Le nuove controverse diposizioni europee in materia di diritto d’autore sono in rotta di collisione con la normativa privacy. Il Regolamento generale sulla protezione dei dati (in acronimo anglosassone: GDPR) intende garantire i diritti, in particolare alla protezione dei dati personali e alla privacy, e le altre libertà fondamentali in caso di trattamento di dati personali.

Tali diritti e libertà fondamentali rischiano di essere compromessi a fronte dei processi decisionali automatizzati che potranno essere usati – e, potenzialmente, abusati - in base all’art. 17 della Direttiva 2019/790 per identificare e filtrare contenuti non autorizzati.

In questo post proviamo a ricostruire come l’UE è arrivata a questo punto e perché gli Stati Membri dovrebbero agire ora per evitare che i recepimenti nazionali della Direttiva copyright prevedano filtri automatizzati in grado di censurare e discriminare gli utenti in violazione del GDPR.

Se le piattaforme diventano il braccio armato del diritto d’autore

L'art. 17 della Direttiva Copyright (vecchio art. 13) rende i gestori delle piattaforme responsabili dei contenuti caricati dagli utenti che violano il diritto d’autore. Per sfuggire a questa responsabilità, gli operatori dei servizi di condivisione dei contenuti online devono dimostrare di aver fatto il possibile per ottenere l'autorizzazione dei titolari dei diritti e garantire che i contenuti illeciti non siano disponibili sulle loro piattaforme. Inoltre, essi devono dimostrare di aver agito rapidamente per rimuovere i contenuti segnalati e impedirne il nuovo caricamento dopo essere stati informati dai titolari dei diritti.

Prima dell'approvazione della Direttiva copyright, le associazioni a difesa dei diritti degli utenti avevano denunciato che, per esimersi dalla responsabilità, i prestatori di servizi di condivisione di contenuti online avrebbero dovuto utilizzare filtri per l’upload. Avevano inoltre avvertito che l’art. 13 (adesso art. 17) avrebbe finito per trasformare i gestori delle piattaforme in una specie di polizia del copyright, con licenza speciale per scansionare e filtrare miliardi di post e video, clip audio e foto condivisi sui social media al fine di rintracciare potenziali violazioni. Sebbene vi fossero divergenze circa i contenuti della controversa riforma copyright, vi erano tuttavia pochi dubbi sul fatto che un sistema automatizzato per l’identificazione e il blocco di contenuti in violazione del diritto d’autore avrebbe avuto un impatto sugli utenti, i quali avrebbero potuto vedere rimossi per errore i contenuti da loro creati o condivisi legittimamente. Invece di salvaguardare senza riserve le libertà e gli usi legittimi degli utenti, la Direttiva, frutto di un laborioso compromesso,  si concentra su garanzie procedurali per contrastare la situazione di “over-blocking”. Nonostante i meccanismi di reclamo e ricorso siano indicati come una rapida soluzione rimediale, il rischio è tuttavia che gli europei censurati dovranno accordarsi ad una lunga fila di vittime del processo decisionale automatizzato e attendere il proprio turno prima di poter perorare il loro caso.

Al di là del copyright: i processi decisionali automatizzati nel GDPR

C'è qualcosa di terribilmente familiare nell'idea di un sistema decisionale automatizzato, spesso imperscrutabile (la cd. “black box”), che esamina i contenuti generati dagli utenti e finisce per avere un effetto significativo sulla loro sfera individuale. Durante i recenti incontri organizzati dalla Commissione nell’ambito dello Stakeholder dialogue sul diritto d'autore in UE e sui limiti tecnici e giuridici dei filtri automatici, tuttavia, la possibile interazione con le regole in tema di protezione dei dati personali – che, in determinate circostanze, limitano l'uso di processi decisionali automatizzati - non è stata inserita nell’agenda per la discussione. Né sono stati consultati esperti accademici che già avevano sollevato la questione in passato (vedi, ad esempio, l’analisi di Sophie Stalla-Bourdillon o la sessione organizzata alla CPDP di quest'anno sui filtri copyright).

In base all’art. 22 GDPR, l’utente (interessato) ha il diritto "di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Salvo eccezioni, che saranno discusse di seguito, questa disposizione protegge gli interessati da decisioni dannose prese dagli algoritmi, come, ad esempio, nel caso in cui una persona si vedesse rifiutato un prestito da parte di una banca che utilizza un software per la concessione o meno di mutui. Nella formulazione del Regolamento, il termine "unicamente" sta ad indicare che l’art. 22 si applica solo all’ipotesi dei processi decisionali totalmente automatizzati in cui non vi sia alcuna reale influenza umana sul risultato del processo stesso.

Il "Copyright-Filter" Test

Dati Personali

Il GDPR trova applicazione nel momento in cui il gestore della piattaforma tratta dati personali. Questi ultimi sono definiti come qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”, Art. 4(1) RGDP).

Potenzialmente ogni post - filtrato in base all’art. 17 della Direttiva copyright – proviene da un utente che, prima di caricare alcunché, deve registrarsi e creare un account sulla piattaforma. I dati trasmessi durante il processo di registrazione sono dati personali, rendendosi quindi inevitabile l’applicazione del GDPR all’eventuale trattamento effettuato dai filtri. Anche i contenuti postati in forma anonima sarebbero comunque corredati da metadati, come ad esempio l’indirizzo IP (C-582/14, Breyer v Germany), che può essere utilizzato per identificare l’utente. L’anonimizzazione è tecnicamente difficile da ottenere e, in ogni caso, non potrà aversi se il contenuto è collegato ad un profilo su Facebook o a un account su Youtube.

I sostenitori dei filtri automatici potrebbero obiettare che tali sistemi non comportano una valutazione dei metadati, ma si limitano a comparare il contenuto caricato sulla piattaforma con le informazioni ricevute dai titolari dei diritti. Tuttavia, i processi decisionali automatizzati prospettati con l’art. 17 della Direttiva copyright vanno al di là del mero “content-matching”. Essi implicano una decisione sul “se” uno specifico utente sia autorizzato a condividere un determinato contenuto. Che il post caricato corrisponda ai patterns e alle informazioni fornite dai titolari dei diritti è solo un passaggio intermedio dell’intero processo. I filtri potrebbero inoltre non utilizzare necessariamente dati personali per determinare se rimuovere un contenuto, ma la decisione riguarda in ogni caso cosa un determinato individuo possa o non possa caricare sulla piattaforma. In altri termini: un sistema che monitora e rimuove contenuti, i quali possono contenere le opinioni e le convinzioni degli utenti stessi, può davvero consistere in decisioni che non riguardano gli utenti stessi?

Il concetto di dati personali è, infatti, particolarmente ampio. La Corte di Giustizia dell’UE (Causa C-434/16, Nowak c. Data Protection Commissioner) ha affermato che la nozione di dati personali comprende qualsiasi tipo di informazioni “a condizione che esse siano «concernenti» la persona interessata”, vuoi in ragione del suo contenuto (un selfie caricato su Facebook), della sua finalità (un video trattato per valutare le preferenze personali) o del suo effetto (una persona è trattata in maniera differente a causa del monitoraggio dei suoi upload). Un filtro automatizzato per l’individuazione di violazioni del copyright rimuove in buona sostanza ogni contenuto che corrisponde al materiale proveniente da un soggetto che dichiara di vantare diritti d’autore sullo stesso. La funzione del sistema di filtraggio è di decidere quale contenuto verrà o meno comunicato al pubblico. La conseguenza di utilizzare questo tipo di sistemi a scopo preventivo è che alcuni contenuti legittimi potrebbero essere bloccati per errore, mentre altri utenti (più fortunati) potrebbero non subire tale trattamento. In altri termini, i filtri rischiano di avere un impatto significativo sugli utenti o di creare situazioni potenzialmente discriminatorie.

Vi è altresì da sottolineare che le Linee guida sul processo decisionale automatizzato, adottate dal Gruppo di Lavoro Articolo 29 (adesso, Comitato europeo per la protezione dei dati, CEPD), forniscono un’interpretazione “user-centred” dei requisiti per il procedimento decisionale automatizzato. L’art. 22 GDPR, in particolare, troverebbe applicazione a fronte di una decisione basata su qualsiasi tipo di dato. In altri termini, l’art. 22 si applicherebbe anche agli algoritmi che valutano i contenuti generati dagli utenti e caricati sulla piattaforma.

Impatto negativo sull’utente

I filtri automatici producono “effetti giuridici” sull’interessato o incidono in modo analogo “significativamente” sulla sua persona, secondo quanto previsto dal GDPR? Il Regolamento non definisce tali concetti. Tuttavia, le Linee guida del CEPD forniscono una serie di esemplificazioni. Tra gli “effetti giuridici” ex art. 22 GDPR, il CEPD, ad esempio, include il diniego di benefici o la cessazione degli effetti di un contratto.

Anche se la decisione non comporta effetti giuridici che riguardano l’interessato, le Linee guida sottolineano che l’art. 22 entra comunque in gioco se il processo automatizzato può incidere in maniera significativa sul comportamento o sulle scelte dell’interessato, avere un impatto prolungato sull’utente, o portare alla discriminazione di quest’ultimo.

Cosi, ad esempio, avere il proprio contenuto erroneamente bloccato potrebbe comportare conseguenze negative a livello economico per l’interessato o la perdita di opportunità di guadagno. Quanto più intrusiva è la decisione a fronte di aspettative ragionevoli degli utenti sottoposti al processo automatizzato, tanto più si corre il rischio che l’interessato subisca effetti significativi nella propria sfera giuridica.

Si consideri, a questo proposito, la rimozione o il blocco di un contenuto creativo generato da un utente che attenda di essere visto da un pubblico che, ad esempio, abbia finanziato l’attività in questione con una campagna di crowdfunding. Tale situazione potrebbe comportare un danno economico all’autore del contenuto e impattare sulla sua libertà d’impresa. Il blocco del contenuto di un utente potrebbe altresì estrinsecarsi in un’attività censoria, in violazione del diritto dell’autore alla libertà d’espressione. Questi sono solo alcuni esempi che dimostrano l’ampiezza delle potenziali conseguenze negative per le persone interessate a seguito di una decisione automatizzata nel contesto dei filtri copyright.

Condizioni che legittimano il processo decisionale automatizzato

Ci sono tre condizioni che consentono la possibilità di effettuare processi decisionali esclusivamente automatizzati aventi effetti giuridici o significativamente analoghi sulla persona dell’interessato e sono contenute all’art. 22(2) GDPR. Gli utenti possono essere sottoposti ad una decisione basata su processo automatizzato se ricorre una delle seguenti situazioni:

  1. la decisione è necessaria per la conclusione o l'esecuzione di un contratto;
  2. la decisione è autorizzata dal diritto dell’Unione o di uno Stato membro;
  3. la decisione si basa sul consenso esplicito dell’interessato.

Necessità contrattuale

I filtri automatizzati difficilmente possono essere considerati “necessari” ai sensi dell’art. 22(2) GDPR. Il concetto di “necessità” è interpretato in maniera assai restrittiva in ambito privacy e non è integrato dalla circostanza che il trattamento sia meramente menzionato nei Termini e nelle condizioni del servizio. Inoltre, una strategia difensiva basata sul concetto di “necessità” nel caso di processi decisionali unicamente automatizzati deve essere coerente che gli obiettivi tipici della disciplina in materia di protezione dei dati personali, e non può sicuramente essere utilizzata se risultano disponibili misure preventive più eque o meno intrusive. Il semplice utilizzo di un servizio online non crea tale “necessità” e, di conseguenza, non fornisce una base sufficiente per il processo decisionale automatizzato.

Autorizzazione da parte del diritto europeo o nazionale

I sostenitori dei filtri sull’upload potrebbero argomentare che la tecnologia di filtraggio sarà autorizzata con le leggi nazionali di implementazione della Direttiva Copyright. Che la Direttiva richieda la messa in campo di filtri è una questione controversa sin dall’inizio del processo legislativo della riforma del copyright.

Il deputato Axel Voss, relatore della Direttiva Copyright, aveva sottolineato che l’art. 17 non implicasse l’adozione di “upload filters” e che le tesi contrarie avanzate dalle associazioni per la difesa dei diritti digitali fossero mero allarmismo. E, in effetti, dopo mesi di negoziazioni tra le istituzioni europee, il testo della Direttiva non contiene nella sua versione finale alcun riferimento esplicito ai sistemi per il filtraggio di contenuti. Al contrario, l’art. 17 richiede “misure preventive” per assicurare la non disponibilità di contenuti protetti da copyright e precisa che tali misure non debbano comportare l’identificazione degli utenti, né il trattamento di dati personali, se non secondo quanto previsto dal GDPR.

Anche volendo ammettere che la Direttiva Copyright “autorizzi” l’utilizzo dei filtri, l’art. 22(2)(b) GDPR afferma che l’autorizzazione in questione non è di per sé sufficiente a giustificare il trattamento. La legge che autorizza il processo decisionale automatizzato – nel nostro caso le leggi nazionali di recepimento della Direttiva Copyright – deve precisare altresì misure “adeguate” a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato. Non è chiaro se l’art. 17 della Direttiva Copyright offra un margine di manovra sufficiente affinché gli Stati membri soddisfino tali standard.

Consenso esplicito

In mancanza di necessità contrattuale o di apposita norma di legge che autorizzi il trattamento, il processo decisionale automatizzato effettuato dai filtri copyright potrebbe essere giustificato solo in presenza del consenso esplicito dell’utente. Il GDPR stabilisce che per essere valido il consenso debba essere libero, specifico, informato e non ambiguo. Dal momento che le situazioni di “take-it-or-leave-it” sono contrarie per loro stessa natura alla ratio del consenso liberamente prestato, occorre verificare se il processo decisionale automatizzato sia effettivamente necessario per il servizio offerto. Inoltre, il consenso in questione deve essere anche esplicito: ciò significa che l’utente deve fornire una dichiarazione affermativa ed inequivocabile di consenso. Non è peregrino ipotizzare che pressoché nessun utente sarebbero interessato ad acconsentire genuinamente al trattamento per far filtrare i propri contenuti alla piattaforma.

In ogni caso, l’art. 22 GDPR afferma che qualora il processo decisionale automatizzato sia ammissibile sulla base del consenso o della necessità contrattuale, il titolare del trattamento (la piattaforma nel nostro caso) è tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato. Gli utenti, in particolare, hanno il diritto di ottenere l'“intervento umano” da parte del gestore della piattaforma, di esprimere la propria opinione circa la rimozione del contenuto e di contestare la decisione. Il GDPR, infine, richiede la massima trasparenza da parte delle piattaforme circa le finalità e le modalità concernenti il blocco o la rimozione dei contenuti degli utenti.

Conclusioni: i filtri automatici devono rispettare il diritto alla protezione dei dati personali degli utenti

Gli effetti negativi sugli utenti sottoposti a processi decisionali automatizzati e le incertezze giuridiche legate all’applicazione dei filtri automatici dovrebbero indurre i legislatori nazionali ad un approccio volto alla minimizzazione dei rischi (anche) privacy per i soggetti coinvolti. Le implementazioni a livello nazionale dovrebbero tenere conto, in particolare, dei diritti alla privacy e alla protezione dei dati personali, della libertà di espressione e degli altri diritti fondamentali, di modo che appropriate misure di garanzia e salvaguardia siano poste in essere prima che un upload sia valutato, bloccato o rimosso.

Se gli Stati Membri adotteranno questo tipo di approccio e implementeranno la Direttiva Copyright anche tenendo conto del GDPR, ciò potrebbe negare qualsiasi futuro a livello europeo per forme di filtraggio interamente automatizzato. L’avvio di una tale riflessione potrebbe costituire altresì la base di partenza per la discussione degli obblighi di monitoraggio che già si prospettano nel Digital Services Act.

Traduzione di Rossana Ducato con la collaborazione di Paolo Guarda, 21 marzo 2020

(L’autore ringrazia Rossana Ducato per il vivace scambio intellettuale durante la preparazione di questo articolo).