27 Ott Digital Services Act: maggiore trasparenza per gli utenti e approccio risk-based per le imprese

Autori: Federico Gatta, Eleonora Margherita Auletta, Andrea Strippoli

Il Digital Services Act (o DSA)[1], entrato in vigore lo scorso 16 novembre 2022, intende rappresentare oggi il principale punto di riferimento della legislazione europea per la regolamentazione dei servizi di intermediazione online. Seppur sia già applicabile ad un rilevante numero di piattaforme online e motori di ricerca di grandi dimensioni, la nuova regolamentazione troverà piena applicazione a partire dal prossimo 17 febbraio 2024.

Il DSA – da leggere congiuntamente al Digital Markets Act (DMA, entrato in vigore pressoché contestualmente al DSA)[2] – ha il dichiarato obiettivo di creare uno spazio digitale sicuro che sia in grado di garantire adeguata tutela per i diritti fondamentali degli utenti dei servizi digitali, ed in particolare maggiore trasparenza e controllo nella fruizione dei servizi online, assicurando contestualmente condizioni paritetiche per la promozione dell’innovazione, della crescita e della competitività a livello europeo e globale per le imprese. Il DSA, seguendo un approccio risk-based, si inserisce a pieno titolo nella più ampia strategia di regolamentazione dell’ecosistema digitale e di data governance che l’Unione europea sta portando avanti da diversi anni, da cui discendono altre rilevanti regolamentazioni di recente o prossima approvazione (tra cui il Data Governance Act[3], il Data Act[4] e l’AI Act[5]).

Ambito applicativo del DSA: tipologie di servizi e presupposti territoriali

Il DSA si rivolge ai c.d. “servizi intermediari” della società dell’informazione. I destinatari ricompresi nella definizione di servizi intermediari sono individuati dall’art. 3(g) del DSA, e nello specifico si fa riferimento a quei fornitori che offrono:

• • • • servizi di “mere conduit” (o semplice trasporto), che consistono tipicamente nel trasmettere, su una rete di comunicazione, le informazioni fornite da un destinatario del servizio o nel fornire accesso a una rete di comunicazione;
      • servizi di “caching”, che – mediante la memorizzazione temporanea delle informazioni – rendono più efficiente la trasmissione delle stesse su una rete di comunicazione elettronica verso altri destinatari;
      • servizi di “hosting”, che prevedono la memorizzazione delle informazioni fornite dal destinatario del servizio su richiesta dello stesso (diversamente dai servizi di caching, tale memorizzazione non ha però natura temporanea).

Tra i servizi intermediari, il DSA ricomprende anche quelli forniti dai motori di ricerca online e dalle piattaforme online: queste ultime infatti non solo offrono un servizio di memorizzazione delle informazioni su richiesta del destinatario del servizio, ma prevedono anche la messa a disposizione di tali informazioni verso il pubblico[6] (si pensi, a mero titolo esemplificativo, ai social network, agli app store, ai marketplace e/o ai servizi di condivisione dei contenuti, ma anche ai servizi di messaggistica che facilitano la condivisione di contenuti mediante gruppi e/o canali aperti al pubblico).

Va comunque rilevato come specifici obblighi supplementari particolarmente onerosi, i quali hanno già cominciato ad esplicare i propri effetti negli scorsi mesi, siano rivolti principalmente ai motori di ricerca online e ai fornitori di piattaforme online di grandi dimensioni – cioè quelli che, ai sensi dell’art. 33(4) DSA, registrano un numero medio mensile pari o superiore a 45 milioni di utenti attivi – nell’ottica della gestione dei rischi sistemici.

Quanto ai presupposti territoriali, il DSA trova applicazione rispetto ai servizi intermediari offerti a destinatari il cui luogo di stabilimento si trova nell’Unione europea o che vi sono ubicati, indipendentemente dal luogo di stabilimento dei prestatori di tali servizi intermediari. In sostanza, il legislatore europeo ha comprensibilmente individuato un criterio di applicazione (extra) territoriale con l’evidente obiettivo di garantire adeguata tutela ai cittadini europei anche verso quei fornitori di servizi stabiliti oltreoceano, ogni qualvolta essi offrano i propri servizi digitali nel contesto del mercato europeo[7].

Contrasto alla diffusione di contenuti illegali e maggiore trasparenza per gli utenti

Tra gli obiettivi di tutela che sono alla base della nuova regolamentazione dei servizi digitali, deve menzionarsi anzitutto il tentativo di contrastare la disinformazione che ormai caratterizza spesso la fruizione di contenuti disponibili sul web. A tal riguardo, vengono previsti alcuni specifici doveri in capo ai fornitori di servizi intermediari individuati sopra per prevenire la diffusione online di contenuti illegali[8] tra cui:

• • • • l’adempimento di obblighi informativi verso le competenti autorità (artt. 9 e 10 DSA) e di obblighi periodici di reportistica verso gli utenti in relazione ai meccanismi di moderazione applicati ai contenuti (art. 15 DSA);
      • la predisposizione di meccanismi di segnalazione e azione a disposizione degli utenti per rilevare la presenza di contenuti potenzialmente illegali (art. 16 DSA);
      • l’implementazione di misure tecniche e organizzative adeguate a gestire in via prioritaria delle segnalazioni ricevute da figure qualificate che agiscano entro i margini di competenza loro affidati (c.d. “segnalatori attendibili” ex 22 DSA).

Interessante notare come il DSA contenga anche rilevanti disposizioni in merito alla pubblicità servita sulle piattaforme online (art. 26 DSA), prevedendo in capo a queste ultime alcuni specifici doveri di trasparenza verso gli utenti destinatari del servizio in relazione alla possibilità di identificare chiaramente il carattere pubblicitario dell’informazione e il soggetto per conto della quale essa viene mostrata (e, se diverso, del soggetto che paga per tale pubblicità). Inoltre, circostanza non di scarso rilievo, all’interno del medesimo articolo 26 DSA richiamato sopra (nello specifico, al paragrafo 3 di tale articolo) il DSA introduce anche un espresso divieto alla possibilità di presentare pubblicità sulle piattaforme online che sia basata sulla profilazione[9] utilizzando le categorie particolari di dati personali di cui all’art. 9(1) del Regolamento (UE) 2016/679.

Ulteriore profilo degno di nota – e senza naturalmente alcuna pretesa di esaustività rispetto alle altre rilevanti novità introdotte dalla normativa in commento – è quello relativo alle disposizioni del DSA sui c.d. “sistemi di raccomandazione” utilizzati dalle piattaforme online, che suggeriscono contenuti agli utenti secondo un determinato ordine di priorità calcolato mediante l’utilizzo di sistemi algoritmici parzialmente o totalmente automatizzati[10]. Anche a tal riguardo, il DSA (art. 27) insiste sulla necessità di garantire maggiore trasparenza nei confronti degli utenti, richiedendo ai fornitori coinvolti di specificare all’interno dei propri termini e condizioni, in modo trasparente, semplice e comprensibile, le logiche applicate al funzionamento di tali strumenti, così come le relative giustificazioni e criteri che ne sono alla base.

Conclusioni: implicazioni pratiche e azioni di compliance

Tenuto conto di quanto rilevato sopra, e posto che – sulla falsariga di altre discipline di recente implementazione – anche il DSA adotta un approccio c.d. risk-based, tale per cui gli obblighi previsti dalla nuova disciplina possono variare ampiamente a seconda della categoria di servizi effettivamente applicabile, sarà quindi importante determinare con precisione in quale categoria di servizi possano ricadere i servizi digitali offerti da un’impresa e il conseguente impatto delle previsioni di cui al DSA. La completa applicazione della nuova disciplina europea, prevista per il 17 febbraio 2024, è ormai alle porte, e i soggetti potenzialmente coinvolti saranno tenuti – ove ciò non sia già avvenuto – a valutare tempestivamente le azioni di compliance che si rendano necessarie, tra cui:

• • • • la revisione della documentazione contrattuale rivolta agli utenti in un’ottica di maggiore trasparenza e chiarezza; e
      • l’eventuale svolgimento degli idonei approfondimenti e valutazioni del rischio in merito alle modalità di progettazione e/o al funzionamento dei servizi digitali offerti agli utenti.

[1] Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali), pubblicato nella Gazzetta Ufficiale dell’Unione europea del 27 ottobre 2022. Cfr. EUR-Lex – 32022R2065 – IT – EUR-Lex (europa.eu)

[2] Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio del 14 settembre 2022 relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828 (regolamento sui mercati digitali), entrato in vigore il 1° novembre 2022 a seguito della pubblicazione nella Gazzetta Ufficiale dell’Unione europea del 12 ottobre 2022. Cfr. EUR-Lex – 32022R1925 – IT – EUR-Lex (europa.eu)

[3] Proposta di Regolamento del Parlamento europeo e del Consiglio relativo alla governance europea dei dati (Atto sulla governance dei dati). Cfr. EUR-Lex – 52020PC0767 – IT – EUR-Lex (europa.eu)

[4] Proposta di Regolamento del Parlamento europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati). Cfr.  EUR-Lex – 52022PC0068 – IT – EUR-Lex (europa.eu)

[5] Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione. Cfr.  EUR-Lex – 52021PC0206 – IT – EUR-Lex (europa.eu). Per maggiori approfondimenti relativamente all’AI Act si rimanda al seguente articolo “AI Act: il Parlamento europeo adotta la propria posizione”. Cfr. https://www.ictlc.com/ai-act-il-parlamento-europeo-adotta-la-propria-posizione/

[6] Tranne qualora tale attività sia una funzione minore e puramente accessoria di un altro servizio o funzionalità minore del servizio principale e, per ragioni oggettive e tecniche, non possa essere utilizzata senza tale altro servizio e a condizione che l’integrazione di tale funzione o funzionalità nell’altro servizio non sia un mezzo per eludere l’applicabilità del presente regolamento (cfr. art. 3(i) del DSA).

[7] Art. 2(1) DSA.

[8] I “contenuti illegali” sono definiti all’art. 3(h) del DSA come “qualsiasi informazione che, di per sé o in relazione a un’attività, tra cui la vendita di prodotti o la prestazione di servizi, non è conforme al diritto dell’Unione o di qualunque Stato membro conforme con il diritto dell’Unione, indipendentemente dalla natura o dall’oggetto specifico di tale diritto”.

[9] Da intendersi come profilazione ai sensi dell’art. 4(4) del Regolamento UE 2016/679 (GDPR), restando naturalmente fermi i limiti alla profilazione basata su un trattamento decisionale automatizzato di cui all’art. 22 GDPR rispetto al trattamento delle speciali categorie di dati (cfr. art. 22(4) GDPR).

[10] L’art. 3(s) DSA definisce un sistema di raccomandazione come “un sistema interamente o parzialmente automatizzato che una piattaforma online utilizza per suggerire informazioni specifiche, tramite la propria interfaccia online, ai destinatari del servizio o mettere in ordine di priorità dette informazioni anche quale risultato di una ricerca avviata dal destinatario del servizio o determinando in altro modo l’ordine relativo o l’importanza delle informazioni visualizzate”.