Fabiana Di Porto e Elisa Scotti

La trasformazione digitale
[bozza dicembre 2022: in corso di pubblicazione su

G. Luchena, E. Bani, E. Scotti, F. Di Porto, Lezioni di diritto dell’economia, Bari, 2023]

Sommario: 1. La trasformazione digitale: profili pubblicistici. - 2. La promozione delle

infrastrutture della digitalizzazione. - 3. Le istituzioni della digitalizzazione. - 4. La
digitalizzazione della pubblica amministrazione. Profili organizzativi. - 4.1 Il CAD, il
documento informatico e i dati della p.a. - 4.2 Il CAD e la digitalizzazione dei rapporti con la
p.a. - 5. Potere digitale e decisioni amministrative. - 5.1. La digitalizzazione riguarda anche i
processi decisionali (la regolazione europea dell’IA). - 5.2 Le decisioni algoritmiche della
pubblica amministrazione. - 6. La regolazione dello spazio digitale. - 6.1. La regolazione delle
piattaforme: il Digital Services Act e il Digital Markets Act. - 6.1.1. Il Digital Markets Act
(Regolamento UE 2022/1925). - 6.1.2. Il Digital Service Act (Regolamento UE 2022/2065).
- 6.2. I dati pubblici e privati tra interesse alla massima circolazione e tutela dei diritti: il Data
Governance Act e la proposta di Data Act. - Riferimenti bibliografici

1. La trasformazione digitale: profili pubblicistici

Stiamo vivendo una trasformazione digitale. Essa attraversa l’economia e il suo

governo (a questi aspetti è dedicato il presente capitolo), così come ogni altra
sfera delle vite individuali e collettive e del pubblico potere.
Si tratta di una quarta rivoluzione industriale, che si preannuncia foriera di una
serie di sconvolgimenti economici, sociali, politici, culturali e giuridici che
avranno luogo nel corso del XXI secolo. Essa si basa sulla diffusa disponibilità
di tecnologie digitali, risultato della Terza Rivoluzione Industriale (o
Rivoluzione Digitale), che convergeranno con altre in campo biologico e fisico
(Britannica 2022).
Le tecnologie della Quarta Rivoluzione Industriale, come l’intelligenza
artificiale, l’editing del genoma, la realtà virtuale e aumentata, la robotica, la
blockchain, i quantum computing e la stampa 3D, stanno rapidamente
cambiando il modo in cui gli esseri umani creano, scambiano e distribuiscono
valore. Come è accaduto nelle rivoluzioni precedenti, questo trasformerà
profondamente le istituzioni, le industrie e gli individui. Ad esempio, molti
mestieri saranno sostituiti da manodopera automatizzata (ciò che potrebbe sia
esacerbare il divario tra rendimenti da capitale e da lavoro, sia tradursi in un
aumento dei posti di lavoro più sicuri e remunerativi); taluni servizi pubblici
potranno essere offerti in remoto o addirittura in spazi virtuali (dal che potrebbe
sia derivare un efficientamento della macchina amministrativa, sia una perdita
di contatto sociale tra apparato e cittadino).

1
La realizzazione della Quarta Rivoluzione Industriale richiede grandi
investimenti in tecnologie, ammodernamento delle infrastrutture ed in
educazione. Va precisato che essa non è solo italiana, né europea ma globale. In
tale ampio scenario, l’Unione Europea, i cui paesi membri presentano un diverso
livello di avanzamento digitale, nel suo complesso registra un ritardo
tecnologico rispetto agli Stati Uniti e ai paesi orientali, al vertice delle classifiche
mondiali sull’innovazione digitale (tra cui Singapore, Hong Kong e Corea del
Sud). L’Italia, terza economia europea per dimensioni, secondo l’indice europeo
DESI (Digital Economy and Society Index) si colloca, per il 2022, al
diciottesimo posto tra i ventisette paesi europei e al quarantacinquesimo nel
mondo.
In questo contesto, accelerare il processo di digitalizzazione (Terza Rivoluzione)
rappresenta, quantomeno in campo economico, una scelta obbligata per
assicurare la competitività del mercato europeo e di quello italiano. La recente
pandemia da Covid-19 ha, come noto, svolto un ruolo propulsore, stimolando lo
smart working e trasferendo sulla rete larga parte delle attività economiche e
sociali. Anche la strategia post-pandemica milita nello stesso senso:
digitalizzazione ed innovazione costituiscono, insieme, la prima delle sei
missioni del Piano nazionale di ripresa e resilienza (PNRR), con una consistente
dotazione finanziaria per sostenere gli investimenti necessari.
La trasformazione in corso non è ovviamente un fenomeno nuovo, ma è frutto
di un processo avviato nel secondo dopo guerra con lo sviluppo delle tecnologie
della comunicazione e dell’informazione (TCI) nate in ambito militare durante
il conflitto. Si è passati dal semplice uso dei computer per l’ausilio allo
svolgimento di funzioni (essenzialmente di calcolo, archiviazione e
organizzazione di dati), all’uso della rete internet e, infine, al progressivo
affermarsi delle cd. Emerging and Disruptive Technologies (EDT),
comprendenti reti e protocolli di comunicazione di ultima generazione (5G/6G),
blockchain, intelligenza artificiale (IA), quantum computing, High Performance
Computing (HPC), Internet of Things (IoT), robotica, strumenti crittografici
evoluti e altre innovazioni dirompenti che rappresentano l’attuale frontiera della
più ampia sostituzione della macchina all’essere umano (MCKINSEY,
Technology Trends Outlook 2022. Research overview, Agosto 2022) e che
pongono complesse questioni non solo tecniche e giuridiche, ma anche etiche.

Il ruolo del pubblico rispetto a questo enorme cambiamento, generato

dall’innovazione tecnologica e dai mercati, è triplice. Da un lato, promuovere la
digitalizzazione sostenendo gli investimenti e apprestando le necessarie
infrastrutture (para. 2); dall’altro, inserirsi in questo processo digitalizzando gli
apparati amministrativi, le funzioni pubbliche e le relazioni con i cittadini e le
imprese (cd. e-govenment) (para. 3, 4 e 5); infine regolare la digitalizzazione al
fine di creare uno spazio digitale sicuro per i cittadini e le imprese (para. 6).

2
 2. La promozione delle infrastrutture della digitalizzazione

In seguito alla strategia di Lisbona (2000) che ha stabilito il ruolo chiave delle
tecnologie per il conseguimento dell’obiettivo di fare dell’Europa "la più
competitiva e dinamica economia della conoscenza” fondata su innovazione,
inclusione sociale e sviluppo sostenibile, l’Unione europea ha assunto la guida
del processo di digitalizzazione, per condurlo avanti in modo armonizzato e
regolato.
Sebbene i Trattati non attribuiscano espresse competenze in materia, l'UE si è
mossa nel quadro di altre politiche settoriali e orizzontali rientranti nella sua
sfera di attribuzioni, quali quelle in materia di politica industriale (articolo 173
TFUE); commerciale (articoli 206 e 207 TFUE); reti transeuropee (articoli 170-
172 TFUE); ricerca e lo sviluppo tecnologico (art. 179 TFUE); energia (articolo
194 TFUE); armonizzazione (articolo 114 TFUE); concorrenza (articoli 101-109
TFUE); libera circolazione delle merci, delle persone, dei servizi e dei capitali
(articoli 26, 45 e 66 TFUE); istruzione, formazione professionale, gioventù e
sport (articoli 165 e 166 TFUE); cultura (articolo 167 TFUE).
Su queste basi l’UE oggi definisce linee strategiche, istituisce programmi di
finanziamento, adotta normative per il governo uniforme del digitale, interviene
attraverso le sue istituzioni amministrative e giudiziarie, adotta orientamenti
etici.
L’attuale strategia è oggi definita dall’Agenda digitale europea, adottata nel
2020, a coprire il decennio 2020-2030 e dalla bussola digitale, una
comunicazione della Commissione (COM/2021/118 def) che connota il decennio
in corso come decennio digitale individuandone i pilastri. L'identità digitale
europea, l’intelligenza artificiale, le reti e la connettività, i dati, il mercato
digitale e i servizi digitali, la cibersicurezza e le competenze digitali sono tra i
principali obiettivi e le principali aree di intervento, normativo e di governance,
orientati secondo quattro punti cardinali: cittadini dotati di competenze digitali
(almeno l’ottanta per cento) e professionisti (almeno venti milioni) altamente
qualificati nel settore digitale; infrastrutture digitali sostenibili, sicure e
performanti; trasformazione digitale delle imprese; digitalizzazione dei servizi
pubblici.
Gli obiettivi e i necessari investimenti sono sostenuti da una serie di strumenti di
bilancio e programmi (principalmente Digital Europe e Horizon Europe 2021-
27) cui si affianca il menzionato PNRR post pandemico che dovrebbe finanziare,
per almeno il venti per cento delle risorse, la trasformazione digitale.
È infatti la normazione post-Covid-19 adottata a livello unionale a dare un
deciso impulso alla trasformazione digitale. Essa si compone di due
fondamentali regolamenti: il n. 2020/2094 (cd. Next Generation EU) del
14.12.2020, che istituisce uno strumento per la ripresa delle economie europee

3
dopo la crisi pandemica, e il n. 2021/241 del 12.2.2021, istitutivo del Dispositivo
per la ripresa e la resilienza (in inglese: Recovery and Resilience Facility o RRF).
In netta discontinuità rispetto alla gestione delle crisi passate, con il Next
Generation EU, l’Unione predispone un pacchetto di aiuti per 750 miliardi di
euro, il 90% dei quali costituiti dall’RRF. Per il reperimento di questi fondi l’UE
ricorre all’emissione di titoli obbligazionari.
Di questi fondi l’Italia ha ricevuto la gran parte (proporzionatamente alla
popolazione e in relazione al suo peso rispetto agli altri Stati membri): 69
miliardi sono costituiti da grant (ovvero trasferimenti permanenti) e quasi 123
miliardi da prestiti. I complessivi 191,5 miliardi di euro circa destinati all’Italia
non sono trasferiti in blocco, ma per tranche, subordinatamente alla verifica da
parte della Commissione del raggiungimento degli obiettivi definiti nel PNRR
predisposto dal governo italiano ed approvato da Bruxelles ad aprile 2021.

Quella della trasformazione digitale è, assieme alla transizione ecologica, la

principale delle (sei) aree d’intervento (i cd. “pilastri”) definiti dal regolamento
UE 241, ed è destinata ad avere un impatto duraturo (“trasformativo”, appunto:
MIDIRI 2022) sull’economia e le istituzioni del paese; per tale ragione ad essa è
destinato oltre il 25% dei fondi dell’RRF, pari a più di 48 miliardi di euro. Inoltre,
in base al regolamento RRF, gli Stati debbono destinare almeno il 20% delle
risorse loro assegnate nei PNRR nazionali ad obiettivi digitali: essi sono infatti
obbligati ad indicare se ed in che misura (in toto, in misura almeno pari al 40%
ovvero per nulla) le azioni intraprese contribuiscano alla realizzazione di tali
obiettivi digitali.
Questo fa comprendere che la trasformazione digitale rappresenta un fattore
trasversale – più che un obiettivo in sè – un elemento abilitante e facilitativo di
tutte le altre ambiziose politiche previste nel PNRR. Ad esempio, la missione n.
3 del PNRR italiano individua come obiettivo il miglioramento delle
infrastrutture energetiche e dei trasporti, mentre le missioni nn. 5 e 6 quelli della
sanità, intesa globalmente sia come edifici ospedalieri, sia come dispositivi a
disposizione dei medici, sia come rafforzamento del personale. In ambo i casi,
la digitalizzazione delle infrastrutture è individuata come strumento per
raggiungere gli obiettivi. Così ad esempio, in relazione ai trasporti, si propone di
digitalizzare la gestione del traffico aereo, di creare servizi di aerei senza
equipaggio, infrastrutture cloud, o virtualizzare le infrastrutture operative.
Anche a livello nazionale le politiche pubbliche in materia di innovazione sono
definite innanzitutto attraverso una molteplicità di documenti strategici, che
danno attuazione alle strategie europee. Definiscono la generale strategia
nazionale l’Agenda Digitale, il Piano triennale ICT Italia Digitale 2026 e la
Strategia Innovazione Italia 2025. Esistono poi strategie tematiche quali: la
Strategia italiana per la Banda ultra larga (25.5.2021), la Strategia Cloud Italia
(7.9.2021) e il Programma strategico intelligenza artificiale 2022-2024
(24.11.2021).

4
Su impulso del PNRR, l’Italia ha accelerato sensibilmente gli investimenti in
infrastrutture digitali, sia fisiche sia immateriali. La necessità di rispettare le
scadenze del piano di ripresa e resilienza ha infatti spinto il governo ad indire
nel volgere di poco più di un anno (a partire da gennaio 2021) diverse gare
d’appalto per lo sviluppo di connettività sia fissa sia mobile (cosiddetta 5G) nelle
aree prive di copertura (cosiddette aree bianche). Inoltre, al fine di promuovere
la domanda, il governo ha istituito un regime di sussidi sotto forma di voucher
per le PMI volti a finanziare le attivazioni di nuove connessioni internet a banda
larga e ultra-larga, destinando a tale misura oltre 600 milioni di euro.

Quanto allo sviluppo delle infrastrutture digitali della p.a. l’Italia ha scelto di
organizzare i propri servizi mediante il cloud, adottando la menzionata “Strategia
Cloud Italia”. In attuazione del PNRR (Missione M1C1), tale documento
prevede infatti che le amministrazioni centrali e locali si avvalgano di data center
su alcuni cloud individuati (il Polo Strategico Nazionale ovvero uno dei cloud
privati certificati). Ciò al fine di superare l’attuale frammentazione, foriera di
rischi per la cibersicurezza e du limitata interoperabilità tra banche dati. La
strategia è inoltre finalizzata ad assicurare che i dati delle pp.aa. siano
standardizzati, anche al fine di consentire migliori servizi alla cittadinanza. Ciò
richiederà altresì che siano individuate idonee procedure digitalizzate sia per i
processi interni delle amministrazioni, sia per la comunicazione tra queste e
l’utenza.

Proprio in tema di servizi pubblici digitali nazionali, se ne segnalano alcuni che

hanno già maturato un discreto sviluppo, quali: l’Anagrafe nazionale della
popolazione residente (ANPR), l’identità digitale ("SPID" e "CIE"), oltre ad
un’applicazione mobile che serve ad accedere ai servizi pubblici digitali
(cosiddetta “IO”). Una minore diffusione ha invece il “fascicolo sanitario
elettronico”, la cui adozione da parte della popolazione risulta sensibilmente
disomogenea tra regioni. Infine, sulla base del Programma strategico intelligenza
artificiale 2022-2024, sono stati approvati bandi per rafforzare le competenze
digitali delle p.a. locali.

Quanto alle infrastrutture immateriali, due sono le direttrici lungo cui si è mossa
l’attività del governo per rafforzare le cosiddette digital soft skills: da un lato,
con l’adozione della “Strategia nazionale per le competenze digitali” (21.7.2020)
è stato istituito un Fondo per la repubblica digitale finalizzato a rafforzare le
competenze digitali specialmente nel ciclo dell’istruzione e della formazione
superiore; dall’altro con il programma “Garanzia occupabilità dei lavoratori”
(GOL) e con il “Piano Nazionale Nuove Competenze”, sono state adottate
misure personalizzate per il mercato del lavoro. In particolare, il GOL, istituito
originariamente con la legge di bilancio per il 2021 (art. 1, c. 324, L. 178/2020)
viene ulteriormente finanziato con fondi PNRR, integrando (Milestone 2, Target

5
2) le attività di formazione necessarie ad inserire (o re-inserire) i lavoratori nel
ciclo con il rafforzamento delle competenze digitali, e destinando a tale specifico
obiettivo 300 mila dei 3 milioni di euro deputati alla formazione.

Ciò che contraddistingue la programmazione nazionale in materia di

digitalizzazione è la sua concertazione multilivello. E’ del resto lo stesso
Regolamento UE 241 a richiedere la consultazione degli stakeholder nazionali,
delle autonomie, delle parti sociali e della società civile. I documenti nazionali
di più recente adozione sono, a monte, frutto di una negoziazione concertata con
le istituzioni europee e, a livello interno, a forte connotazione vincolistica,
ancorchè non può arrivare a parlarsi di vera e propria “conformazione”
dell’attività economica privata (Amato 2022).

3. Le istituzioni della digitalizzazione

Molteplici sono le istituzioni competenti in materia di digitalizzazione, nel

quadro di una funzione centralizzata a livello statale per evidenti motivi di
efficienza, efficacia e sicurezza.
Sul piano legislativo, ai sensi dell’art. 117, comma 2, lett. r), Cost., rientra nella
competenza esclusiva dello Stato il “coordinamento informativo statistico e
informatico dei dati dell'amministrazione statale, regionale e locale”. Il
principale riferimento normativo della digitalizzazione pubblica è oggi il d.lgs.
decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale
(CAD), contente le norme riguardanti l'informatizzazione della Pubblica
Amministrazione nei rapporti con i cittadini e le imprese.
Sul piano amministrativo al Presidente del Consiglio è attribuita la funzione di
indirizzo e coordinamento della transizione (in particolare, in materia di
innovazione tecnologica; attuazione dell'agenda digitale italiana ed europea;
strategia italiana per la banda ultra larga e infrastrutture; digitalizzazione delle
pubbliche amministrazioni e delle imprese; accesso dei servizi in rete;
connettività). Tale funzione è attualmente delegata al Ministro per l’innovazione
tecnologica e la transizione digitale che si avvale del Dipartimento per la
trasformazione digitale istituito presso la Presidenza del Consiglio.
Funzioni di coordinamento per l’attuazione dell’agenda digitale sono poi
attribuite al Comitato interministeriale per la transizione al digitale. Il Comitato
è presieduto dal Presidente del Consiglio o, su sua delega, dal Ministro per
l’innovazione tecnologica e la transizione digitale ed è composto dal Ministro
per la pubblica amministrazione, dal Ministro dell'economia e delle finanze, dal
Ministro della giustizia, dal Ministro dello sviluppo economico e dal Ministro
della salute.

6
Un ruolo esclusivamente tecnico è attributo all’Agenzia per l’Italia Digitale
(AgID) che coordina l'azione del governo nell'attuazione dell'agenda digitale
italiana ed europea e guida attraverso una regolazione uniforme il processo di
digitalizzazione delle pubbliche amministrazioni, definendo linee guida e
standard tecnici per la piena interoperabilità dei sistemi informatici pubblici.
L’AgID, inoltre, promuove e diffonde iniziative di alfabetizzazione digitale. E’
sottoposta ai poteri di indirizzo e vigilanza del Presidente del Consiglio dei
Ministri o del Ministro da lui delegato.
La catena delle istituzioni preposte alla trasformazione digitale penetra in ogni
singola amministrazione ove è prevista l’istituzione un ufficio dirigenziale di
coordinamento di tutte le attività IT e di un responsabile della transizione al
digitale e della conseguente riorganizzazione dei processi.
I vincoli derivanti dal PNRR hanno copertura costituzionale negli artt. 117,
comma 1 e 11 cost., là dove il raggiungimento dei risultati in esso previsti ha
base legale nel dl 31 maggio 2021, n. 77 (conv. in l. 108 del 29 luglio 2021).
Quest’ultimo assoggetta le pubbliche amministrazioni al vincolo, definito di
“interesse nazionale”, alla “sollecita e puntuale realizzazione degli interventi”
previsti dal PNRR (Art. 1). Si discute sulla natura di tale vincolo di risultato
all’operato della p.a. (Cintioli 2021, Clarich 2021, Lupo 2022), ma vi è generale
concordia sul fatto che esso rientri nel generale parametro del buon andamento
della p.a. (Galetta XX)
Sul piano organizzativo, le funzioni decisorie sono accentrate in capo alle
amministrazioni centrali (Ministeri e strutture della Presidenza del Consiglio,
come il Dipartimento per la trasformazione digitale), mentre alle autonomie è
attribuita la gestione dei progetti. La titolarità degli investimenti è normalmente
conferita ai Ministeri, che possono darvi attuazione attribuendoli a società
pubbliche o in house, ovvero a terzi individuati a mezzo di bando di gara
(avvalendosi di “cabine di regia”).
Il dl 77/2021 affida in primo luogo alla Cabina di regia i poteri di supervisione
(indirizzo e coordinamento generale) per l’attuazione del PNRR. Ciò include
anche poteri sostitutivi in caso di inerzia nella realizzazione degli interventi. La
Cabina è coadiuvata da una Segreteria tecnica e da un Tavolo permanente per il
partenariato economico, sociale e territoriale (dove siedono gli enti territoriali e
che serve a segnalare al Presidente del Consiglio eventuali criticità). Inoltre, la
Ragioneria generale dello Stato assume compiti di raccordo con la Commissione
europea, oltre a svolgere il controllo e la rendicontazione sullo stato di attuazione
del PNRR. Viene altresì istituita, presso il Dipartimento affari giuridici della
Presidenza del Consiglio, una Unità per la razionalizzazione e il miglioramento
della regolazione, deputata ad analizzare e proporre normative per l’attuazione
del PNRR.
Infine, con specifico riguardo alla trasformazione digitale, viene istituito un
Comitato interministeriale, con compiti di mediazione tra le amministrazioni
statali competenti, a vario titolo, ad intervenire in materia.

7
Con decreto-legge 14 giugno 2021, n. 82 è stata istituita l’Agenzia per la
cibersicurezza che ha tra i suoi compiti quello di predisporre la strategia
nazionale di cibersicurezza. Si tratta di un ruolo chiave considerate le molteplici
minacce che promanano dallo spazio cibernetico, cui si somma l’errore umano,
e la complessità della transizione verso uno spazio digitale in cui si colloca la
soddisfazione dei bisogni fondamentali: infrastrutture energetiche, mercati
finanziari, forniture di acqua potabile, trasporti di massa, e, non ultime, le
funzioni essenziali dello Stato, incluse la sua difesa e integrità sono oggi
digitalizzate e dunque esposte ai relativi rischi.

4. La digitalizzazione della pubblica amministrazione. Profili organizzativi.

Nello scenario della generale trasformazione digitale, un tassello essenziale è

costituito dalla digitalizzazione della p.a., vale a dire dall’informatizzazione
dell’organizzazione amministrativa e dei dati attraverso questa generati (par.
4.1), nonché delle funzioni e dei rapporti intrattenuti con il cittadino e le imprese
(par. 4.2).

4.1 Il CAD, il documento informatico e i dati della p.a.

Questo implica l’uso di tutte le tecnologie sopra menzionate che vanno dal
semplice uso dei computer all’uso dell’intelligenza artificiale e delle tecnologie
blockchain.
Le amministrazioni si mostrano terreno fertile per le sperimentazioni, in tal
modo assolvendo, in quanto potenziali fruitori di massa, un’importante funzione
promozionale e orientativa dei percorsi di innovazione.
V’è un forte stimolo europeo e internazionale, in particolare delle Nazione Unite,
all’innovazione tecnologica della p.a. reputata fonte di semplificazione dei
procedimenti, di trasparenza e di Open Government, di risparmio di costi, di
efficienza della macchina pubblica a beneficio di cittadini e imprese. E’ chiaro
però che perché il passaggio al digitale si traduca in buona amministrazione
occorre coniugare l’applicazione delle tecnologie a un cambiamento
organizzativo e all’acquisizione di nuove competenze.
La creazione di banche dati pubbliche e la loro interoperabilità, l’introduzione
dell’identità digitale e della cittadinanza digitale, la firma elettronica, il
documento elettronico, i portali pubblici, il fascicolo digitale,
l’informatizzazione dei procedimenti, la creazione di piattaforme di cloud, lo
smart working, la sperimentazione di blockchain e di altre Emerging and
Disruptive Technologies (EDT) sono alcune delle principali innovazioni
introdotte negli ultimi decenni.

8
Il percorso è in itinere e se alcune amministrazioni rappresentano punte avanzate
del processo altre si trovano allo stadio iniziale, dovendo ancora procedere alle
automazioni di base.
Sul piano normativo il riferimento è il codice dell'amministrazione digitale
(CAD) adottato con decreto legislativo 7 marzo 2005, n. 82, testo unico che ha
l’ambizione di contenere tutte le norme che riguardano l’innovazione digitale
della PA, salvo specifiche regole tecniche attuative.
Si tratta di un testo normativo in continua evoluzione ed è stato aggiornato più
volte in ragione degli sviluppi delle tecnologie e al fine di promuovere e rendere
effettivi i diritti di cittadinanza digitale.
Il nucleo di base della digitalizzazione degli apparati pubblici è costituito dalla
dematerializzazione degli atti vale a dire l’abbandono del supporto cartaceo di
atti e documenti e la creazione di archivi digitali che, pur apportando efficienza,
efficacia ed economicità nella gestione, non sono privi di criticità in termini di
possibile danneggiamento del file o del suo supporto e in termini di evoluzione
tecnologica.
Il CAD disciplina il documento informatico, nativo digitale, unico originale che
sostituisce ad ogni effetto il documento cartaceo laddove sia apposta la firma
digitale o altra firma elettronica avanzata o con modalità da rendere inequivoca
la riconducibilità al suo autore.
Si prevede così la formazione di archivi digitali (con documenti cd. nativi
digitali) e poi la progressiva digitalizzazione degli archivi cartacei, che deve
avvenire secondo canoni tecnici idonei ad assicurare autenticità, integrità,
affidabilità, leggibilità, reperibilità dei documenti e non, come pure avvenuto,
con la semplice scansione degli originali cartacei, che non ne consente
l’indicizzazione.
Per rendere fruibile l’enorme mole dati prodotta e detenuta dall’amministrazione
– tassello fondamentale dell’open government - la regola è l’open data, vale a
dire l’organizzazione e la messa a disposizione online dei dati. I dati di regola
sono di tipo aperto e interoperabile, sono quindi accessibili gratuitamente e senza
barriere tecnologiche, e riutilizzabili da parte della altre amministrazioni nonché
di cittadini e imprese.
Ai sensi dell’art. 53 CAD anche i siti internet delle amministrazioni devono
rispettare “i principi di accessibilità, nonché di elevata usabilità e reperibilità,
anche da parte delle persone disabili, completezza di informazione, chiarezza di
linguaggio, affidabilità, semplicità dì consultazione, qualità, omogeneità ed
interoperabilità”. Qui le amministrazioni sono tenute a pubblicare non solo i
dati ma anche il catalogo dei dati e dei metadati, nonché delle relative banche
dati in loro possesso.
Il patrimonio informativo della pubblica amministrazione è dunque considerato
un bene comune, da valorizzare anche attraverso la cd. data analysis. In questa
prospettiva il CAD (art. 50 ter introdotto con l.lgs. n. 217/2017) prevede la

9
costituzione (oggi in fase sperimentale) della Piattaforma Digitale Nazionale
Dati (PDND), cloud di riferimento nazionale, su cui trasferire i dati detenuti dalle
amministrazioni, in modo da garantire oltre alla sicurezza anche la massima
interoperabilità e la massima condivisione dei dati pubblici con tutti i soggetti
che hanno il diritto ad accedervi; in tal modo, basandosi sulla tecnologia big data
e sul principio cloud first, la piattaforma consentirà di ottimizzare i processi di
analisi e di organizzazione dei dati, incentivando la diffusione e l’uso in
ambiente pubblico e privato.
Il patrimonio informativo pubblico costituisce non solo un bene comune ma
anche l’infrastruttura essenziale dell’esercizio della funzione pubblica; una serie
di dati sono organizzati in basi dati di interesse nazionale, necessarie per lo
svolgimento delle funzioni istituzionali della Pubbliche amministrazioni e per
fini di analisi. Secondo l’art art.60 del CAD, esse costituiscono “l’ossatura del
patrimonio informativo pubblico, da rendere disponibile a tutte le PA,
facilitando lo scambio di dati ed evitando di chiedere più volte la stessa
informazione al cittadino o all’impresa”. Le basi ad oggi esistenti sono: il
Repertorio nazionale dei dati territoriali (RNDT) - Titolare: AgID; l’Anagrafe
nazionale della popolazione residente (ANPR) - Titolare: Ministero
dell’Interno; la Banca dati nazionale dei contratti pubblici (BDNCP) - Titolare:
ANAC; il Casellario giudiziale - Titolare: Ministero della Giustizia; il Registro
delle imprese - Titolare: UnionCamere; gli Archivi automatizzati in materia di
immigrazione e di asilo - Titolare: Ministero dell’Interno; l’Anagrafe nazionale
degli assistiti (ANA) - Titolari: Ministero dell’Economia e delle Finanze e
Ministero della Salute; l’Anagrafe delle aziende agricole - Titolari: Regioni e
Ministero delle Politiche Agricole, Alimentari e Forestali; l’Archivio nazionale
dei numeri civici delle strade urbane (ANNCSU) - Titolare: ISTAT e Agenzia
delle Entrate; la Base dati catastale - Titolare: Agenzia delle Entrate; l’Indice
delle Pubbliche amministrazioni (IPA) - Titolare: AgID; l’Indice nazionale degli
indirizzi di posta elettronica certificata di professionisti e imprese (INI-PEC) -
Titolare: Ministero dello Sviluppo Economico; il Pubblico registro
automobilistico (PRA) - Titolare: ACI; l’Anagrafe tributaria - Titolare: Agenzia
delle Entrate; il Catalogo dei dati delle Pubbliche amministrazioni - Titolare:
AgID; il Catalogo dei servizi a cittadini e imprese - Titolare: AgID; il Sistema
informativo nazionale federato delle infrastrutture (SINFI) - Titolare: Ministero
dello Sviluppo Economico.
Il trasporto dati, l’interoperabilità e la cooperazione applicativa dei sistemi
informatici pubblici sono garantiti dal Sistema pubblico di connettività (Spc),
che costituisce l’infrastruttura telematica che collega le pubbliche
amministrazioni, nel rispetto dell’autonomia del patrimonio informativo di
ciascuna amministrazione.
In prospettiva, occorrerà tenere presente l’esigenza di valorizzazione dei dati
detenuti dalle pubbliche amministrazioni per lo sviluppo dell’economia basata
sui dati (su cui infra, para. 6.2).

10
 4.2 Il CAD e la digitalizzazione dei rapporti con la p.a.
Oltre ai dati, sono dematerializzati e gestiti attraverso le moderne tecnologie
dell’informazione e della comunicazione anche i rapporti dei cittadini con la
pubblica amministrazione.
Si prevede così l’informatizzazione dei procedimenti e dei relativi fascicoli
nonché che i flussi di comunicazioni avvengano attraverso posta elettronica
certificata e protocolli informatici ovvero attraverso il caricamento in portali
pubblici.
Per favorire questo passaggio il codice stabilisce una serie di principi e diritti di
cittadinanza digitale (artt. 3 ss) volti a rafforzare le garanzie di
un’amministrazione efficiente, trasparente e imparziale che di per sé l’uso delle
tecnologie non è in grado di assicurare.
Innanzitutto è stabilito il principio del digital first, ovvero del digitale come
canale primario per i servizi e per i procedimenti amministrativi. Sono così
attribuiti a cittadini e imprese, come essenza della cittadinanza digitale, i diritti
all'identità e al domicilio digitale, alla fruizione di servizi pubblici online, alla
partecipazione effettiva al procedimento amministrativo in modalità digitale e a
effettuare pagamenti online.
Complemento del digital first è il principio del digital identity only ovvero
dell’accesso esclusivo mediante identità digitale, assicurando almeno l’accesso
tramite SPID.
In base poi al principio once only è fatto divieto alle pubbliche amministrazioni
di chiedere informazioni già possedute e reperibili attraverso l’interoperabilità
delle banche dati.
E’ previsto poi il diritto a servizi on-line “semplici e integrati” (art. 7 CAD) e
nel contempo il dovere delle pubbliche amministrazioni di organizzare servizi
pubblici digitali accessibili e di qualità, secondo le linee guida definite
dall’AgID.
Centrale a tal fine diviene la progettazione dei servizi e dei procedimenti (digital
by design) che deve assicurarne l’integrazione e garantire sicurezza del sistema
e la protezione dei dati personali. Il design deve essere inoltre tale da muovere
da una semplificazione di base degli iter amministrativi e consentire modalità
agili di miglioramento continuo, partendo dall’esperienza dell’utente e dalla
misurazione continua delle prestazioni. Se non si muove da una semplificazione
dei processi da digitalizzare e non si procede per successivi adattamenti, il
rischio è di trasferire le disfunzioni amministrative nei congegni telematici con
il risultato di aggiungere alla complicazione della realtà dell’amministrazione le
rigidità dell’automazione.
Perché la cittadinanza digitale divenga effettiva, occorre superare il cd. digital
divide, vale a dire il divario digitale che genera zone di esclusione
dall’informatica per ragioni economiche, culturali, ambientali o di età. E’ questo

11
un passaggio essenziale in un momento storico in cui, come efficacemente
sottolineato, on-line e on-life tendono a sovrapporsi (Floridi reference?). Per
questo il CAD (art. 8) pone a carico dello Stato la cd. alfabetizzazione
informatica, vale a dire la promozione di iniziative volte a favorire la diffusione
della cultura digitale tra i cittadini con particolare riguardo ai minori e alle
categorie a rischio di esclusione.
L’effettività del percorso di inclusione richiede, oltre alla formazione, l’identità
digitale e la disponibilità della rete e della connessione (su cui diffusamente
supra, par. 2). Questo implica altresì che le amministrazioni mettano a
disposizione la connettività ad internet presso uffici pubblici e altri luoghi
pubblici (art. 8-bis CAD).
Nello svolgimento del procedimento un ruolo importante nella strategia di
superamento del digital divide dovrebbe essere svolto dal responsabile del
procedimento, con soluzioni organizzative concrete, che superino
discriminazioni di cittadini privi di un livello adeguato di “alfabetizzazione
informatica” o di strumenti informatici e di connessione. E questo anche in
termini di promozione della cd. democrazia partecipativa. Particolare attenzione
nel quadro della cittadinanza digitale è infatti riservata ai diritti partecipativi, non
solo nell’ambito dei procedimenti amministrativi individuali ma anche in quelli
collettivi, concernenti opere pubbliche e private di interesse pubblico ad alto
impatto in termini di esternalità negative, sociali, economiche, ambientali.
Rispetto a tale tipologia di decisioni pubbliche, la digitalizzazione può senz’altro
agevolare forme collettive di partecipazione non facili da realizzare senza
l’ausilio della telematica. E l’amministrazione deve, soprattutto nella fase di
transizione, fasi carico di renderle effettive.

5. Potere digitale e decisioni amministrative.

5.1. La digitalizzazione riguarda anche i processi decisionali (la regolazione

europea dell’IA).

Delle tecnologie dell’informazione e della comunicazione vengono qui in rilievo

non solo quelle innovazioni che consentono una più efficiente organizzazione e
gestione dei dati da mettere a disposizione di un decisore umano per l’assunzione
di decisioni. Accanto a queste innovazioni tecnologiche, ve ne solo altre che
stanno determinando un cambiamento radicale del processo decisionale,
conducendo ad una progressiva sostituzione della macchina all’essere umano. Si
tratta delle cd. Emerging and Disruptive Technologies (EDT), tra cui la
blockchain, i big data, la data analysis e, in generale, l’intelligenza artificiale

12
(IA) il cui nucleo è costituito da algoritmi di apprendimento automatico che
elaborano dati non solo sulla base di istruzioni contenute nel programma ma
anche della loro capacità più o meno autonoma di apprendimento e adattamento.
Rispetto a tali tecnologie il fattore umano non è più baricentrico ma resta sullo
sfondo o della programmazione o del controllo (non sempre praticabile nel deep
learning) e dell’intervento correttivo di eventuali disfunzioni. A differenza dai
più classici sistemi di software e programmazione, basati su algoritmi
deterministici contenti istruzioni certe e precise, l’IA, secondo le definizioni
maggiormente condivise al livello istituzionale e dalla giurisprudenza (Cons.
Stato, 7891/2021) non solo “riceve dati e input provenienti da dispositivi e/o
dall’uomo” ma “deduce come raggiungere una serie di obiettivi definiti
dall’uomo utilizzando l’apprendimento, il ragionamento o la modellizzazione” e
“genera dei risultati sotto forma di contenuti (sistemi di IA generativa),
previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui
interagisce”. L’IA si avvale dunque del cd. machine learning vale a dire della
capacità di adattare l’algoritmo sulla base dell’auto-apprendimento. Questo può
avvenire sulla base di categorizzazioni strutturate in sede di programmazione
(come avviene per i suggerimenti dei motori di ricerca). L’apprendimento può
però avvenire anche in modo autonomo (cd. deep learning) sulla base di
architetture complesse di algoritmi, come le reti neurali artificiali, che si ispirano
al funzionamento delle reti neurali biologiche e che mutano la loro struttura in
base a dati esterni e informazioni interne che transitano nella rete (esempi del
deep learning sono i sistemi di riconoscimento facciale, la guida autonoma e gli
assistenti digitali capaci di interagire con il linguaggio umano). Queste
caratteristiche consentono alla macchina di affrontare questioni nuove, di
modificare i parametri di riferimento e comportarsi in maniera autonoma. I
percorsi seguiti non sono predicibili, né completamente controllabili o
ricostruibili a posteriori e questo genera opacità (la cd. black box) e complessità,
specie in sede di verifica giudiziale nel caso di violazione di diritti individuali.
Gli ambiti di applicazione sono i più vari e abbracciano il settore pubblico come
quello privato. Molteplici sono gli esempi che vanno dalle piattaforme del
commercio elettronico, alla concessione di mutui, all’apertura di una linea di
credito, alla tecnofinanza, alla selezione del personale, alle indagini di polizia,
alla giustizia predittiva, agli accertamenti fiscali, ai contratti pubblici, ai concorsi
pubblici, all’urbanistica, ai trasporti, alle prestazioni sociali.
La frontiera dell’IA che ha immediatamente suscitato un generale allarme sul
fronte della tutela dei diritti umani e delle libertà fondamentali, con particolare
riferimento al diritto alla dignità umana, al rispetto della vita privata e alla
protezione dei dati di carattere personale, alla non discriminazione e alla parità
di genere; alla libertà di espressione e di riunione; al diritto a un ricorso effettivo
e a un giudice imparziale, alla presunzione di innocenza e ai diritti della difesa.
Analoghe esigenze emergono riguardo ad una serie di gruppi speciali, quali i
diritti dei lavoratori a condizioni di lavoro giuste ed eque, quelli dei consumatori
ad un livello elevato di protezione, i diritti del minore e delle persone con
disabilità.
13
La regolazione dell’uso delle tecnologie e del mondo digitalizzato è guidata
innanzitutto da una riflessione etica che, attraverso la costituzione di comitati e
l’adozione di linee guida, orientano la definizione delle politiche pubbliche in
materia. Così nel 2020 sono stati elaborati principi e linee guida dal Consiglio
d’Europa (2020) e dalla Commissione Europea, attraverso lo High-Level Expert
Group on Artificial Intelligence – HLEG (che hanno avuto l’adesione di
importanti corporation, quali IBM, che ha dichiarato di voler applicare il
framework etico dell’HLEG in ogni parte del mondo).
Il Parlamento europeo, nel 2021, ha adottato una risoluzione che afferma che
l'intelligenza artificiale deve essere soggetta al controllo umano, in modo da
essere corretta o disabilitata in caso di comportamenti imprevisti; più di recente,
nel 2022, la Commissione ha presentato una proposta di regolamento
sull’intelligenza artificiale (2021/106(COD)) basato sulla classificazioni dei
rischi delle nuove tecnologie e volto ad assicurare che i sistemi di intelligenza
artificiale immessi sul mercato dell’Unione siano sicuri e rispettino la normativa
vigente in materia di diritti fondamentali e i valori dell’Unione stessa.
Sul piano giuridico una prima risposta è venuta dal regolamento generale sulla
protezione dei dati (regolamento (UE) 2016/679 - GDPR). Fermo il
riconoscimento in termini generali del diritto di accesso ai dati personali, il
regolamento ha attribuito ad ogni interessato il diritto di conoscere l’esistenza di
un processo decisionale automatizzato e quello di ricevere “informazioni
significative sulla logica utilizzata, nonché l’importanza e le conseguenze
previste di tale trattamento per l’interessato”. Ogni interessato può inoltre
opporsi a decisioni con incidenze significative nella sua sfera giuridica, basate
“unicamente” su un trattamento automatizzato. Il titolare del trattamento dei dati
è infine tenuto ad adottare “misure appropriate per tutelare i diritti, le libertà e i
legittimi interessi dell’interessato”.
Più di recente la Commissione ha presentato una proposta di regolamento
europeo sull’IA, COM/2021/206 final del 21.4.2021, volto a definire un quadro
di garanzie per il corretto uso dell’intelligenza artificiale nel rispetto della
sicurezza e dei diritti fondamentali.
L’approccio è basato sulla classificazione dei rischi secondo un modello
piramidale (rischio basso, alto e inaccettabile) e sulla graduazione della
disciplina applicabile.
Si prevedono così divieti assoluti, in relazione a rischi inaccettabili in quanto
incompatibili con i principi dell’Unione europea e i diritti fondamentali
dell’uomo contenuti nella Carta europea. Tali divieti colpiscono l’uso di sistemi
che: distorcono il comportamento di una persona attraverso tecniche subliminali;
sfruttano qualsiasi vulnerabilità in modo da causare o essere suscettibili di
causare danni fisici o psicologici; consentono la valutazione/classificazione
dell’affidabilità di persone fisiche mediante l’attribuzione di un punteggio
sociale (sistemi di credito sociale); consentono l’identificazione biometrica
remota, salvo casi eccezionalmente autorizzati dalla legge riconducibili in linea

14
di massima ad attività di prevenzione e contrasto del crimine, in ogni caso
soggetti a garanzie specifiche.
In relazione a sistemi che sono ammessi ma che sono reputati ad alto rischio
(quali il riconoscimento facciale, o l’uso in infrastrutture critiche, in contesti di
educazione, valutazione dei lavoratori, emergenza, assistenza sociale,
valutazione del credito, o da parte delle forze dell’ordine e delle autorità
giudiziarie) sono previste specifiche prescrizioni. Queste riguardano innanzitutto
requisiti tecnici, quali l’utilizzo di set di dati di alta qualità, di una
documentazione adeguata per la tracciabilità, la condivisione di informazioni
con l’utente, la progettazione e l’attuazione di misure adeguate di sorveglianza
umana nello sviluppo dell’algoritmo per garantirne la modificabilità e la
comprensibilità; si prescrive poi l’istituzione di un sistema di gestione dei rischi.
Per sistemi a basso rischio sono invece previsti soltanto requisiti minimi di
trasparenza: è il caso delle chatbot (che simulano conversazioni umane).

5.2 Le decisioni algoritmiche della pubblica amministrazione

Anche la pubblica amministrazione si avvale dell’intelligenza artificiale per

l’assunzione delle decisioni di sua pertinenza. Si parla al riguardo di decisione
algoritmica o automatizzata.
Il ricorso a tali strumenti è stato analizzato dalla giurisprudenza amministrativa
che ha immediatamente colto le potenzialità dell’innovazione in termini di
efficienza ed economicità: “La piena ammissibilità di tali strumenti risponde ai
canoni di efficienza ed economicità dell’azione amministrativa (art. 1 l. 241/90),
i quali, secondo il principio costituzionale di buon andamento dell’azione
amministrativa (art. 97 Cost.), impongono all’amministrazione il
conseguimento dei propri fini con il minor dispendio di mezzi e risorse e
attraverso lo snellimento e l’accelerazione dell’iter procedimentale” (riff. Sent.)
Tuttavia, l’uso dell’IA nei processi decisionali pubblici non è priva di
implicazioni problematiche. Restano innanzitutto ferme tutte le criticità sopra
esaminate rispetto ai diritti fondamentali; e si combinano con quelle relative ai
principi di legalità, di competenza (e imputabilità e responsabilità per le
decisioni), di trasparenza, di motivazione, di ragionevolezza e uguaglianza, di
sindacabilità giurisdizionale delle decisioni pubbliche: il ricorso a procedure
informatizzate non può essere motivo di elusione dei princìpi che nel nostro
ordinamento regolano lo svolgersi dell’attività amministrativa i quali devono
essere quindi adattati al nuovo contesto digitale.
Si delineano così, per mano della giurisprudenza, principi specifici della legalità
algoritmica, articolata su tre pilastri essenziali: conoscibilità della decisione; non
esclusività della decisione algoritmica e non discriminazione.

15
La piena conoscibilità è una declinazione del canone di trasparenza, che implica
piena esplicabilità della regola espressa in linguaggio non giuridico sia per
l’amministrazione sia per i destinatari dell’atto. L’algoritmo deve essere pertanto
conoscibile “in tutti gli aspetti: dai suoi autori al procedimento usato per la sua
elaborazione, al meccanismo di decisione, comprensivo delle priorità assegnate
nella procedura valutativa e decisionale e dei dati selezionati come rilevanti”
(Cons. Stato n. 8472/2019). Deve inoltre essere riconosciuto il diritto di accesso
all’algoritmo del software di gestione di un procedimento amministrativo da
qualificarsi come atto amministrativo informatico ai sensi dell’art. 22 della legge
n. 241 del 1990. Il diritto di accesso, esteso ai codici sorgenti, prevale anche sui
diritti di proprietà intellettuale e industriale di società e start up private cui è oggi
demandata la formazione di algoritmi anche in ambito pubblico; il diritto
d’autore e la stessa proprietà intellettuale non precludono del resto la semplice
riproduzione, ma al massimo, lo sfruttamento economico e non possono
depotenziare le garanzia di trasparenza e difesa nei rapporti con il potere
pubblico.
Il principio di non esclusività della decisione algoritmica richiede l’imputabilità
della decisione all’organo titolare del potere, il quale ha il dovere di verificare la
logicità e legittimità della decisione algoritmica e il potere di intervenire nel
processo decisionale. Questo vuol dire che la regola algoritmica non può lasciare
margini di discrezionalità alla macchina, secondo il modello del machine
learning-deep learning, in quanto la discrezionalità amministrativa “senz’altro
non può essere demandata al software”. Il principio si ricava anche dall’art. 22
del Regolamento UE 679/2016 (GDPR) secondo cui “L’interessato ha il diritto
di non essere sottoposto a una decisione basata unicamente sul trattamento
automatizzato, compresa la profilazione, che produca effetti giuridici che lo
riguardano o che incida in modo analogo significativamente sulla sua persona”.
Questo richiede la necessaria presenza nel processo decisionale di un contributo
umano capace di controllare, validare ovvero smentire la decisione algoritmica,
secondo il modello matematico definito come HITL (human-in-the-loop), che
richiede che la macchina interagisca con l’essere umano per produrre il
risultato”.
Il principio di non discriminazione algoritmica, è strettamente connesso al
trattamento dei dati e richiede procedure statistiche appropriate per la
profilazione, nonché misure per correggere eventuali inesattezze ed errori, al fine
di impedire “effetti discriminatori nei confronti di persone fisiche sulla base
della razza o dell’origine etnica, delle opinioni politiche, della religione o delle
convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello
stato di salute o dell’orientamento sessuale”. (fonte??)
Alla luce di tali principi che definiscono un’amministrazione digitale
antropocentrica, che esclude la possibilità di consegnare il potere decisionale ad
un algoritmo incontrollabile e, dunque, nega la possibilità del potere pubblico
digitale, non v’è ad oggi spazio, se non sperimentale o di mero supporto

16
istruttorio, per sistemi di IA fondati sul cd. deep learning, in ragione della loro
intrinseca opacità (la black box).
In questo scenario tra i diversi gradi di possibile interazione con la pubblica
amministrazione, l’IA trova facile applicazione nell’area dell’attività c.d.
vincolata, che può beneficiare di sistemi di IA molto semplici, fondati su
algoritmi deterministici che automatizzano in maniera tracciabile iter
procedimentali a bassa complessità, standard e routinari ad alto costo di risorse.
Si pensi ai procedimenti sanzionatori per violazione del codice della strada:
inserito il parametro (input) corrispondente ad es. al divieto di ingresso in una
zona a traffico limitato, la macchina rileva facilmente la violazione ed irroga la
sanzione corrispondente (output). Si tratta di sistemi di IA molto semplici, privi
di qualunque capacità di ragionamento autonomo e guidati da una logica
semplice e lineare (c.d. If-Then).
V’è quindi uno spazio potenzialmente molto ampio per l’automazione del
processo decisionale pubblico e il recupero di efficienza in una prospettiva di
buona amministrazione e nel pieno rispetto dei principi che governano l’agire
pubblico.
E’ in relazione alle attività discrezionali che il rispetto della legalità algoritmica
diviene problematica anche se, come affermato dalla giurisprudenza (Cons.
Stato 7891/2021), non vi sono preclusioni di principio.
Innanzitutto, uno spazio si rinviene, là dove la scelta sia predeterminabile con
criteri e parametri definiti a monte dall’amministrazione che fissa le alternative
possibili cui l’algoritmo può giungere. La predeterminazione dei criteri e delle
soluzioni possibili ricompone l’attività discrezionale in una quasi totale
vincolatività, potendo l’IA solo scegliere tra alternative già previamente
determinate.
Laddove le scelte non siano predeterminabili attraverso criteri predefiniti e
rimanga un margine concreto di discrezionalità, l’uso di sistemi di IA fondati su
sequenze non conoscibili non è ad oggi ammissibile (se non con mere finalità di
supporto istruttorio e con risultati rimessi al prudente apprezzamento dell’organo
competente, come potrebbe essere per la data analysis fondata su metodiche di
deep learning).
E’ chiaro che l’evoluzione della tecnologia e la sperimentazione potranno
condurre a superare queste barriere. Sia gli algoritmi potranno apprendere e
perfezionarsi e divenire decisori più sensibili, flessibili e imparziali degli esseri
umani. Sia la scienza giuridica, nel solco del metodo Law&Tech e dunque
attraverso la collaborazione di giuristi e informatici, potrà giungere a delineare
uno spazio giuridico per il potere pubblico digitale, compatibile con i nostri
valori costituzionali.

17
 6. La regolazione dello spazio digitale

La trasformazione digitale è ritenuta foriera di opportunità, tra cui la

semplificazione amministrativa, la creazione di posti di lavoro, l’incentivazione
della competitività e dell'innovazione, la lotta ai cambiamenti climatici e
realizzazione della transizione verde (su cui si v. Capitolo XX).
Ma anche di rischi. Alcuni di essi, che hanno condotto ad evocare, sul fronte dei
poteri pubblici, la Società del controllo [G. DELEUZE, 1990] e, sul fonte dei poteri
privati, il Capitalismo di sorveglianza [S. ZUBOFF, 2019], sono insiti nelle
incognite di un percorso verso l’innovazione della società in tutte le sue
dimensioni, non solo pubbliche, ma anche private: il cittadino, il consumatore,
l’impresa, i mercati, sulla base di tecnologie in continua evoluzione, che svelano
già un enorme potenziale di monitoraggio e condizionamento della sfera
individuale e collettiva, dei processi di mercato e di quelli democratici.

Il governo della digitalizzazione è dunque necessario per offrire una risposta ad

una molteplicità di questioni tra cui anche quello di regolare il mercato digitale,
con speciale riguardo alle grandi imprese tecnologiche che prestano servizi quali
mercati online, social network e piattaforme per la condivisione di contenuti;
governare strumenti nuovi quali gli smart contract e la blockchain; garantire la
sicurezza del ciberspazio.
Il perseguimento di questa congerie di obiettivi richiede una funzione regolatoria
nuova, in grado di coniugare avanzate conoscenze tecniche e diritto, che ad oggi
difettano ai regolatori nazionali.

6.1. La regolazione delle piattaforme: il Digital Services Act e il Digital

Markets Act

Negli ultimi venti anni si è assistito ad una rapida evoluzione dei modelli di
business adottati sui mercati digitali, culminati con l’affermarsi delle
piattaforme, ossia intermediari che operano su più versanti. Da un lato, esse
forniscono applicazioni e servizi (per lo più gratuiti) agli utenti finali (come l’e-
commerce, gli affitti brevi di alloggi, i servizi di ricerca online, i social network,
ecc.); dall’altro, si finanziano vendendo spazi per la pubblicità mirata alle
aziende. Il successo di questo modello si deve ad un fenomeno noto da tempo (e
ampiamente sperimentato, ad esempio nel mercato delle carte di credito), ossia
quello degli effetti di rete: quanti più sono gli utenti presenti su un versante del
mercato tanto maggiore sarà il valore sull’altro versante.

18
La novità di queste piattaforme consiste nell’uso dell’analisi dei dati
comportamentali degli utenti: la raccolta ed elaborazione di enormi moli di dati
personali consente infatti di conoscerne gusti e preferenze e dunque sia di
disegnare migliori prodotti e servizi, sia di consentire pubblicità personalizzata,
e pertanto a maggior valore. Col tempo alcune piattaforme sono riuscite a
diversificare i propri servizi entrando in nuovi mercati e diventando dei veri
conglomerati. Così ad esempio, Amazon, nata per la vendita di libri online, è
oggi un’azienda leader nel commercio elettronico mondiale, che fornisce
numerosi altri servizi spaziando dagli assistenti virtuali (Alexa, che dà accesso
alla domotica), alla musica e TV in streaming, alla logistica, al cloud. Questa
crescita ha riguardato un numero relativamente ristretto di aziende, note come le
Big Tech (o GAFAM, acronimo per Google, Amazon, Facebook, Apple e
Microsoft), che nel volgere di poco più di un decennio hanno acquisito posizioni
di assoluto rilievo nell’economia mondiale, unitamente ad altre compagnie
cinesi quali Alibaba, Baidu, Tencent.
La spettacolare crescita di questi giganti del web si è prodotta sia grazie ad
ingenti investimenti in ricerca e sviluppo (spesso resi possibili anche grazie al
supporto pubblico), sia mediante una politica di fusioni e attraverso
l’acquisizione di aziende e start-up innovative. In alcuni casi, le Big Tech hanno
invece fatto ricorso a pratiche restrittive della concorrenza e per questo sono state
condannate dalla Commissione europea (si pensi ai casi di abuso di posizione
dominante Google Shopping – AT.39740 del 2017 e Google Android –
AT.40099 del 2018, sostanzialmente confermati in primo grado dal Tribunale
dell’UE, rispettivamente, nel 2001 e nel 2022). L’apertura di queste (e di molte
altre) istruttorie antitrust, specie per i tempi lunghi dei procedimenti e
l’incertezza della qualificazione delle fattispecie illecite, ha innescato un acceso
dibattito sulla necessità di affiancare al diritto della concorrenza uno strumento
regolatorio capace di intervenire ex ante.
Il tema al centro del dibattito ha riguardato specialmente la limitata
contendibilità dei cosiddetti “ecosistemi” digitali: alcune grandi piattaforme
online tendono a configurarsi come modelli chiusi, difficilmente scalfibili,
fungendo da “gatekeeper” (lett. controllori dei cancelli) dell’accesso ai mercati
(recte: servizi) nei quali operano. In tali condizioni la funzione auto-correttiva
della concorrenza non riesce ad operare adeguatamente (fallimento di mercato)
a causa della presenza di elevate barriere all’ingresso ed anche delle enormi
disponibilità finanziarie di questi operatori.
Sebbene numerose siano ancora oggi le voci critiche su questa ricostruzione,
essa ha dato avvio alla adozione di due importanti iniziative a livello unionale:
il Regolamento UE 2022/1925, Digital Markets Act (DMA o Legge sui mercati
digitali del 14.9.2022), e il Regolamento UE 2022/2065, Digital Services Act
(DSA o Legge sui servizi digitali del 19.10.2022), si cui si dirà subito appresso.
DSA e DMA mirano a garantire la correttezza dei comportamenti di queste
piattaforme e costituiscono uno degli elementi centrali della strategia digitale
europea (unitamente al Digital Governance Act e alle proposte di regolamento

19
sull’IA e sul Data Act), enunciata nella Comunicazione “Plasmare il futuro
digitale dell'Europa” del febbraio 2020 (COM(2020) 67 final).

6.1.1. Il Digital Markets Act (Regolamento UE 2022/1925)

Il DMA ha come obiettivo quello di realizzare mercati digitali equi e
contendibili, contrastando le pratiche sleali di alcune piattaforme che godono di
una posizione di “gatekeeper”. E’ importante sottolineare che esso ha come base
giuridica l’art. 114 del Tfue (sul ravvicinamento delle legislazioni finalizzato
alla realizzazione del mercato interno) e non già l’art. 103 (che riguarda
l’applicazione dei principi degli articoli 101 e 102 Tfue in materia di
concorrenza). Ciò esprime bene la differenza di impostazione tra intervento
antitrust, che è ex post, e quello del DMA, che è invece una regolazione pro-
concorrenziale che interviene ex ante. Inoltre, essa testimonia a livello di
inquadramento teorico che l’obiettivo avuto di mira dal DMA è quello di
correggere un fallimento sistemico del mercato: si tratta dunque di un criterio di
residualità che consente al legislatore di intervenire (nei limiti della sussidiarietà
unionale e della proporzionalità) là dove il mercato da solo non riesce a garantire
esiti soddisfacenti. A livello procedurale, la base giuridica dell’art. 114 ha altresì
consentito di prescindere dall’unanimità (richiesta invece dall’art. 103) e di
includere il Parlamento europeo nell’iter legislativo.
Venendo ai contenuti, il DMA si indirizza ai soli gatekeeper, i quali sono definiti
come i prestatori di “core platform services” (nel prosieguo anche CPS); tali
sono gli intermediari dei servizi online, i motori di ricerca, i social network, le
piattaforme di condivisione di video, i servizi di messaggistica, i sistemi
operativi, i browser, gli assistenti virtuali, i fornitori di servizi cloud e di
pubblicità online (art. 2).
La qualifica di gatekeeper non è automatica, ma è attribuita all’esito di un
complesso procedimento di designazione (art. 3). La qualifica si presume se sono
superate determinate soglie quantitative (cumulative) relative a: (a) fatturato
annuo nell’UE negli ultimi tre esercizi finanziari pari o superiore a 7,5 miliardi
di euro o se la capitalizzazione media o il suo valore equivalente ammonta
almeno a 75 miliardi di euro nell’ultimo esercizio e, al contempo, offre il servizio
in almeno tre Stati membri; (b) numero di utenti finali attivi mensili stabiliti o
situati nell’UE pari ad almeno 45 milioni e almeno 10.000 utenti commerciali
attivi annuali stabiliti nell’UE per un CPS; e (c) raggiungimento delle soglie di
cui al punto (b) in ciascuno degli ultimi tre esercizi finanziari. Ove non risultino
superate, la Commissione può comunque designare un fornitore come
gatekeeper ricorrendo a criteri qualitativi: (i) l’impresa ha un impatto
significativo sul mercato interno; (ii) ha una posizione di gatekeeper nei
confronti degli utenti commerciali per un determinato CPS; e (iii) gode di una
posizione di mercato consolidata e duratura, o è prevedibile che goda di tale

20
posizione nel prossimo futuro. Le imprese possono superare la presunzione così
come allegare elementi per provare di non trovarsi in posizione di gatekeeper.
A seguito della designazione, il gatekeeper è soggetto ad una lunga lista di
obblighi e divieti, elencati agli artt. 5, 6 e 7, rispetto ai quali il DMA, a differenza
di altre legislazioni similari di altri paesi, non offre la possibilità di esenzione né
invero di giustificazione (come ad esempio la efficiency defence presente nel
diritto antitrust). Chiaramente, al cessare della qualifica vengono meno gli
obblighi e i divieti.
Gli obblighi e i divieti definiti all’art. 5 sono direttamente applicabili, mentre
quelli di cui agli artt. 6 e 7 DMA sono suscettibili di ulteriori specificazioni da
parte della Commissione secondo la procedura definita all’art. 46.
In dettaglio, ai gatekeeper è fatto divieto di combinare i dati personali degli utenti
(salvo il loro consenso) raccolti per la fornitura di un CPS con quelli di altri
servizi propri o di terze parti (art. 5.2, lett. a, b, c, d). Questa serie di divieti mira
a prevenire un (ulteriore) eccessivo accumulo di dati personali in capo ad un
unico gatekeeper. Questi ultimi non possono impedire ai clienti business di
offrire gli stessi prodotti o servizi da essi intermediati (si pensi agli “app store”
o ai marketplace come Amazon) su altre piattaforme o in maniera diretta o a
condizioni differenti da quelle offerte sulla piattaforma del gatekeeper (Art. 5.3).
Questa disposizione, che ha origine dal caso antitrust Booking, mira a prevenire
le pratiche di cd. most favored nations (o MFN). Ancora, i gatekeeper non
possono impedire agli utenti business di promuovere offerte agli utenti finali
(acquisiti attraverso la piattaforma del gatekeeper stesso o al di fuori) e stipulare
contratti con loro. Tale possibilità deve essere gratuita per i trader (art. 5.4).
Quest’obbligo mira a contenere il potere contrattuale dei gatekeeper nei
confronti degli utenti business. Allo stesso fine l’art. 5.6 vieta ai gatekeeper di
impedire a tali utenti di avvalersi di rimedi o sollevare questioni di compliance
dinanzi ad autorità pubbliche nazionali (cd. no-challenge clause: si tratta di
clausole spesso inserite nei contratti business). L’art. 5.7 vieta ai gatekeeper di
imporre agli utenti un proprio servizio di identificazione, di ricerca o di
pagamento (inclusi i sistemi per acquisti cc.dd. in-app) nell’ambito dei servizi
offerti dagli utenti business che si avvalgono della piattaforma del gatekeeper. I
commi 9 e 10 introducono obblighi informativi per i gatekeeper, richiedendo che
questi trasmettano ai fornitori di servizi pubblicitari e agli editori, gratuitamente
e su base giornaliera, i dati sui prezzi pagati, i criteri per definirli e la
remunerazione ricevuta dagli inserzionisti. L’obbligo è temperato, essendo
limitato alle informazioni che siano disponibili anche al gatekeeper.
Infine, una interessante disposizione è l’art. 5.8, che vieta al gatekeeper di
condizionare la sottoscrizione (accesso, registrazione o uso), da parte di aziende
o utenti finali, ad un CPS alla sottoscrizione o registrazione degli utenti per un
altro CPS. La disposizione è ispirata alla pratica legante (o tie-in), che può essere
condotta rilevante ai fini antitrust se commessa da un’impresa in posizione
dominante.

21
Per quanto attiene ai divieti e obblighi suscettibili di specificazione, due pratiche
vengono in rilievo, essendo state oggetto di scrutinio antitrust: si tratta del cd.
“self-preferencing” e dello “sherlocking”.
Quest’ultimo è vietato dall’art. 6.2, in base al quale il gatekeeper non può
utilizzare i dati (non pubblicamente disponibili) generati o forniti dagli utenti
business del proprio CPS (e dai clienti di tali utenti) per fare loro concorrenza.
Una condotta di questo tipo è contestata dalla Commissione ad Amazon in una
istruttoria tuttora pendente: in breve la Commissione ritiene che l’operatore
utilizzi i dati raccolti dalle imprese che si avvalgono del suo marketplace (come
i click, le ricerche, le visite, i dati vocali) per formulare offerte in concorrenza
con queste, al fine di espungerle dal mercato. Nel caso del DMA, vale ricordare,
il divieto non richiede la dimostrazione di un effetto anti-concorrenziale, essendo
la teoria del danno in re ipsa.
L’art. 6.5 invece vieta il self-preferencing, ovverosia il trattamento
discriminatorio, nei ranking e rating, dei prodotti o servizi del gatekeeper in
modo più favorevole rispetto ai prodotti o servizi simili di terze parti. Questo
divieto trae origine dal citato caso Google Shopping.
Gli artt. 6.3 e 6.13 (assieme al 5.8) sono due delle poche disposizioni del DMA
di diretta tutela dei consumatori.
L’art. 6.3 obbliga i gatekeeper a consentire agli utenti finali di disinstallare le
applicazioni da un proprio sistema operativo, salvo che si tratti di applicazioni
essenziali e non siano offerte da terzi in modo autonomo (è chiaro il richiamo al
noto caso antitrust Microsoft, che impediva la disinstallazione del browser
Explorer, in danno di Netscape). Inoltre la disposizione prevede che agli utenti
finali (e solo a questi) debba essere consentito di cambiare facilmente le
impostazioni di default (o predefinite) di sistemi operativi, browser o assistenti
virtuali designati come gatekeeper. Anche in questo caso, l’avverbio
“facilmente” implica che all’utente debba essere reso possibile di scegliere
fornitori alternativi, senza che ciò sia ostacolato mediante pratiche che rendano
difficile l’opt-out. E’ interessante che la disposizione aggiunga che le
impostazioni predefinite dal gatekeeper debbano “dirigere o manovrare” (lett. to
steer) l’utente finale verso i prodotti o servizi del gatekeeper. Non si tratta
evidentemente di dimostrare l’intento manipolatorio, ma di una specificazione
della impostazione di default. A tale riguardo, la norma ulteriormente specifica
che al momento della prima scelta, da parte dell’utente finale, del sistema di
ricerca, assistente virtuale o browser del gatekeeper, debba essergli data la
possibilità di selezionare da una lista di servizi alternativi.
Oltre a consentire di disinstallare applicazioni, ai gatekeeper è altresì imposto
(art. 6.4) di permettere l’installazione (e l’uso effettivo) sia di app sia di app store
di terze parti sui loro sistemi operativi, nonché di renderli accessibili mediante
servizi diversi da quelli del gatekeeper stesso. In altri termini, gli utenti devono
essere in grado di fare “side-load” ovvero scaricare app e app store tramite un
app store diverso da quello del gatekeeper. Quest’ultimo, inoltre, non può

22
impedire alle terze parti di chiedere agli utenti di impostare le app alternative
come predefinite. La norma va letta in combinato con l’art. 6.7 in tema di
interoperabilità (v. infra).
L’art. 6.13 proibisce ai gatekeeper di imporre restrizioni contrattuali o tecniche
alla cessazione dell’utilizzo di un servizio da parte dei propri utenti commerciali
e finali (si pensi ad esempio, alla disiscrizione o, più in generale, alla cessazione
di un contratto di servizio). Il tenore letterale della disposizione è piuttosto
ampio, parlando di condizioni “sproporzionate” alla cessazione del servizio ed
imponendo al gatekeeper di garantire che la terminazione del servizio debba
potersi fare senza “inutili difficoltà”.
Un regime molto dettagliato è poi previsto in materia di accesso ai dati,
portabilità e interoperabilità. L’art. 5.5 (disposizione direttamente applicabile)
riguarda il tema dell’accesso ai dati da parte degli utenti finali. A questi il
gatekeeper deve consentire, attraverso la sua piattaforma, di poter accedere ed
utilizzare contenuti, sottoscrizioni ed ogni altro elemento acquisito all’esterno
della piattaforma stessa. Circa gli inserzionisti e gli editori, l’art. 6.8 obbliga i
gatekeeper a fornire loro l’accesso gratuito alle informazioni pertinenti e agli
strumenti di misurazione delle prestazioni, in modo che possano verificare in
modo indipendente le prestazioni dei loro annunci. Quanto agli utenti business,
l’art. 6.10 impone ai gatekeeper di fornire loro, dietro richiesta, un “accesso
continuo e in tempo reale” ai dati sull’uso dei CPS e sui clienti che interagiscono
con i loro prodotti. Una disciplina speciale è prevista per i motori di ricerca.
Questi sono obbligati dall’art. 6.11 a condividere coi motori di ricerca
concorrenti (a prescindere dalla loro nazionalità) i dati anonimizzati relativi a
classifiche, alle ricerche (query), ai clic e alle visualizzazioni.
Senza alcuna connessione con l’accesso ai dati detenuti dai gatekeeper è invece
l’art. 6.12, che obbliga tali soggetti ad applicare condizioni generali contrattuali
eque, ragionevoli e non discriminatorie per l’accesso ai servizi di motori di
ricerca, app store e siti di social network. La disposizione in commento, vale
ricordare, non garantisce agli utenti un generale diritto di accesso a questi servizi,
ma si limita a stabilire principi cui i contratti per accedervi debbono ispirarsi.
In tema di portabilità dei dati degli utenti finali vengono in rilievo gli artt. 6.6 e
6.9. Il primo vieta ai gatekeeper di imporre qualsiasi restrizione alla capacità
degli utenti finali di cambiare fornitore o app (o effettuare lo switch) ovvero di
servirsi di più fornitori o app (cd. multi-homing). L‘art. 6.9 obbliga i gatekeeper
a fornire agli utenti finali gratuitamente la possibilità di trasferire i propri dati su
altre piattaforme, nonché di predisporre strumenti per facilitare la portabilità dei
dati. Si precisa che questo obbligo va oltre i requisiti di portabilità dei dati
individuati all’art. 20 del GDPR, in quanto non è limitato ai soli dati personali.
Infine, con riguardo alla interoperabilità, vengono in rilievo gli articoli 6.7 e 7.
Essa consiste nella possibilità tecnica di far dialogare sistemi e piattaforme
basate su standard diversi. Tali standard sono elaborati dagli operatori e spesso
sono protetti da diritti di proprietà intellettuale. Per facilitare l’ingresso di start-
up nel mercato e favorire l’innovazione, ai gatekeeper è fatto obbligo (art. 6.7)
23
di garantire la ‘effettiva interoperabilità’ con i propri sistemi operativi ed
assistenti virtuali. Questa si traduce nel concedere l’accesso, a titolo gratuito, alle
stesse caratteristiche hardware e software dei servizi di prima parte (cioè che il
gatekeeper garantisce ai propri applicativi) ai fornitori di servizi e di hardware.
Inoltre, la stessa possibilità di accesso è garantita anche agli utenti business e ai
fornitori di servizi alternativi che offrono servizi in supporto a quelli dei
gatekeeper (a prescindere dal fatto che le caratteristiche cui si richiede l’accesso
siano parte del sistema operativo di quest’ultimo). La disposizione è temperata
dalla possibilità, concessa al gatekeeper, di adottare le misure strettamente
necessarie e proporzionate per garantire che l’interoperabilità non comprometta
l’integrità del sistema operativo, dell’assistente virtuale, dell’hardware o del
software.
L’art. 7 disciplina l’interoperabilità nell’ambito dei servizi di messaggistica (che
costituiscono uno dei CPS individuati all’art. 2 DMA, si pensi ad esempio a
WhatsApp o Telegram). Esso obbliga i gatekeeper di rendere interoperabili le
funzionalità di base di tali servizi con quelli dei concorrenti, su loro richiesta e a
titolo gratuito. Questa regola è progettata per espandere il proprio ambito di
applicazione nel tempo. Dopo la designazione dei gatekeeper a norma dell’art.
3.9, l’obbligo di interoperabilità sarà limitato ai messaggi di testo e alla
condivisione di immagini, messaggi vocali e video tra due utenti. Entro 2 anni
dalla designazione, l’obbligo si estenderà alla messaggistica e alla condivisione
in gruppi, ed entro 4 anni dalla designazione includerà le chiamate vocali e i
video tra due utenti e gruppi.
Al fine di facilitare l’interoperabilità, il DMA riconosce alla Commissione il
potere di delegare agli organismi europei di standardizzazione il compito di
sviluppare standard appropriati (art. 48).
L’ultimo obbligo sostanziale introdotto dal DMA riguarda le fusioni e
acquisizioni (art. 14). Come detto una delle strategie impiegate dai gatekeeper
per la crescita consiste nell’acquisizione di piccole imprese fortemente
innovative. Queste operazioni tuttavia sfuggono al controllo della Commissione,
non essendo soggette ad obblighi di notifica ai sensi della disciplina sulle
concentrazioni (Regolamento 139/2004). Il tema è complesso in quanto, ove
pure fossero analizzate, si tratterebbe di stabilire se le aziende acquisite
avrebbero il potenziale di trasformarsi nel tempo in effettivi competitor del
gatekeeper oppure no e, conseguentemente, se l’operazione sia configurabile
come una “killer acquisition”. Tale si definisce quella acquisizione che mira ad
assorbire una azienda innovativa per soffocare sul nascere un potenziare
competitor. Ad ogni modo, il DMA stabilisce all’art. 14 che i gatekeeper
dovranno comunicare alla Commissione tutte le fusioni e acquisizioni previste
che coinvolgano un altro fornitore di CPS ovvero “qualsiasi altro servizio fornito
nel settore digitale” o “consente la raccolta di dati”, anche se le soglie di fatturato
del regolamento UE sulle concentrazioni non sono superate.
A metà tra obbligo sostanziale e procedurale si pone l’art. 15, il quale impone al
gatekeeper di realizzare un audit interno ed indipendente delle tecniche utilizzate
24
per la profilazione dei consumatori per ciascuno dei suoi CPS e trasversalmente
(lett. “accross”) fra tutti i suoi CPS. La relazione di audit va trasmessa alla
Commissione che la invia a sua volta all’EDPS (autorità europea di protezione
dei dati). Trattandosi di un obbligo particolarmente penetrante, che va al cuore
del business delle piattaforme (e dei suoi segreti industriali), spetta alla
Commissione definire con atto delegato (ex art. 46.1.g) la metodologia e la
procedura per l’audit (art. 15.2), mentre è previsto che il gatekeeper pubblichi
solo una versione non dettagliata dell’audit su base annua (art. 15.3).
Procedura. Gli obblighi e i divieti di cui agli artt. 5, 6 e 7 DMA possono essere
sospesi (art. 9) da parte della Commissione nel caso di rischi eccezionali alla
redditività del gatekeeper, su richiesta di quest’ultimo, sia in via cautelare (per
un periodo breve ex art. 9.3), sia in via definitiva ex art. 9.1 (salvo il riesame
annuale della Commissione o il termine eventualmente definito nel
provvedimento di sospensione). I gatekeeper possono altresì essere esentati dagli
obblighi per motivi di salute pubblica o sicurezza (art. 10). Gli obblighi di cui
agli artt. 5 e 6 posso essere aggiornati dalla Commissione (art. 12) per tenere
conto dell’evoluzione dei mercati digitali, a seguito di indagini di mercato (art.
19) che evidenzino la necessità di garantirne la contendibilità o la correttezza. In
tal caso la Commissione adotterà un atto delegato secondo la procedura indicata
all’art. 49.
L’enforcement del DMA è disciplinato agli artt. 8, 18 e 20.
In generale incombe sul gatekeeper dimostrare il rispetto degli obblighi derivanti
dal DMA. A tal fine, esso è tenuto, in base all’art. 8, ad adottare tutte le misure
necessarie ed a trasmetterne un dettagliato report annuale alla Commissione (art.
11).
Per garantire il legittimo affidamento, è data la possibilità al gatekeeper di
chiedere alla Commissione se le misure adottate raggiungono lo scopo avuto di
mira dal singolo obbligo del DMA (art. 8.3). La Commissione mantiene
discrezionalità in ordine al rilascio di una simile determinazione.
Diverso è il caso (art. 8.2) in cui sia la Commissione (di propria iniziativa o su
richiesta di un gatekeeper) a specificare le misure che il gatekeeper deve adottare
per dare attuazione agli obblighi previsti agli artt. 6 e 7 che, come si rammenterà,
sono suscettibili di specificazione mediante atti delegati (seguendo la procedura
consultiva di cui all’art. 50.2). Si noti che questa procedura di specificazione
riguarderà anche gli obblighi dell’art. 5 nel caso di anti-circumvention measures.
Ai sensi dell’art. 8.5, se la Commissione apre un procedimento (ex art. 20) per
violazione degli obblighi del DMA, essa è tenuta a comunicare al gatekeeper le
risultanze istruttorie preliminari e le misure prospettate entro 3 mesi. I terzi
interessati possono presentare commenti.
In base all’art. 18, se a seguito di una indagine di mercato, risulta la sistematica
violazione di uno o più disposizioni degli artt. 5, 6 o 7, attraverso cui il
gatekeeper ha mantenuto, rafforzato o esteso la propria posizione, la

25
Commissione può adottare qualsiasi misura rimediale (ai sensi dell’art. 50) di
tipo comportamentale o strutturale, purchè sia necessaria e proporzionata ad
assicurare l’effettiva compliance con il DMA. Tali rimedi possono includere il
divieto transitorio di concentrazione con imprese attive in altri CPS o nel settore
digitale o che consentano la raccolta di dati. La procedura per l’adozione di simili
provvedimenti prevede la partecipazione dei terzi interessati cui è data la
possibilità di presentare memorie. La violazione sistematica si presume se nel
corso degi 8 anni precedenti l’apertura dell’indagine di mercato volta
all’adozione dei rimedi de quo, la Commissione ha disposto almeno 3 decisioni
di non compliance ai sensi dell’art. 29 nei confronti di un gatekeeper (per
qualsiasi suo CPS) (art. 18.3).
I gatekeeper sono tenuti a dotarsi di un organo di compliance interno e
indipendente (art. 28).
La Commissione ha il potere di richiedere informazioni (art. 21) – incluso
l’accesso a qualsiasi dato, algoritmo e informazione sui testing compiuti dalle
imprese (comma 3) – ottenere documenti (art. 22), fare ispezioni (art. 23). Essa
può inoltre adottare misure cautelari (art. 24) e accettare impegni (art. 25) nel
corso del procedimento di cui all’art. 18. All’esito del procedimento, la
Commissione può adottare una decisione di non-compiance entro un anno
dall’apertura del procedimento (art. 29), oppure applicare una ammenda (art.
30). La decisione di non compliance è la forma che assume il provvedimento
che: (i) dichiara la violazione di uno qualsiasi degli obblighi di cui agli artt. 5, 6
o 7; (ii) specifica le misure per dare attuazione agli obblighi e divieti di cui agli
artt. 6 o 7 (ex art. 8.2); (iii) dispone i rimedi imposti per violazione sistematica
degli obblighi del DMA (ex art. 18.1); ovvero (iv) adotta misure cautelari (ex
art. 24); (v) o impegni (ex art. 25). Essa prevede comunque la consultazione dei
terzi (ex art. 50) e un termine finale di 12 mesi.
Ai sensi dell’art. 30, la decisione di non compliance può prevedere l’imposizione
di una sanzione pecuniaria non superiore al 10% del totale del fatturato mondiale
(dell’anno finanziario precedente) nel caso di violazione dolosa o colposa degli
obblighi di cui agli artt. 5, 6 e 7, delle misure specificate dalla Commissione, dei
rimedi per violazione sistemica, delle misure cautelari o degli impegni. La
sanzione può giungere fino al 20% per violazioni multiple della stessa (o simile)
obbligazione del DMA. Anche la mancata o non corretta trasmissione di
informazioni (o l’accesso ai dati e algoritmi) alla Commissione può essere
sanzionata pecuniariamente. La Corte di Giustizia ha giurisdizione piena sulle
decisioni relative alle sanzioni imposte dalla Commissione (art. 45).
Gli artt. 42 e 43 riguardano la tutela dei consumatori e ammettono espressamente
il ricorso alle azioni collettive di cui alla Direttive 2020/1828/UE per violazioni
del DMA che danneggino gli interessi dei consumatori. Si tratta di una
disposizione di particolare rilievo, in quanto riconosce che il bene tutelato con il
DMA sia in ultima istanza consumer welfare, e che dalla violazione delle
disposizioni dello stesso possano derivare danni collettivi che i consumatori, in
forma aggregata, possano vedersi risarciti.
26
Disposizioni specifiche sono poi dettate in tema di collaborazione tra
Commissione e Autorità nazionali deputate alla applicazione delle regole di
concorrenza (art. 38) nonché con i giudici nazionali (art. 39).

6.1.2. Il Digital Service Act (Regolamento UE 2022/2065)

Il DSA ha come obiettivo quello di garantire equità, fiducia e sicurezza
nell’ambiente digitale. Nasce dall’esigenza di aggiornare la direttiva e-
commerce, vecchia di oltre vent’anni, al fine di migliorare la moderazione dei
contenuti che circolano sulle piattaforme digitali e sui social media, per far fronte
alle preoccupazioni relative ai contenuti illegali (come prodotti contraffatti e
discorsi di odio). Il principio base attorno al quale ruota l’articolato è che tutto
ciò che è illecito offline deve esserlo anche online. Il DSA è organizzato in
cinque capitoli, i più importanti dei quali disciplinano l’esenzione di
responsabilità degli intermediari (cap. 2), gli obblighi degli intermediari (cap. 3)
e il quadro di cooperazione tra la Commissione e le autorità nazionali (cap. 4).
La principale novità del DSA consiste nello scindere gli obblighi di diligenza
degli intermediari dalla responsabilità degli stessi per i contenuti sottostanti
(come i post degli utenti che essi veicolano). Sino ad ora, infatti, le corti hanno
tentato di influenzare in maniera indiretta il comportamento dei fornitori di
servizi digitali minacciando di addossare loro la responsabilità per le condotte
dei loro utenti. Ciò implicava che ciascun tribunale doveva prima configurare
l’esistenza di un obbligo di diligenza e quindi, ove lo riteneva violato, chiamare
a rispondere il fornitore; in alternativa poteva confermare una esenzione di
responsabilità. Il DSA supera questa dicotomia, formulando una serie di obblighi
di diligenza che cresce con le dimensioni e l’impatto sociale del servizio. Anche
gli utenti sono soggetti ad obblighi e responsabilità (previsti dalle leggi
nazionali): sebbene il fornitore di servizio possa non essere chiamato a
rispondere per la condotta dei propri utenti, può nondimeno essere responsabile
se viola le regole di diligenza definite nel DSA.
Il DSA si applica agli intermediari dei servizi digitali che forniscono tali servizi
agli europei. E’ irrilevante che l’impresa non disponga di uno stabilimento
nell’UE, dal momento che il DSA si applica se si rivolgono ai mercati dell’UE
o hanno un numero significativo di utenti attivi europei. Si può pertanto
affermare che il DSA sia, per questo profilo, molto simile al GDPR.
L’applicazione del DSA spetta, per i fornitori di servizi digitali stabiliti in
Europa, al Coordinatore nazionale dei servizi digitali (CSD) dello Stato in cui
hanno lo stabilimento principale. Se ne sono sprovvisti, la supervisione spetterà
al CSD dello Stato del loro rappresentante legale designato. Se non ne hanno
nominato uno, saranno soggetti al controllo di un qualsiasi CSD nazionale.
Fanno eccezione le VLOPs (piattaforme di grandi dimensioni) e i VLSEs (motori
di ricerca di grandi dimensioni), che sono invece soggetti alla supervisione della
Commissione.

27
Il capo II del DSA individua le esenzioni di responsabilità del fornitore di servizi
per il fatto commesso dagli utenti ed anche dagli obblighi di monitoraggio. Tali
esenzioni sono limitate a tre tipologie di servizi: mere conduit (come gli internet
access providers, il WiFi, le app di messaggistica), caching (trasmettono o danno
accesso ad una rete di comunicazione) e hosting (come i social network; i servizi
di condivisione di contenuti; le piattaforme di trading; i forum di discussione; i
servizi cloud; di web hosting; o gli app store): si tratta di servizi che
sostanzialmente immagazzinano informazioni (in modo duraturo o temporaneo)
oppure le veicolano senza divulgarle. Mentre i servizi di mere conduit sono
sostanzialmente non responsabili, quelli di caching e di hosting possono esserlo
nella misura in cui vengano a conoscenza di un contenuto illegale rimosso.
Il capo III individua gli obblighi di diligenza dei servizi di intermediazione. Essi
attengono alla progettazione e al funzionamento di tali servizi, e sono finalizzati
a garantire un ambiente online sicuro, trasparente e prevedibile. Quanto al
contenuto gli obblighi disciplinano nel dettaglio sia la progettazione dei servizi
sia le pratiche di moderazione dei contenuti, la pubblicità e la trasparenza,
inclusa la condivisione delle informazioni. Gli obblighi aumentano in intensità
all’aumentare delle dimensioni e della rilevanza sociale dei vari servizi. Le
VLOPs e VLOSEs sono infatti soggetti alle più ampie responsabilità di
mitigazione del rischio.
Gli obblighi possono distinguersi così in:
i) universali (che valgono per tutti i servizi di intermediazione digitale: mere
conduit, caching e hosting, a prescindere dalle dimensioni dell’azienda);
ii) per gli hosting (che si aggiungono ai primi, ma valgono per i soli servizi di
hosting, di qualsiasi dimensione);
iii) per le piattaforme (che si aggiungono ai precedenti ma valgono solo per un
sottoinsieme dei servizi di hosting, cioè le piattaforme online, che abbinano al
servizio di immagazzinamento anche quello di diffusione delle informazioni e
che non sono PMI, ma hanno almeno 50 dipendenti o 10 milioni di euro di
fatturato o di bilancio);
iv) per le VLOPs e i VLOSEs (che si aggiungono ai precedenti ma valgono solo
per quelle piattaforme che raggiungono circa il 10% della popolazione dell’UE
ovvero 45 milioni di utenti attivi medi mensili).
i) Il principale obbligo universale consiste nella creazione di un “punto di
contatto unico” per i rapporti con le autorità e gli utenti. Tutti i fornitori devono
descrivere in dettaglio, nei termini e condizioni del servizio, se e come moderano
i contenuti di terzi, ma non sussiste un generale obbligo alla moderazione stessa.
Se decidono di avvalersi della moderazione, i provider devono tenere in debito
conto diritti fondamentali e interessi legittimi delle parti coinvolte, specie se si
avvalgono di strumenti automatizzati. Fatta eccezione per le micro e piccole
imprese (con meno di 50 dipendenti e un fatturato annuo inferiore o uguale ai 10
milioni di euro), i fornitori di servizi di intermediazione sono soggetti ad obblighi

28
di trasparenza. Ciò implica l’obbligo di pubblicare una relazione annuale sugli
ordini (di rimozione di contenuti o di fornire informazione) ricevuti dalle
autorità; le modalità di moderazione dei contenuti (inclusi gli strumenti
impiegati), nonché il funzionamento dei sistemi interni di gestione dei reclami.
Tale previsione si applicherà alla parte di servizio di intermediazione digitale,
dunque ad esempio un editore che fruisce di un’esenzione, dovrà adempiere a
tali obblighi in relazione alla parte di servizio in cui gestisce un blog o una
sezione di commenti alle news pubblicate.
ii) Per i fornitori di servizi di hosting (archiviazione di informazioni di terzi) che
effettuino anche moderazione di contenuti, è previsto il meccanismo di “notice
and take down”: essi cioè ricevono notifica dei contenuti illegali, di modo da
poterne essere informati, poterle verificare ed eventualmente rimuoverne il
contenuto. Se sono soddisfatte le specifiche della notifica, risultano integrate le
condizioni di conoscibilità, da parte del fornitore del servizio di hosting, della
illegalità del contenuto segnalato. Ciò implica che il fornitore sarà esentato dalla
verifica dell’illegalità in concreto del contenuto (in questo senso il DSA codifica
la giurisprudenza della Corte di Giustizia nel caso C-401 Polonia vs
Consiglio/Parlamento Europeo del 26.4.2022). Ove a seguito della segnalazione
e verifica il contenuto fosse rimosso o l’utilizzo di un account limitato, il
fornitore è tenuto a dare spiegazione agli utenti interessati sia sul motivo per cui
i contenuti sono illegali sia perché violano i termini e condizioni d’uso del
servizio. Le motivazioni devono includere informazioni sugli strumenti di
ricorso e la possibilità di ottenere un risarcimento ai sensi della legge nazionale.
Infine, i fornitori di servizi di hosting sono tenuti a notificare alle autorità
nazionali competenti i contenuti illegali che integrano reati e che comportino una
minaccia per la vita o la sicurezza delle persone di cui siano venuti a conoscenza
attraverso il meccanismo delle notifiche.
iii) Le piattaforme online (sottoinsieme dei servizi di hosting che diffondono al
pubblico le informazioni immagazzinate e non sono micro e PMI) soggiacciono
ad ulteriori cinque obblighi.
(a) In materia di moderazione di contenuti le piattaforme sono tenute ad avvalersi
di segnalatori certificati (come ONG o associazioni) con il compito di valutare
le segnalazioni che pervengono dagli utenti. Sono altresì obbligate a dotarsi di
un meccanismo interno gratuito di gestione dei reclami degli utenti con il
compito di decidere entro sei mesi sulle segnalazioni. Avverso le decisioni sulle
restrizioni (rimozione dei contenuti, sospensione o limitazioni di account, ecc.)
le parti soccombenti debbono essere informate della possibilità di ricorrere a
meccanismi di ADR (risoluzione extragiudiziale delle controversie), a
pagamento. I fornitori di ADR debbono essere certificati dai Coordinatori dei
servizi digitali degli Stati membri in cui hanno sede, previa verifica di
indipendenza e competenza. Le decisioni dell’ADR non sono vincolanti, tuttavia
in caso di vittoria dell’utente è previsto che la piattaforma rimborsi le spese
sostenute ed alcuni costi.

29
(b) E’ fatto divieto (art. 25) alle piattaforme di avvalersi dei cd. ‘Dark patterns’.
Più precisamente, esse devono progettare, organizzare e gestire le loro interfacce
in modo da non ingannare, manipolare, distorcere o compromettere la capacità
degli utenti di prendere decisioni libere ed informate. Gli utenti possono essere
sia finali sia intermedi (o imprese). Va precisato che l’art. 25 fa salve le norme a
tutela del consumatore (come la direttiva sulle pratiche commerciali scorrette) e
in materia di tutela della privacy (come il GDPR). Ciò implica che il DSA di
fatto introduce una clausola generale che vieta le stesse condotte aggressive e
mendaci nelle relazioni orizzontali non coperte da normativa settoriale, con la
specificazione che tali pratiche debbono essere realizzate per il tramite di
interfacce (cioè applicazioni, siti web o altri spazi) gestite da piattaforme che
non siano micro o PMI. In materia di minori, le piattaforme sono obbligate a
garantire un particolare livello di tutela della privacy, sicurezza e protezione,
come ad esempio non facendo pubblicità profilata.
c) In tema di pubblicità, è fatto obbligo alle piattaforme di evidenziare il carattere
pubblicitario degli annunci, nonché spiegare chi paga e perché l’utente vede un
determinato annuncio. Nel caso di pubblicità personalizzata la piattaforma è
tenuta a darne notizia. La pubblicità generalista (cioè rivolta a chiunque) non
dovrebbe utilizzare i dati personali come input.
d) Quanto ai sistemi di ranking (o qualsiasi meccanismo attraverso cui si
suggeriscono contenuti), le piattaforme sono tenute a spiegare i principali
parametri utilizzati per costruire il ranking e in che modo essi vengono
modificati o influenzati. Agli utenti deve essere permesso l’accesso e la modifica
delle opzioni di personalizzazione.
e) In aggiunta agli obblighi di diligenza validi per tutti gli intermediari dei servizi
digitali, le piattaforme sono tenute a trasmettere alla Commissione ogni sei mesi
un report sul numero di utenti medi mensili e, ogni anno, un documento sulle
controversie interne e su quelle conferite ad ADR, oltre che sulle decisioni di
sospensione per recidiva adottate. Tutte le decisioni adottate dalle piattaforme
relativamente alla moderazione dei contenuti confluiscono in una banca dati
gestita dalla Commissione europea.
Una disciplina speciale è prevista per i marketplace (come Amazon o e-Bay). Si
tratta di disposizioni sulla “tracciabilità” dei trader che utilizzano le loro
piattaforme per vendere i propri prodotti o servizi. Ai trader si possono richiedere
numerose informazioni per consentire la tracciabilità sia dei fornitori (come
documenti di identità commerciale, metodi di pagamento, ecc.) sia dei prodotti
(e della loro origine legale). Le informazioni raccolte (che devono poter essere
disponibili in banche dati nazionali pubblicamente accessibili) vengono
archiviate presso le piattaforme online e possono essere fornite a terzi se hanno
un interesse legittimo (ad esempio, per far valere i propri diritti di consumatori).
Il fornitore deve evitare di confondere chi è il professionista che offre il prodotto
o il servizio. Le piattaforme, che raccolgono questi dati, sono infatti tenute ad
effettuare controlli a campione per verificare se i beni o servizi offerti attraverso
la piattaforma sono stati effettivamente identificati come legali o meno
30
(attraverso l’accesso nelle banche dati nazionali ufficiali). Nel caso all’esito di
tali verifiche la piattaforma appurasse che i prodotti o servizi offerti sono illegali,
debbono darne notizia ai consumatori interessati, trasmettendo sia l’identità dei
commercianti sia i mezzi di ricorsi a disposizione.
iv) Da ultimo, le VLOPs e i VLOSEs sono destinatari degli obblighi più
penetranti (Sezione 5). Le piattaforme, come visto, debbono pubblicare ogni 6
mesi il numero di utenti attivi mensili; in tal modo saranno in grado di sapere se
rientrano o meno nel novero delle VLOPs. Per utenti “attivi” si intendono sia
quelli registrati ad un servizio (come un social newtork) sia quelli occasionali,
non registrati.
Spetta alla Commissione designare una piattaforma o motore di ricerca come
VLOPs o VLOSE e far pubblicare l’elenco nella GUUE. Gli obblighi specifici
per tali soggetti si applicano a far data da 4 mesi dopo la designazione.
(a) Con riguardo alle VLOPs, queste sono tenute ad effettuare un’analisi dei
rischi sistemici derivanti dalla progettazione, funzionamento e utilizzo dei loro
servizi. Questo esercizio di risk assessment va compiuto una volta l’anno e
riguarda quattro aree: (A) i contenuti illegali (come i discorsi d’odio, la
violazione dei diritti di PI, il cyberbullismo, la pedopornografia, la sicurezza dei
prodotti, ecc.); (B) gli effetti negativi, attuali o prevedibili, sui diritti
fondamentali (si pensi al diritto di espressione, al pluralismo nei media, alla
privacy, ai diritti dei bambini) nonché (C) a alcuni temi di rilevanza pubblica
(quali il processo elettorale, la sicurezza pubblica, la salute pubblica, la tutela dei
minori, la violenza di genere); e infine (D) le conseguenze, gravi e negative, per
il benessere fisico e mentale degli utenti. Circa i fattori che possono determinare
il rischio, le VLOPs e i VLOEs debbono vagliare i propri sistemi algoritmici, di
moderazione dei contenuti, i propri termini e condizioni ed ovviamente la
manipolazione, anche attraverso bot.

In merito alle azioni per mitigare questi rischi, le VLOPs e i VLOEs possono
intraprenderne diverse, ed una lista meramente indicativa è fornita all’art. 35
(interventi sugli strumenti di moderazione, di raccomandazione, algoritmici,
modificare le pratiche pubblicitarie, le regole di sicurezza le attività legate alla
gestione degli incidenti, a tutela dei gruppi vulnerabili, modificare le interfacce).
La disposizione tiene conto delle differenze culturali a livello nazionale
consentendo alle VLOPs e VLOEs di differenziare gli interventi mirandoli ai
contesti locali.
Le grandi piattaforme debbono redigere a proprie spese dei report sui rischi da
sottoporre a revisori indipendenti (art. 37), competenti a valutare la compliance
anche con gli obblighi universali e con quelli valevoli per i servizi di hosting e
le piattaforme. Va evidenziato che le VLPSs possono aderire a codici di condotta
che eventualmente specificheranno gli obblighi definiti dal DSA. Le VLOPs
possono aderire o discostarsi dalla relazione dei revisori contenente le misure
operative da seguire; in quest’ultimo caso dovranno indicarne i motivi assieme

31
alle misure alternative che intendono adottare in una relazione di
implementazione. Tutti i documenti (auto-valutazione del rischio, misure di
mitigazione adottate, valutazione dei revisori, eventuale relazione di
implementazione) vanno trasmessi alla Commissione e resi disponibili senza
modifica.
Ulteriori obblighi sono definiti in materia di protocolli di crisi (art. 36) per i casi
in cui circostanze eccezionali postano a serie minacce per la salute pubblica o la
sicurezza pubblica. In materia di sistemi di raccomandazione, in aggiunta agli
obblighi di cui all’art. 27, l’art. 38, prevede che VLOPs e VLOEs indichino
almeno una opzione non basata sulla profilazione. Tuttavia, non deve essere
un'opzione predefinita (cioè selezionata come di default). Quanto ai servizi
pubblicitari, le grandi piattaforme e motori di ricerca debbono installare uno
strumento che permetta la ricerca attraverso API di tutte le informazioni sulle
pubblicità e mantenere il database per un anno dopo che la pubblicità è stata
presentata per l’ultima volta sull’interfaccia (art. 39). Oltre ad altri obblighi di
trasparenza, le VLOPs devono specificare quali risorse umane impiegano nella
moderazione dei contenuti per ciascuna lingua ufficiale degli Stati membri.
Infine, con riguardo all’accesso ai dati, l’art. 40 dà diritto alla Commissione e ai
Coordinatori dei servizi digitali degli stati di stabilimento di accedere ai dati
delle VLOPs e VLOEs necessari per monitorare e valutare la conformità al DSE.
In base all’art. 40.3 i grandi operatori possono essere obbligati a spiegare ‘la
progettazione la logica, logica, il funzionamento e i test dei loro sistemi
algoritmici, compresi i sistemi di raccomandazione’. Anche i ricercatori
autorizzati (che soddisfino determinati requisiti) possono accedere al solo scopo
di condurre ricerche. I grandi operatori possono chiedere di modificare la
richiesta se essi stessi non hanno accesso ai dati o se l’accesso comporterebbe
una significativa vulnerabilità nella sicurezza del servizio o nella protezione
delle informazioni riservate, in particolare dei segreti commerciali (40.5). In tal
caso spetta al coordinatore dei servizi digitali di stabilimento decidere sulla
richiesta di modifica.
Da ultimo, le VLOPs sono obbligate a nominare un responsabile della
compliance (Art. 41). Si tratta di un dirigente indipendente con responsabilità
specifiche volte a verificare la conformità agli obblighi del DSA. Il
responsabile deve riferire direttamente all’organo di gestione delle VLOPs e
deve avere una serie di compiti ben definiti e sufficienti deleghe all’interno
dell’azienda.
In tema di formazione delle regole, il DSA prevede che la Commissione supporti
lo sviluppo di standard volontari da parte di organismi di normazione europei e
internazionali. Il sostegno (anche economico) alla standardizzazione riguarda i
meccanismi per la presentazione delle segnalazioni (as esempio attraverso API),
la gestione dei reclami, gli obblighi di trasparenza, le interfacce per la scelta nei
sistemi di raccomandazione (art. 44). Analogamente Commissione e Board dei
Digital Services Coordinators sostengono lo sviluppo di codici di condotta per

32
la declinazione degli obblighi di diligenza (art. 45). Oltre a questi, il DSA fa
esplicito riferimento ai codici di condotta per quanto attiene alla pubblicità (art.
46), i protocolli di crisi (art. 48) e l’accessibilità alle persone con disabilità (art.
47).
Procedura. Spetta agli Stati membri individuare una o più autorità come Digital
Services Coordinator, ai quali sono conferiti i poteri di dare attuazione al DSA.
I DSC sono riuniti in un Board del quale fa parte anche la Commissione (senza
diritto di voto).
Alla Commissione spetta invece applicare tutte le norme in materia di VLOPs e
VLOSEs. Questa rappresenta una grande novità rispetto al GDPR, che invece è
applicato dall’autorità del paese nel quale l’operatore è stabilito (in genere
Irlanda, Malta o Lussemburgo).
Quanto ai poteri, alla Commissione sono conferiti gli stessi poteri utilizzati nel
caso del DMA: può condurre indagini, ispezioni, accesso agli atti e ai dati,
imporre sanzioni pecuniarie.
Come per il DMA anche gli obblighi imposti dal DSA possono essere fatti valere
attraverso azioni private (cd. private enforcement). Individui e imprese lesi da
violazioni degli obblighi di diligenza previsti dal DSA possono ottenere
ingiunzioni e risarcimenti dai tribunali nazionali. La possibilità di introdurre tali
domande deve essere prevista dal diritto nazionale (ad esempio in materia di
concorrenza sleale, di diritto dei consumatori, di proprietà intellettuale o di
responsabilità civile).
Similmente a quanto previsto dal DMA, anche per il DSA sono ammesse le
azioni collettive. Pertanto le organizzazioni dei consumatori possono chiedere
ingiunzioni e ottenere il risarcimento dei danni derivanti da violazioni degli
obblighi di diligenza stabiliti del DSA che ledano gli interessi collettivi dei
consumatori. Vale la pena rammentare che la responsabilità per danni
(individuali o collettivi) della piattaforma per violazione dell’obbligo da DSA
va tenuta distinta da quella per i contenuti (che rimane dell’autore-utente).
Quindi può accadere che una piattaforma sia responsabile per aver violato
l’obbligo di monitoraggio e sia tenuta a risarcire questa mancanza, ma non
risponda del contenuto diffamatorio di un post diffuso in violazione dei termini
contrattuali da un utente.
Uno dei principali limiti del DSA è individuato dai più nella limitata (ove non
assente) armonizzazione su quali siano i contenuti illegali e dannosi. Spetta
infatti agli Stati membri definire ciò che può circolare sul web o meno. Ciò non
solo lascia tuttora ampi margini di ambiguità e incertezza, ma specialmente
genera conflitti tra ordinamenti (ad esempio, nel paese A è vietato ciò che nel
paese B è prescritto) rimettendo la funzione di arbitraggio alle piattaforme.
Inoltre, ciò che è dannoso è di difficile qualificazione, essendo rimesso
all’apprezzamento delle piattaforme (ancorchè non libero).

33
 6.2. I dati pubblici e privati tra interesse alla massima circolazione e tutela dei
diritti: il Data Governance Act e la proposta di Data Act

Il 23 giugno 2022 è entrato in vigore il Regolamento UE 2022/868 del 30

maggio, c.d. Data Governance Act, il cui obiettivo è il riutilizzo dei dati personali
e non personali del settore pubblico assoggettati a diritti di terzi (cioè non in
regime di open data) per finalità statistica, di ricerca ma anche di innovazione
(vale a dire a fini commerciali). Regole specifiche sono dettate al fine di
garantire il rispetto della privacy del dato trasmesso (quali l’impiego di tecniche
di anonimizzazione, pseudonimizzazione, privacy differenziale,
generalizzazione), nonché la “neutralità concorrenziale” nella condivisione di
dati tra imprese (dietro corresponsione di un compenso), ovverosia che non vi
sia discriminazione nell’accesso a tali dati da parte di potenziali concorrenti.
Spetterà all’ente pubblico definire modelli contrattuali per il riutilizzo dei dati
pubblici (sul modello delle licenze open data), nonché le modalità di protezione
della privacy (che sarà verosimilmente affidata all’AgID).
Il regolamento istituisce altresì la figura dell’intermediario del dato (potrà
trattarsi di persone fisiche, ovvero di imprese come cooperative) per favorire i
singoli nell’esercizio dei propri diritti derivanti dal GDPR (come la portabilità,
il diritto di accesso, di ottenere la cancellazione, l’intervento umano nel caso di
decisioni automatizzate, ecc.) ed anche per consentire la negoziazione di accordi
per l’uso dei dati a livello aggregato (ossia di un certo numero di individui).
Infine, il Data Governance Act, consente anche il riutilizzo in forma gratuita del
dato, prevedendone la “donazione”, ossia la prestazione del consenso all’uso dei
propri dati personali per scopi altruistici (si parla in tal caso di “altruismo dei
dati”).
Di portata assai più ampia è l’altra proposta di regolamento, presentata dalla
Commissione europea il 22 febbraio 2022, c.d. Data Act, il cui scopo è assicurare
la più ampia circolazione dei dati non personali nei rapporti business-to-
business. L’obiettivo è quello di rafforzare l’economia basata sui dati generando
valore, anche al fine di conferire all’UE autonomia rispetto ai competitor
mondiali.
Il Data Act ha come ambito di applicazione i dati generati dai dispositivi
connessi (si pensi all’Internet of Things, agli smart device come orologi, TV e,
in prospettiva, visori ed occhiali di realtà aumentata, virtuale e mista). Esso
contiene misure volte a consentire agli utenti (acquirenti) di tali dispositivi di
accedere ai dati da essi generati (di norma raccolti ed utilizzati in via esclusiva
dai produttori) e condividerli con terze parti (ad esempio per ottenere servizi
post-vendita da fornitori alternativi). In aggiunta, vengono dettati principi per la
disciplina dei termini contrattuali per la condivisione dei dati. Ciò al fine di
riequilibrare la disparità di potere negoziale tra le PMI e le grandi piattaforme
digitali.

34
Il cuore della proposta è rappresentato dalla nuova disciplina della portabilità dei
dati (che integra quella dei dati personali prevista all’art. 20 del GDPR). In base
al Data Act, gli utenti avranno il diritto di trasferire da un controller ad altro tutti
dati (personali e non personali) generati dai prodotti interconnessi. La differenza
rispetto all’art. 20 GDPR non consta solo nella tipologia del dato trasmesso, ma
anche nel fatto che la portabilità nel Data Act non sarà più limitata dalla
condizione di essere “tecnicamente fattibile” da parte del titolare del trattamento.
In altri termini, l’ambizione del Data Act è (sarebbe) quella di consentire a
qualsiasi utente (si pensi all’agricoltore che si avvale di attrezzature dotate di
tecnologie smart per la diffusione di fertilizzanti) di avvalersi di qualsiasi
fornitore di servizi specializzati (ad esempio una società che offre software di
ottimizzazione aziendale per queste attrezzature), semplicemente trasferendogli
i dati tratti dalle attrezzature).
Nuove regole sono anche dettate in materia di cloud, al fine di consentire la più
agevole portabilità dei dati da un fornitore di servizi cloud ad un altro.
Infine, una parte non irrilevante della proposta prevede la condivisione
obbligatoria dei dati tra imprese private e settore pubblico, quando ciò sia
giustificato da situazioni di emergenza (si pensi alla pandemia da Covid-19, a
terremoti, incendi) o di (un non troppo specificato) interesse pubblico, al fine di
sostenere politiche e servizi pubblici.

Riferimenti bibliografici

G. DELEUZE, Post‐scriptum sur les sociétés de contrôle, L'autre journal, 1 Maggio 1990;

MCKINSEY, Technology Trends Outlook 2022. Research overview, Agosto

2022,(https://www.mckinsey.com/business-functions/mckinsey-digital/our-
insights/the-top-trends-in-tech, ultimo accesso: 1.11.2022)
M. MIDIRI, Il tempo delle funzioni pubbliche (a proposito del Piano nazionale di ripresa e
resilienza), in Federalismi.it, 18/2022
K. SCHWAB, The Fourth Industrial Revolution, in Encyclopedia Britannica, 23 marzo. 2021
(https://www.britannica.com/topic/The-Fourth-Industrial-Revolution-2119734, ultimo
accesso: 1.11.2022)

M. CLARICH, Il Pnrr tra diritto europeo e nazionale: un tentativo di inquadramento giuridico,

in Astrid-Rassegna, 2021, n. 12, p. 11 s.

N. LUPO, Il Pnrr e alcune prospettive di ricerca per i costituzionalisti, federalismi.it, n. 1/22

F. CINTIOLI, Risultato amministrativo, discrezionalità e Pnrr: una proposta per il Giudice, in

giustizia-amministrativa.it (2021)

35