DIRETTIVA COPYRIGHT

Diritto d’autore e libertà d’espressione, sì all’uso di algoritmi di filtraggio dei contenuti: i nodi privacy

La Corte Europea ha rigettato il ricorso della Polonia per l’abolizione dell’art. 17 della “Direttiva Copyright”: pertanto, i processi decisionali automatizzati potranno essere utilizzati per identificare e filtrare contenuti non autorizzati. Quali impatti per il trattamento di dati personali e la libertà di espressione? Il punto

03 Mag 2022
G
Nadia Giusti

Data Protection & Cybersecurity Expert

Il 26 aprile 2022 la Corte dell’Unione Europea ha respinto il ricorso presentato dalla Polonia per ottenere l’annullamento dell’articolo 17, paragrafo 4, lettere b) e c) della Direttiva 2019/790 sul diritto d’autore e sui diritti connessi nel mercato unico digitale (“Direttiva Copyright”) in base al quale i “fornitori di servizi di condivisione di contenuti on line” sono direttamente responsabili quando materiale protetto dal diritto d’autore viene caricato illegalmente dagli utenti dei loro servizi.

La Corte, rigettando il ricorso, ha affermato che, sebbene l’articolo 17 rappresenti una limitazione del diritto alla libertà di espressione, sussistono le garanzie necessarie a tutelare tale diritto fondamentale.

Pertanto, in base all’articolo 17 della Direttiva 2019/270, processi decisionali automatizzati potranno essere utilizzati per identificare e filtrare contenuti non autorizzati: quali impatti per il trattamento di dati personali e la libertà di espressione?

Attuazione direttiva copyright: perché c’è chi dice no

Cosa dice l’articolo 17 della “Direttiva Copyright”

La Direttiva 2019/790 è stata la risposta all’accordo politico del 13 febbraio 2019 che sanciva l’esigenza di adeguare la disciplina del settore alla crescente diffusione di contenuti digitali, in quanto le precedenti norme sul diritto d’autore (Direttiva 2001/29/CE) risalivano ad anni in cui le piattaforme di social media non esistevano, e la diffusione di Internet e del mondo digitale era ancora lontana.

candidatura
Passione per il diritto dell’informatica? Candidati per il team Legal di P4I!
Legal
Privacy

L’articolo 17, oggetto del ricorso, introduce una specifica disciplina, detta “regime di responsabilità speciale”, per le piattaforme che consentono la condivisione di contenuti protetti dal diritto d’autore dove i contenuti vengono caricati direttamente dagli utenti (es YouTube, Vimeo, ma anche Meta).

Se precedentemente i fornitori di queste piattaforme rientravano nella categoria dell’ hosting provider (Direttiva 2000/31/CE Articolo 14), dopo l’introduzione della Direttiva 2019/790 essi vengono compresi, limitatamente al materiale soggetto al diritto d’autore, in una nuova categoria autonoma, quella dei “prestatori di servizi di condivisione di contenuti on line” che, identificati con coloro che effettuano, in proprio, un’attività di comunicazione al pubblico, sono soggetti alla norma che prevede la responsabilità di accertare che tali contenuti non violino il diritto d’autore, quindi di effettuare un controllo preventivo dei contenuti, a condizione di aver ricevuto dal titolare dei diritti, le informazioni pertinenti e necessarie a tal fine

Da questa categoria, e dai relativi obblighi, sono escluse le enciclopedie online (es Wikipedia), i servizi disponibili da meno di tre anni e quelli che producono meno di dieci milioni di euro di fatturato annuo.

La libertà di espressione

La libertà d’espressione è un concetto molto ampio che comprende nelle sue varie articolazioni la libertà di parola, la libertà di stampa, e dunque anche la libertà di informare ed essere informati, e riguarda non solo il contenuto dell’informazione, ma anche i mezzi della sua diffusione: è chiaro che qualsiasi limitazione apportata a tali mezzi incide anche sul diritto di ricevere e comunicare informazioni.

Come la stessa Corte Europea ha rilevato più volte, oggi Internet è diventato uno dei principali strumenti con cui gli individui esercitano il proprio diritto di espressione e informazione, e “la possibilità per i singoli individui di esprimersi su internet costituisce uno strumento senza precedenti per esercitare la libertà di espressione”.

Sebbene rappresenti un diritto fondamentale dell’individuo, come sancito dall’articolo 10 della Corte Europea dei Diritti dell’Uomo (CEDU) e dall’articolo 11 della Carta dei Diritti Fondamentali dell’Unione Europea, e sia strettamente correlata all’esigenza di esprimere il proprio pensiero, in quanto espressione ultima e più alta del concetto di libertà individuale, la libertà di espressione non è esente da limitazioni che le legislazioni nazionali e il diritto internazionale prevedono espressamente.

Proprio per la natura di diritto fondamentale, qualunque sua limitazione, quindi, dovrà essere, oltre che prevista per legge, giustificata e proporzionata rispetto all’obiettivo.

Sulla base del principio di proporzionalità, si dovranno pertanto applicare limitazioni solo laddove siano necessarie e rispondano a finalità di interesse riconosciuto dall’Unione o a esigenze di proteggere diritti e libertà altrui; e nel caso sia possibile scegliere tra diverse misure appropriate, essendo la libertà di espressione un diritto fondamentale, sarà opportuno scegliere quella misura meno restrittiva del diritto. In particolare poi, è necessario prevenire gli abusi e fornire agli individui strumenti per esercitare i proprio diritti.

Tutte queste garanzie sono ancora più importanti quando l’ingerenza può essere effettuata attraverso un trattamento automatizzato (si veda causa C-311/18 Facebook Ireland – Schrems, punto 176).

La posizione della Polonia

L’articolo 17 della Direttiva non fornisce alcun dettaglio in merito a quali misure i fornitori di servizi di condivisione di contenuti on line dovrebbero mettere in atto per effettuare il controllo preventivo richiesto sui contenuti ma, secondo l’interpretazione della Polonia, per soddisfare il requisito del “massimo sforzo” richiesto ai tali fornitori non solo per non rendere disponibile materiale per i quali abbiano ricevuto informazioni pertinenti e necessarie da parte dei titolari dei diritti ma anche per impedire, nel futuro, il caricamento di materiali soggetti al diritto d’autore che sono stati oggetto di una segnalazione da parte dei titolari dei diritti, vista la grande quantità di dati coinvolta, non si può che ricorrere a sistemi di filtraggio automatico (detti anche upload filters), ovvero programmi informatici automatizzati in grado di scansionare i contenuti nel momento in cui vengono caricati sulla piattaforma, di controllarli ed eventualmente di bloccarli o di impedirne il caricamento, qualora tali contenuti risultassero non conformi. In genere, gli upload filter sono costituiti da:

  1. un database di dati “illeciti”, che nel caso della Direttiva Copyright consiste nel materiale protetto dal diritto di autore;
  2. un algoritmo che confronta il materiale protetto presente nel database con i contenuti caricati, verificando se esistono sovrapposizioni.

Tutto ciò, ha sostenuto la Polonia, “costituirebbe un’ingerenza particolarmente grave nel diritto alla libertà di espressione e d’informazione degli utenti dei servizi di condivisione, dal momento che, da un lato, comporterebbe il rischio che contenuti leciti siano bloccati, e dall’altro, l’illiceità, e quindi il blocco dei contenuti, sarebbe stabilita in modo automatico da algoritmi e ancor prima di qualsiasi diffusione dei contenuti stessi”.

Secondo il governo polacco, ciò avverrebbe senza le opportune garanzie in grado di assicurare il rispetto del diritto della libertà di espressione e di informazione, quindi in violazione del diritto fondamentale e del principio di proporzionalità, poiché sarebbe equiparabile a una sorta di “censura preventiva”.

La posizione della Corte Europea

La Corte Europea, rigettando il ricorso, rileva che effettivamente l’articolo 17 della Direttiva 2019/790 prevede una limitazione del diritto alla libertà di espressione, perché il filtraggio preventivo rappresenta di fatto una restrizione, ma sussistono tutte le garanzie necessarie a tutelare il diritto alla libertà d’espressione, e specificatamente:

  • la responsabilità dei fornitori per eventuali contenuti illeciti sorge solo a condizione che i titolari dei diritti forniscano le informazioni pertinenti e necessarie sui contenuti. Se queste informazioni mancano, non ci potrà essere responsabilità per il fornitore che consente la pubblicazione di quei contenuti, pur in assenza di una specifica autorizzazione;
  • soltanto i contenuti che violino manifestamente il diritto dei titolari dovranno essere bloccati dai filtri automatizzati, mentre i contenuti leciti non dovranno mai essere bloccati;
  • I fornitori hanno l’obbligo di informare i propri utenti riguardo all’utilizzo di contenuti soggetti a limitazioni del diritto d’autore;
  • i fornitori non hanno alcun obbligo di sorveglianza generale dei contenuti immessi dagli utenti, mentre è possibile per i titolari dei diritti individuare contenuti illeciti; in questo caso la segnalazione deve contenere elementi sufficienti per evitare che sia il fornitore a effettuare un esame giuridico approfondito dell’illiceità dell’opera;
  • i fornitori devono mettere a disposizione degli utenti appropriate modalità di reclamo contro la disabilitazione dei contenuti;
  • la Commissione è incaricata di organizzare dialoghi tra le parti interessate per discutere le “migliori prassi” per la cooperazione tra fornitori di servizi e titolari dei diritti, e di emanare orientamenti e linee guida sull’applicazione dell’art. 17 per raggiungere un equilibrio tra i diritti fondamentali.

Il “Regime di responsabilità speciale”, che ha come scopo quello di “stabilire l’equilibrio tra i diritti e gli interessi dei fornitori, dei loro utenti e dei titolari dei diritti”, dice la Corte, si è reso indispensabile in quanto il mercato dei contenuti on line è diventato molto più complesso che in passato, e i servizi di condivisione on line sono oggi una delle fonti principali di accesso ai contenuti, senza poi trascurare “la particolare importanza di Internet per la libertà di espressione e di informazione”.

D’altra parte, aggiunge ancora la Corte, “Gli Stati membri sono tenuti, in occasione della trasposizione dell’articolo 17 della direttiva nel loro ordinamento interno, a fondarsi su un’interpretazione di tale disposizione atta a garantire un giusto equilibrio tra i diversi diritti fondamentali tutelati dalla Carta dei Diritti Fondamentali”.

Quali impatti per la privacy degli utenti

Per soddisfare i requisiti dell’articolo 17 della Direttiva, e stabilire se i contenuti siano soggetti o meno al diritto d’autore, gli operatori dei servizi di condivisione dei contenuti on line dovranno necessariamente utilizzare filtri automatizzati, e pertanto si ritroveranno a scansionare e filtrare miliardi di post, video, audio, foto condivise sui social media, al fine di rintracciare potenziali violazioni del diritto d’autore.

Si rende applicabile a questa situazione il Regolamento per la Protezione dei Dati Personali (o GDPR)? Ricordiamo che con il termine “dato personale” si fa riferimento a “qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente” (GDPR Art. 4(1)).

Se consideriamo un utente di Meta, o di un qualsiasi altro social network, che pubblica un post, è assai probabile che tale post contenga riferimenti a persone fisiche e pertanto contenga anche dati personali.

Inoltre, l’utente di Meta, per pubblicare il contenuto, dovrà essere un utente autenticato e pertanto la stessa trasmissione del post conterrà riferimenti all’utente stesso. Se poi il contenuto fosse anche anonimizzato, approccio non sempre possibile, il post sarebbe quasi sicuramente corredato di metadati (es. indirizzo IP del computer), informazioni nuovamente riconducibili all’utente e ancora dati personali.

Quindi appare inevitabile l’applicazione del GDPR all’eventuale trattamento effettuato dai filtri richiesti al soddisfacimento dell’articolo 17 della Direttiva Copyright.

Il GDPR e il trattamento automatizzato dei dati

Ricordiamo poi che in base all’articolo 22 (1) del GDPR l’utente (o interessato) ha il diritto di “non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Lo scopo del legislatore è stato quello di proteggere l’utente da decisioni dannose, provocate da un algoritmo: pensiamo, ad esempio, alla valutazione di solvibilità su un individuo, che, se negativa, provocherà il rifiuto di un prestito da parte della banca.

Generalmente i filtri automatici non entrano nel merito dei contenuti (ivi compresi i metadata) ma si limitano a “confrontare” tali contenuti per prendere decisioni. I filtri automatici necessari al soddisfacimento dell’articolo 17, però, oltre a dover confrontare il contenuto del post con le informazioni fornite dai titolari dei diritti, dovranno probabilmente anche essere in grado di stabilire se uno specifico utente può condividere un certo tipo di contenuto.

Un sistema di filtraggio automatizzato in grado di monitorare e rimuovere contenuti, che possono anche contenere le opinioni e le convinzioni degli utenti stessi, può davvero consistere in decisioni che non riguardano gli utenti stessi?

Il rischio è che se il filtraggio per determinare se il contenuto può essere pubblicato deve essere fatto preventivamente, alcuni contenuti legittimi potrebbero essere bloccati per errore, ed essendo un errore, tale trattamento non sarebbe uguale per tutti gli utenti. Pertanto, si verrebbero a creare situazioni potenzialmente discriminatorie, con impatti significativi sugli utenti.

Altro caso potrebbe essere quello di un utente che si vede censurato un contenuto che era atteso da un certo tipo di pubblico. Sebbene non ci siano effetti giuridici, tale situazione potrebbe provocare un danno economico all’autore del contenuto, e coinvolgere la sua libertà di impresa.

Appare quindi inevitabile supporre che, le eventuali decisioni di un filtraggio automatizzato preventivo avranno impatti sugli utenti.

Ricordiamo poi che esistono, in base all’ articolo 22(2) GDPR, solo tre casi in cui è lecito applicare un processo decisionale automatizzato:

  1. la decisione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento;
  2. la decisione è autorizzata dal diritto dell’Unione o di uno Stato membro, cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
  3. la decisione si basa sul consenso esplicito dell’interessato.

Non sembra possibile poter considerare un filtro automatizzato “necessario per la conclusione o l’esecuzione di un contratto”. “Necessario” va sempre interpretato in maniera restrittiva, e non è sufficiente che il trattamento sia menzionato nei termini d’uso del servizio stesso. Se risultano misure preventive alternative meno invasive, il ricorso a un filtro completamente automatizzato non può essere considerato “necessario”.

Si potrebbe poi pensare che il ricorso al filtro automatizzato sia lecito in quanto autorizzato dall’articolo 17 della Direttiva. In realtà che la Direttiva richieda esplicitamente l’utilizzo di un filtro automatizzato per l’analisi preventiva dei contenuti è argomento assai dibattuto e controverso. Nella sua versione finale, il testo della Direttiva non contiene alcun riferimento esplicito agli “upload filters”, ma parla di “misure preventive”. Anche in questo caso, quindi, non sembra soddisfatta la condizione del GDPR Art. 22(2).

Per quanto riguarda il consenso, il GDPR stabilisce che esso deve essere libero, specifico, informato, non ambiguo ed esplicito, ovvero l’utente deve fornire una dichiarazione inequivocabile o effettuare una qualche azione esplicita per esprimere tale consenso. Quindi sarebbe questo il tipo di consenso necessario per poter applicare un trattamento completamente automatizzato. Ma quale utente, che vuole pubblicare un contenuto, sarebbe disposto a far scandagliare tale contenuto a un algoritmo che potrebbe decidere di vietarne la pubblicazione?

Inoltre, anche se una delle suddette condizioni fosse applicabile, il titolare del trattamento (il fornitore della piattaforma quindi) dovrebbe comunque identificare e adottare “misure adeguate” (GDPR Articolo 22(2)(b)) per tutelare i diritti e le libertà dell’interessato; gli utenti poi dovrebbero, per contestare o rivalutare la decisione di rimozione, poter ricorrere all’intervento umano da parte del fornitore e il fornitore dovrebbe essere completamente trasparente circa le modalità e le finalità del blocco e della rimozione dei contenuti.

Conclusione

Ne consegue che, stabilito che l’articolo 17 della Direttiva 2019/790 richiede dei presidi atti a tutelare il diritto alla libertà di espressione, sarebbe opportuno che i legislatori nazionali, nell’applicazione della Direttiva, considerassero anche le implicazioni relative alla privacy e alla protezione dei dati e perseguissero l’approccio alla minimizzazione dei relativi rischi, oltre a quelli relativi a libertà di espressione e diritto d’autore.

Indubbiamente tutto ciò potrebbe anche portare al dover rinunciare ad algoritmi di filtraggio completamente automatizzato.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5