La “datasfera”. Regole giuridiche per il mondo digitale parallelo Vincenzo Zeno-Zencovich SOMMARIO: 1. Premessa. – 2. La “proprietà” dei dati. – 3. I dati “personali”. – 4. “Smart-contracts” o fine della non discriminazione contrattuale? – 5. La responsabilità connessa all’uso dei dati. – 6. Decisioni pubbliche basate sui dati. – 7. Flussi incontrollabili e crisi del diritto statuale. – 8. La mutante episte- mologia del giurista. 1. – Esiste un mondo reale, fatto da questo pianeta; dagli spazi, infiniti, extraterre- stri; da tutto ciò che la Terra contiene di minerale, vegetale, animale, e dai suoi sette miliardi di abitanti. Ogni momento questo mondo reale cambia, da una foglia che cade ad un essere umano che muore o che nasce. Ed esiste un mondo digitale in cui praticamente tutto il mondo reale è riprodotto at- traverso strumenti che raccolgono, conservano, elaborano dati. La differenza è che questo mondo digitale è caratterizzato dal fattore “T”. Mentre nel mondo reale esiste il passato, nel mondo digitale ogni elemento è sempre presente perché ne conserviamo una traccia, dalla pioggia che è caduta un giorno alla telefonata che una persona abbia fatto ad un’altra. Questo mondo – che possiamo chiamare “datasfera” 1 – è al tempo stesso dinamico e immanente, nel senso che ne registriamo e conserviamo ogni muta- mento (o non mutamento) nel tempo, che può essere sempre richiamato. Nel mondo reale ciò che non è presente lo possiamo ricreare attraverso il ricordo, il racconto, le statistiche. Nel mondo digitale possiamo in ogni momento ricostruire, anche visivamen- te, quanto era e accadeva un’ora, un giorno, un anno fa. Lungi dall’essere fantascientifica questa rappresentazione ha una concretezza fatta di miliardi di miliardi (attualmente l’unità di misura è lo zettabyte ovvero 10 7 ) di dati, ma soprattutto ha una sua interazione sociale: noi siamo, oltre ad esseri in carne ed ossa, milioni di dati; noi compiamo scelte sulla base di dati (banalmente la scelta di un percorso stradale o di un locale pubblico); le imprese e le istituzioni pubbliche pren- dono decisioni (anche immediate e contestuali) sulla base di dati. Si tratta di un fenomeno in costante ed esponenziale crescita: secondo per secondo dati si accumulano ad altri dati; unendosi a quelli precedenti generano ulteriori dati. Esso è destinato ad aumentare in modo ancor più vertiginoso con la diffusione di quel 1 Sulla quale mi permetto di rinviare a J-S.Bergé-S. Grumbach-V. Zeno-Zencovich, The ‘Datasphere’, Data Flows beyond Control, and the Challenges for Law and Governance, in 5 EJCL&Gov. 144 (2018).
Transcript
La “datasfera”: Regole giuridiche per il mondo digitale parallelo – 99
La “datasfera”. Regole giuridiche per il mondo digitale parallelo
Vincenzo Zeno-Zencovich
SOMMARIO: 1. Premessa. – 2. La “proprietà” dei dati. – 3. I dati “personali”. – 4. “Smart-contracts” o fine della non discriminazione contrattuale? – 5. La responsabilità connessa all’uso dei dati. – 6. Decisioni pubbliche basate sui dati. – 7. Flussi incontrollabili e crisi del diritto statuale. – 8. La mutante episte-mologia del giurista.
1. – Esiste un mondo reale, fatto da questo pianeta; dagli spazi, infiniti, extraterre-stri; da tutto ciò che la Terra contiene di minerale, vegetale, animale, e dai suoi sette miliardi di abitanti. Ogni momento questo mondo reale cambia, da una foglia che cade ad un essere umano che muore o che nasce.
Ed esiste un mondo digitale in cui praticamente tutto il mondo reale è riprodotto at-traverso strumenti che raccolgono, conservano, elaborano dati. La differenza è che questo mondo digitale è caratterizzato dal fattore “T”. Mentre nel mondo reale esiste il passato, nel mondo digitale ogni elemento è sempre presente perché ne conserviamo una traccia, dalla pioggia che è caduta un giorno alla telefonata che una persona abbia fatto ad un’altra. Questo mondo – che possiamo chiamare “datasfera” 1 – è al tempo stesso dinamico e immanente, nel senso che ne registriamo e conserviamo ogni muta-mento (o non mutamento) nel tempo, che può essere sempre richiamato. Nel mondo reale ciò che non è presente lo possiamo ricreare attraverso il ricordo, il racconto, le statistiche. Nel mondo digitale possiamo in ogni momento ricostruire, anche visivamen-te, quanto era e accadeva un’ora, un giorno, un anno fa.
Lungi dall’essere fantascientifica questa rappresentazione ha una concretezza fatta di miliardi di miliardi (attualmente l’unità di misura è lo zettabyte ovvero 107) di dati, ma soprattutto ha una sua interazione sociale: noi siamo, oltre ad esseri in carne ed ossa, milioni di dati; noi compiamo scelte sulla base di dati (banalmente la scelta di un percorso stradale o di un locale pubblico); le imprese e le istituzioni pubbliche pren-dono decisioni (anche immediate e contestuali) sulla base di dati.
Si tratta di un fenomeno in costante ed esponenziale crescita: secondo per secondo dati si accumulano ad altri dati; unendosi a quelli precedenti generano ulteriori dati. Esso è destinato ad aumentare in modo ancor più vertiginoso con la diffusione di quel
1 Sulla quale mi permetto di rinviare a J-S.Bergé-S. Grumbach-V. Zeno-Zencovich, The ‘Datasphere’, Data Flows beyond Control, and the Challenges for Law and Governance, in 5 EJCL&Gov. 144 (2018).
100 – Vincenzo Zeno-Zencovich
che viene gergalmente chiamato “Internet of the things” (IoT) ovvero “Internet delle cose” in cui saranno gli oggetti – anche più minuti – a registrare il proprio utilizzo e l’ambiente circostante (già lo fanno gli autoveicoli) trasmettendo altri miliardi di dati ogni istante 2.
Il giurista, che osserva la società e studia le regole che la governano, non può resta-re indifferente a tale evoluzione, come non poteva restarlo quando si scoprivano nuovi mondi.
Quali sono i profili che maggiormente lo interessano, sia per la loro rilevanza prati-ca che per quella teorica? Qui di seguito cerco di fornire un elenco, nella consapevo-lezza che è solo parziale e provvisorio, anche perché il giurista ha una passione nel creare questioni da discutere e approfondire, talvolta puramente ipotetiche, talaltra estremamente concrete 3.
2. – Miliardi di dati; ma “appartengono” a qualcuno? Il giurista formatosi nella tra-dizione romanistica è portato spontaneamente a farsi questa domanda perché dalla qualificazione della forma di appartenenza di un bene dipende la utilità – giuridica-mente tutelata – che se ne può trarre.
Questi dati, dunque, “appartengono” a chi li genera? (e.g. il conducente del vei-colo?) Al proprietario dell’oggetto che li genera (e.g. il proprietario del veicolo)? Al titolare della apparecchiatura che li registra (e.g. il produttore della “scatola nera” sul veicolo)? Oppure a chi li raccoglie e li elabora (e.g. la casa automobilistica verso la quale confluiscono i dati di tutti i veicoli da essa costruiti)? Gli esempi – tratti da una accesa contesa già in atto – evidenzia la molteplicità di possibili soluzioni. Ma, poi, come possiamo qualificare la forma di appartenenza? “Proprietà”, nel senso romani-stico del termine, appare difficile per ragioni concettuali e comparatistiche 4. Da un lato sono ben note le impervietà teoriche quando si cerchi di applicare la disciplina della proprietà ed entità non materiali (ex multis, la “proprietà del credito”) con tutte le aporie riguardanti il modo di acquisto, di godimento, di trasmissione ed i relativi rimedi. Nel contempo, considerato che i “dati”, per la loro immaterialità e il loro in-trinseco legame con le reti di telecomunicazione, non possono essere radicati nel ter-ritorio (e dunque nel diritto) di un solo Stato 5, va tenuto presente che in taluni ordi-
2 V. L.F. Alvarez León, Property regimes and the commodification of geographic information: An exami-nation of Google Street View, 3 Big Data & Society 1 (2016).
3 Per ulteriori prospettive rinvio a V. Zeno-Zencovich-G. Giannone Codiglione, Ten Legal Perspectives on the Big Data Revolution, 23 Concorrenza e Mercato 29 (2016).
4 Per analoghe letture critiche v. S. van Erp, Ownership of Digital Assets and the Numerus Clausus of Legal Objects, Maastricht European Private Law Institute Working Paper No. 2017/6 (October 1, 2017) (disponibile alla pagina https://ssrn.com/abstract=3046402); nonché F. Mezzanotte, Access to Data: The Role of Consent and the Licensing Scheme, in K.S. Lohsse-R. Schulze and D. Staudenmayer (eds), Trading Data in the Digital Economy: Legal Concepts and Tools, Oxford, Hart/Nomos, 2017, 159; e D.L. Burk, Pri-vacy and Property in the Global Datasphere (disponibile alla pagina https://papers.ssrn.com/sol3/papers. cfm?abstract_id=716862).
5 Con la conseguenza di quel che è stata definita una “Balkanization of the Internet into multiple,
La “datasfera”. Regole giuridiche per il mondo digitale parallelo – 101
namenti (primo fra tutti quello tedesco) il concetto di bene è normativamente legato alla corporeità dell’oggetto.
Più plausibile la prospettazione di una generica “titolarità” la quale attribuisce al soggetto – sulla scia della consolidata tradizione dei beni immateriali – una serie di di-ritti, facoltà e correlativi limiti e rimedi. Ma proprio l’esperienza dei beni immateriali ci ammonisce quanto l’affermazione di pretese giuridiche su di essi dipende da espressi riconoscimenti normativi, che nel caso dei dati (e con la esclusione di quelli “personali” e delle basi di dati di cui alla direttiva 9/1996) ancora difetta. I dati godono di una qualche tutela ma indirettamente attraverso la disciplina della concorrenza sleale, dei segreti d’impresa, della responsabilità civile, del patrimonio dell’azienda.
Peraltro anche la prospettiva della “titolarità sui dati” presenta una serie di proble-maticità.
a) In primo luogo va ricordato che i dati presentano le caratteristiche che gli economi-sti definiscono come “beni pubblici” ovverosia la loro non consumabilità (il loro valore in generale è indipendente dall’uso che se ne fa: la data della scoperta dell’America può essere fruita da uno o da tutti, ma ciò non ne diminuisce il valore); la non-rivalità (la cir-costanza che uno sia “titolare” di un dato non impedisce – come invece per i beni corpo-rali – che qualcun altro allo stesso tempo lo sia. Tali elementi ovviamente incidono sulla conformazione dei diritti che si vogliono affermare sul bene in funzione alle utilità che se ne intendono trarre. La esclusività, dunque, presenta profili peculiari.
b) In secondo luogo di fronte ai miliardi e miliardi di dati, i quali rappresentano l’intero mondo, e lo duplicano digitalmente, la pretesa appropriativa rischia di apparire presuntuosa e utopistica, come quella di chi volesse appropriarsi delle gocce che com-pongono il mare o delle particelle che compongono l’aria. In altri termini, di fronte a grandezze di difficile commensurabilità e ad entità la cui circolazione e duplicazione è naturale e praticamente senza costo schemi generali di titolarità risultano di scarsa utili-tà ai fini pratici, ovverosia quello di assicurare ad un soggetto – e solo a quel soggetto – il diritto di trarre un vantaggio economico dalla sua posizione.
c) Infine, e a tale ultimo riguardo, ci si può porre la domanda – ricorrente nel setto-re – se il valore non sia nei dati in sé, bensì sugli strumenti informatici (i c.d. data analytics) utilizzati per analizzare tali moli così grandi e variegate. In teoria tutti potrebbero avere accesso a tali dati, ma solo chi dispone degli algoritmi e dei programmi idonei. È su questi ultimi che si afferma la privativa industriale.
3. – Un indice del regime giuridico dei dati può essere dato dalla elefantiaca nor-mativa europea, il Regolamento generale sui dati personali (679/16) composto di ap-pena un paio di centinaia di “considerando” e di un centinaio di articoli, cui si aggiun-gono una corona di direttive (680/16 e 681/16), per altre centinaia di articoli, sul trat-
closed-off systems protected from the exterritorial reach of foreign-based isps” (J. Daskal, The Un-Territoriality of Data, 125 Yale Law Journal 326 (2015) (a 332); analoghi dubbi sono espresso da A. Chander, U.P. Le, Data Nationalism, 64 Emory Law Journal 677 (2015).
102 – Vincenzo Zeno-Zencovich
tamento dei dati nelle indagini penali, dei dati nelle prenotazioni aeree e (in prepara-zione) sulle reti di telecomunicazioni. Da questo complesso è comunque chiaro che sui dati non si vanta un diritto dominicale 6. Senza scomodare Ulpiano (dominus nemo membrorum suorum videtur) il rapporto giuridico che si instaura è piuttosto di controllo sull’uso che terzi possono fare di tali dati, assistito da uno ius arcendi che si concretizza nell’ordine di cancellazione dei dati illegittimamente trattati 7.
Peraltro proprio l’analisi della normativa e della prassi in materia di dati personali fa comprendere quanto la pretesa da parte del titolare di esercitare i diritti attribuitigli è veramente illusorio, giacché quei dati, una volta acquisiti sono utilizzati, trasferiti, ela-borati, ceduti, duplicati infinite volte a sua insaputa, spesso in un’altra parte del globo, grazie alle ubique tecnologie c.d. cloud 8.
A voler descrivere la situazione con una metafora, si immagini la persona comune la quale, rientrata a casa, si lava le mani. Con il sapone si staccano minuscole cellule epi-teliali miste a sudore contenenti il DNA del soggetto (un dato, com’è noto, particolar-mente sensibile). Risciacquandosi, tali cellule finiscono prima nel condotto delle acque chiare, poi in un depuratore, poi in un fiume, in un mare, in un oceano. Ad un certo punto il soggetto – folgorato dalla lettura del GDPR – va alla ricerca delle gocce d’ac-qua contenenti i suoi dati perduti. Le possibilità di ritrovarli sono pari a quelle che ha se le cerca nella datasfera.
Si sta dunque parlando di un simulacro di titolarità, che è ancor più evidente con ri-ferimento a dati non qualificabili soggettivamente o oggettivamente come “personali” per via o dell’ente cui si riferiscono ovvero di quanto in essi rappresentato 9.
6 Ma v. contra N. Purtova, Property rights in personal data: A European perspective, Oisterwijk, BOX-Press, 2011 (in part. alle 236 ss.).
7 Opportunamente S. van Erp (retro nt. 4) usa un concetto ben più sfumato per il rapporto fra soggetto e i suoi dati: «This does not mean that no primary right (in the sense of the maximum of powers, rights, privileges and immunities) exists, but it is not ownership, but entitlement».
8 Sul punto si rinvia allo scritto sulla “datasfera” citato alla nt. 1. Peraltro in maniera assai pungente e persuasiva il concetto era stato espresso in precedenza da B.-J. Koops, The Trouble with European Data Protection Law, Tilburg Law School Legal Studies Research Paper Series N. 04/2015. https://papers.ssrn. com/sol3/papers.cfm?abstract_id=2505692, secondo cui: «The trouble with Harry, in Alfred Hitchcock’s 1955 movie, is that he’s dead, and everyone seems to have a different idea of what needs to be done with his body. The trouble with European data protection law is the same. In several crucial respects, data pro-tection law is currently a dead letter. The current legal reform will fail to revive it, since its three main ob-jectives are based on fallacies. The first fallacy is the delusion that data protection law can give individuals control over their data, which it cannot. The second is the misconception that the reform simplifies the law, while in fact it makes compliance even more complex. The third is the assumption that data protec-tion law should be comprehensive, which stretches data protection to the point of breaking and makes it meaningless law in the books. Unless data protection reform starts looking in other directions – going back to basics, playing other regulatory tunes on different instruments in other legal areas, and revitalizing the spirit of data protection by stimulating best practices – data protection will remain dead. Or, worse per-haps, a zombie».
9 Per una posizione estrema v. J.A.T. Fairfield, Owned. Property, Privacy, and the New Digital Serfdom, Cambridge, Cambridge University Press, 2017.
La “datasfera”. Regole giuridiche per il mondo digitale parallelo – 103
Il rispetto, dunque, dei diritti individuali è rimesso non a istituti privatistici bensì a ben più penetrati controlli pubblicistici effettuati dai “Garanti per la protezione dei dati personali” i quali dispongono altresì delle armi della sanzione penale. Quello dei dati diventa uno, fra i tanti, “mercati regolamentati” cui è preposta una autorità e che opera secondo logiche di sistema. D’altronde, considerata la dimensione della “datasfera”, è difficile immaginare che possa avvenire diversamente: la similitudine va al rapporto fra tutela privatistica della proprietà delle immissioni e disciplina pubblicistica dell’ambien-te e di contrasto all’inquinamento.
4. – Sull’onda della invasione dei termini gergali anglo-informatici-giovanilistici con-nessi all’avvento delle nuove tecnologie, anche nel nostro dibattito è entrato il termine “smart-contracts”. Si potrebbero scrivere intere pagine di dileggio della espressione, ma non ne vale la fatica, considerato che esaurita la fase in cui sono di moda, tali termini cadono in desuetudine, così come le supposte rivoluzionarie idee che vi sarebbero sot-tese.
Quel che è importante sottolineare è che il diritto è e rimane una convenzione lin-guistica. Per il giurista, a differenza di gran parte delle scienze sociali, le parole hanno, e devono avere, un – e uno soltanto – significato ben determinato. E questo non per qualche a priori ideologico ma per il semplice motivo che poiché il diritto esiste solo nelle parole (qualche volta anche in gesti, suoni o immagini: ma per essi deve valere la stessa regola semiotica), se le parole sono vaghe, incerte, polisemiche, il diritto perde quella certezza che si ritiene sia e debba essere una sua caratteristica essenziale: dal “si deve fare così”, al “fate un po’ come volete”.
Quando dunque il giurista affronta i temi delle nuove tecnologiche informatiche e incontra il linguaggio gergale cui si è fatto riferimento (e, in questo caso, l’espressione “smart-contract”, si domanda, e domanda: di che cosa stiamo parlando? Siamo sicuri che ci sia una intesa sociale e istituzionale su taluni termini? Oppure per riprendere il titolo dell’ultimo film di Massimo Troisi “Pensavo fosse amore, invece era un calesse”?
Conviene dunque concentrarsi sulla sostanza 10. In che cosa consisterebbero questi contratti “smart”? Dal punto di vista della loro funzione si tratterebbe di attività nego-ziali (usiamo questo termine d’antan volutamente generico) gestite da un programma che opera attraverso tecnologie c.d. blockchain che ne assicurano la certezza, la riferi-bilità, non-modificabilità ed automatica esecuzione. Il campo nel quale questa tecno-logia si è particolarmente sviluppata è – ed il riferimento non è particolarmente inco-raggiante, trattandosi di una operazione ontologicamente truffaldina – quello delle c.d. criptovalute (bitcoin et similia). Quando però il giurista gratta via le espressioni gergali, volutamente decettive, e guarda alla sostanza del rapporto, constata che questi “smart contracts” sono posti in essere da un proponente-profferente il quale si rivolge, tramite il programma informatico ad un altro soggetto – consumatore, piccola impresa, con-
10 V. S. Grundmann-P. Hacker, Digital Technology as a Challenge to European Contract Law. From the Existing to the Future Architecture, in 13 European Review of Contract Law (2017).
104 – Vincenzo Zeno-Zencovich
traente in posizione di inferiorità negoziale – di cui il primo dispone di una infinità di dati che ne consentono la totale profilazione 11.
All’apparenza – declamatoria – il risultato dovrebbe essere un regolamento contrat-tuale ritagliato sulle specifiche necessità dell’aderente. In realtà, a ben vedere, si tratta di una risposta tecnologica al progressivo ri-equilibrio sostanziale delle relazioni con-trattuali (imposto in questi ultimi tre decenni e non solo dalla disciplina consumeristi-ca), che porta ad una inevitabile differenziazione – che come si vedrà si traduce in di-scriminazione – della capacità contrattuale 12.
Com’è noto uno dei fattori che ha portato alla progressiva erosione del principio della uguaglianza formale dei contraenti, è stata la consapevolezza della asimmetria informativa fra le parti. La teoria economica neoclassica immaginava – assumendolo come dogma indiscutibile e mai verificato – che tutti gli agenti sul mercato disponesse-ro di uguali informazioni in ordine all’affare da trattare e dunque potessero operare in perfetta razionalità.
Quando finalmente si è squarciato il velo, ci si è resi conto che naturaliter il consu-matore del bene non poteva avere tutte quelle informazioni di cui invece disponeva, altrettanto naturalmente, il produttore.
Negli smart-contracts tale asimmetria si amplia perché non solo il produttore/for-nitore sa tutto di ciò che offre, ma, soprattutto – e qui sta l’elemento di assoluta novità – sa tutto della sua controparte, addirittura più – non sembri un paradosso – di quanto questa sa di sé medesima. Questo per la semplice ragione che il produttore/fornitore acquista sul mercato il profilo quanto più completo possibile delle scelte di consumo, delle preferenze, delle attitudini e soprattutto del reddito dell’altra parte. Dunque il contratto viene ricondotto ad una assoluta razionalità – algoritmicamente predetermi-nata – economica la quale stabilisce qual è il prezzo che quel contraente reputa accet-tabile 13, il livello di rischio nel caso di dilazione del pagamento, le prestazioni accesso-rie che possono essere inserite nel “pacchetto”.
Si assiste dunque ad una segmentazione del mercato nel quale ciascun contraente è automaticamente inserito e che sostanzialmente definisce il quantum della sua auto-nomia contrattuale.
La espressione massima – che trova anche un sostanzioso sostegno normativo – di tale tendenza è rappresentata da quel mercato molto specifico che è quello del credito.
Sono ben note le vicende che hanno portato, dopo il grande crack finanziario del 2008, alla introduzione di politiche macro-prudenziali volte ad accertare, in ogni fase
11 V. K. Sein, What Rules Should Apply to Smart Consumer Goods: Goods with Embedded Digital Con-tent in the Borderland between the Digital Content Directive and Normal Contract Law, 8 JIPITec 96 (2017).
12 V. A. Savelyev, Contract Law 2.0: «Smart» Contracts As the Beginning of the End of Classic Contract Law, accessibile alla pagina https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2885241.
13 La diversità di trattamento si verificherebbe anche solo dal punto di vista dei prezzi tenendo conto della propensione alla spesa di ciascun utente: v. A. Ezrachi, The rise of behavioural discrimination, in 37 ECLR 485 (2016).
La “datasfera”. Regole giuridiche per il mondo digitale parallelo – 105
della attività finanziaria la c.d. “meritevolezza del credito” da parte di chi lo richiede. È facile cogliere la particolarità della situazione: in teoria, in una economia di mer-
cato, tutti possono accedervi per acquisire i beni e i servizi di cui hanno bisogno e/o che desiderano.
Nel mercato del credito – che comprende ovviamente non solo il tradizionale cre-dito bancario, ma anche ogni forma di dilazione di pagamento finanziariamente garan-tita (il riferimento ovvio è al “credito al consumo”) – invece si può entrare solo in base al livello della propria “meritevolezza” 14. Questa viene determinata attraverso proce-dure talvolta abbastanza trasparenti ed in contraddittorio, altre volte in maniera del tut-to opaca e unilaterale, sulla base di dati – dati che vengono definiti “granulari” 15 – rela-tivi al soggetto che ne etichettano la “rischiosità” (che è l’altra faccia della medaglia del merito).
Il tema va al cuore dei principi del diritto privato, come si è andato sviluppando (almeno) negli ultimi cinque secoli, e cioè la uguale capacità di agire in ambito econo-mico di tutti i soggetti, su cui si fonda tutta la moderna teoria della autonomia contrat-tuale.
Beninteso, le ragioni di interesse generale che sono sottese alla problematica della meritevolezza del credito sono evidenti ed ampiamente esposte e giustificate. Le per-plessità sorgono in relazione alla proporzionalità di misure così invasive della capacità del soggetto con riguardo ai rischi di sistema, e se non vi siano strumenti diversi, e so-prattutto più trasparenti e sindacabili, per conciliare stabilità finanziaria e principio di non discriminazione.
5. – Da quasi 40 anni ci si interroga sui profili di responsabilità civile connessi al-l’uso di dati: l’esempio archetipale era quello di un “sistema esperto” (si chiamavano così all’epoca) di assistenza al traffico aereo che, a causa di un errore di elaborazione, provocava un incidente. L’esperienza di questi decenni non fornisce elementi che ci consentano di affermare che tali sistemi (a partire dal più banale programma informati-co, che assai semplicemente elabora i dati che immettiamo nel sistema, anche il più semplice, come quello del tasto “invio”) siano privi di difetti e non provochino danni. Anzi, ripetutamente gli organi di informazione riportano, non si sa con quanta attendi-bilità, siffatti incidenti. Quel che però si constata è che, setacciando la giurisprudenza al di qua e al di là dell’Atlantico, e senza trascurare il Pacifico, il numero di casi nei quali l’universale istituto della responsabilità civile è stato chiamato in causa per rad-drizzare i torti informatici è insignificante in confronto con altri settori. Il fenomeno va considerato attentamente: solitamente l’avvento di nuove tecnologie porta con sé il ve-rificarsi di incidenti (si pensi ai treni prima e agli autoveicoli poi). In questo caso, inve-
14 V. J. Neethling, Blacklisting of a Debtor as a Credit Risk – Infringement of a Debtor’s Rights to Credit-worthiness and Earning Capacity as Personal Immaterial Property Rights, 18 SA Merc. 376 (2006).
15 V. l’atto di “Indirizzo (UE) 2017/2335 della Banca Centrale Europea del 23 novembre 2017 sulle procedure per la raccolta di dati granulari sul credito e sul rischio creditizio”, in GUUE 15 dicembre 2017, L333.
106 – Vincenzo Zeno-Zencovich
ce, nonostante la onnipresenza degli strumenti informatici e dell’uso dei dati, questo non è successo. Le ragioni possono essere legate alla dimensione delle imprese, alla generalizzata copertura assicurativa ma soprattutto, e più verosimilmente, alla immate-rialità dei processi produttivi del danno, alla difficoltà di ricondurla ad una errata o in-sufficiente elaborazione dei dati, e alla circostanza che il danno sovente consiste nella interruzione di attività (come nei classici casi di interruzione della energia elettrica).
Poco di nuovo dunque? L’elemento che va oggi considerato e sul quale vi è un no-tevole dibattito è rappresentato dagli algoritmi – che riescono a scavare, selezionare e organizzare milioni e milioni di dati – sulla loro genesi e costruzione. Soprattutto quan-do essi siano utilizzati non per conoscere il passato, ma piuttosto per orientare scelte future e/o prevedere con ragionevole approssimazione comportamenti futuri, costitui-sce dato acquisito che essi riflettono scelte valoriali del soggetto che li realizza ovvero li commissiona. La prima esigenza che si pone è quella della trasparenza di tali opzioni, onde evitare discriminazioni digitalmente orientate, tipicamente quelle di genere, di età o di razza.
La seconda, connessa, è quella della individuazione di parametri professionali nella elaborazione degli algoritmi. Attualmente essi sono assenti e dunque difetta uno “stato dell’arte” su cui fondare un giudizio di diligenza/negligenza. In particolare va conside-rato che essi sono solitamente inclusi nell’interno di programmi più articolati, la cui realizzazione dipende da molteplici produttori e assemblatori (ad es. “app” che orien-tano le scelte del visitatore in una certa località; sistemi di ricerca di soluzioni di viag-gio; navigatori per il traffico stradale). Anche in questi casi l’emersione di profili di re-sponsabilità appare estremamente difficile in primo luogo perché esso deriverebbe da scelte volontarie – ancorché indirizzate – dell’utente; ed in secondo luogo dalla sfug-gente prova del danno. Di qui l’esigenza di interventi di natura preventiva idonei a formulare giudizi di responsabilità oggettiva.
6. – L’ultima considerazione svolta nel paragrafo precedente porta ad analizzare il rilievo giuridico che hanno decisioni di soggetti pubblici effettuate sulla base di analisi di dati 16.
Tali decisioni sono del genere più svariato e possono riguardare soggetti singoli, co-me gruppi di persone o comunità.
Nel primo caso – e si parla solitamente di “dati granulari” – l’esempio più ovvio sono le indagini informatiche per identificare soggetti che possono avere connessioni con il terrorismo o con altri gruppi criminali. Ma se ne trovano molteplici nel campo fiscale (di cui, per rimanere in Italia, gli “studi di settore” sono un esempio egregio). In taluni casi la analisi, anche predittiva, dei dati è regolamentata (direttiva 680/16), in altri casi è coperta da una coltre di incertezza regolamentare, soprattutto laddove
16 V. A. Supiot, La gouvernance par les nombres. Cours au Collège de France 2012-2014, Paris, Librairie
Fayard, 2015; H.K. Hansen and T. Porter, What Do Big Data Do in Global Governance?, 23 Global Go-vernance 31 (2017).
La “datasfera”. Regole giuridiche per il mondo digitale parallelo – 107
il soggetto pubblico, nell’esercizio della sua – doverosa – attività ispettiva, operi a campione.
Un altro settore di grandissima importanza pratica è quello della previdenza sociale nel quale piani contributivi e pensionistici vengono scelti, da lavoratori ma anche da imprese, sulla base di dati relativi al singolo individuo o alla singola impresa, ma anche dall’universo dei soggetti secondo previsioni fortemente influenzate dalla demografia e da politiche di spesa pubblica.
In tutti questi casi la verificabilità del processo di analisi appare indispensabile a tu-tela dell’indagato, del contribuente, del lavoratore, i quali possono subire gravissimi ed ingiustificati danni da qualche impostazione discrezionale che lo fa oggetto di indagi-ne/ispezione (il soggetto cui viene negato l’imbarco in aeroporto perché rientrante in una categoria ipoteticamente rischiosa; l’impresa perfettamente in regola che viene tar-tassata da ispezioni fiscali o contributive).
Vi sono poi scelte pubbliche che riguardano interi gruppi (ad es. soggetti affetti da una certa patologia) o comunità (in particolare territoriale). Si pensi alla pianificazione urbanistica, alla rete dei trasporti, alla dislocazione dei servizi (scuole, ospedali): in una prospettiva di decisione informata è naturale che il soggetto pubblico si avvalga di si-stemi di elaborazione di grandi moli di dati. Sarebbe, anzi, un vizio procedurale se non lo facesse. Ma è necessario comprendere quali dati e quali metodiche sono stati utiliz-zati. È noto da quasi un secolo che le statistiche subiscono la influenza soggettiva di chi le raccoglie ed elabora. Lo stesso può dirsi della analisi dei dati i quali, ancora più fa-cilmente, possono essere piegati per giustificare talune soluzioni.
La responsabilità dei soggetti pubblici si estende dunque ad una “data accountability” che richiede nuove forme di verifica ed accertamento 17. Di certo, in società democratiche evolute, non ci si può limitare – come una volta – a ritenere che la sanzione di scelte pub-bliche errate sia esclusivamente politica, nel voto. Il procedimento partecipativo alla for-mazione delle decisioni e la loro sindacabilità passano, ora, inevitabilmente attraverso una verifica – che potrebbe anche consistere nell’opporre altri dati, altri algoritmi – digitale 18.
7. – La dimensione della “datasfera” la rende oggettivamente incontrollabile. Sicu-ramente gli Stati possono – ed è quello che stanno facendo – introdurre norme giuridi-che e regole tecniche per disciplinare ciò che avviene sulle reti di comunicazione elet-tronica soggette al proprio controllo territoriale 19. Gli esempi ovvi sono il Regolamento
17 G.D. Bass, Big Data and Government Accountability: An Agenda for the Future”, 11 I/S Journal of Law and Policy for the Information Society 13 (2015).
18 Si v. il documento approvato il 12 gennaio 2017 dalla American Association for Computing Machinery, “Statement on Algorithmic Transparency and Accountability” (accessibile alla pagina https://www.acm.org/ binaries/content/assets/public-policy/2017_usacm_statement_al gorithms.pdf); nonché A. Rosenblat-T. Kneese-D. Boyd, Algorithmic Accountability, (accessibile alla pagina https://datasociety.net/pubs/2014-0317/ AlgorithmicAccountabilityPrimer.pdf).
19 Già 20 anni fa l’idea che ci fosse una sorta di “sovranità” sul “ciberspazio” era stata argomentata-mente respinta: v. T.S. WU, Cyberspace Sovereignty? The Internet and the International System, 10 Harv. J.L. & Tech. 647 (1997).
108 – Vincenzo Zeno-Zencovich
generale sulla protezione dei dati personali (679/16) per l’Unione Europea oppure il blocco all’accesso a taluni siti e servizi da utenti che si trovano in certi paesi (un esem-pio per tutti è la Repubblica Popolare Cinese) 20. Ma una volta che i dati – personali o non personali – sono usciti, come è inevitabile, da tale sfera di controllo nazionale essi si trovano in luoghi a-territoriali di difficile identificazione anche nella loro riferibilità ad un soggetto gestore 21.
Si ripropone qui una problematica antica, iniziata agli albori della civiltà organizzata con riguardo al mare e a chi lo navigava, estesa poi allo spazio aereo per il trasporto aeronautico, all’etere per le radiofrequenze, e allo spazio, infinito, extraterrestre.
Le soluzioni possibili con riguardo alla “datasfera” devono ovviamente tenere conto della peculiarità dei dati – in primo luogo la loro immaterialità 22 – ma al contempo di-pendono da intese trans-nazionali o internazionali, le quali partendo da un minimo di regole condivise, si articolino anche in relazione alla evoluzione tecnologica.
8. – L’ultimo riferimento ci porta ad un tema di grande rilievo anche se di teoria generale del diritto e di lunga portata.
La circostanza che il giurista operi in un mondo ed in contesto dominato dai dati cambia il suo modo di conoscere il diritto, di crearlo, di interpretarlo.
L’ipotesi che si sottopone alla discussione che nel mondo dei Big Data cambia l’epistemologia del giurista, ovverosia il modo in cui egli organizza le regole, soprattutto nella tradizione dell’Europa continentale in cui è abituato a ragionare per categorie astratte e per norme di portata generale.
Il cambio di passo mentale consiste nel passaggio da una logica essenzialmente cau-sale, in cui l’argomentazione – e dunque la concatenazione delle regole – segue un ra-gionamento consequenziale, ad una logica di tipo inferenziale.
Nel mondo dei grandi dati interessano non certezze bensì collegamenti probabilisti-ci fra elementi fra di loro ontologicamente diversi 23. L’esempio più ovvio è quando scegliamo di acquistare un bene o un servizio sulla rete Internet ed immediatamente ci viene proposto l’acquisto di un bene o servizio che l’algoritmo governante inferisce po-ter essere di nostro interesse (“Coloro i quali hanno acquistato X hanno acquistato an-che Y”). Come si applica questo procedimento al mondo del diritto? In primo luogo nella fase di produzione delle norme in cui si sostituisce ad un dato certo e apparen-
20 Non a caso si parla di “Data Nationalism” (A. Chander, U.P.LE, 64 Emory L.J 677 (2015). 21 V. D.J.B. Svantesson, Sovereignty in International Law – How the Internet (Maybe) Changed Every-
thing, But Not for Long, 8 Masaryk U. J.L. & Tech. 137 (2014). Lo stesso Autore sviluppa il concetto in A New Jurisprudential Framework for Jurisdiction: Beyond the Harvard Draft [available on line on the 2015 Am. J. Int’l L. Unbound at https://www.asil.org/blogs/new-jurisprudential-framework-jurisdiction-beyond-harvard-draft].
22 V. J. Daskal, The Un-Territoriality of Data, 125 Yale L.J. 326 (2015). 23 V. R. Kitchin, Big Data, new epistemologies and paradigm shifts, in Big Data & Society, April-June 2014, 1-
12 (disponibile alla pagina http://eprints.maynoothuniversity.ie/5364/1/RK_big%20data.pdf); M. Frické, Big Data and its Epistemology, 66 Journal of the Association for Information Science and Technology 651(2015) (dis-ponibile alla pagina https://ischool.arizona.edu/sites/si.arizona.edu/files/FrickeBigDataPaperShorterFormat.pdf).
La “datasfera”. Regole giuridiche per il mondo digitale parallelo – 109
temente statico (le statistiche, appunto) la elaborazione dinamica di dati, anche in fun-zione predittiva, nella valutazione di impatto della nuova norma 24. Inferiamo – perché non siamo, né possiamo, essere certi – che una determinata norma porterà al conse-guimento degli obiettivi che essa si prefigge, anche perché, sempre inferenzialmente, assumiamo che la condotta dei suoi destinatari sarà di un certo genere.
Ben inteso in questo non vi è nulla di intrinsecamente errato ed è anzi ben possibile che il risultato sia ben più coerente rispetto a quello conseguito da una norma basata solo su assunzioni valoriali se non ideologici, anche non espressi.
Quel che va sottolineato è il diverso procedimento logico seguito che punta alla creazione di una norma che, probabilisticamente e predittivamente, coprirà il maggior numero di casi. Senza fare eccessivi sforzi di fantasia si pensi all’applicazione di questi criteri nel campo delle norme tributarie in cui il gettito è legato al grado di spontanea adesione dei contribuenti e alla difficoltà per questi di adottare strategie elusive.
Ma quel che colpisce di più è che la logica inferenziale non è utilizzata solo per comprendere ciò che è avvenuto, ma anche e soprattutto in funzione predittiva. La c.d. predictive analytics diventa dunque lo strumento attraverso il quale vengono prese decisioni che riguardano la collettività (legislative, regolamentari) o l’individuo (orien-tamento al lavoro, indagini penali). Gli esempi più evidenti sono l’uso che già ora viene fatto di tali strumenti nelle procedure di scelta di assunzione di un lavoratore o di una lavoratrice. Oppure nella stipula di un contratto di assicurazione e a quali condizioni. Con il che alcuni principi che sono fra i capisaldi del diritto contemporaneo, quello di eguaglianza e di non discriminazione, sono messi in crisi, e si torna ad un conflitto, le cui radici vanno ben oltre la filosofia e affondano nella religione, fra determinismo e libero arbitrio.
24 V. J. Mitts, Predictive Regulation (disponibile alla pagina https://ssrn.com/ abstract=2411816).
110 – Vincenzo Zeno-Zencovich
La “datasfera”. Regole giuridiche per il mondo digitale parallelo – 111
Finito di stampare nel mese di dicembre 2018 nella Stampatre s.r.l. di Torino
