Compliance 2.0

Approccio basato sul rischio: come è applicato nelle normative UE sul digitale

A partire dalla Strategia per il Mercato Unico Digitale, l’approccio basato sul rischio è stato applicato in tutte le principali normative UE: analizziamo le analogie e le differenze tra GDPR, DSA e AI Act

Pubblicato il 15 Set 2022

Giovanni De Gregorio

Postdoctoral Researcher, Centre for Socio-Legal Studies, Università di Oxford

Pietro Dunn

Dottorando in Law, Science and Technology, University of Bologna

Oreste Pollicino

Professore ordinario di Diritto Costituzionale, Università Bocconi. Co-founder DigitalMediaLaws

risk analysis – approccio basato sul rischio

L’approccio basato sul rischio si fonda essenzialmente sull’istituzione di un quadro normativo ove obblighi e doveri vengono graduati e adattati al concreto rischio connesso alle attività attuate dalle parti: viene pertanto superata la logica binaria dell’adempimento per realizzare una forma di compliance 2.0”, ove gli obblighi sono cuciti direttamente addosso ai destinatari della regolazione.

L’intelligenza artificiale made in Ue è davvero “umano-centrica”? I conflitti della proposta

L’avvento del risk-based approach

Il ventunesimo secolo ha visto un notevole incremento del ricorso al “risk-based approach” nella maggioranza dei sistemi giuridici occidentali, quale risposta all’emersione di quella che Beck definiva, già negli anni ’80, una “società del rischio”.

Il modello dell’approccio basato sul rischio è stato ben presto adottato dalla stessa Unione Europea, con riferimento inizialmente al diritto dell’ambiente e alla tutela della salute umana per poi approdare, successivamente, alla regolazione delle tecnologie digitali.

A partire dalla pubblicazione della Strategia per il mercato unico digitale in Europa, le istituzioni dell’Unione hanno infatti fatto un ricorso sempre maggiore allo strumento del rischio per incentivare una maggiore assunzione di responsabilità (accountability) da parte degli attori, pubblici e privati, per i potenziali effetti collaterali legati all’utilizzo di tali tecnologie e al processamento di dati personali.

La modalità più tipica del risk-based approach prevede che la valutazione del rischio e l’individuazione delle misure di mitigazione adeguate siano condotte direttamente dai soggetti destinatari della regolazione.

GDPR e accountability

Tale modello regolatorio caratterizza in particolare il GDPR. Il Regolamento, come è noto, è nel suo complesso informato dal principio di accountability, delineato esplicitamente all’interno dell’art. 5(2). Tale principio è declinato in pratica anche attraverso il ricorso a un sistema regolativo basato sul rischio, in base al quale titolare e responsabile del trattamento sono tenuti a predisporre le misure tecnico-organizzative necessarie ad assicurare che il GDPR stesso venga rispettato.

Come emerge, in particolare, dagli artt. 24 e 25, laddove essi non siano in grado di provare la predisposizione di tali misure, saranno soggetti a responsabilità per i danni prodotti a carico degli interessati. Di conseguenza, titolare e responsabile dovranno operare una valutazione di impatto delle loro attività e, sulla base di tale valutazione, elaborare la strategia migliore per ridurre i rischi di violazione dei diritti alla riservatezza e protezione dei dati dei soggetti interessati.

L’approccio basato sul rischio nel Digital Services Act

La più recente proposta di regolamento comunemente nota come Digital Services Act (DSA) contiene anch’essa un approccio alla regolazione dei fornitori di servizi di intermediazione che si fonda anche sulla categoria del rischio.

Il DSA, infatti, individua quattro regimi giuridici differenti:

  • Un primo insieme di norme di base è applicabile a tutti i fornitori di servizi di intermediazione, ivi inclusi i mere-conduit provider e i caching provider;
  • il secondo livello si riferisce ai soli fornitori di servizi di hosting, ovverosia a quei provider che ospitino determinati contenuti su richiesta degli utenti;
  • il terzo livello è relativo alle piattaforme online, le quali si distinguono per il fatto che non si limitano a ospitare i contenuti, ma li diffondono altresì tra il pubblico;
  • infine, il quarto livello è quello delle piattaforme online “di grandi dimensioni” (VLOP), identificabili attraverso criteri numerici, nonché, a seguito della modifica apportata dal Parlamento Europeo in prima lettura, dei motori di ricerca “di grandi dimensioni”.

Se nel GDPR vi è una delega secondo un modello bottom-up, dei doveri di valutazione e mitigazione dei rischi associati al trattamento dei dati, il DSA si discosta da tale sistema, individuando i criteri oggettivi di classificazione dei provider.

In altre parole, una prima operazione di risk assessment viene operata direttamente da parte del legislatore euro-unitario: un rilevante elemento, questo, di distinzione rispetto al regime del GDPR.

Tuttavia, questo passaggio da una logica bottom-up a una logica top-down non è ancora completo all’interno del DSA, dove un certo margine di discrezionalità è ancora riservato ai destinatari del regolamento.

Esempio lampante di ciò è la previsione, all’interno degli artt. 26 e 27, di un sistema di valutazione e mitigazione dei rischi sistemici connessi ai servizi offerti dalle piattaforme online e dai motori di ricerca di grandi dimensioni.

L’approccio basato sul rischio nell’AI Act

Nell’AI Act, il passaggio da un modello bottom-up a un modello top-down è, invece, più marcato. Anche in questo caso, la proposta di regolamento prevede quattro categorie di rischio per i sistemi di intelligenza artificiale:

  • sistemi a rischio inaccettabile;
  • sistemi ad alto rischio;
  • sistemi a rischio limitato;
  • sistemi a rischio minimo.

Nel caso dell’AI Act, l’individuazione delle categorie di rischio e la predisposizione di meccanismi di mitigazione del rischio sono attività che non sono più affidate in alcun modo alla discrezione e alla valutazione dei destinatari del regolamento.

Al contrario, l’ascrizione all’uno o all’altro livello avviene sulla base di un automatismo imposto dall’alto (top-down), così come è regolata dall’alto la disciplina dei livelli stessi.

Sebbene la Commissione sostenga, nell’Explanatory Memorandum della proposta, di aver incentrato il testo dell’AI Act «su un approccio normativo ben definito basato sul rischio che non crea restrizioni inutili al commercio», vi è chi ha posto in dubbio la sussistenza effettiva di un vero e proprio risk-based approach.

Conclusioni

A fronte di tali rilievi, appare quanto meno essenziale interrogarsi in merito alla linearità dell’approccio normativo adottato dalla Commissione nella proposta sull’AI Act e, più ampiamente, nella regolazione delle tecnologie digitali in genere.

Invero, l’apparente incoerenza tra le diverse forme di risk-based approach pone non pochi dubbi sull’uniformità sistematica del diritto dell’Unione Europea in ambito digitale. Ciò potrebbe, tra l’altro, rappresentare un ostacolo per lo sviluppo di un mercato tecnologico competitivo all’interno del Vecchio Continente.

Nonostante ciò, sembra tuttavia potersi individuare quanto meno un elemento caratterizzante i tre documenti legislativi descritti. Tutti e tre mirano infatti a realizzare, attraverso il concetto di “rischio”, un bilanciamento tra gli interessi in gioco: da un lato, l’interesse, di matrice economica, all’innovazione e allo sviluppo di un mercato unico digitale competitivo sul piano internazionale; dall’altro lato, l’interesse, sovente opposto, alla tutela dei valori democratici e dei diritti e delle libertà fondamentali degli individui.

Il rischio funge, in altre, parole, da proxy per un’attività, quella del bilanciamento, strettamente connessa a una dimensione costituzionale improntata alla proporzionalità. La proporzionalità rappresenta pertanto, e deve continuare a rappresentare, il trait d’union e la cifra caratterizzante delle politiche digitali dell’Unione Europea.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4