È noto come la diffusione di Internet abbia innescato un’autentica rivoluzione copernicana, determinando la nascita di questioni giuridiche di stringente attualità strettamente connesse alla tutela di diritti e libertà fondamentali. L’antico gap tra diritto e sviluppo tecnologico è acuito dalla crescita costante del volume di dati trattati, oggetto di circolazione e commercializzazione, oltre che attributi fondamentali dell’identità personale.
Nell’ormai ampissimo panorama dottrinale sull’argomento, si distingue l’ultima opera del Prof. Gianpaolo Maria Ruotolo dedicata alla regolamentazione dei dati informatici nel diritto internazionale ed europeo; trattasi di un percorso politematico volto ad approfondire istituti e modelli giuridici all’apparenza distanti (e.g. commercio elettronico, transborder data access nei procedimenti penali), oggi accomunati dall’impiego sempre più pervasivo e invasivo delle tecnologie digitali e, dunque, della loro imprescindibile “materia prima”, i dati appunto (personali e non).
Lungi dall’essere un ennesimo “Manuale sulla privacy”, l’opera fornisce un quadro complessivo dello stato dell’arte relativo alla regolamentazione dei dati informatici in contesti diversificati, regolamentazione che, a causa della natura ontologicamente transnazionale della Rete e delle fattispecie che vi si realizzano, ha luogo per il tramite di norme di diritto internazionale e, nel nostro contesto regionale, europeo.
Tale prospettiva rappresenta, al contempo, un osservatorio privilegiato su questioni di primo piano nell’ordinamento internazionale contemporaneo, tra tutte quella relativa all’emersione di procedimenti decisionali, forme di cooperazione con attori non statali e strumenti normativi del tutto “atipici” ascrivibili al fenomeno del cd. informal international lawmaking (IN-LAW).
Il taglio innovativo del volume emerge iconicamente sin dalla copertina, con un tributo alla matita di Jack Kirby tratto da una scena del fumetto “Challengers of the Unknown” nel quale i quattro eroi protagonisti lottano contro Ultivac, un robot capace di pensiero autonomo ribellatosi al suo costruttore, uno scienziato dell’ex Germania nazista.
L’impianto full circle dell’opera (supportata da una robusta bibliografia e da una ricca casistica giurisprudenziale nazionale e sovranazionale), muove dalla progressiva erosione del ruolo della Comunità Internazionale nella gestione di quel global public good che è Internet fino al crescente peso dell’attività para-legislativa e para-giurisdizionale posta in essere da soggetti privati in materia di tutela e bilanciamento tra diritti fondamentali nel cyberspazio (è lo stesso Autore a proporre il caso dell’Indipendent Oversight Board di Facebook, organo collegiale di controllo istituito dallo stesso Facebook al quale gli utenti possono appellarsi per lamentare l’indebita rimozione dei propri contenuti).
Ed è in tale scenario che si inseriscono questioni in materia sia penale che civile di indubbia centralità nell’attuale dibattito giurisprudenziale e dottrinale con riguardo alle nuove frontiere del progresso tecnologico.
Il tema dell’acquisizione extraterritoriale di dati archiviati su server situati all’estero, e dunque la questione della competenza ad adottare provvedimenti autoritativi nell’ambito di procedimenti penali (cd. transborder data access) va inquadrato come un’ipotesi di conflitto tra entità statali dotate di autonoma jurisdiction, qualificandosi, in via potenziale, come un caso di violazione del rispetto della sovranità territoriale dello Stato di allocazione dei dati. Pertanto, come sottolinea l’Autore, «l’unica modalità di esercizio internazionalmente legittimo del transborder data access implica l’acquisizione, preventiva o quanto meno successiva, del consenso del sovrano territoriale competente, in una forma generale o specifica».
A tal proposito, l’art. 32 della Convenzione del Consiglio d’Europa sulla criminalità informatica consente agli Stati che l’abbiano ratificata l’accesso transfrontaliero ai dati disponibili al pubblico («open source») o a quelli rispetto ai quali sia stato ottenuto «the lawful and voluntary consent» della persona autorizzata a divulgarli, qualora siano conservati su cloud server collocati sul territorio di altro Stato Parte, senza che a tal fine sia necessario chiedere un’autorizzazione ad hoc a quest’ultimo.
A detta dell’Autore in tale circostanza il consenso dello Stato in questione «risulta esse stato già espresso in occasione della ratifica della Convenzione, la quale costituisce, dunque, il titolo di legittimazione internazionale dell’attività transfrontaliera».
Alla luce della lacunosità del sistema convenzionale che, nel caso di conflitto di giurisdizione, non prevede meccanismi di riparto della competenza all’azione penale ma deferisce la questione a meri obblighi di cooperazione tra le altre Parti contraenti, al fine di stabilire la competenza più appropriata per esercitare l’azione penale, l’Autore rilancia la proposta di un approccio del tutto sganciato da ogni riferimento territoriale o personale, con riguardo al criterio del cd. power of disposal in virtù del quale una data autorità nazionale, in casi preventivamente individuati, avrebbe accesso legittimo ai dati, ovunque detenuti e indipendentemente dalla nazionalità del loro titolare, conservati su un cloud di cui fosse riuscita ad ottenere, in modo legale le credenziali di accesso, senza la necessità di chiedere la collaborazione del loro titolare o del fornitore del servizio di cloud.
Nell’ambito, invece, dell’attività normativa in materia di scambi commerciali via Internet in seno alle principali organizzazioni internazionali (WTO, NU, OECD), particolare attenzione è rivolta all’UE e al suo mercato unico digitale – inteso quale nuova frontiera del processo di integrazione – a fronte non soltanto della mera appartenenza geografica, bensì del peculiare obiettivo europeo, in un ambiente giuridico stabile, trasparente e affidabile, di una crescita economica radicata sul rispetto dei diritti fondamentali.
Facendo il punto sui risultati positivi finora ottenuti come l’abolizione delle tariffe di roaming, la portabilità transfrontaliera dei servizi di contenuti online e il divieto di blocchi geografici ingiustificati, una dettagliata esegesi è riservata al Regolamento 524/2013/UE relativo al sistema di risoluzione extragiudiziale delle controversie online (cd. online dispute resolution, ODR) nell’ambito di contratti di vendita o di servizi conclusi tra consumatori residenti in Stato membro e professionisti stabiliti nell’Unione alla luce del suo esplicito scopo di «contribuire, mediante il raggiungimento di un livello elevato di protezione dei consumatori, al corretto funzionamento del mercato interno, in particolare della sua dimensione digitale» (art. 1), ferma restante la possibilità di adire l’autorità giurisdizionale nell’esercizio del diritto a un ricorso effettivo e a un giudice imparziale ex art. 47 della Carta dei diritti fondamentali dell’Unione.
Strumentale allo sviluppo del mercato ma anche a una maggior efficienza nel settore pubblico è l’impiego dei cd. big data, ossia agglomerati di dati (personali e non) gestiti e trattati in blocco mediante algoritmi informatici per l’individuazione di correlazioni, tendenze e modelli, ai quali l’Autore dedica ben due capitoli, l’uno in merito ai profili di diritto sostanziale, l’altro a quelli di diritto “processuale”, ponendo sotto la lente di ingrandimento questioni giuridiche per certi aspetti inedite relative tanto ai pericoli, derivanti dal loro utilizzo, per il buon funzionamento del mercato (distorsione della concorrenza, sfruttamento abusivo di posizione dominante, forme di discriminazione indiretta dei gruppi di persone accomunate dall’appartenenza a dataset), quanto alla necessità di individuare forme di tutela individuale o collettiva degli interessati. Muovendo da un’interessante approfondimento dei meccanismi di ricorso collettivo e della tutela degli interessi dei gruppi nella giurisprudenza delle Corti di Strasburgo e Lussemburgo, alla luce delle difficoltà connesse alla determinazione della legittimazione ad agire in sede giurisdizionale, la proposta dell’Autore (sul modello della Raccomandazione 2013/396/UE della Commissione) va nella direzione dell’individuazione ex ante di organizzazioni legittimate ad avviare azioni rappresentative di una pluralità di individui con interessi comuni per la tutela dei confronti dei big data; in alternativa, l’ulteriore soluzione prospettata fa riferimento alla costruzione di un sistema di risoluzione extragiudiziale sulla falsariga della piattaforma ODR.
Ampio spazio è successivamente dedicato al bilanciamento tra i diritti di proprietà intellettuale (art. 17, par. 2, della Carta dei diritti fondamentali e art. 1 del Protocollo 1 alla CEDU) con altri diritti parimenti fondamentali come quelli di informazione ed espressione nell’ormai consolidata giurisprudenza delle Corti di Strasburgo e Lussemburgo, nonché alle novità normative di diritto derivato in materia di copyright (il riferimento è alla discussa direttiva (UE) 2019/790) finanche al profilo della responsabilità degli host/provider, oggetto di attuale discussione a seguito delle due proposte di Regolamento in materia di servizi digitali e responsabilità delle piattaforme (il “Digital Services Act”) e di competitività del mercato europeo nel settore digitale (il “Digital Market Act”), nonché nei sempre più frequenti casi di “censure private” autonomamente predisposte dalle piattaforme a seguito di episodi di fake news ed hate speech (in tale contesto si inserisce l’analisi delle tre ordinanze cautelari con le quali il Tribunale di Roma ha deciso in modo opposto casi analoghi in cui Facebook ha disattivato le pagine di due associazioni politiche di estrema destra, CasaPound e Forza Nuova).
Sullo sfondo del volume la questione (di indubbia centralità nel contesto attuale segnato dalla pandemia da Covid-19) relativa alla qualificazione del diritto di accesso a Internet (inteso come final global public good) come diritto fondamentale “autonomo” oppure come strumento (intermediate global public good) per garantire l’effettivo esercizio ad altri diritti nella dimensione del web: una questione quest’ultima ritornata in auge nell’ultimo periodo anche nel contesto nazionale con l’idea di costituzionalizzare il diritto di accesso a Internet mediante l’inserimento di un art. 21-bis, in termini di libertà di espressione, o di un art. 34-bis, inteso come diritto sociale.
In conclusione, l’opera rappresenta un aggiornato strumento di studio e di approfondimento di tematiche giuridiche del tutto innovative e, per certi aspetti, inedite afferenti alla dimensione digitale, distinguendosi per organicità sistematica e rilevante chiarezza espositiva, supportata dai numerosi rinvii e collegamenti interni. Scontato è l’auspicio di un secondo volume che possa seguire gli sviluppi delle magmatiche questioni sin qui proposte e quelle future con riferimento all’evoluzione legislativa e giurisprudenziale del regime giuridico dei dati nel contesto europeo ed internazionale.