il regolamento UE

Digital Services Act, perché cambia tutto per diritti e sicurezza: ecco i punti chiave

Il DSA è un’occasione unica per garantire il pieno rispetto dei diritti umani, nonché un’opportunità fondamentale per rafforzare la sicurezza degli utenti. Se le disposizioni del Regolamento saranno adeguatamente rispettate, il mondo virtuale diventerà a tutti gli effetti uno spazio affidabile e sicuro

Pubblicato il 30 Nov 2022

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Aurelia Losavio

Privacy IT Legal Consultant at P4I

Dark pattern e trasparenza della pubblicità online

Ora che è entrato in vigore, il 16 novembre 2022, uno dei regolamenti Ue più importanti nel digitale, ossia il Digital Services Act o DSA (ora Regolamento Ue 2022/2065 relativo a un mercato unico dei servizi digitali), è il momento di prendere le misure con gli impatti; tenendo conto che la completa applicazione di tale Regolamento è prevista a decorrere dal 17 febbraio 2024[1].

Il DSA stabilisce il principio secondo cui ciò che è illegale offline deve esserlo anche online. Difatti, il presente Regolamento disciplina la pubblicazione dei contenuti digitali tramite la definizione di chiari e proporzionati profili di responsabilità per i prestatori di servizi intermediari. Il tutto, allo scopo di garantire uno spazio online più sicuro, trasparente e prevedibile per gli utenti e le imprese che operano nel mondo virtuale e, al tempo stesso, per affrontare i fenomeni negativi dell’evoluzione digitale come disinformazione, hate speech, commercio di beni/prodotti illegali sul web, condivisione non consensuale di materiale sessuale, cyberstalking, prestazione di servizi in violazione della normativa sulla tutela dei consumatori, utilizzo non autorizzato di materiale protetto dal diritto d’autore.[2]

Digital Services Act, le norme da tenere d’occhio: ecco l’impatto sulla nostra vita online

I principali attori del DSA

Il DSA si applica a tutti i prestatori di servizi intermediari che offrono i propri servizi a destinatari stabiliti o ubicati in Unione europea, indipendentemente dal luogo di stabilimento dei prestatori di tali servizi intermediari. In proposito, le disposizioni del Regolamento chiariscono che un servizio intermediario è uno dei seguenti servizi della società dell’informazione[3]: servizio di semplice trasporto («mere conduit»), servizio di memorizzazione temporanea delle informazioni («caching») e servizio di memorizzazione delle informazioni («hosting»)[4]. A titolo esemplificativo, i soggetti coinvolti dalla normativa in esame sono i prestatori di servizi di intermediazione che offrono infrastrutture di rete come provider di accesso a Internet, centri di registrazione di nomi di dominio, fornitori di servizi di cloud e di web hosting, piattaforme online che riuniscono venditori e consumatori come marketplace online, app store, piattaforme dell’economia collaborativa e social media, le piattaforme online di grandi dimensioni, cioè le piattaforme che raggiungono più del 10% dei destinatari dei servizi stabiliti o ubicati in Ue (circa 450 milioni di consumatori)[5].

È bene tenere a mente che il presente Regolamento introduce degli obblighi differenziati per i prestatori di servizi intermediari. Tali obblighi sono infatti proporzionati in base all’impatto che uno specifico intermediario ha sul mercato e in virtù del numero di utenti che usufruiscono dei suoi servizi. Ciò significa che i motori di ricerca e le piattaforme online di grandi dimensioni (Very Large Online Platforms o VLOPs)[6] saranno destinatari di obblighi più stringenti e supplementari rispetto a quelli previsti per i motori di ricerca e le piattaforme di dimensioni medio-piccole (Small and Medium Enterprises o SMEs). Difatti, per le piattaforme con più di 45 milioni di utenti viene introdotto un regime speciale: per esse e per i motori di ricerca online di dimensioni molto grandi sono previsti ulteriori obblighi, come valutazioni annuali di ampia portata dei rischi di danni online sui loro servizi, ad esempio per quanto riguarda l’esposizione a beni o contenuti illegali o la diffusione di disinformazione.[7] La Commissione europea invita, inoltre, tutte le piattaforme online a comunicare alla stessa i dati degli utenti finali attivi[8]. Così, sulla base di tale informazione, la Commissione valuterà se una piattaforma o un motore di ricerca abbia dimensioni molto grandi. Questi ultimi, infatti, dovranno conformarsi alle disposizioni del DSA a partire da quattro mesi dopo la notifica della loro designazione, nel caso in cui tale data sia anteriore al 17 febbraio 2024 (art. 92 DSA).

Le disposizioni più importanti del DSA

Di seguito, si propone una breve panoramica delle disposizioni più rilevanti del DSA, allo scopo di mettere in risalto le principali novità di tale Regolamento.

Disposizioni rilevanti sulla responsabilità dei prestatori di servizi intermediari

Il Capo II del DSA disciplina la responsabilità dei prestatori dei servizi intermediari. In proposito, si evidenziano gli articoli 9 e 10 del DSA che rispettivamente impongono ai prestatori di servizi intermediari la responsabilità di adempiere agli ordini, emessi dalle autorità giudiziarie o amministrative nazionali competenti, di contrastare i contenuti illegali e di fornire informazioni. Di fondamentale importanza è inoltre la disciplina sull’esonero dalla responsabilità dei prestatori di servizi intermediari, secondo cui essi non sono responsabili delle informazioni trasmesse o memorizzate dai destinatari dei loro servizi, purché sussistano le condizioni per l’esonero di cui agli artt. 4, 5 e 6 del DSA.

No a verifiche ex ante sulle informazioni trasmesse o memorizzate

È molto importante, inoltre, tenere conto del fatto che ai prestatori di servizi intermediari non è imposto alcun obbligo generale di sorveglianza sulle informazioni che tali prestatori trasmettono o memorizzano, né di accertare attivamente fatti o circostanze che indichino la presenza di attività illegali, ai sensi dell’art. 8 DSA.

Maggiore trasparenza

Il DSA prevede, nei confronti dei prestatori di servizi intermediari, degli stringenti obblighi di trasparenza. Difatti, l’art. 15 del DSA impone ai prestatori di servizi intermediari di mettere a disposizione del pubblico delle relazioni chiare e facilmente comprensibili sulle attività di moderazione dei contenuti, almeno una volta l’anno. In più, l’art. 26 del DSA impone ai fornitori di piattaforme online che presentano pubblicità sulle proprie interfacce di attivarsi affinché i destinatari del servizio possano comprendere che l’informazione costituisce una pubblicità, identificare la persona fisica o giuridica per il cui conto è presentata la pubblicità, nonché i parametri impiegati per determinare il destinatario della pubblicità stessa. Parimenti importante è l’art. 27 DSA, il quale obbliga i prestatori di servizi intermediari che si avvalgono di sistemi di raccomandazione dei contenuti online a specificare i parametri usati da tali sistemi. Inoltre, il Considerando 94 del DSA statuisce la necessità di adeguare la progettazione dei sistemi di raccomandazione dei contenuti online, ad esempio adottando misure volte a evitare o comunque a ridurre al minimo le distorsioni che potrebbero portare alla discriminazione delle persone in situazioni vulnerabili.

Meccanismi efficaci di contrasto dei reati

È fatto obbligo ai prestatori di servizi di memorizzazione di dati[9] di mettere a disposizione dei destinatari di tali servizi un meccanismo efficace di “segnalazione e azione” volto a consentire la notifica nei confronti dei prestatori stessi (esclusivamente per via elettronica) della presenza, nel loro servizio, di informazioni che possono costituire contenuti potenzialmente illeciti (art. 16 DSA). In più, tra gli adempimenti più significativi in capo ai prestatori di servizi di informazione vi è l’obbligo di informare senza indugio le autorità giudiziarie o di contrasto dello Stato membro interessato nel caso in cui si venga a conoscenza di informazioni che facciano sospettare che sia stato commesso o che si stia per commettere un reato (art. 18 DSA). Inoltre, nell’ottica di contrastare con efficacia le sfide poste dal digitale, i prestatori di servizi intermediari si impegnano a sospendere immediatamente la prestazione dei loro servizi ai soggetti che forniscono loro con frequenza contenuti manifestamente illegali, ai sensi dell’art. 23 DSA.

Stop ai dark pattern e alla pubblicità mirata basata sulle categorie particolari di dati personali

È significativa la lotta del DSA contro i dark pattern.[10] L’articolo 25 del DSA stabilisce, infatti, che i fornitori di piattaforme online non devono progettare, organizzare o gestire le loro interfacce online in modo da ingannare o manipolare i destinatari dei loro servizi o falsare e compromettere la capacità di questi ultimi di prendere delle decisioni libere e informate.

Altrettanto importante è il Considerando 69 del DSA, il quale stabilisce che i fornitori di piattaforme online non dovrebbero presentare inserzioni pubblicitarie basate sulla profilazione[11] utilizzando le categorie particolari di dati personali di cui all’articolo 9 del GDPR.

Maggiore protezione dei minori e delle vittime di violenza informatica

Ai sensi dell’art. 28 DSA, si prevede una maggiore protezione dei dati dei minori vietando ai fornitori di piattaforme online che siano consapevoli, con ragionevole certezza, che il destinatario del servizio è un minore, la pubblicità mirata basata sul trattamento dei dati dei minori. Inoltre, con i Considerando 12 e 87, il DSA presta particolare attenzione alla necessità di proteggere le vittime di violenza informatica (ad esempio le vittime di revenge porn, di cyberstalking etc.), imponendo alle piattaforme digitali la rimozione di tali contenuti illeciti senza indebito ritardo.

Adempimenti in capo alle “big tech”

Il DSA impone maggiori adempimenti in capo alle big tech stabilendo che i motori di ricerca e le piattaforme digitali di dimensioni molto grandi[12] dovranno:

  • individuare, analizzare e valutare i rischi sistemici significativi derivanti dal funzionamento e dall’uso dei loro servizi nell’Unione (art. 34 DSA);
  • adottare misure di attenuazione ragionevoli, proporzionate ed efficaci, adattate ai rischi sistemici specifici individuati (art. 35 DSA);
  • sottoporsi a revisioni indipendenti, a proprie spese e almeno una volta l’anno, per valutare la conformità ai relativi obblighi (art. 37 DSA).

Poteri della Commissione europea e la nuova figura dei coordinatori dei servizi digitali

Fondamentale il ruolo di maggiore controllo assunto dalla Commissione europea. Ad esempio, in caso di crisi (pandemie o situazioni di instabilità geopolitica), la Commissione, ex art. 36 DSA, può adottare un meccanismo di risposta alle crisi, attraverso cui, tramite decisione, essa impone ai fornitori di servizi intermediari di grandi dimensioni l’obbligo di intraprendere alcune azioni per valutare l’eventuale impatto che le loro attività possono avere sulla gestione della crisi, nonché l’obbligo di individuare misure specifiche per eliminare, limitare o prevenire l’impatto (negativo) delle loro attività sulla crisi in questione.

Il DSA, all’art. 49, prevede la designazione di autorità competenti (c.d. coordinatori dei servizi digitali)[13] aventi il compito di vigilare la conformità dei fornitori di servizi intermediari alle disposizioni in esame. Tali coordinatori dispongono di poteri di indagine sulla condotta dei prestatori di servizi intermediari. Detti poteri di indagine si esplicano, in breve, nella possibilità di chiedere informazioni ai prestatori di servizi intermediari e di chiedere all’autorità giudiziaria di uno Stato membro l’effettuazione di ispezioni presso i locali usati dai fornitori per la prestazione dei loro servizi. Inoltre, i destinatari del servizio intermediario possono presentare reclamo al coordinatore dei servizi digitali dello Stato membro in cui il destinatario del servizio è situato o stabilito, in caso di violazione del DSA da parte del fornitore del servizio intermediario. Inoltre, ai sensi dell’art. 40 DSA, motori di ricerca e piattaforme online di dimensioni molto grandi forniscono al coordinatore dei servizi digitali del luogo di stabilimento (o alla Commissione), su loro richiesta motivata, l’accesso ai dati necessari per monitorare e valutare la conformità al presente Regolamento.

È prevista inoltre una stretta collaborazione tra Commissione europea e coordinatori dei servizi digitali, i quali saranno coadiuvati dal Comitato europeo per i servizi digitali istituito con l’art. 61 DSA per garantire l’applicazione coerente del presente Regolamento.

Diritto a ottenere risarcimento

All’art. 54, il DSA stabilisce il diritto dei destinatari del servizio intermediario di ricevere un risarcimento in caso di danni o perdite subite a seguito di una violazione degli obblighi del presente Regolamento da parte dei fornitori di servizi intermediari.

Sanzioni

In caso di mancata conformità alle disposizioni del DSA, l’art. 52 prevede multe fino al 6% del fatturato annuo mondiale del fornitore di servizi intermediari interessato nell’esercizio finanziario precedente.

Conclusioni

Dall’analisi delle principali disposizioni del Digital Services Act, appare chiaro come la stessa sia una normativa destinata a porre un freno al Far West che attualmente imperversa nell’universo digitale. Quel che si auspica è che le disposizioni di tale Regolamento siano adeguatamente rispettate, così da rendere il mondo virtuale a tutti gli effetti uno spazio affidabile e sicuro. Infatti, poiché il digitale è ormai diventato parte integrante della vita della stragrande maggioranza degli individui ed esercita un’influenza dominante nei diversi tessuti sociali, il DSA rappresenta un’occasione unica per garantire il pieno rispetto dei diritti umani, nonché un’opportunità fondamentale per rafforzare la sicurezza degli utenti.

Note

  1. L’art. 93 par. 2 DSA stabilisce che alcune disposizioni del Regolamento si applicano dal 16 novembre 2022: ossia, l’articolo 24, paragrafi 2, 3 e 6, l’articolo 33, paragrafi da 3 a 6, l’articolo 37, paragrafo 7, l’articolo 40, paragrafo 13, l’articolo 43 e il capo IV, sezioni 4, 5 e 6.
  2. Si veda il Considerando 12 del DSA per la definizione di “contenuto illegale”.
  3. Servizio della società dell’informazione definito all’art. 1, par. 1, lettera b) del Direttiva Ue 2015/1535 come qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. I servizi intermediari sono invece definiti all’art. 3, lettera g) del DSA.
  4. Secondo la classificazione data dal D.lgs n. 70/2003 in attuazione della Direttiva 2000/31/CE sull’e-commerce (modificata dal DSA).
  5. https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_it
  6. Il DSA, all’art. 33, afferma che le piattaforme e i motori di ricerca online di grandi dimensioni hanno un numero medio mensile di destinatari attivi del servizio nell’Unione pari o superiore a 45 milioni.
  7. https://italy.representation.ec.europa.eu/notizie-ed-eventi/notizie/legge-sui-servizi-digitali-entrano-vigore-le-regole-le-piattaforme-online-2022-11-16_it
  8. Le piattaforme online devono comunicare alla Commissione europea l’elenco degli utenti finali attivi entro 3 mesi dall’entrata in vigore del DSA (dunque entro il 17 febbraio 2023).
  9. Prestatori di servizi di chaching e hosting.
  10. I dark pattern sono scelte di design volte a influenzare il comportamento degli utenti e distorcere così la loro capacità decisionale.
  11. Come definita all’articolo 4, punto 4) GDPR.
  12. L’art. 33 DSA stabilisce che le piattaforme online e i motori di ricerca online di dimensioni molto grandi sono quelli con un numero medio mensile di destinatari attivi del servizio nell’Unione pari o superiore a 45 milioni.
  13. Gli Stati membri dovranno designare i coordinatori dei servizi digitali entro il 17 febbraio 2024.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3