Cambiare il destino dell’Europa, riaffermare la centralità dell’uomo e dei suoi diritti anche nell’ecosistema digitale, dominato dalle grandi piattaforme. Sono gli obiettivi delle proposte presentate negli ultimi mesi del 2020 dalla Commissione Ue, tra le quali spicca quella di un Digital Service Act (DSA). Il fine è promuovere una regolamentazione del mercato elettronico adeguata all’attuale evoluzione delle piattaforme digitali e ai modelli di business adottati dai principali player del web.
Ma non solo. Con il Digital Service Act la Commissione europea mostra la volontà di voler riaffermare la centralità dell’individualità umana nell’ecosistema digitale sottraendo alle piattaforme (e quindi società private) il potere di operare scelte potenzialmente in grado di condizionare l’esercizio di diritti fondamentali dei cittadini europei e di effettuare un bilanciamento tra principi costituzionali talvolta confliggenti, come la libertà di espressione e il rispetto della dignità umana.
Obiettivo della Commissione UE: rinforzare la democrazia
Infatti, dopo la costituzione del “Digital Single Market” promosso dalla Commissione di Juncker, la nuova Commissione di Ursula Von der Lyen ha presentato, il 3 dicembre 2020, il “Piano d’azione per la democrazia europea”, volto a definire le fondamenta della resilienza europea nel contesto della digitalizzazione dell’economia e della società. Il nuovo piano politico, a rinforzo della democrazia del vecchio continente, ha previsto, tra le altre iniziative, la proposta di un Digital Service Act (DSA). Svolgendo un’analisi dal punto di vista funzionale, è facile rilevare come lo scenario in cui la Direttiva 2000/31 (meglio conosciuta come e-commerce Directive e attualmente in vigore) aveva visto la luce, fosse lontano dall’attuale contesto digitale. A questo proposito, è sufficiente pensare che, all’inizio del nuovo millennio, l’era del web era ai suoi esordi e che il legislatore europeo con tale provvedimento normativo volesse incentivare lo sviluppo dell’economia digitale senza imporre obblighi e limitazioni agli operatori che intendevano proporre nuovi business nelle “incontaminate praterie del web”.
I drammatici eventi dell’ultimo anno e la forte spinta verso la digitalizzazione anche nell’erogazione di servizi essenziali tradizionalmente previsti in modalità off-line (come il diritto-dovere all’istruzione), hanno reso ancora più evidenti i limiti della Direttiva sul Commercio Elettronico e fatto emergere la necessità di un nuovo intervento legislativo a livello europeo per disciplinare i ruoli e le responsabilità dei diversi attori dell’ecosistema di internet. Oggi, il digitale è diventato una parte fondamentale dell’esperienza umana senza che sia più possibile delineare un confine preciso tra la dimensione nel mondo reale (off-line) e quella virtuale (online) e, ancor più ora, nel contesto della pandemia, le piattaforme sono state chiamate a svolgere un ruolo attivo nel garantire l’effettivo esercizio di diritti costituzionalmente tutelati.
La Commissione europea ha pertanto riconosciuto l’urgenza di proporre una nuova normativa a tutela dei diritti fondamentali e dei principi democratici, affinché la disciplina delle piattaforme non sia più basata esclusivamente sull’autoregolamentazione delle stesse, attraverso la predisposizione unilaterale di termini e condizioni di utilizzo dei servizi da loro offerti. Per garantire un’effettiva armonizzazione del nuovo disposto normativo ed evitare che margini di discrezionalità siano lasciati agli Stati Membri nella sua applicazione, la Commissione ha identificato nel Regolamento lo strumento che meglio si addice al perseguimento delle finalità del DSA.
Verso la responsabilizzazione delle piattaforme
L’origine del principio dell’irresponsabilità degli Internet Service Provider è da ricercare nel Communications Decenecy Act (CDA), una normativa di rilevanza federale che nel 1996 era stata approvata dal Congresso degli Stati Uniti per disciplinare la pubblicazione dei contenuti online. Nello specifico, la section 230 del CDA introduceva la c.d. “Good Samaritan protection”, una clausola che prevedeva che nessun provider o utente di un servizio web potesse essere considerato responsabile per azioni intraprese, in buona fede, per fornire o limitare l’accesso o la disponibilità di un contenuto pubblicato online. Con questa garanzia di neutralità per gli operatori del web, gli Stati Uniti, già alla fine del secolo scorso, avevano gettato le fondamenta che avrebbero permesso alle big tech di fiorire, svilupparsi e crescere senza alcun vincolo in relazione ai contenuti pubblicati online e alla loro moderazione.
La risposta europea alla necessità di provvedere alla normazione del web fu data dalla Direttiva 2000/31 EC che prevedeva ipotesi di esonero della responsabilità per i provider che erogavano servizi di mere conduit, caching e hosting e stabiliva il divieto per gli Stati membri di prevedere obblighi generali di sorveglianza volti ad individuare e prevenire lo svolgimento di attività illecite.
Con la presentazione della nuova bozza di Regolamento, la Commissione europea ha lasciato pressoché invariato il tenore delle disposizioni previste mantenendo una continuità con la normativa previgente, ma stabilendo anche nuovi obblighi di due diligence affinché i service provider possano contribuire a creare un rinnovato ambiente online, più trasparente e sicuro nell’interesse di tutti gli utenti del web.
I nuovi obblighi
Nello specifico la proposta prevede nuovi obblighi di due diligence
- per tutti gli intermediari e fornitori di servizi;
- per gli hosting provider;
- per tutte le piattaforme (fatta eccezione per quelle che rientrano nella definizione di micro e piccole imprese;
- per le “very large platform”( definite all’art. 25 della proposta come le piattaforme con almeno 45 milioni di utenti attivi al mese).
La proposta di Digital Services Act sembra quindi segnare il passaggio da un regime di irresponsabilità ad una crescente responsabilizzazione degli operatori del web, attraverso l’esecuzione di risk assessment da parte degli stessi, riproponendo lo stesso principio di accountability sancito dal Regolamento 2016/679 per i titolari e responsabili del trattamento di dati personali.
Un ambiente web più trasparente a tutela degli utenti
Con il Digital Services Act Package (comprensivo anche del Digital Market Act) il legislatore europeo si è posto anche l’obiettivo di migliorare i meccanismi di trasparenza per trovare soluzioni che garantiscano un’effettiva tutela dei diritti individuali nel contesto digitale, in particolare in relazione ai gatekeeper, le piattaforme con un significativo impatto sul mercato interno e che sono in grado di offrire agli utenti business nuovi bacini di potenziali clienti.
Con la predisposizione del nuovo pacchetto di provvedimenti la Commissione ha deciso di intervenire su un’ampia varietà di tutele a favore degli utenti del web, tra cui quella contro la discriminazione potenzialmente determinata dall’uso degli algoritmi. A questo riguardo si ipotizza di riconoscere agli users specifici diritti come quello di essere informati circa il funzionamento dei meccanismi che consentono la visualizzazione di un certo contenuto pubblicitario “raccomandato” (sulla base di un trattamento di profilazione) e di opporsi a tale pubblicità personalizzata (in merito al targeting degli utenti si è espresso anche l’EDPB con le Linee Guida 08/2020).
Gli utenti avranno anche il diritto di essere informati sulle logiche di rimozione dei contenuti pubblicati e dovranno essere messi nella condizione di poter agire contro i procedimenti di rimozione di un determinato contenuto da parte delle piattaforme.
Digital Services Act e GDPR
Proprio come già accaduto con il GDPR, anche con il Digital Services Act, l’Europa intende riconfermare il suo ruolo di “leader avanguardista” a livello mondiale in grado di definire nuovi paradigmi destinati a trovare applicazione per tutti i soggetti che operano nel web. Per il DSA, come per il GDPR, è stato prescelto un approccio di hard law, in quanto il Regolamento è il solo strumento legislativo in grado di garantire l’armonizzazione di un settore complesso, in costante trasformazione e di arginare i nuovi poteri emersi nella “società delle piattaforme” che si sono rivelati poter condizionare anche l’esercizio di diritti sociali, civili e politici.
Il Digital Services Act si pone in un rapporto di continuità con il GDPR, riproponendo la stessa logica di accountability finalizzata alla responsabilizzazione degli operatori e alla definizione di nuovi strumenti di protezione dei diritti sostanziali. È inoltre facilmente riscontrabile un’assonanza tra il Data Protection Impact assessment (DPIA), imposto ai titolari del trattamento ogni qualvolta l’impiego di nuove tecnologie comporti rischi per i diritti e le libertà delle persone fisiche, con le attività di risk assessment previste a carico delle piattaforme nella proposta di DSA.
All’articolo 42 della proposta è inoltre indicato un meccanismo sanzionatorio simile a quello previsto dal GDPR. Nello specifico, per le società inadempienti, la Commissione ha previsto l’applicazione di sanzioni fino al 6% del fatturato globale (contro il 2% previsto dal GDPR). A tale previsione sanzionatoria, nel caso in cui fosse accertata la reiterazione della condotta vietata, è possibile che venga imposta anche la temporanea sospensione dei servizi offerti dalla piattaforma ai cittadini europei
Conclusione
“L’uomo al centro” è anche il messaggio che l’Autorità italiana per la protezione dei dati personali ha voluto comunicare presentandosi al pubblico con un’immagine rinnovata tesa a invocare il nuovo impegno che il Garante intende perseguire nell’interesse di tutti i cittadini: collocare la persona e i suoi diritti al centro del mondo digitale e garantire un’azione di protezione che si evolva parallelamente al continuo progresso tecnologico.
