Federica Paolucci
The European Media Freedom Act: (another) new chapter in the digital regulation saga
1. Journalists today face continuous challenges amid the digital landscape. The pressures extend beyond the ubiquitous influence of social media on information dissemination; they also encompass the integration of cutting-edge technologies like Artificial Intelligence (AI) systems into the journalist profession. It is no news that social media plays a central role in the curation of content, design, and control of the exposure of political and democratic discourse, exercising a de facto editorial role over the public’s reaching of a certain new opinion. Since the Israeli-Palestinian conflict spread in 2023, social media, especially platforms such as TikTok or Meta, has played a significant role in reporting and covering the escalation of violence. As of 10 October 2023, the hashtag #Palestine has some 27.8 billion views, and the hashtag #Israel has 23 billion on TikTok. The decision to make a piece of content go viral ultimately rests with the service provider, exercising editorial control over the content delivered to user groups. This aspect might trigger the protection of freedom of expression and media pluralism – which is a precondition for enjoying most democratic freedoms, such as the electoral vote – and by orienting editorial choices and news coverage.
To tackle these issues, the European Union just published in the Official Journal the European Media Freedom Act (hereafter, EMFA), Regulation (EU) 2024/1083 that aims at seizing “opportunities within the internal market, while at the same time protecting the values that are common to the Union and to its Member States, such as the protection of fundamental rights” (Rec. 2). Saying it differently, the new rules aim at protecting media freedom while seizing new potential market expansion, such as addressing the issue of media concentration (Art. 26) and transparency of media ownership (Rec. 32 – 33). The problem is not a trivial one: in Italy, for example, as the newsletter Charlie edited by Il Post also pointed out, the ties between some companies and the newspapers are very close and are witnessed by a series of publications, especially in their economics sections.
On these and other planes of conflict, including political interference in journalism, the EMFA regulation rests. This commentary will outline the Regulation’s main features and the novelties it will introduce; in the second part, the focus will be on a potential conflict with the Digital Services Act concerning safeguarding editorial content published by media service providers on very large online platforms (VLOPs).
2. The Media Freedom Act represents a comprehensive legislative endeavour as it serves to harmonise disparate national regulatory frameworks concerning media services, thereby facilitating the seamless functioning of the internal market while preempting impediments to the operational efficacy of media service providers across EU member states.
Furthermore, EMFA will need to be coordinated with existing legislative frameworks such as the Digital Services Act (DSA) and the Digital Markets Act (DMA), which primarily focus on regulating online services but may not comprehensively address sector-specific challenges encountered within the media landscape. The Media Freedom Act thus serves as a complementary mechanism, specifically targeting issues that remain inadequately covered by the DSA and DMA.
Noteworthy among its provisions is the establishment of a robust and enforceable framework delineating the obligations of national regulatory authorities. This framework pertains particularly to addressing entities systematically engaged in disseminating disinformation, engaging in information manipulation, or interfering with media operations, including those financed or controlled by certain third countries. By imposing clear regulatory standards, the Act aims to mitigate the deleterious effects of such practices on the internal market and safeguard editorial autonomy. Moreover, coordination with the European Code of Practice on Disinformation will be ensured as specified by Rec. 56. As a matter of fact, it is proposed the establishment of a structured dialogue facilitated by the European Regulators Group for Audiovisual Media Services (ERGA), between key stakeholders involved in the dissemination and regulation of online content. The dialogue aims to address several objectives, such as bringing together representatives from VLOPs, media service providers, and civil society.
Among the many aspects touched by the Regulation, the Act’s core aims to safeguard the integrity of journalistic practices by mitigating national restrictions that impede the free dissemination of information and encroach upon the operational autonomy of media service providers. Concurrently, it champions the preservation of editorial independence by countering instances of external interference in editorial decision-making processes and harmonising protections across diverse regulatory landscapes present among member states (Art. 5).
Moreover, the Act confronts the pervasive threat of state interference in public service media, recognising the imperative of mitigating undue influence to foster a level playing field within the single market and uphold the quality of public broadcasting (Rec. 72). It also pursues to control the use of surveillance instruments toward journalists (Rec. 25 and 26), such as ‘spyware’, that “should only be deployed where it is justified by an overriding reason of public interest” and “it is provided for in Union or national law […] in compliance with Article 52(1) of the Charter as interpreted by the Court of Justice and with other Union law” (Rec. 26).
Particularly, in the digital sphere, EMFA acknowledges the complexities brought forth by rapid digitalisation, particularly concerning the provision of media services on large online platforms: the purpose is to ensure equitable market conditions and fair competition, thereby promoting a conducive environment for media diversity and innovation (Section 4). Furthermore, the Act aims to harmonise national regulatory measures to alleviate market fragmentation stemming from divergent regulations. Transparency in audience measurement systems emerges as another critical focal point, with the Act aiming to address opacity and potential biases that may distort market dynamics (Art. 24).
Lastly, it establishes the European Board for Media Services (Art. 8-12), which will replace the ERGA; the Act designs its independence (Art. 9), its governance system (Art. 10-11) and entrusts it with specific tasks (Art. 12). As it has been observed by the commentators, the competences of the Board are going to be even broader than the one of the ERGA, as under Art. 12 is required to (a) “support the Commission, through technical expertise”; (b) “promote cooperation and exchange”; (c) “advise the Commission”, upon its request on “regulatory, technical or practical aspects”; (d) provide opinions on “technical and factual issues”.
3. The comprehensive horizontal framework of the EMFA establishes a very detailed sectorial regulation that, however, is not immune to criticism. They are mostly related to the tasks of the Board and its independence, as well as the legal basis and the role of the VLOPs.
On this last point, the relations between private actors and journalists come at stake precisely with respect to the removal (i.e., suspension) of content from the platform itself. Thus, Art. 17 outlines a provision safeguarding editorial content published by media service providers on very large online platforms (VLOPs). In the event that such providers assert compliance with specific conditions to a VLOP, they are entitled to preferential treatment for their content within the moderation practices of that platform. A comparable provision had been previously deliberated within the DSA, proposed as a mandatory “media exemption” encompassing general terms and conditions and notice-and-action mechanisms. This provision now undergoes renewed consideration outside the DSA, without formal amendment to the DSA itself, by introducing the new EMFA provision. In more granular terms, Article 17(1) mandates VLOP to offer a self-declaration functionality for the specific category of their “recipients” (i.e., users). These users must be identified as belonging to the group of media service providers who are independent and subject to some form of regulatory oversight in their function.
This provision is worrisome for two reasons: substantive and procedural.
Within the first issue, Art. 17 states that VLOPs shall take «all possible measures» to communicate to the media service provider the reasons for the decision to suspend the provision of its service concerning content provided by that media service provider that is incompatible with its terms and conditions (Article 17(2) EMFA). The substantive problem is compliance: it is not well clarified if, where and when platforms should act, and, in terms of contrasting disinformation, this might create pitfalls in the circulation of fake news. On a procedural level, Art. 17 does not provide any procedural mechanism or mention any sort of procedural safeguard for the media service providers to contrast the VLOPs’ decision. This aspect seems to contrast with the logic of the DSA, which, instead, establishes specific obligations on VLOPs for dispute settlements (Art. 20 – 21). Instead, Art. 17(4) only specifies that:
«where a media service provider that submitted a declaration pursuant to paragraph 1 considers that a provider of very large online platform frequently restricts or suspends the provision of its services in relation to content provided by the media service provider without sufficient grounds, the provider of very large online platform shall engage in a meaningful and effective dialogue with the media service provider, upon its request, in good faith with a view to finding an amicable solution for terminating unjustified restrictions or suspensions and avoiding them in the future. The media service provider may notify the outcome of such exchanges to the Board».
It says nothing about what happens if the entire service is suspended, as also observed by scholars. The issue is not insignificant: the lack of ad hoc procedural mechanisms and the presence of interpretative doubts as to the extent of the ability of VLOPs to suspend contents opens up several issues relating to the application of the rule and, consequently, to the practical and expeditious protection of the persons concerned. Journalists and media service providers have given their delicate role in protecting freedom of expression and information. The risk is of fragmenting VLOP’s obligations and, as a result, of the protection of rights, creating a loophole mechanism that harms the very scope of the EMFA: securing the market against undemocratic positions coming from the political world and stagnating in and by the digital realm.
4. In conclusion, the European Media Freedom Act (EMFA) stands as a landmark legislative effort within the European Union to address the multifaceted challenges confronting media freedom, pluralism, and editorial independence. Its soon entering into force – expected on 7 May 2024 – marks a significant step toward harmonising regulatory frameworks across Member States and fostering a conducive environment for vibrant media ecosystems. By establishing clear obligations for national regulatory authorities and tackling issues such as disinformation, external interference in editorial decision-making, and state interference in public service media, the EMFA seeks to safeguard the integrity of journalistic practices and promote media diversity and innovation in the digital age. However, the Act is not without its criticisms, particularly regarding provisions related to the relationship between journalists and very large online platforms (VLOPs). Concerns about substantive compliance and procedural safeguards highlight the need for further refinement and clarification to ensure the effective protection of freedom of expression and information. As the EMFA comes into force, it is imperative for stakeholders to engage in meaningful dialogue and collaboration to address these concerns and uphold the core principles of media freedom and democracy within the digital landscape. Only through concerted efforts can EMFA fulfil its mission of securing the market against undemocratic influences and advancing the fundamental rights enshrined in the European Union.
6 Maggio 2024
Whatever it takes? The AI Act regulatory crucible
Introduction
The European Union will seemingly be the first to adopt a regulation on Artificial Intelligence. After a 36-hour negotiating marathon, EU policymakers have reached a political agreement on the AI Act, the proposal for a regulation of the European Parliament and the Council on laying down harmonised rules on artificial intelligence. Although there are a number of uncertainties as to whether Europe will be able to create a globally applicable regulatory model, the AI Act indeed represents an archetype with which the use and application of artificial intelligence systems will have to be compared.
The European Union’s AI Act, a landmark regulation on Artificial Intelligence, is on the horizon, marking a crucial step in shaping global AI governance. The actual shape of the text is the result of years of work, culminating when the Commission published the proposal in April 2021; then, the workload passed to the Council and the European Parliament. They both amended the text right up to the last vote by the latter in June 2023, which marked the beginning of the trilogues. The negotiations addressed 21 open issues, covering open source, foundation models, governance, national security, and prohibited practices. Though the press received the political agreement with great fanfare, the last word on the AI Act has not yet been said. It is recent news that during the last COREPER (Committee of Permanent Representatives), France, Germany, and Italy voted against implementing the AI Act and pushed for further discussion in February’s meetings. This does not mean that the AI Act will be blocked, but it is undoubtedly an indication that the agreement is being carefully considered by the member states, especially where they hope to have some leeway in their favour.
Thus, at the moment, it is impossible to make any sort of predictions about the content and the outcome of the finalised version. Besides the Q&A published by the Commission and the press release disseminated by the European Parliament, the content of the agreement is still kept secret by the institutions (in fact, the last documents available date back to the agreement reached by the European Parliament at first reading). For this reason, this comment will briefly identify the main features of the document, on what we know so far, and will attempt to recapitulate the changes that have taken place with respect to the regulation of facial recognition uses, which were, among others, the subject of intense debate at the amendment and trilogue stage.
The AI Act ID card
The versions of the AI Act highly differ from one another, as scholars pointed out. Starting with a robust market-oriented approach from the European Commission, the Council and the European Parliament tried to temperate this direction by adapting the initial proposal to the value framework of the Union – i.e., further elaborating the mechanism of the fundamental rights impact assessment – and to the challenges uprisen during the institutional work.
On the first aspect, the AI Act relies on a conceptualisation of AI regulation that pursues innovation – e.g., by regulating the development, marketing and use of this technology – while protecting fundamental rights. The Regulation aims at facilitating the ‘placing onto the market and the putting into use and service of artificial intelligence in conformity with Union values’ (Rec. 2 and 3), trying to contrast the excessive and uncontrolled use of AI while also looking at its technological and economic value towards market consistency.
On the second aspect, it is worth mentioning that the AI Act derives its normative technique from the Reg. EU 2016/679, the General Data Protection Regulation (hereafter, GDPR), based on a risk-based approach. The Commission had already presented its interest in pursuing an approach to ensure the development and uptake of lawful and trustworthy AI through ‘risk-based’ and proportionality assessments in the 2020 White Paper on Artificial Intelligence. According to this model, the intensity of the rules, compliance measures, and constraints imposed differ depending on the risks derived from a given AI system or its use. Under the GDPR, this system made possible the protection of fundamental rights through the regulation of protection of the internal market and the creation of enforcement mechanisms reaching well beyond EU borders. As a matter of fact, the choice of high-risk use cases seems to be very episodic and appears to be a reaction to the challenges mentioned above. Challenges that, as in the case of ClearviewAI and the rapid escalation of ChatGPT, made the legislator consider these AI systems more carefully. While it is positive that, during the regulatory design phase, it swiftly addressed a pressing issue that posed a significant risk to individual protection, it prompts contemplation about what will transpire once the process concludes and the text is finalised. Will the AI Act be trustworthy, stretched and future-proof enough to be applicable to new or no popular uses of artificial intelligence? This holds particularly true if one considers the need for mandatory AI safety standards and the reconciliation with other normative frameworks – e.g., product safety – on which it is hoped the trilogues focused.
What happened to face recognition technologies?
As far as what was publicly shared, one of the topics that heated the debate in the trilogues has been the regulation of biometric recognition technologies, of which the most infamous use is face recognition (FRT): a technology that enables automatic identification and recognition of an individual both real-time and ex post. This AI use became particularly known to the general public after the Clearview AI scandal and grasped the EU legislator’s fears due to its potential in law enforcement.
Thus, the regulation of face recognition technologies has undergone concrete and significant turns. The AI Act is imposing regarding FRT dedicated norms that will not just complement the applicability of the previous ones but will stand over them. Therefore, while providing that the rules in question must ‘continue to comply with all requirements resulting from Article 9(1) of Regulation (EU) 2016/679, Article 10(1) of Regulation (EU) 2018/1725 and Article 10 of Directive (EU) 2016/680 – Law Enforcement Directive (LED) – as applicable’ (Rec. 24), the AI Act is strictly mandating the conditions upon which FRT can be placed in the market and put into service.
Considering the potential backlashes on the protection of fundamental rights of this technology – primarily but not exclusively, the right to privacy and data protection as protected by the CFEU – FRT was labelled with the highest level of risk. As mentioned above and observed by scholars, the EU has followed this approach in various policies targeting the digital ecosystem to adapt the enforcement of rules based on concrete risk scores. Unlike the GDPR, it does not leave concrete evaluations of risks to the programmers or deployers of given systems. The AI Act impose an ex-ante evaluation of risks that, as anticipated, makes one wonder about its capability to become a ‘framework of compliance’ that does not overburden the AI programmers and does not excessively impair innovation.
Speaking of facial recognition technology, this falls under the ‘unacceptable risk’ label, as anticipated. Besides the LED and the GDPR, the proposal builds on the soft law documents, in particular, on the White Paper on AI, the recommendations of the ‘High Level Expert Group on AI’, as well as the international guidelines, such as those of the CAHAI elaborated within the Council of Europe.
Therefore, the AI Act was awaited to clarify the application of FRT within the EU. The purpose was to create a proportional approach to balance the safety and protection of fundamental rights without blocking them. Hence, while waiting for the final text, it is good to recapitulate the approach that the European Union has pursued so far regarding the regulation of FRTs to understand the outcome of the negotiations better.
First, the Commission’s proposed approach was to consider the use of ‘biometric identification systems’ particularly intrusive, and it established a few exceptions, almost based on the GDPR’s one, art. 9. Second, the Council’s compromised text added the distinction between ‘real-time’ and ‘remote biometric identification systems’ and extended the list of objectives for law enforcement to use ‘real-time’ biometric identification. Lastly, the European Parliament’s compromised text provided for further harmonisation while recognising the risks related to the use of FRT.
If, initially, the proposed text distinguished between ‘the placing on the market’ and the ‘putting into service’ of FRT, the EP compromise text is ripped off it. However, it still distinguishes biometric identification systems from ‘remote’ (Art. 3, para 36) to ‘real time’ (Art. 3, para 37). As was observed by other scholars, the distinction creates more confusion than clarity. This applies also to the list of exceptions to the general prohibition of using biometric systems in publicly available spaces. Notably, the Commission’s proposal allows for Member States to authorise specific uses, such as to prevent serious crimes, search for missing children, prevent a particular or imminent to the life or physical safety of natural persons, and the detection, localisation, identification, or prosecution of a perpetrator of a crime, or suspect of a crime, with a sentence of at least three years. Lastly, the prohibition does not touch on the use of ‘remote biometric identification’ for non-law enforcement purposes, which regulation falls under the GDPR.
From this fast overview, two main issues are evident. First, the AI Act does not list criteria for when AI poses unacceptable risks to society and individuals; it just states the presumption of risk. As scholars pointed out, besides the listed prohibited uses, further expansion of Art. 5 scope of application will amount to an amendment of the Act. This choice is considered arbitrary and worrisome since it only examines part of the AI life cycle.
Secondly, this lack of clarification leads to the biggest challenge of the AI Act, which seems to be its enforceability. Thus, even though the EP version of the text is under Art. 59, imposes on the Member States an obligation to establish or designate a national supervisory authority (NSA) that will act as market surveillance authority; it needs to be better specified how the centralisation of this system will work, considering that Member States have different attitudes to the use of FRT – i.e., France is trying to apply FRT in the next Olympics.
Conclusion
In the press release of 9 December 2023, the European Parliament specified that a deal was found on the banning of FRT use with respect to biometric categorisation (together with emotion recognition), but it also introduces exemptions for law enforcement agencies, and exclusions of sensitive operation data from transparency requirements. Nonetheless, this approach will seemingly influence the use of FRT, even beyond the AI Act, both from a territorial and material scope of application. As has been repeatedly stated, all judgment is suspended in view of the actual publication of the text. What can still be said, however, is that the compromise has made proportionality prevail at the expense of the bans proposed by Parliament. The difficulty for the legislator will now be to construct the safest of balances that can avoid the creation of invasive surveillance systems. The EU still needs to prove that it did ‘whatever it takes’ to protect fundamental rights.
22 Gennaio 2024
(Don’t) remember my name: il diritto all’oblio nella recente pronuncia C-460/2020 della Corte di Giustizia dell’Unione Europea
Le tecnologie stanno modificando anche il rapporto dell’uomo con la memoria: è sempre più facile ricordare, ma, al contempo, è sempre più complesso dimenticare ed essere dimenticati.
La Corte di Giustizia dell’Unione Europea, sin dalla sentenza ai più nota col nome di Google Spain (o il caso Costeja), C-131/12, ha tentato di arginare il rischio di essere esposti a una perenne memoria digitale attraverso l’applicazione del diritto all’oblio. Meglio identificato come “diritto alla cancellazione”, o anche “diritto alla de-indicizzazione”, la Corte ha riconosciuto il diritto dell’interessato a veder cancellati i risultati di ricerca relativi al proprio nome. Deindicizzare significa di fatto oscurare un contenuto e non cancellarlo. Ciò che viene eliso è l’inserimento di detto contenuto nell’elenco dei risultati di ricerca relativi all’interessato. Tale diritto è stato oggetto di un acceso dibattito giurisprudenziale e dottrinale in Europa e non solo, soprattutto in merito alle concrete modalità applicabili dal gestore di un motore di ricerca alle richieste di de-indicizzazione (si veda F. Giovannella, 2022). Una scelta, quest’ultima, che ha delle ripercussioni nel bilanciamento tra protezione dei dati personali, libertà d’espressione e libertà di informazione. Ebbene, proprio in merito al legame tra riservatezza e informazione, la Corte di Giustizia dell’Unione Europea si è più volte pronunciata, cercando di dettare una guida tanto per le Corti nazionali quanto per i gestori di motori di ricerca su come gestire le sempre più numerose richieste di deindicizzazione (ex multis, C-507/17, Google LLC v. CNIL).
Su questo tema, si appunta la recente sentenza pronunciata dalla Corte nella causa C-460/2020, T.U. e R.E. contro Google LLC. Pur non essendo un tema nuovo, il caso in esame sembra essere di una certa rilevanza proprio perché tenta di cercare un nuovo bilanciamento tra gli articoli 7 e 8, e l’art. 11 della Carta dei Diritti Fondamentali dell’Unione Europea. Si rammenterà che in Google Spain la Corte, discostandosi dall’Opinione dell’Avvocato Generale, non aveva effettuato un adeguatamente pesato il diritto alla privacy con il diritto all’informazione (O. Pollicino, 2022), prediligendo una quasi assoluta protezione del primo a scapito del secondo. La pronuncia in esame quindi, almeno apparentemente, intende distanziarsi dalle soluzioni individuate nel caso Costeja. Tuttavia, come si dirà, la Corte, seppur, da un lato, si mostri consapevole dell’impatto che il gestore del motore di ricerca ha acquisito quale demiurgo dell’identità personale di ognuno, risultando in «un’ingerenza più rilevante nel diritto fondamentale al rispetto della vita privata della persona interessata che non la pubblicazione da parte dell’editore della suddetta pagina web» (§3 delle Conclusioni dell’Avvocato Generale), dall’altro, non chiarisce la posizione ambigua in cui questi si trova.
La vicenda riguarda una richiesta di deindicizzazione presentata da T.U., che occupa posizioni di responsabilità e detiene partecipazioni in diverse società, e R.E., che era la sua compagna e, fino a maggio 2015, procuratrice di una di dette società. Gli interessati avevano inviato una richiesta al motore di ricerca, Google, in qualità di titolare del trattamento, affinché venisse eliminato il link a tre articoli che, al parere dei ricorrenti, contenevano affermazioni inesatte o non veritiere. La richiesta riguardava anche lo scollegamento tra ricerca del nome e risultato, anche con riguardo alle miniature delle immagini riportate negli articoli che venivano proposte nei risultati di ricerca nella sezione immagini. Al diniego opposto dal motore di ricerca, in qualità di titolare del trattamento, la coppia dei ricorrenti ha proposto ricorso presso il Tribunale locale competente. Tuttavia, a seguito del rigetto delle loro domande sia in primo grado che in appello, i ricorrenti nel procedimento principale hanno proposto un ricorso per cassazione dinanzi al Bundesgerichtshof, la Corte federale di giustizia della Germania. Quest’ultima, preso atto delle domande dei ricorrenti, ha inviato domanda di pronuncia pregiudiziale ex art. 267 TFUE vertente sull’interpretazione dell’articolo 17 para. 3 lett. a) del Regolamento (UE) 2016/679 (di seguito, anche GDPR).
La Corte federale, chiedendo un’interpretazione sistematica dell’art. 17 para. 3 lett. a) del GDPR con gli articoli 7, 8, 11 e 16 della Carta dei Diritti Fondamentali dell’Unione Europea, ha consentito alla Corte europea di esaminare, anzitutto, la portata degli obblighi e delle responsabilità incombenti al gestore di un motore di ricerca nel trattare una domanda di deindicizzazione fondata sull’asserita inesattezza delle informazioni incluse nel contenuto indicizzato. D’altro canto, il giudizio ha altresì riguardato l’onere della prova gravante sull’interessato per quanto riguarda tale inesattezza, e, da ultimo, la necessità, in merito alla domanda di eliminazione delle fotografie, di tener conto del contesto iniziale della pubblicazione delle suddette fotografie in Internet.
Risolte le questioni preliminari in merito all’applicazione ratione temporis del GDPR, la Corte ha ribadito la distinzione tra il trattamento dei dati personali effettuato da quest’ultimo rispetto a quello in capo all’editore. Com’è chiaro, Google non può essere considerata responsabile delle informazioni inserite nell’articolo. Bensì, l’attività consiste nel far sì che tale articolo sia potenzialmente accessibile a qualsiasi utente di Internet, a partire da una ricerca basata sulle parole chiave del contenuto, quale possono essere, ad esempio, il nome e cognome della persona di cui si tratta (§50 della sentenza). Come chiarisce l’Avvocato Generale Pitruzzella, il motore di ricerca è in tutto e per tutto un «gatekeeper dell’informazione» (§3) poiché effettua una scelta (unilaterale) in merito alle informazioni, anche relative all’identità personale, che vengono rese accessibili alla generalità degli utenti.
In senso contrario si era pronunciato il Tribunale Superiore del Land, laddove escludeva che potesse porsi in capo al gestore un obbligo di qualche genere nel caso di informazioni inesatte, poiché questo non svolgeva una vera e propria attività di content moderation e, di conseguenza, non aveva alcun obbligo di controllare la veridicità di quanto riportato (§23). Tuttavia, la Corte distingue di fatto le due posizioni. Si chiarisce che il motore di ricerca è onerato rispetto all’indicizzazione di una pagina Internet pubblicata da terzi, «potendo una visualizzazione siffatta del link in questione in tale elenco incidere significativamente sui diritti fondamentali della persona considerata al rispetto della sua vita privata e alla protezione dei suoi dati personali» (§52 della sentenza e §3 delle Conclusioni dell’A.G.). Sempre in merito al ruolo del gestore del motore di ricerca, la Corte conferma la qualificazione dell’attività dei motori di ricerca come «trattamento di dati personali», e l’individuazione del gestore come «responsabile» o titolare del trattamento di tali dati personali. Ciò che sembra essere una, anche parziale, novità è l’affermazione di una necessità di operare da parte del titolare del trattamento il bilanciamento in questione, verificando se il risultato della ricerca effettuata «a partire dal nome dell’interessato sia necessario per l’esercizio del diritto alla libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina Internet» (§55).
La Corte prosegue, dunque, indicando i criteri che devono essere applicati al contesto in esame. Richiamando anche la giurisprudenza della Corte EDU in merito al grado di tollerabilità richiesto a un soggetto che svolge una vita pubblica (cfr. da ultimo Khural e Zeynalov c. Azerbaijan, 6 ottobre 2022, CE:ECHR:2022:1006JUD005506911), il gestore del motore di ricerca è invitato a operare un’analisi caso per caso della ingerenza di una notizia nella vita privata di un individuo, nonché di valutare se il diritto all’informazione degli utenti di Internet e la libertà di espressione del fornitore di contenuti possano prevalere sulla richiesta di deindicizzazione presentata dall’interessato (§61-64). Identificando, quindi, come notizia solamente quella che non contiene inesattezze, né giudizi di valore, i giudici stabiliscono che si possono giovare della protezione di cui all’art. 11 della Carta di Nizza solo gli articoli che contengono elementi di fatto verificabili. A tal riguardo, non si richiede al gestore di ricercare quest’ultimi, in quanto l’onere della prova ricade sul richiedente (§64-72), il quale deve fornire «elementi di prova pertinenti e sufficienti, idonei a suffragare la sua richiesta e atti a dimostrare il carattere manifestamente inesatto delle informazioni incluse nel contenuto indicizzato» (spec. §72).
Passando all’esame della seconda e ultima questione, la Grande Sezione si è altresì pronunciata relativamente alla rimozione delle miniature delle fotografie contenute negli articoli oggetto di una richiesta di deindicizzazione. Non occorre ribadire l’ovvio, ossia che, pur trattandosi di miniature, queste, se inserite nel contesto di un articolo, acquistano un rilievo informativo tanto quanto il contenuto “a parole” dell’articolo. L’habeas data, per dirla alla Rodotà, si estende a fortiori anche al controllo sulla propria immagine, alla quale devono essere applicati gli stessi canoni di continenza, correttezza e pertinenza previsti per gli elementi di fatto di un’informazione. La Corte, pertanto, fornisce degli utili elementi per commisurare il valore informativo di dette fotografie, allorché estrapolate dal contesto dell’articolo e visualizzate unicamente sotto forma di miniature nell’elenco dei risultati ottenuto a seguito di una ricerca effettuata sul motore di ricerca. Dunque, l’immagine, quale «mezzo di comunicazione non verbale», come è noto, può avere un impatto persino più forte sugli utenti di Internet rispetto alle pubblicazioni testuali (§100). D’altro canto, il testo che accompagna direttamente la visualizzazione di tali fotografie, deve essere preso in considerazione nella valutazione del valore informativo dell’immagine stessa. In un’ottica di bilanciamento, la Corte ha chiarito che in questo caso il gestore del motore di ricerca effettua un trattamento autonomo, poiché consente all’utente che svolge una ricerca per nome di accedere all’immagine. Detta visualizzazione, è il vero e ultimo risultato della ricerca dell’utente, il quale potrebbe non avere alcun interesse ad atterrare sulla pagina che originariamente aveva pubblicato detta fotografia. In linea con le tendenze dei social media, alla fotografia viene, dunque, riconosciuto un valore informativo amplissimo, perfino superiore a quello della parola scritta. Per non pregiudicare, dunque, l’effetto della deindicizzazione della pagina Internet da cui sono tratte, da questa dipende il destino delle fotografie, la cui visualizzazione, in tal caso, deve essere eliminata.
In conclusione, l’elemento davvero innovativo di questa sentenza non risiede tanto nel ruolo del gestore del motore di ricerca quale silenziatore o promotore dell’informazione, e nemmeno nel canone da applicare alla deindicizzazione delle miniature. Il vero quid novi è da rinvenire nell’ambigua posizione in cui viene messo il motore di ricerca che, in qualità di gatekeeper dell’informazione, viene chiamato a seguire una procedura, coniata dalla Corte, per vagliare la legittimità di una richiesta di deindicizzazione. Il «procedural data due process», come denominato dall’Avvocato Generale (§42-50 delle Conclusioni), richiede al gestore del motore di ricerca di svolgere una sorta di giudizio di merito, la cui fase istruttoria è preliminare all’accoglimento della richiesta di deindicizzazione. Una fase che assume una rilevanza sostanziale, giacché, al parere della Corte, l’interessato non deve necessariamente corredare la propria domanda di una pronuncia giudiziale che sancisca l’inesattezza delle informazioni (§72-74) delle quali si domanda lo scollegamento con la query di ricerca. Il rimedio descritto, dunque, viene proposto per contrastare il rischio di imporre al gestore del motore di ricerca «obblighi generali di non ospitare pubblicazioni contenenti informazioni false ovvero obblighi generali di accertamento della falsità o meno di informazioni oggetto di una domanda di deindicizzazione» (§49 delle Conclusioni). Orbene, la soluzione individuata dall’A.G. e fatta propria dalla Grande Sezione, sembra andare nella direzione di depotenziare la portata censoria del gatekeeper attraverso una serrata proceduralizzazione delle modalità di deindicizzazione. Una soluzione che pare ispirarsi alla tecnica normativa di cui il legislatore europeo sembra fare ampio uso. La procedura descritta, difatti, sembra avere tutte le caratteristiche per sfiorare i confini fragili tra potere pubblico e potere privato in ambito digitale. Tuttavia, senza voler contestare la necessità di un cambio di rotta in merito alla proceduralizzazione delle modalità di godimento taluni diritti, qual è, ad esempio, il caso del “diritto alla deindicizzazione”, nel caso in esame, la Corte si è, ancora una volta, posta rispetto a problemi attuali in una modalità piuttosto creativa. Pur mantenendo come obiettivo ultimo quello assicurare agli individui una maggiore tutela della loro identità, si auspica che il diritto alla cancellazione possa andare incontro a un potenziamento di carattere sostanziale e procedurale che lo avvicini alla sua natura più autentica di diritto a essere dimenticati.
19 Gennaio 2023
La guerra alla disinformazione nella sentenza T-125/2022 della Corte di Giustizia dell’Unione Europea
La Grande Camera del Tribunale della Corte di Giustizia dell’Unione Europea ha emesso in data 27 luglio 2022 una sentenza che si appunta sulla legittimità della Decisione (PESC) 2022/351 adottata dal Consiglio in reazione all’invasione russa a danno dell’Ucraina. La Decisione in esame, che è stata seguita dal Regolamento (UE) 2022/350, riguarda l’imposizione di una serie di misure restrittive alla Russia. A seguito dell’attacco militare avvenuto il 24 febbraio 2022, le istituzioni europee hanno condannato l’invasione attraverso comunicati stampa e sanzioni, come annunciato dalla Presidente della Commissione europea, Ursula von der Leyen. Oltre al piano bellico tradizionale, il conflitto tra i due Paesi si è sin da subito svolto anche nello spazio cibernetico e in quello mediatico. Consapevole della forza potenzialmente distruttiva e polarizzante dei messaggi comunicativi, il Consiglio ha vietato la trasmissione totale di programmazioni televisive russe sul territorio dell’Unione. Il divieto ha riguardato in particolare i canali Russia Today (di seguito, RT) e Sputnik e consisteva, appunto, nel vietarne la trasmissione o la distribuzione con qualsiasi mezzo come cavo, satellite, IP-TV, fornitori di servizi internet, piattaforme di condivisione di video su internet o applicazioni, sia nuove che preinstallate.
Contro la Decisione (PESC) 2022/351, la ricorrente, RT France, ha adito il Tribunale de qua domandandone l’annullamento dando avvio alla procedura ex art. 263 TFEU. Le motivazioni del ricorso adducevano, in rito, la carenza di competenza del Consiglio nell’assumere una tale Decisione, e, nel merito, si soffermavano sulla violazione della Carta dei diritti fondamentali dell’Unione Europea. In particolare, la ricorrente lamentava l’inosservanza del diritto alla difesa, di cui all’art. 41 della Carta, della libertà d’impresa, ex art. 16, e della libertà d’espressione, ex art. 11, e il mancato rispetto del principio di non discriminazione.
Con riguardo al primo motivo di impugnazione, il Tribunale ha valutato la documentazione prodotta dal Consiglio e ha verificato che taluni contenuti diffusi da RT France fossero effettivamente di carattere propagandistico e a sostegno dell’azione russa ai danni dell’Ucraina (si vedano paragrafi 177-185). La minaccia, dunque, superato il confine dell’aggressione fisica, e lambendo il piano della comunicazione, rappresentava un’aggressione anche mediatica dannosa per la sicurezza della comunità. Tale aspetto ha permesso al Tribunale di sussumere la fattispecie nel quadro della “Community Foreign Security Policy” e di poter ritenere competente il Consiglio ad assumere una siffatta Decisione. Il Tribunale ha, difatti, chiarito che “adottando la Decisione impugnata, il Consiglio ha quindi esercitato la competenza conferita all’Unione dai Trattati nell’ambito delle disposizioni relative alla politica estera e di sicurezza comune” (par. 57). Ha aggiunto che “poiché le campagne di propaganda e disinformazione sono in grado di minare le fondamenta delle società democratiche e sono parte integrante dell’arsenale della guerra moderna, le misure restrittive in questione rientrano anche nel perseguimento degli obiettivi assegnati all’Unione dall’articolo 3, paragrafi 1 e 5, del TUE” (par. 56). Giova sottolineare che il Consiglio ha agito in applicazione dell’articolo 29 del Trattato sull’Unione Europea (TUE) e dell’articolo 215 del Trattato sul funzionamento dell’Unione Europea (TFUE), entrambi concernenti la politica estera dell’UE. Attraverso queste previsioni normative, il Consiglio è dotato della facoltà di adottare delle misure restrittive contro persone, gruppi o entità non statali che abbiano come effetto l’interruzione o la riduzione delle relazioni economiche e finanziarie dei Paesi terzi. Adducendo, dunque, come giustificazione di una tale Decisione la minaccia significativa e diretta all’ordine pubblico dell’azione della Russia, il Consiglio ha, dapprima, adottato delle sanzioni temporanee, per poi estenderle sino al 31 gennaio 2023. A nulla è valsa, infatti, l’obbiezione della ricorrente per cui l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), ossia l’Autorità per le Comunicazioni Francese, fosse altresì competente a pronunciarsi in materia, sicché ciò non esclude la competenza del Consiglio.
Essendosi pronunciato, da un lato, sulla carenza di indipendenza dal governo russo del canale RT France (in part. paragrafo 173), e, dall’altro, sula competenza del Consiglio e la legittimità rituale della Decisione, il Tribunale è passato a considerare la violazione del diritto di difesa della parte ricorrente. Il Consiglio aveva, difatti, assunto la Decisione inaudita altera parte, valutando gli elementi di rischio e il caso di particolare gravità e urgenza: elementi insufficienti al parere di RT France per giustificare una tale restrizione delle libertà fondamentali (parr. 69 e 70). In particolare, la ricorrente lamentava che, se ascoltata, il Consiglio non avrebbe assunto la Decisione in questi termini. Il Tribunale, anche in questo caso, ha censurato le affermazioni di RT France, e, constata la presenza di un fumus boni iuris a sostegno della Decisione del Consiglio, ha affermato che non vi era “alcun argomento addotto dalla ricorrente per dimostrare che il procedimento avrebbe potuto condurre a un risultato diverso se fosse stata ascoltata prima dell’adozione delle misure in questione o se le fossero state comunicate in precedenza le ragioni della loro applicazione” (par. 99).
Anche le tempistiche e le modalità con cui la ricorrente è stata edotta della Decisione sono state, al parere del Tribunale, sufficienti a garantire che la stessa avesse potuto prendere “conoscenza delle ragioni specifiche e concrete che giustificano l’adozione delle misure contestate, cosicché non ha il diritto di invocare una motivazione inadeguata a tale riguardo” (par. 114).
Venendo al terzo motivo di impugnazione, il Tribunale ha riconosciuto che effettivamente il Consiglio, imponendo una restrizione alle trasmissioni, stava ponendo in essere un’interferenza con l’esercizio della libertà d’espressione. Richiamato il test del bilanciamento, ben noto alla Corte Europea dei Diritti dell’Uomo (ex multis, ci si riferisce alla sentenza della Grande Camera della Corte Edu, Chassagnou e altri c. Francia, nn. 25088/94, 28331/95, 28443/95), il giudice europeo ha verificato la proporzionalità della misura applicata, nel rispetto dell’articolo 52 della Carta. In particolare, il bilanciamento con l’art. 11 della Carta ha tenuto in considerazione l’entità del blocco e il conflitto con l’esercizio della libertà d’impresa. Entrambi gli aspetti sono stati risolti dal Tribunale tenendo in considerazione la temporaneità della misura: “un divieto generale e assoluto di trasmissione costituirebbe un vero e proprio atto di censura e non potrebbe essere considerato necessario o proporzionato per raggiungere effettivamente gli obiettivi invocati dal Consiglio” (par. 129). Pertanto, è nel carattere reversibile della sanzione imposta il quid che il Tribunale ha posizionato sul piatto della bilancia, ritenendo che altrimenti sarebbe stata danneggiata l’attività imprenditoriale di RT France e, soprattutto, la libertà d’espressione. Con riguardo, da ultimo, all’asserita violazione del principio di non discriminazione sulla base della nazionalità, il Tribunale, nel rigettare anche quest’ultimo motivo di impugnazione e valutato il carattere necessario delle limitazioni imposte, ha confermato ancora una volta che la Decisione del Consiglio è stata guidata dalla salvaguardia della pubblica sicurezza, minacciata dai contenuti pubblicati a sostegno dell’aggressione subita dall’Ucraina, e non dal fatto che la rete televisiva si finanziava con fondi provenienti dal governo russo.
Le tematiche affrontate dal giudizio in esame sono numerose e profonde. Il divieto totale di trasmissione è la misura più severa che possa essere imposta a qualsiasi mezzo di comunicazione. Il momentum nel quale si è inserito questo giudizio pare, peraltro, piuttosto fertile. Dimostrata la ancora contemporanea rilevanza dei servizi di comunicazione tradizionali, come appunto le trasmissioni televisive – un aspetto che giustamente, come nota Ylenia Citino, sembra talvolta tralasciato dalle priorità di policy della Commissione – la sentenza del Tribunale pare inserirsi nel quadro più complesso di un nutrito dibattito sull’incidenza di disinformazione e discorsi d’odio negli equilibri democratici. Su questi temi, si è impegnata anche una nutrita parte della produzione normativa e regolatoria della Commissione Europea: basti considerare il Digital Services Act, la proposta del Media Freedom Act, e il nuovo Codice Rafforzato contro la Disinformazione.
Orbene, nel caso in esame, il divieto non ha riguardato solamente i contenuti propagandistici: il Consiglio ha esteso il blocco totale a attività giornalistiche che in vero coprono vari settori e non solo contenuti legati alla guerra, come hanno notato alcuni commentatori. Tuttavia, in applicazione dell’art. 20 del Patto internazionale sui diritti civili e politici che stabilisce che “qualsiasi propaganda di guerra è vietata dalla legge” (par. 207 della sentenza), il Tribunale ha ulteriormente giustificato la valutazione del Consiglio. È indubbio come una tale misura appaia necessaria in un contesto come quello attuale, anche memori dell’effetto che le campagne di disinformazione possono avere sull’opinione pubblica (mutatis mutandis, basti pensare alla nota vicenda che ha riguardato l’allora presidente statunitense, Donald Trump).
Pare chiaro però che il blocco totale non possa essere permanente, come anche ribadito dal Tribunale, e che, pertanto, presto o tardi si dovranno prendere in considerazione strade differenti, quali appunto prevedere blocchi di contenuti a sostegno della guerra, e non dell’intera attività di impresa di un provider. Ebbene, il divieto del Consiglio sembra mancare di una solida base giuridica sicché i menzionati articoli del TUE e TFUE non prevedono né menzionano l’applicazione per attività di propaganda. A ciò si aggiunga che il Tribunale non ha per nulla considerato la giurisprudenza della Corte Europea dei Diritti dell’Uomo, se non quando si è ispirato ai criteri del bilanciamento. Un eminente precedente da considerare avrebbe potuto essere la sentenza OOO Flavus e altri contro la Russia (Terza Sezione, nn. 12468/15 23489/15 19074/16), ove la Corte EDU si è pronunciata in merito all’oscuramento totale di un sito web da parte della Russia rilevando la violazione dell’art. 10 della Convenzione. In quel caso, peraltro, la Corte aveva individuato una serie di garanzie legislative per evitare blocchi eccessivi e non proporzionali.
Alla luce di questo e molte altre pronunce di stesso segno, parrebbe difficile giustificare la Decisione del Consiglio, sicché impone un divieto di sei mesi a RT France, già prorogato di altri sei mesi. Inoltre, parrebbe ancor più difficile affermare che la medesima possa soddisfare i requisiti delle garanzie procedurali dell’articolo 10 CEDU, soprattutto se si considera che si tratta di un organo composto da funzionari politici, non indipendente e non specializzato. In conclusione, la Decisione preventiva del Consiglio, assunta inaudita altera parte, se da un lato può essere motivata tenendo conto della minaccia della guerra alle porte dell’Unione e delle preoccupazioni degli effetti della disinformazione, sembra difficilmente ammissibile nella sua interezza. Il blocco totale della trasmissione, della distribuzione e dell’accesso attuato nei confronti di RT France ha l’effetto pratico di estendere la portata del divieto ben oltre i contenuti presumibilmente illegali presi di mira, costituendo tutt’altro che la via meno intrusiva per raggiungere il medesimo scopo. In conclusione, con la sentenza in commento, il Tribunale della Corte di Giustizia è intervenuto a difesa degli interessi dell’Unione: il rischio è, tuttavia, che la situazione d’emergenza possa giustificare la cristallizzazione di un modus operandi che potrebbe risultare, soprattutto nel lungo periodo, del tutto incompatibile con l’obiettivo perseguito.
28 Settembre 2022