Aprire la scatola dell’algoritmo: il Digital Services Act ha imposto trasparenza sulla profilazione e il funzionamento delle piattaforme online, con obbligo per i fornitori di collaborare con le autorità e sottoporsi ad audit indipendenti.
Ventidue anni dopo l’entrata in vigore dell’E-Commerce Directive, il nuovo quadro normativo UE sui servizi digitali ha stabilito una nuova cultura di prevenzione dei rischi sistemici, con un nuovo sistema di governance interstatale e sanzioni fino al 6% del fatturato annuale delle piattaforme.
Indice degli argomenti
Cos’è il Digital Services Act
Il Digital Services Act è il nuovo regolamento sui servizi digitali, approvato dal Parlamento Europeo il 5 luglio 2022 insieme al Digital Markets Act. I due provvedimenti compongono il Digital Services Package, che diventerà esecutivo dal 2023 ed è stato definito dalla Presidente della Commissione Europea Ursula von der Leyen come un accordo storico “in termini sia di rapidità che di sostanza”.
Per promuovere il corretto funzionamento del mercato interno dei servizi digitali UE, il Digital Services Act ha modificato le norme esistenti secondo il principio: “ciò che è illegale offline dovrebbe essere illegale anche online”.
Il regolamento riguarda varie tipologie di servizi digitali:
- mercati online;
- social network;
- piattaforme di condivisione dei contenuti;
- piattaforme di viaggio online e di alloggio;
- app store;
- servizi di intermediazione (es. provider Internet e register di domini);
- servizi di cloud e hosting web;
- piattaforme di economia collaborativa.
Il Digital Services Act si applica infatti ai “servizi delle società dell’informazione”, cioè a tutti gli intermediari che offrono servizi a distanza, per via elettronica/telematica, su richiesta, solitamente retribuita, di un destinatario.
L’obiettivo a lungo termine è creare un ambiente digitale sicuro e affidabile, che tuteli in modo concreto i diritti dei consumatori e allo stesso tempo aiuti l’innovazione e la competitività.
Gli obiettivi del Digital Services Act
Il nuovo regolamento velocizza le procedure per la rimozione dei contenuti illegali e migliora il controllo pubblico sulle piattaforme online, soprattutto su quelle più diffuse, che raggiungono oltre il 10% della popolazione europea.
Nello specifico, tra gli obiettivi del Digital Services Act troviamo:
- proteggere i diritti dei consumatori garantendo loro maggiore sicurezza;
- contrastare la diffusione di contenuti illegali, la manipolazione delle informazioni, la disinformazione online;
- offrire al consumatore e agli utenti commerciali di servizi digitali scelta più ampia e costi più contenuti;
- istituire un quadro normativo chiaro, efficace e di immediata applicazione nell’ambito della trasparenza e della responsabilità delle piattaforme online;
- promuovere l’innovazione e la competitività nel mercato, facilitando l’avvio di startup e lo sviluppo delle PMI,
- fornire accesso ai mercati europei per gli utenti commerciali di servizi digitali;
- favorire un maggiore controllo democratico e una migliore vigilanza sulle piattaforme;
- potenziare tracciabilità e controlli sugli operatori commerciali nei mercati online (anche attraverso controlli casuali per verificare l’eventuale ripubblicazione di contenuti illegali).
Gli obblighi per le piattaforme
Il DSA ha mantenuto le linee guida dell’E-commerce Directive ma ha introdotto nuove norme in materia di trasparenza, obblighi informativi e accountability (responsabilità).
Gli obblighi del regolamento sono proporzionati al tipo di servizio offerto e al numero di fruitori.
Per questo, le piattaforme intermediarie di servizi vengono suddivise in quattro categorie:
- intermediary services;
- hosting (es.cloud);
- online platform (es. social media)
- very large platform.
Ogni categoria comporta obblighi specifici, da assolvere entro quattro mesi dall’assegnazione.
Gli obblighi principali, comuni a tutte le tipologie, sono:
- indicare in modo chiaro le condizioni di servizio e i relativi requisiti;
- fornire informazioni esplicite sulla moderazione dei contenuti e sull’uso degli algoritmi per i sistemi di raccomandazione dei contenuti, che potranno comunque essere contestati dagli utenti;
- adottare trasparenza nei sistemi di suggerimento e nelle pubblicità online rivolte agli utenti;
- non utilizzare pubblicità mirata rivolta ai bambini o basata su dati sensibili degli utenti;
- non utilizzare pratiche ingannevoli volte a manipolare le scelte degli utenti, compresi i dark pattern;
- collaborare con le autorità nazionali se richiesto;
- denunciare i reati;
- creare un meccanismo di reclamo e ricorso e risoluzione extragiudiziale delle controversie;
- adottare misure contro le segnalazioni e le repliche abusive;
- controllare le credenziali di fornitori terzi, secondo il principio del “conosci il tuo cliente commerciale” (KYBC), anche attraverso controlli a campione.
Le piattaforme online e i motori di ricerca di grandi dimensioni, a partire da 45 milioni di utenti al mese, presentano rischi più elevati, quindi devono rispettare obblighi più rigorosi.
Tra questi:
- obblighi in materia di gestione dei rischi, di risposta alle crisi e di prevenzione di abuso dei propri sistemi;
- condivisione dei propri dati chiave e dei propri algoritmi con le autorità e con i ricercatori autorizzati per comprendere l’evoluzione dei rischi online;
- collaborazione nelle risposte alle emergenze;
- codici di condotta specifici;
- prevenzione dei rischi sistemici come la diffusione di contenuti illegali o con effetto negativo su diritti fondamentali, processi elettorali, violenza di genere, salute mentale;
- obbligo di sottoporsi ad audit indipendenti, cioè alla verifica della correttezza dei dati di bilancio e delle procedure adottate;
- abilitazione degli utenti al blocco delle “raccomandazioni” basate sulla profilazione.
Sono esenti dai nuovi obblighi i provider che forniscono attività di “mere conduit”, ovvero semplice trasporto, caching e hosting: queste attività, infatti, non sono ritenute responsabili delle informazioni salvate su richiesta di un destinatario del servizio.
A condizione che il fornitore:
- non abbia conoscenza reale di eventuali attività o contenuti illegali,
- dopo esserne venuto a conoscenza, agisca con tempestività per rimuovere il contenuto illegale o disabilitarne l’accesso.
Le sanzioni per le violazioni del DSA possono arrivare al 6% del fatturato annuo totale e i destinatari dei servizi digitali possono chiedere un risarcimento per danni o perdite subite a seguito di violazioni ad opere dalle piattaforme.
Altri motivi di sanzione per le piattaforme sono:
- presentazione di informazioni scorrette, incomplete o fuorvianti;
- mancata rettifica delle informazioni presentate;
- mancato assoggettamento ai sopralluoghi.
In questi casi, come stabilito dall’art.42 del DSA, le sanzioni devono essere inferiori all’1% del reddito o del fatturato annuo.
La Governance
Il Digital Services Act ha previsto due nuove figure:
- il Compliance officer, designato dalle “very large online platforms” con il compito di monitorare l’osservanza del regolamento da parte delle aziende. Una figura interna all’impresa, con precise competenze professionali indicate dal DSA e l’obbligo di imparzialità e trasparenza nel giudizio;
- il Digital Services Coordinator, nuova autorità nazionale indipendente che deve vigilare sull’applicazione del regolamento con obblighi di trasparenza, imparzialità, tempestività di azione e report annuale sulle proprie attività. Come previsto dall’art.38, ha il compito di garantire il coordinamento nazionale sulle norme, nonché di gestire i reclami contro i provider e di indagare sulla presenza di illeciti con potere di ispezione. Accertato l’illecito, ha il compito di imporre la cessazione della violazione con sanzioni e penalità di mora, fino a chiedere alle autorità giudiziarie di Stato la restrizione temporanea dell’accesso dei destinatari al servizio interessato.
I coordinatori nazionali dei servizi digitali di tutti i Stati membri compongono il comitato europeo per i servizi digitali, presieduto dalla Commissione Europea, che supporta il coordinamento interstatale e la vigilanza sulle grandi piattaforme.
La tutela dei minori online
Il DSA ha ribadito, all’art.24, la priorità degli interessi del minore su quelli commerciali e pubblicitari.
L’articolo, dedicato alla “trasparenza della pubblicità online”, ha infatti stabilito il divieto di impiegare “tecniche di targeting o amplificazione che trattano, rivelano o inferiscono i dati personali dei minori o delle persone vulnerabili ai fini della visualizzazione della pubblicità”.
Il divieto di trattare per fini commerciali i dati dei minori era già stato stabilito dalla direttiva UE 2018/1808 sui servizi audiovisivi: la novità apportata dal DSA è che oltre alla sanzione a posteriori, gli eventuali danni sui minori rientrano nell’obbligo di valutazione del rischio sistemico.
In particolare, si chiede alle piattaforme di svolgere valutazioni di impatto dei rischi sistemici che riguardano “eventuali effetti negativi per l’esercizio dei diritti fondamentali al rispetto della vita privata e familiare e alla libertà di espressione e di informazione, del diritto alla non discriminazione e dei diritti del minore, sanciti rispettivamente dagli articoli 7, 11, 21 e 24 della Carta”.