Il miraggio della quinta libertà europea di circolazione dei dati
La proposta di regolamento sulla governance dei dati1 completa il patchwork normativo2 finalizzato a coniare la quinta libertà europea di circolazione avente ad oggetto i dati non personali. Siffatta libertà appare fortemente strumentale al perseguimento dell’ambizioso obiettivo europeo individuato nella twin transition verde e digitale3 mirante a rendere l’Unione europea un’eccellenza in due campi decisivi per conseguire la leadership nello scenario internazionale. Peraltro, una strategia idonea a sbloccare il pieno potenziale dei dati contribuirebbe ad invertire – o quantomeno arrestare – l’attuale processo di colonializzazione statunitense, considerato che tutte le big data companies risiedono al di là dell’oceano4.
Al di là dei cruciali aspetti trattati dalla proposta di regolamento sulla governance dei dati5, giova brevemente soffermarsi sui chiarimenti in merito alla tutela dei dati6 generati in modo automatizzato mediante l’uso di prodotti tecnologici afferenti al cd. internet delle cose (anche noto come internet of things, nell’acronimo “IoT”)7.
Invero, rispetto a questi dati potrebbe trovare applicazione in via “incidentale” il diritto sui generis previsto dall’art. 7 della direttiva 96/9/CE8, il quale costituirebbe un ostacolo per l’innovazione in quanto estenderebbe diritti esclusivi su beni caratterizzati – almeno in natura – da non rivalità9. Ciò striderebbe con l’esigenza di cogliere appieno i vantaggi economici – in parte ancora inespressi – dei dati per l’economia e per la società attraverso previsioni che ne assicurino il libero accesso anziché restringerlo10. Sotto quest’angolo visuale, l’art. 35 della proposta di regolamento stabilisce espressamente l’esclusione dei dati automatizzati dalla portata applicativa del diritto sui generis, riferendosi expressis verbis ai «dati ottenuti o generati dall’uso di un servizio correlato», così che tale istituto non interferisca – nemmeno involontariamente – con i diritti delle imprese e dei consumatori di accedere ai dati, di utilizzarli e condividerli11.
Per quanto possa salutarsi con favore la precisazione restrittiva sull’oggetto del diritto sui generis, considerato che altrimenti la maggior parte di questi diritti sarebbe confluita nei già strabordanti portafogli dei pochi grandi fornitori di dispositivi dell’Internet of Things12, non si nascondono delle ulteriori criticità connesse all’individuazione delle tecnologie espressamente esonerate dall’ambito di applicazione della succitata norma. A tenore del Considerando n. 15 del Data Act, sarebbero esclusi i dati generati da «personal computer, server, tablet, smartphone, telecamere, webcam, sistemi di registrazione sonora e scanner di testo», argomentando che essi richiedano un contributo umano per produrre dei dati, fra cui testi, file audio, file video, giochi e mappe digitali. Il regime di libero accesso riguarderebbe “soltanto” i dati elaborati dagli assistenti virtuali (rispetto ai quali sarebbe comunque ravvisabile l’esistenza di un contributo umano, benché maggiormente astratto), non sapendo se altri prodotti, come ad esempio gli smartwatch, siano più vicini all’una o all’altra categoria. Peraltro, gli stessi computer, tablet, smartphone ed altri dispositivi “intelligenti” sono ormai equipaggiati di assistenti virtuali, rendendo tale discrimen poco utile all’atto pratico.
Sembrerebbe più ragionevole ritenere che la libera accessibilità del dato non dipenda tanto dal prodotto che lo elabora in modo più o meno automatizzato, quanto invece dalla tipologia di dato ottenuto. In questa prospettiva, la libertà di circolazione andrebbe garantita limitatamente ai dati non personali – senza operare distingui in relazione al dispositivo da cui traggono origine –, escludendo quelle informazioni in cui sia rintracciabile un contributo umano creativo, le quali sarebbero invece suscettibili di attrarre la protezione autoriale. In ogni caso, sarebbe opportuno chiarire cosa debba intendersi per dati ottenuti o generati tramite l’uso di un servizio correlato, considerato che il processo di realizzazione automatizzata dei dati non è mai completamente avulso da un intervento umano. Invero, esistono vari livelli di astrazione dell’operato umano a vantaggio di quello automatizzato e quest’ultimo potrebbe a sua volta costituire il risultato di ingenti investimenti atti a giustificare l’attribuzione del diritto sui generis. Sarebbe pertanto opportuno fornire dei chiarimenti ermeneutici volti a perimetrare l’area dei dati “sintetici” rispetto a quelli umani, a tacere del fatto che nei primi sarebbe comunque rintracciabile un intervento umano, tuttavia così flebile da non risultare giuridicamente rilevante.
Peraltro, in linea più generale, la proposta di regolamento potrebbe rappresentare l’occasione per un ripensamento più profondo in materia di diritto sui generis, valutandone l’abolizione o quantomeno chiarendone gli aspetti che in giurisprudenza si sono rivelati più controversi, come ad esempio la nozione di parte sostanziale di un database e il rapporto tra tutela sui generis e concorrenza parassitaria13.
Con riguardo al primo punto, l’esigenza di maggiori delucidazioni riguardo alla definizione di investimento sostanziale è ancor più avvertita alla luce dell’arresto Online Latvia con il quale si è incentrato l’esame sulla violazione del diritto sui generis in relazione all’entità del danno subito ai fini del recupero dell’investimento sostenuto14.
Rispetto al secondo punto, è emerso che, allo stato attuale del diritto, lo sfruttamento di una raccolta di dati altrui potrebbe legittimare il riconoscimento di un doppio risarcimento poiché la medesima condotta sarebbe censurabile cumulativamente come atto di concorrenza sleale e come violazione del diritto sui generis. Tuttavia, l’identicità dell’oggetto tutelato dovrebbe far propendere per l’applicazione esclusiva del diritto sui generis, in conformità al principio del primato del diritto europeo rispetto a quello nazionale, atteso che la disciplina della concorrenza sleale non risulta ancora oggetto di un atto uniformatore15. Sarebbe quindi auspicabile che nell’iter legislativo riguardante il Data Act si possa arricchire la disciplina contenuta al capo X, dedicato per l’appunto al diritto sui generis. Altrimenti, l’approccio tecnocratico prudenziale ivi adottato ridurrebbe la proposta europea ad un’opportunità mancata.
A rendere la quinta libertà di circolazione europea sempre più somigliante ad un miraggio che a prossima realtà contribuiscono altresì gli artt. 3 e 4 della direttiva 2019/790/UE16, i quali collocano l’attività di estrazione dei dati nel regime eccezionale al diritto d’autore. Essa viene soggettivamente circoscritta agli organismi di ricerca e agli istituti di tutela del patrimonio culturale oppure oggettivamente limitata alle opere su cui il titolare non abbia esercitato il diritto di opt out. È stato già osservato dalla dottrina che l’attività in parola non lederebbe alcun diritto patrimoniale o morale sull’opera dell’ingegno oggetto di mining in quanto limitata allo sfruttamento di fatti ed idee che, come noto, rimangono esclusi dalla possibilità di monopolizzazione nel rispetto del principio dicotomico idea-espressione17. In tal modo, non si fa altro che incoraggiare la creazione di dataset di serie A e di serie B, posto che la necessità di acquistare una licenza per sfruttare delle informazioni che sarebbero già afferenti al pubblico dominio indurrebbe gli operatori dotati di minori risorse economiche (tipicamente le PMI) a costruire il proprio dataset con dati obsoleti, magari discriminatori, ma liberamente accessibili18. Non è faticoso prevedere la qualità – e verosimilmente la pericolosità – dei risultati provenienti da intelligenze artificiali “allenate” su questi dati, sintetizzabile nell’adagio garbage in, garbage out.
Lo scenario qui descritto rappresenta probabilmente un’eterogenesi dei fini del legislatore della direttiva sul diritto d’autore nel mercato unico digitale, ma insieme alla perfettibile formulazione dell’art. 35 della proposta di Data Act purtroppo denota che l’autostrada europea dell’informazione non sia ancora lontanamente percorribile.
Vincenzo Iaia*
1* Dottorando di ricerca presso la Luiss “Guido Carli”, Assegnista di ricerca presso l’Università degli studi di Bari “Aldo Moro”, Of Counsel presso Akran Intellectual Property.
Proposta di regolamento del Parlamento europeo e del Consiglio del 23 febbraio 2022 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo, COM(2022) 68, (cd. Data Act).
2 Oltre alla succitata proposta di regolamento e al regolamento 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, anche noto come General Data Protection Regulation, nell’acronimo “GDPR”), si segnala il regolamento 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea, il regolamento 2019/1150 del Parlamento europeo e del Consiglio del 20 giugno 2019 che promuove equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online, la direttiva 2019/1024 del Parlamento europeo e del Consiglio del 20 giugno 2019 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico, la decisione 2015/2240 del Parlamento europeo e del Consiglio del 25 novembre 2015 che istituisce un programma sulle soluzioni interoperabilità e quadri comuni per le pubbliche amministrazioni, le imprese e i cittadini europei, nonché la più risalente direttiva 2007/2/CE del Parlamento europeo e del Consiglio del 14 marzo 2007 che istituisce un’infrastruttura per l’informazione territoriale nella Comunità europea.
3 Data Act, par. 1, p. 1.
4 In argomento, v. l’interessante monografia realizzata da K. Crawford, Atlas of AI, Yale University Press, New Haven-Londra, 2021.
5 In dottrina, cfr. tra i tanti A. Caravita di Toritto, La proporzionalità multilivello nel mercato “presidiato” dei dati personali, in Rivista di diritto dei media, III, 2021, pp. 157-187; A. Sola, Primi cenni di regolazione europea nell’economia dei dati, ivi, pp. 188-209.
6 L’art. 2, n. 1), del Data Act detta un’ampia definizione di dati, intendendoli come «qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva».
7 L’espressione si deve a K. Ashton, That “Internet of Things” Thing: In the Real World Things Matter More than Ideas, in RFID Journal, vol. 22, VII, 2009, pp. 97-114. In argomento cfr. tra i tanti G. Noto La Diega, C. Sappa, The Internet of Things at the Intersection of Data Protection and Trade Secrets. Non-Conventional Paths to Counter Data Appropriation and Empower Consumers, in European Journal of Consumer Law, III, 2020, pp. 419-458; Commissione europea, Advancing the Internet of Things in Europe, 2016, COM(2016) 180.
8 Direttiva 96/9/CE del Parlamento europeo e del Consiglio, dell’11 marzo 1996, relativa alla tutela giuridica delle banche di dati (cd. direttiva database).
9 Data Act, Considerando n. 1, a tenore del quale «[l]a proliferazione di prodotti connessi all’internet delle cose ha aumentato il volume e il valore potenziale dei dati per i consumatori, le imprese e le società. Dati interoperabili e di elevata qualità provenienti da diversi settori aumentano la competitività e l’innovazione e garantiscono una crescita economica sostenibile. Lo stesso set di dati può essere potenzialmente utilizzato e riutilizzato per una varietà di scopi e in misura illimitata, senza alcuna perdita in termini di qualità o quantità».
10 Al Considerando n. 42 del Data Act si apprezza il persistente interesse economico alla produzione di tali investimenti: «al fine di incentivare il mantenimento degli investimenti nella generazione di dati preziosi, compresi gli investimenti in strumenti tecnici pertinenti, il presente regolamento include il principio secondo cui il titolare dei dati può chiedere un compenso ragionevole se è giuridicamente obbligato a mettere i dati a disposizione del destinatario dei dati». Sull’argomento, in dottrina, v. J. Drexl, Designing Competitive Markets for Industrial Data – Between Propertisation and Access, in Journal of Intellectual Property, Information Technology and Electronic Commerce, vol. 8, IV, 2017, p. 273.
11 Ivi, par. 1, p. 14, Considerando n. 84.
12 A. Kamperman Sanders, Competition and IP Policy for AI – Socio-economic Aspects of Innovation, in J. Lee, R. Hilty, K. Liu (a cura di), Artificial Intelligence and Intellectual Property, Oxford University Press, Oxford, p. 407.
13 E. Derclaye, M. Husovec, Sui Generis Database Protection 2.0: Judicial and Legislative Reforms, in European Intellectual Property Review, vol. 44, VI, 2022 pp. 323-331.
14 Ibidem.
15 Sul punto, v. E. Derclaye, Recent French decisions on database protection: Towards a more consistent and compliant approach with the Court of Justice’s case law?, in European Journal for Law and Technology, vol. 3, II, 2012.
16 Direttiva 2019/790 del Parlamento europeo e del Consiglio del 17 aprile 2019 sul diritto d’autore e sui diritti connessi nel mercato unico digitale, (cd. direttiva digital copyright).
17 T. Margoni, A Deeper Look into the EU Text and Data Mining Exceptions: Harmonisation, Data Ownership, and the Future of Technology, in GRUR International, vol. 71, VIII, 2022, pp. 685-701.
18 Ibidem.
