Da mesi, se non anni, abbiamo seguito l’iter di discussione e approvazione del nuovo pacchetto europeo di regole sulla governance del mercato dei dati. Ora, con la pubblicazione sulla Gazzetta ufficiale dell’Unione europea si è finalmente e definitivamente concluso l’iter di approvazione del primo importante tassello del nuovo quadro di regole che l’UE intende darsi, mediante la nascita del nuovo regolamento sui servizi digitali.
Nel dicembre 2020, la Commissione presentava la propria proposta di Digital Services Act (DSA) e meno di un anno e mezzo dopo, nell’aprile 2022, Parlamento e Consiglio raggiungevano l’intesa su un testo condiviso, aprendo le porte alla pubblicazione in Gazzetta ufficiale dello scorso 27 ottobre. Un percorso spedito – sostanzialmente condiviso anche per l’approvazione del regolamento gemello sui mercati digitali, il Digital Markets Act – che porterà infine all’entrata in vigore del DSA allo scoccare del ventesimo giorno successivo alla pubblicazione in Gazzetta ufficiale con successiva applicazione a decorrere dal 17 febbraio 2024 (salva l’applicazione di alcune specifiche disposizioni a far data dal prossimo 16 novembre).
I principali contenuti del Digital Services Act
I principali contenuti del Digital Services Act – che, tra l’altro, interviene emendando la direttiva sul commercio elettronico del 2000 – sono già noti a molti, ma non a tutti. Di questo regolamento si discute ormai da tempo, al pari degli altri già approvati o di pronta approvazione nell’ambito della rinnovata politica digitale europea (ricordiamo, oltre al già citato Digital Markets Act, anche il Data Governance Act, l’Artificial Intelligence Act e il Data Act), a testimonianza del deciso cambio di passo promosso dall’Ue su questo cruciale fronte. Così come sono noti gli obiettivi che si propone di raggiungere il neo introdotto complesso di obblighi e responsabilità variamente imposti ai diversi operatori economici che forniscono servizi intermediari (con un’attenzione particolare riservata ai fornitori di piattaforme online, compresi quelli di dimensioni molto grandi e di motori di ricerca online di dimensioni molto grandi), in punto, inter alia, di trasparenza, di contenuti illeciti, pubblicità e accesso a dati. Pertanto, in questo momento e in questa sede, si ritiene utile e interessante provare, da un lato, a individuare alcune delle molteplici disposizioni del DSA che potrebbero, nei prossimi mesi e anni, richiedere o stimolare riflessioni più approfondite e, dall’altro, calare questo ennesimo tassello normativo nell’attuale contesto economico, politico e sociale.
Digital services act faro di un nuovo equilibrio tra mercato e diritti fondamentali
Alcune disposizioni del DSA da “tenere d’occhio”
La prospettata attività di selezione è certamente più facile a dirsi che a farsi. Trovandosi innanzi a un innovativo e per certi versi dirompente complesso di regole, logica vorrebbe che si dedicasse alle più evidenti novità la maggiore attenzione possibile. E tuttavia, siccome molti altri prima di chi scrive si sono già proficuamente spesi in un simile esercizio, meglio forse intraprendere una diversa via, tentando di scandagliare soltanto alcune norme, con un occhio di riguardo anche a quelle meno discusse e dibattute, ma altrettanto potenzialmente significative, anche in vista dei possibili punti di contatto con altre normative, tra cui quella in materia di privacy e protezione dei dati personali, di cui al Regolamento Generale sulla Protezione dei Dati (GDPR).
Pubblicità online e sistemi di raccomandazione
Seguendo l’ordine dell’articolato del Digital Services Act, ci si deve innanzitutto soffermare sulle disposizioni dedicate alla pubblicità nelle piattaforme online (articolo 26) e ai sistemi di raccomandazione (articolo 27).
La prima delle due norme citate impone ai fornitori di piattaforme online che presentano pubblicità sulle proprie interfacce di attivarsi affinché i destinatari del servizio possano identificare con facilità e in tempo reale tutta una serie di informazioni, quali la natura pubblicitaria dell’informazione, il soggetto per il cui conto è presentata e quello che paga l’inserzione (se diverso), nonché i parametri impiegati per determinare il destinatario della pubblicità stessa. Peraltro, gli obblighi di trasparenza in materia di pubblicità online sono ulteriormente sviluppati per quei fornitori di servizi intermediari qualificabili come fornitori di piattaforme online di dimensioni molto grandi o di motori di ricerca online di dimensioni molto grandi.
La seconda norma, invece, si collega direttamente alla definizione dei “sistemi di raccomandazione” contenuta in apertura di regolamento («un sistema interamente o parzialmente automatizzato che una piattaforma online utilizza per suggerire informazioni specifiche, tramite la propria interfaccia online, ai destinatari del servizio o mettere in ordine di priorità dette informazioni anche quale risultato di una ricerca avviata dal destinatario del servizio o determinando in altro modo l’ordine relativo o l’importanza delle informazioni visualizzate») e prevede che i fornitori di piattaforme online debbano specificare nelle condizioni generali i principali parametri utilizzati nei propri sistemi di raccomandazione, al pari delle opzioni a disposizione dei destinatari per modificare o influenzare tali parametri.
L’impatto delle norme e le possibili interferenze col GDPR
Emerge dunque con una certa limpidezza l’impatto che potrà derivare dall’applicazione puntuale di tali due norme. Al tempo stesso, sono evidenti l’assonanza e le possibili interferenze con categorie e concetti propri delle regole data protection. Tant’è vero che è lo stesso articolo 26 del Digital Services Act a chiamare in causa tale corpus normativo, vietando espressamente ai fornitori di piattaforme online di presentare pubblicità basate sulla profilazione – per come definita dal GDPR – utilizzando categorie particolari di dati personali. E del resto il riferimento, nella disciplina sui sistemi di raccomandazione, a sistemi interamente o parzialmente automatizzati non può non riportare alla mente quanto previsto dall’articolo 22 del GDPR e dalla definizione di profilazione di cui all’articolo 4 del medesimo regolamento, nonché all’esegesi fornita dall’Article 29 Working Party nelle “Linee guida in materia di processi decisionali automatizzati e profilazione”.
Digital Services Act: verso una nuova era del diritto digitale (con qualche incognita)
Protezione dei minori online
Altra disposizione di indubbio interesse è l’articolo 28, il quale obbliga innanzitutto i fornitori di piattaforme online accessibili ai minori ad adottare misure adeguate e proporzionate per garantire un elevato livello di tutela di tali soggetti vulnerabili (con la possibilità per la Commissione di emanare orientamenti ad hoc sul punto). Viene poi riproposta la regola sancita in punto di pubblicità online, vietandosi ai fornitori di piattaforme online di presentare sulla propria interfaccia pubblicità basata sulla profilazione che usa i dati personali del destinatario del servizio nel caso in cui gli stessi siano consapevoli, con ragionevole certezza, che il destinatario del servizio è un minore. Tale ultima condizione, peraltro, si collega intimamente con quanto successivamente previsto nella medesima disposizione, ove si legge che «il rispetto degli obblighi di cui al presente articolo non obbliga i fornitori di piattaforme online a trattare dati personali ulteriori per valutare se il destinatario del servizio sia minore».
È quest’ultimo un passaggio che forse più di tutti mette in luce come la norma appena esaminata sia destinata a entrare “a gamba tesa” nella discussione, attualissima e complicatissima, sui metodi di age verification nelle piattaforme digitali. Terreno sul quale già da tempo si interrogano sia i grandi player tecnologici che le autorità di controllo, tuttora alla ricerca di una soluzione condivisa. E non c’è dubbio che su questo specifico tema, stante la ragionevole possibilità di avvalersi di sistemi di intelligenza artificiale, anche il futuro AI Act giocherà un ruolo di assoluto rilievo.
Accesso ai dati
Deve poi farsi almeno un cenno all’articolo 40, tramite il quale il Digital Services Act riconosce all’accesso ai dati dei fornitori di piattaforme online di dimensioni molto grandi e di motori di ricerca online di dimensioni molto grandi una duplice funzione. In primo luogo, quale strumento di controllo da parte delle competenti autorità per la verifica circa la conformità al regolamento (a tal proposito prevendendosi altresì il potere di richiedere spiegazioni in merito alla progettazione, alla logica, al funzionamento e alla sperimentazione dei sistemi algoritmici, compresi i sistemi di raccomandazione, impiegati da tali operatori). In secondo luogo, quale risorsa per i ricercatori, che a determinate condizioni, per certe finalità e secondo specifiche procedure, potranno avere accesso a dati di grande utilità per i propri studi.
Ancora una volta, si tratta di una disposizione che si pone in inevitabile contatto con la disciplina privacy, tanto che alla Commissione spetterà, per espressa previsione del DSA, l’adozione di atti delegati per stabilire, inter alia, le condizioni specifiche in base alle quali tale condivisione di dati con i ricercatori potrà avvenire a norma del GDPR. L’articolo in commento è particolarmente interessante anche perché, se letto in combinato disposto con la ratio ispiratrice di altri provvedimenti dell’Ue – in primis i già citati Data Governance Act e Data Act – suggerisce e conferma la centralità riconosciuta all’accesso, alla condivisone, all’interscambio e alla portabilità di dati, personali e non, nel nuovo modello socioeconomico fondato sui dati che andrà sempre più a caratterizzare società e mercati nell’immediato futuro.
Compliance officer e codici di condotta
Significative sono anche le norme in materia di funzione di controllo della conformità (articolo 41) e di codici di condotta (articoli 45, 46 e 47). Nel primo caso, il DSA richiede ai fornitori di piattaforme online di dimensioni molto grandi e di motori di ricerca online di dimensioni molto grandi di istituire una funzione di controllo della conformità composta da uno o più responsabili della conformità (c.d. compliance officer), assegnando alla medesima – con previsione di specifici requisiti, compiti, poteri e prerogative – la funzione generale di monitorare la conformità del fornitore al regolamento. Nel secondo caso, si incoraggia l’elaborazione di codici di condotta volti a contribuire alla corretta applicazione del Digital Services Act, con un’attenzione precipua a quelli in materia di pubblicità online e di accessibilità delle persone con disabilità.
Similmente a quanto avvenuto con il Data Protection Officer (DPO), il DSA introduce una funzione di monitoraggio della compliance alla cui nomina saranno tenuti determinanti fornitori di servizi intermediari. Sarà dunque interessante comprendere come verrà dato corso a questo obbligo e se, magari, anche altri soggetti opteranno per una nomina facoltativa al fine di includere nel proprio organigramma uno o più compliance officer. Senza contare che saranno tutti da costruire e sperimentare i rapporti con le altre funzioni aziendali, in special modo quelli con il DPO. Parimenti stimolante sarà osservare in che modo sarà recepito l’impulso all’adozione di codici di condotta, strumento di autoregolamentazione fatto proprio anche dal GDPR e che, nel contesto delle normativa data protection, inizia a registrare una sempre maggiore diffusione (in particolare, occorre dirlo, in Italia: è di pochi giorni fa infatti la notizia che l’Autorità Garante ha approvato in via definitiva il Codice di condotta per i sistemi di informazione creditizia – peraltro seguito direttamente da chi scrive – accreditando anche il relativo Organismo di monitoraggio, ed è peraltro in cantiere un nuovo codice dedicato al telemarketing).
Telemarketing, non è solo commercio: ecco come i nostri dati sono utili anche alla politica
Dark pattern
Merita infine una menzione l’articolo 25, dedicato alla progettazione e all’organizzazione delle interfacce online. La norma impone ai fornitori di piattaforme online di non progettare, organizzare o gestire le proprie interfacce online in modo tale da ingannare o manipolare i destinatari dei servizi o da falsare materialmente o compromettere la capacità degli stessi di prendere decisioni libere e informate.
Si tratta, in buona sostanza, della messa al bando dei cosiddetti dark pattern. Un argomento che è stato analizzato di recente anche dall’European Data Protection Board (si vedano le “Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them”). A questo proposito, nonostante sia lo stesso articolo 25 del Digital Services Act a chiarire come il divieto sopra esplicitato non trovi applicazione in riferimento alle pratiche contemplate dal GDPR, è fuori dubbio che l’attenzione prestata su più fronti a un fenomeno chiaramente in rapida evoluzione richiederà senz’altro nuovi e ulteriori approfondimenti.
Il Digital Services Act nello scacchiere economico e geopolitico
Certamente gli aspetti meritevoli di interesse del DSA non si esauriscono in quelli qui sinteticamente riportati (a volerne richiamare solo un altro, si pensi al tema della vigilanza e della governance e, di conseguenza, al rapporto con le autorità già istituite da altre normative di derivazione comunitaria). Al tempo stesso, occorre fare almeno una fugace riflessione sul potenziale impatto del nuovo sistema di regole dedicate ai servizi digitali nell’attuale contesto sociale, politico ed economico.
Non c’è dubbio, infatti, che una delle principali ambizioni del Digital Services Act sia quella di porsi quale antidoto al sempre più pungente proliferare delle fake news. Un fenomeno dai contorni sempre più estesi e sfuggenti, in grado di incidere non soltanto sulla sfera di azione dei singoli, ma altresì di determinare rilevantissimi impatti su attività e strategie di imprese e amministrazioni pubbliche, e finanche destinato ad avere un’influenza sulla posizione e la percezione di un intero Paese. Per saggiare l’efficacia deterrente e rimediale delle norme del DSA su questo specifico fronte dovrà naturalmente attendersi la prova dell’applicazione pratica. Ciò che tuttavia deve essere fin da ora chiarito è che, ferma l’importanza delle nuove regole, non ci si potrà limitare a questo: per contrastare la diffusione di notizia false occorre intervenire su più livelli e con diversi strumenti, non soltanto normativi, perché sono proprie le caratteristiche intrinseche e inedite del fenomeno a imporre un simile approccio.
Al contempo, il regolamento sui servizi digitali arriva in momento tutt’altro che irrilevante ai propri fini. Al netto delle note e chiacchieratissime movimentazioni ai vertici di una delle più grandi piattaforme di internet, forse quella maggiormente interessata dal dibattito sul complesso equilibrio tra libertà di espressione e contrasto a notizie e contenuti falsi, è lo scenario bellico che ancora coinvolge Russia e Ucraina a interessare da vicino il DSA. Il primo conflitto armato nel mondo occidentale digitalizzato, la prima guerra cibernetica della storia, combattuta anche attraverso la Rete e sulle piattaforme digitali, a colpi di propaganda, censura e, per l’appunto, fake news. Tutti aspetti che metteranno fin da subito l’efficacia e la tenuta delle norme del Digital Services Act sotto una lente di ingrandimento globale. Peraltro, proprio in ragione del contesto di guerriglia ancora in corso, all’interno del DSA è stata inserita una nuova disposizione (l’articolo 36, a cui si rimanda) volta proprio a introdurre uno specifico meccanismo di risposta alle crisi. Naturalmente, anche in questo caso, la prova del nove sarà l’applicazione concreta.
