digital service act

Regolamento delegato per gli audit delle Big Tech: ecco gli effetti



Indirizzo copiato

La Ue ha reso noto il Regolamento Delegato che stabilisce le modalità di svolgimento degli audit indipendenti previsti dal Digital Services Act. Le operazioni dovranno essere eseguite dai fornitori di servizi classificati come VLOP e VLOSE entro 16 mesi dalla loro nomina. L’esame del testo lascia però l’impressione di un’occasione mancata

Pubblicato il 27 ott 2023

Riccardo Berti

Avvocato e DPO in Verona

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona



Dark pattern e trasparenza della pubblicità online

Lo scorso 20 ottobre la Commissione Europea ha pubblicato il Regolamento Delegato, emanato ai sensi dell’art. 37 del Digital Services Act (DSA – Regolamento (UE) 2022/2065), che disciplina l’effettuazione degli audit indipendenti previsti dalla normativa.

Il Regolamento Delegato (di cui è attesa la pubblicazione in Gazzetta Ufficiale) disciplina quindi le attività di audit che dovranno essere condotte dai fornitori di servizi qualificati come Very Large Online Platforms and Search Engines (VLOP e VLOSE) entro 16 mesi dalla loro designazione. Considerando che le prime designazioni sono avvenute lo scorso aprile, queste grandi piattaforme saranno tenute ad effettuare il loro primo audit entro agosto 2024 e di lì in avanti a darvi corso annualmente (o più di frequente ove ciò sia opportuno).

Il Regolamento Delegato, che si compone di 36 considerando e 18 articoli, dettaglia i requisiti che pone l’articolo 37 del DSA in capo all’attività di revisione ed ai revisori, che devono essere indipendenti, competenti e obiettivi.

É altresì presente un interessante allegato che costituisce un vero e proprio modello di report dell’audit, comprensivo delle misure raccomandate per risolvere le criticità rilevate dal revisore e di un modulo che il soggetto sottoposto ad audit potrà utilizzare per dar conto di aver risolto le criticità riportate dal revisore, nel modo da questi proposto ovvero in altro modo ugualmente efficace.

Il contenuto del Regolamento Delegato

L’atto appena emanato dalla Commissione UE precisa innanzitutto l’oggetto dell’attività di audit, che deve riguardare l’intera piattaforma o motore di ricerca in ogni sua declinazione e coprire una fascia temporale che inizia dal giorno successivo all’ultimo giorno esaminato dal precedente audit e si chiude durante l’audit stesso (e dovrà essere chiaramente individuata per consentire al successivo auditor di riprendere da dove il precedente si era interrotto). Il primo audit coprirà invece il periodo da agosto 2023 ad agosto 2024 per le VLOP e i VLOSE già nominati, ed il periodo di un anno decorrente dallo spirare del quarto mese dopo la designazione quale VLOP o VLOSE.

Quindi il Regolamento precisa quali sono gli obblighi di cooperazione del gestore della piattaforma o del motore di ricerca, che deve collaborare fornendo ogni informazione necessaria al revisore, inclusi almeno:

  • Una descrizione dei controlli interni ed i dati rilevati da tali presidi nel periodo soggetto ad audit;
  • L’analisi preliminare effettuata dal gestore della piattaforma o del motore di ricerca relativamente al controllo dei rischi (sempre che il gestore vi abbia dato corso);
  • Informazioni su tutte le strutture decisionali del gestore pertinenti alla piattaforma o motore di ricerca, su tutte le competenze dei vari dipartimenti del fornitore, inclusa la funzione di controllo della conformità prevista dall’art. 41 del DSA, tutti i sistemi informatici rilevanti per l’indagine, le fonti dei dati e informazioni sul loro trattamento e conservazione, nonché una spiegazione in merito ai sistemi algoritmici pertinenti e alle loro interazioni.

Il Regolamento Delegato prescrive che le parti (auditor e audited) sottoscrivano un contratto in cui chiariscono nel dettaglio cosa sarà sottoposto ad audit (ovvero il rispetto degli obblighi di cui al DSA, previsti dal capo II del Regolamento “in materia di dovere di diligenza per un ambiente online trasparente e sicuro” calati nello specifico contesto della piattaforma o motore di ricerca gestito dal soggetto sottoposto ad audit. La norma prosegue poi con un singolare elenco di prescrizioni circa il contenuto del contratto che dovrebbero invece essere lasciate all’autonomia delle parti e che sembra davvero anomalo trovare in un testo normativo (addirittura la Commissione pretende che nel contratto fra il gestore VLOP o VLOSE e il revisore sia prevista una procedura per la risoluzione delle controversie fra le parti!).

Quindi si passa ad un esame dei possibili esiti dell’attività di auditing, abbiamo in particolare un esito, da suddividere per i singoli obblighi previsti dalla normativa, che può essere:

  • positivo” laddove il revisore concluda con un livello ragionevole di sicurezza che il gestore VLOP o VLOSE ha rispettato una prescrizione sottoposta ad audit;
  • positivo con commenti” quando il revisore conclude con un livello ragionevole di sicurezza che il gestore controllato ha rispettato una prescrizione sottoposta ad audit, ma:

(i) il revisore include osservazioni sui parametri di riferimento forniti dal gestore controllato, o

(ii) il revisore raccomanda miglioramenti che non hanno un effetto sostanziale sulla sua conclusione.

  • negativo” quando il revisore conclude con un livello ragionevole di sicurezza che il gestore sottoposto ad audit non ha rispettato una prescrizione sottoposta ad audit.

La somma di questi esiti relativi ai singoli obblighi previsti dal DSA dà luogo ad una complessiva “audit opinion” in relazione alla conformità della piattaforma o motore di ricerca preso in esame, ed anch’essa può essere positiva, positiva con commenti o negativa (di fatto basta che l’esame di una delle prescrizioni abbia dato esito “positivo con commenti” per “trascinare” tutta l’opinion a quel livello, ed identico discorso vale nel caso in cui l’esame di una delle prescrizioni abbia dato esito negativo: l’opinion sarà giocoforza negativa).

Il gestore che abbia ricevuto una valutazione “negativa” deve “tenerne debitamente conto” e adottare entro un mese una relazione di attuazione della revisione (di cui è presente un modello nel Regolamento Delegato) in cui dà atto di aver introdotto i correttivi proposti dal revisore o giustificano perché non vi hanno dato corso o hanno dato corso ad altre misure alternative.

Il Regolamento Delegato apre quindi una sezione dedicata alle metodologie di audit, dove è prescritto di indagare rischi intrinseci, rischi di controllo e rischi di individuazione utilizzando metodologie appropriate alla situazione specifica esaminata.

Gli ultimi articoli della normativa si dedicano all’esame di alcuni rischi specifici in relazione ad alcune prescrizioni del DSA di cui verificare il rispetto in sede di audit (tra cui l’art. 37, con il revisore che sarà chiamato a valutare se il fornitore ha rispettato o meno i propri obblighi in tema di auditing), anche se il legislatore europeo non va mai al di là di generiche prescrizioni di adeguatezza, raccomandando test (anche sugli algoritmi) e attività di campionamento (avendo cura di selezionare dati che siano sufficientemente estesi da risultare significativi per l’attività di analisi).

Un’occasione mancata

L’esame del Regolamento Delegato lascia l’impressione di un’occasione mancata, in quanto si tratta di un testo normativo troppo generico e non ritagliato sulla specificità dei soggetti che va a normare.

I soggetti sottoposti ad audit saranno solo poche (anzi pochissime) realtà enormi con decine (in certi casi centinaia) di milioni di utenti ciascuna (ad oggi Alibaba AliExpress, Amazon Store, Apple AppStore, Bing, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Google Search, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando) che peraltro in alcune occasioni fanno capo ad un unico soggetto (Google, su tutti, compare nell’elenco con 5 diverse realtà), è quindi evidente che ci sono specificità e rischi inediti da affrontare per garantire l’effettività dell’attività di audit, specie per assicurare l’indipendenza del revisore (che non appare garantita dall’obbligo di non avere rapporti relativi alle attività oggetto di audit per un anno prima e un anno dopo la revisione) ed evitare che questa attività di audit si trasformi in una costosa “pacca sulla spalla” ai colossi tech che si faranno carico dei relativi costi.

Il Regolamento si limita in alcuni punti chiave a timidi “suggerimenti”, ad esempio proponendo che l’attività di audit sia svolta da più professionisti (essendo impensabile che un solo soggetto possegga tutte le competenze per un’attività di questo tipo).

Sibillina è anche la formulazione relativa alle informazioni da fornire al revisore. Se da un lato l’art. 4 del Regolamento Delegato prescrive l’ostensione di tutte le informazioni necessarie a tale attività, lo stesso articolo indica una serie di informazioni “minime” da fornire, sulle quali è evidente che potrebbero appoggiarsi pigramente dei revisori compiacenti.

Nemmeno è chiarito fino a dove potranno spingersi le richieste dei revisori in relazione agli algoritmi utilizzati dalle big tech, tema centrale in quanto l’obiettivo della trasparenza dell’algoritmo si scontra, anche in sede di audit con proprietà e segreti industriali.

La carenza di indicazioni metodologiche precise potrebbe quindi portare i revisori ad utilizzare metodiche poco incisive specie sulle aree più sensibili, purché all’apparenza “appropriate” (criterio questo, dell’appropriatezza delle misure e metodologie, che fa da cardine al Regolamento Delegato, ma che non appare sufficiente quando si sta cercando di garantire uno standard nell’esaminare uniformemente realtà così grandi).

Nessuna indicazione e specificazione è contenuta, invece, sui requisiti di indipendenza del revisore, che secondo l’articolo 37 DSA non può effettuare altri audit all’azienda per altri 10 anni e non può fornire altri servizi “relativi alle questioni sottoposte a revisione” nell’anno precedente e successivo all’audit, indicazione che lascia spazio a interpretazioni non in linea con lo spirito della norma, non corretta dal Regolamento Delegato, che si limita ad una minima (e peraltro già implicita) indicazione relativa alla necessaria estensione del rispetto dei requisiti di indipendenza anche in capo a società connesse al revisore o comunque da questo incaricate di seguire alcune fasi dell’audit.

Prospettive

Quello dell’attività di audit non sarà quindi, verosimilmente, lo strumento che garantirà l’efficacia ed il rispetto del Digital Services Act.

Tra le varie disposizioni del DSA sul punto, quella che forse è di maggior interesse è quella relativa alla pubblicazione online dei risultati di audit (pur con la possibilità di eliminare parti che il fornitore della piattaforma o motore di ricerca ritenga confidenziali, o che potrebbero condurre a vulnerabilità o compromettere la sicurezza pubblica o danneggiare terzi).

C’è anche da ricordare che il Regolamento DSA ha introdotto una interessante ed inedita disposizione con cui si obbligano le big tech (VLOP e VLOSE) a sovvenzionare le attività di vigilanza sul loro operato.

Vista la natura dei destinatari del regolamento e la intrinseca difficoltà per i soggetti che si occuperanno di audit ad essere incisivi nei confronti di questi colossi, forse la strada da percorrere con maggior decisione è quindi quella della “tassa sui controlli” prevista dall’art. 43 DSA e non invece quella degli audit propugnata dall’art. 37 DSA.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati