone operator to another in just one day (something that was technically unfeasible, when the rule was introduced).

Similar pro-competitive, pro customer-contestability rules abound in many markets ranging from airline travel to insurances, from banking to healthcare.

Venture Capital companies quickly started to reward, with valuations of Billions of dollars, the new immaterial intermediaries. The payback, if successful, is world dominance in a market, as such

immaterial intermediaries enjoy an exponential growth thanks to the “network effect” and, more than anything else, for the “Lock-in”5 effect they deliberately adopted in their business model.

4. Interoperability and business models

When we think about the Internet, we think about a world of freedom, a bit anarchic, where we can use any service, with any device, in any part of the world.

In today’s word, 5-6 digital platforms attract the vast majority of time spent online by users as well as of services/goods offered or intermediated; beyond these cases, there is a fragmented periphery, almost invisible if compared to these giants.

The idea of the Internet that many of us have is linked to open systems, like e-mails and the web.

On the other hand, presently, few large digital platforms provide functions/services in a centralized & locked-in manner, not interoperable with other protocols and standards.

Paradoxically, if someone invented e-mails today, they would be built by means of a centralized and locked-in service, in which only users duly registered on a speciic platform would be able to exchange messages. Then, such platform would make a huge investments in marketing to attract users and, once the virtuous cycle has started, returns would increase as other users come for free.

As a user, if many users are on a platform and I want to message someone else, I would better get there too (e.g. network effect). Once everybody is there, how can I leave? I would not be able to message anybody if I left (e.g. lock-in).

Since the birth of the Internet, we enjoyed a system allowing anybody to set up his own server interoperating with other people’s servers, and therefore to send and receive e-mails in an open and distributed system.

Why e-mail was born as an open system, and not as a centralized

5 The “Lock-in” is a mechanism similar to a lobster pot, in which there’s only one lane, almost automatic, to acquire a user, and it’s impossible for such a user to leave the system.

one? The answer lies in its origin. Email was born in an academic environment, not for business reasons, to foster exchanges between researchers and non-researchers.

The same was true for SMS, which were created in a context governed by rules established by telecommunication services, which had interoperability in their DNA. Instead, in these days a closed system such as WhatsApp have enjoyed a tremendous growth thanks to a very compelling users’ experience.

In short, the lack of interoperability in current services/platforms is not due to technical reasons, but rather to a business choice of the same platforms, in the absence of pro-competition rules requiring interoperability.

5. Rules and politics

Rules for the material dimension have evolved in 10,000 years of history, since mankind has settled down with the invention of agriculture. Pro-competitive rules in markets have been introduced by politics at some point.

In the immaterial dimension, a speciic exemption from responsibility for intermediaries (i.e. online service providers) has been created trough a light-regulation approach.

Given the new relationship between the immaterial and material dimensions, I think that we should start asking ourselves some – in my view, essential – questions:

- If a global social network is one of the main tool used by a teenager, can the choice of whether to exclude him or not from such platform, be exclusively and without appeal, on the private company that runs the platform? (not to mention the balance on political news delivered through the platform)

- If an immaterial tool, in an oligopolistic or monopolistic regime, is the main way to acquire customers for a business entity in the material world, is it correct that a private operator that operates the platform could, de facto, enjoy a right of “life or death” on such business entity? This is particularly critical when the operator, besides being the interface for the immaterial dimension, can also direct consumers’ behavior, gaining a direct advantage over a competing material activity.

Wouldn’t it be better to grant some ex-ante defensive tools to such weaker business entity?

The state of New York6 has declared Lyft (a service similar to UberEx, in which if you need a car ride, you can get it from a car owner even if he does not have a license for public transportation) illicit.

Previously, the city of New York agreed on a settlement with AirBnB obtaining an economic compensation for having reduced tax revenues from people renting their homes without a license.

On the other hand, with respect to these immaterial intermediation services, who has the burden to verify and ensure, for example, the hygiene and security standards or the accessibility for disabled people? Or non discrimination on race, gender and religion?7

In this respect, we could decide that it is socially desirable to eliminate these controls and guarantees introduced in the past decades by the public authorities, or that these burdens are to be borne by the new immaterial intermediaries. Or else.

The main issue is that the immaterial dimension is vastly deregulated, extremely fast, characterized by growing returns, and tends to grow into global monopolies or oligopolies in just a few years. Dominance positions in the immaterial service intermediation of the material dimension have been (and are being) created without applying the same guarantees and obligations envisaged for analogous “former” intermediaries operating in the material dimension.

I think that politics should urgently think about this subject, with an open and inclusive approach.

6. Platforms: “everything you might ever want, selected by us”

In this scenario, the evolution of the role of hardware manufacturers should be considered.

When we think about computers, we imagine a world in which we write the software we want, the way we want, then we can distribute it through the channels we want, and give it to whoever

wants it, at the economic conditions that we decide. Same applies to services.

Analogously, we think that we can obtain software from any provider, at the economic conditions that he has set, and that we can install or uninstall it on any computer that we want.

As for the Internet, this idea is, presently, naive.

Freedom of choice and installation, enjoyed by computers since the very beginning, has been interrupted by the introduction of iPhones, which only enables installations of software available on Apple’s app store.

Certainly, the catalog of available software for iOS is huge, but applications which do not comply with Apple’s standard are not admitted.

Therefore, Apple exerts control on all installed applications (a control which is even tighter where installation trends suggest high interest from users), it exerts censorship on content available on these applications; it limits prices to a few pre-set values and keeps a 30% commission on the inal sale price.

The alternate “store” can not be installed, since the “store” program should be irst installed through Apple’s app store, but Apple rules speciically forbid alternate app stores.

To install alternate software by removing this restriction, a very complex procedure called “jailbreak” is required, but it is contractually forbidden by the user license for iOS (the device's Operating system).

Users who have performed a jailbreak on their device in order to install software chosen by them have been judged guilty of copyright violation.

Copyright, born to protect authors of cultural products, is being used to ensure the closure of a system, limiting the users’ traditional rights and freedoms, limiting competition in a fundamental aspect of software (app stores), reducing content and available software, forcing an economic transaction on the main (immaterial) user interface of the material dimension.

7. User experience and market control

The lock-in approach introduced by Apple has been subsequently followed by Amazon, Microsoft and Google (who moreover obtains this effect by leveraging ergonomics and the simple user experience, rather than the absolute technical barrier).

For a long time, Apple’s license ruled that any commercial product/service consumed on an Apple device was to be sold by Apple, who would keep a 30% commission.

Now the restriction has been loosened by the provision of a “most favoured nation” option8, which essentially allows to sell content on alternate systems, but only if it is offered at the same price in the App Store.

For example, if a user wants to buy a tax book by Sole24Ore (a leading Italian publishing group), she could do it on the Sole24Ore’s website too (where she will pay about a 2% commission for the credit card), but it should also be available on Apple’s app store (where Sole24Ore pays a 30% commission to Apple).

What will she do? Will she obtain the product through a deceitfully disadvantageous procedure (complex for the user, but favorable for Sole24Ore), or will she buy it on Apple’s app store through a very simple procedure (but economically very unfavorable for the publisher)?

8. From enablers to intermediaries

As stated above, the freedom to install any software has been “taken away” from users and used to create, in a very short time frame, oligopolistic/oligopsonistic positions in the immaterial dimension.

The phenomenon is the substitution of local intermediaries op-

8 Such contractual conditions are present in other business sectors as well, such as tourism. Booking and Expedia (the two oligopolists in the hotel bookings sector) prescribe that prices published by hotels on their platforms be the lowest among all of the hotel’s published rates on Internet and require between 20% and 30% intermediation.

erating in the material dimension, with multinational intermediaries operating in the immaterial dimension and which are able to impose their unilateral rules.

De facto, gate-keepers in the immaterial dimension signiicantly impact on the business developments and activities of the material dimension, where the loss of tax return is only one feature, and possibly not even the most relevant one.

This is an issue which I believe requires deep thoughts.

9. Ex post or ex ante rules?

With respect to all above described cases, there are protective legal instruments, mainly by means of antitrust measures.

But antitrust claims require several years and, as I highlighted multiple times, these dominant positions have been built up very rapidly, and much faster than justice can react.

A noteworthy exception, because of its promptness, was the decision adopted by the then Commissioner Monti, who forced Microsoft to host alternative software because he believed that offering pre-loaded software in every copy of Windows would have altered the “app” market. In that case, the distortion was limited to the economy of the immaterial dimension.

In my view, we are way beyond this, and with much more profound effects, with respect to the economy of the material dimension. In fact, today, the immaterial dimension is the user’s interface of the material dimension.

As said, I believe we should aim to have less gate-keepers and more open-market, and therefore we should favour some general pro-competitive ex-ante measures, fully protecting consumers and material business undertakings.

Ex post remedies are not appropriate in the present environment as they take time and damages have already occurred.

Someone might think that it is impossible to change rules to this extent. But in addition to the cited Microsoft case, let me remind you the (then) almighty AT&T decision to split, in order to avoid antitrust intervention. And this was due, not because of illicit behaviour, but just for the fact that the excessive market share of the company was not considered socially desirable.

Due to the afore described scenario, online competition is now FOR the markets, rather than IN the markets, limiting the possibility of challenging existing dominant positions which in turn increase their social and economic power by the day.

We have been through a similar situation in the past, when we decided we wanted to spur competition in the telecommunications markets.

In that occasion we decided pro-competitive measures simply by introducing regulations which allowed for users' contestability.

We separated the telephone number, previously an intrinsic parameter technically embedded in the network, from the telecom service provider by ensuring the user had the possibility of porting her telephone number to a different, competing service provider, provided the two service providers were interconnected and interoperable.

Portability, interconnection and interoperability where the foundations on which competition in the telecom sector was built by the regulators, enabled by technological innovation.

Internet competition can be fostered in a similar way, as technologies that enables separation of proile data from application providers are emerging.

User's proile data as today are intrinsically embedded in the online application (for example, think of Facebook integrating the social networking application and the users'data). These emerging technologies allow for the separation of the proile data from the application, retaining full functionality.

Regulators could decide that, in a speciic time frame, users shall have the right to port their proile data to a different proile service provider, without loosing functionalities, requiring the proile service provider and the application provider to interconnect and interoperate.

We already did it; I believe that, at the EU level, time to act has come.

Indice degli Autori

– Paolo Addis, Dottorando di ricerca in Scienze giuridiche – Università di Pisa.

– Valentina Amenta, Assegnista di ricerca – Istituto di Informatica e Telematica, CNR di Pisa.

– Marco Bani, Responsabile Segreteria Tecnica – Agenzia per l’Italia Digitale, Presidenza del Consiglio dei Ministri.

– Riccardo Berti, Avvocato – Foro di Verona.

– Angela Busacca, Ricercatrice di Diritto privato – Università Mediterranea di Reggio Calabria.

– Ilaria Amelia Caggiano, Professore associato di Diritto privato –Università Suor Orsola Benincasa, Napoli.

– Lino Cinquini, Professore ordinario di Economia aziendale –Scuola Superiore Sant’Anna, Pisa.

– Riccardo Michele Colangelo, Cultore di Informatica e logica giuridica e di Informatica giuridica – Dipartimento di Giurisprudenza, Università degli Studi di Pavia.

– Pasquale Costanzo, Professore ordinario di Diritto costituzionale – Università degli Studi di Genova.

– Luca Di Donato, Dottorando di ricerca in Diritto ed Impresa –Università LUISS Guido Carli, Roma.

– Guido D’Ippolito, abilitato all’esercizio della professione forense, esperto di diritto di Internet e della comunicazione.

– Davide Diverio, Professore associato di Diritto dell’Unione europea – Università di Milano.

– Fernanda Faini, Dottoranda di ricerca in Scienze giuridiche –Università di Bologna / Responsabile Assistenza giuridica egov e open gov – Regione Toscana / Presidente del Circolo dei Giuristi Telematici.

– Pietro Falletta, Docente di Diritto dell’Informazione e della Comunicazione – Università LUISS Guido Carli, Roma.

– Maria Cristina Gaeta, Dottoranda di ricerca in Diritto delle persone, delle imprese e dei mercati – Università degli Studi di Napoli Federico II / Componente del Centro di Ricerca di Diritto privato europeo – Università Suor Orsola Benincasa, Napoli.

– Lucilla Gatt, Professore ordinario di Diritto civile e di Diritto delle nuove tecnologie – Università Suor Orsola Benincasa, Napoli.

– Gianclaudio Malgieri, PhD Researcher – Vrije Universiteit Brussel / Scuola Superiore Sant’Anna, Pisa.

– Edoardo Mazzanti, Avvocato – Foro di Pisa / Perfezionato in Legge penale e persona – Scuola Superiore Sant’Anna, Pisa.

– Roberto Montanari, Professore straordinario a tempo determinato di Disegno industriale – Università Suor Orsola Benincasa, Napoli.

– Matteo Monti, Perfezionando Ph.D. in Persona e Tutele Giuridiche – Scuola Superiore Sant’Anna, Pisa.

– Paolo Passaglia, Professore ordinario di Diritto comparato – Università di Pisa.

– Stefania Pierazzi, Vice Questore Aggiunto – Polizia di Stato.

– Dianora Poletti, Professore ordinario di Diritto privato e di Diritto dell'informatica – Università di Pisa.

– Federico Ponte, Dottorando di ricerca in Sistemi costituzionali comparati – Università degli Studi di Genova.

– Stefano Quintarelli, Deputato, componente della Commissione dei diritti di Internet.

– Fabio Ratto Trabucco, Professore a contratto di Istituzioni di diritto pubblico – Università di Brescia.

– Ilaria Rivera, Assegnista di ricerca in Juridical Sciences – Università LUISS Guido Carli, Roma.

– Mimma Rospi, Assegnista di ricerca in Diritto pubblico comparato – Università di Pisa.

– Alessandra Sardu, Ph.D., Avvocato – Foro di Napoli.

– Antonello Soro, Presidente – Autorità Garante per la protezione dei dati personali.

– Elettra Stradella, Ricercatrice di Diritto pubblico comparato –Università di Pisa.

– Lara Trucco, Professore associato di Diritto costituzionale – Università degli Studi di Genova.

– Laura Uccello Barretta, Dottore di ricerca in Giustizia costituzionale e diritti fondamentali – Università di Pisa.

– Simone Zanetti, Dottore in Giurisprudenza – Foro di Verona.

– Vincenzo Zeno-Zencovich, Professore ordinario di Diritto comparato – Università degli Studi Roma Tre.

Il volume raccoglie gli atti dell’incontro di studio dal titolo “Nodi virtuali, legami informali: Internet alla ricerca di regole”, organizzato dal Dipartimento di Giurisprudenza dell’Università di Pisa nei giorni 6 e 7 ottobre 2016.

La ricorrenza dei trenta anni dalla nascita di Internet e dei cinque lustri del web in Italia, evocata dal sottotitolo del convegno, ha offerto agli organizzatori (che sono anche i curatori del volume) l’occasione per creare un momento di confronto e di condivisione di esperienze, con l’idea di contribuire a segnare una tappa della faticosa costruzione di quello che con una certa approssimazione può essere definito il “diritto della Rete”.

Al convegno hanno partecipato relatori di diversa estrazione, a testimonianza anzitutto della necessità di abbandonare in questo orizzonte vecchi steccati, interni ed esterni alla scienza giuridica; la nutrita partecipazione di giovani cultori, insieme con alcuni dei più insigni studiosi della materia, ha permesso di individuare traiettorie comuni di indagine che hanno generato fertili scambi di riflessione; la presenza di operatori ha confermato l’esigenza di non abbandonare la Rete all’anomia ma di individuare e di condividere le sue essenziali basi organizzative.

L’intento che ha animato l’ideazione dell’incontro è lo stesso che ha sorretto la decisione di avviare una nuova collana, destinata ad ospitare contributi che indaghino le complesse problematiche sollevate dalla pervasività dell’uso della Rete in una chiave di reale interdisciplinarietà e di dialogo con le altre scienze sociali e con l’informatica, indispensabile per la comprensione di fenomeni complessi e tra loro strettamente interrelati.

Paolo Passaglia

Professore ordinario di Diritto comparato presso l’Università di Pisa e coordinatore scientifico pro tempore dell’Area di diritto comparato del Servizio Studi della Corte costituzionale, è autore di svariati articoli riguardanti il diritto dell’internet e curatore del volume Internet e Costituzione (Torino, 2013).

Dianora Poletti

Professore ordinario di Diritto Privato presso l’Università di Pisa, è docente di Diritto dell’Informatica e direttrice del Master in Internet Ecosystem: Governance e diritti, attivo nello stesso ateneo. È autrice di pubblicazioni e ha organizzato numerosi seminari e convegni aventi ad oggetto le tematiche del diritto dell’internet.