Il 6 luglio 2022, alla seduta plenaria del Parlamento europeo a Strasburgo, sono stati votati a larghissima maggioranza i tanto attesi Digital Services Act (DSA) e Digital Markets Act (DMA), che imporranno un quadro normativo inedito per le grandi piattaforme online. Se il DMA si applica solo a queste infatti, il DSA si applica a tutte, ma con previsioni ad hoc solo per le very large online platform (VLOP) e search engine (VLOSE). In due parole, Big Tech attuali e del futuro.
Queste due norme arrivano a tempo di record e aggiornano un impianto normativo che finora non faceva differenze tra piccole, medie e grandi imprese, limitandosi a dettare regole uniformi per tutti, con talune differenze solo tra soggetti pubblici e privati. È pur vero che da tempo, ormai, quella vecchia distinzione non funziona più. Con la rivoluzione iniziata nei primi anni 2000 e la crescita costante delle dot com, alcune di queste imprese, conosciute appunto come Big Tech o GAFAM (Google, Amazon, Facebook, Apple, MIcrosoft) sono andate oltre la definizione di “grandi”.
Come regolare dunque delle realtà dai confini sterminati? Anzitutto non demonizzandole, ma migliorando le intuizioni e raddrizzando le storture dell’impostazione normativa iniziata con il GDPR e poi rivista in tutto il recente pacchetto legislativo proposto dalla Commissione per regolare la data economy.
Prende forma la strategia europea sui dati, ecco l’importanza di DSA e DMA
Le aziende non sono tutte uguali
Se c’è una cosa di cui tutti i DPO si sono lamentati, e con loro le imprese che rappresentano, è che il GDPR non sia stato in grado, nei fatti, di prevedere una scalabilità in termini di impegno richiesto alle PMI, rispetto a quanto richiesto ad una Big Tech.
Come sappiamo, delle differenze esistono nella norma, come ad esempio per quanto concerne gli obblighi della nomina del DPO, ma non sono poi così evidenti, soprattutto nella gestione quotidiana. Per questo è apprezzabile la scelta europea di identificare concretamente una nuova categoria, quella delle VLOP e VLOSE, piattaforme e motori di ricerca con oltre 45 milioni di utenti mensili attivi nell’Unione.
Secondo la precedente normativa, la direttiva sul commercio elettronico del 2000, ispirata dalla section 230 dell’americano Communication Decency Act del 1996, vigeva un principio che garantiva la mancanza di responsabilità delle piattaforme per i contenuti illegali che ospitavano, fino a che non ne venissero a conoscenza. Muovendo da quegli anni, quelle imprese che sono diventate Big Tech hanno visto accrescere il proprio ruolo nella società, con un conseguente carico di responsabilità, con effetti in taluni casi allarmanti, dagli eventi di Cambridge Analytica, Brexit e Trump in poi.
Il DSA, dunque, muove da queste considerazioni e, pur non rimuovendo quel principio, introduce maggiori oneri per le VLOP le VLOSE. Resta, per fortuna, fermo il divieto di monitoraggio attivo generalizzato, un principio importante per evitare che tutti i contenuti online siano scansionati prima di essere approvati, circostanza che porterebbe con sè evidenti problemi per il diritto alla libertà d’espressione.
Verrà poi meno quell’opacità che spesso caratterizza le piattaforme sul modo in cui moderano e rimuovono i contenuti mediante i loro algoritmi, prevedendo un obbligo di report sui contenuti che sono rimossi in alternativa su richiesta delle forze dell’ordine, in automatico dalla piattaforma o su segnalazione dei cd. Trusted flagger, soggetti terzi considerati attendibili nel segnalare contenuti degni di rimozione.
L’enforcement è cambiato (finalmente)
Poche settimane fa, quando ero a Bruxelles, il Garante europeo della privacy (l’EDPS) tirava le fila di 10 anni di discussione sull’enforcement del GDPR, dal suo concepimento fino a 4 anni dopo la sua applicazione, per fare il punto su cosa sia andato storto e su come trovare un rimedio.
Il Garante, senza nasconderlo, guardava al modello del DSA e del DMA, con un maggior coinvolgimento diretto della Commissione in quei casi in cui le aziende in questione abbiano un impatto significativo su una larga parte della popolazione europea. L’esperienza degli ultimi quattro anni, infatti, ha mostrato i limiti del sistema dello one-stop-shop del GDPR, con il collo di bottiglia creato dall’Irlanda, anche per la mancanza oggettiva di sufficienti risorse umane e tecniche, a scapito anche delle richieste “ordinarie” dei soggetti interessati. Chi scrive ha da sempre criticato profondamente il One stop shop principle contenuto nel GDPR. L’Unione Europe non era pronta 6 anni fa, quando è stato introdotto, non lo è ora e chissà se lo sarà mai.
Il GDPR contiene, nel suo impianto normativo, degli strumenti di coordinamento per facilitare le azioni dei Garanti nazionali, anche con il supporto dell’EDPB, il board dei garanti europei, ma è evidente che, almeno finora, quello strumento non sia stato sufficiente a evitare i rallentamenti che conosciamo. Per questo il nuovo sistema del DSA e del DMA, con un ruolo più protagonista della Commissione, potrebbe essere quella soluzione che si attendeva, e che un giorno potrebbe essere la chiave per “aggiustare” il GDPR.
Non è un caso che, tra gli emendamenti del Parlamento all’AI Act, un altro importante tassello della data economy, ci sia proprio il suggerimento di lasciare alla Commissione la gestione di quei casi che coinvolgano persone in più Paesi membri, necessitando dunque di un coordinamento più effettivo, non più delegabile alle sole autorità nazionali.
Il DSA, in particolare, è diventato il veicolo per far passare altri messaggi finora solo suggeriti tra le righe del GDPR, ma mai in modo perentorio. Parlo del divieto di profilazione dei minori e di quello basato sui dati sensibili come le preferenze sessuali, politiche o il credo religioso, ex art. 9 del GDPR. A ciò poi si aggiunge il divieto di uso dei dark pattern, già affrontato dai Garanti, specialmente con le linee guida sui cookie, e la richiesta di maggior trasparenza sull’uso degli algoritmi, “importato” in qualche modo dall’art. 22 del GDPR.
Un bel colpo dunque per l’Unione europea e un’occasione per riguardare a quanto fatto finora e a quanto ancora resta da fare. Mancano ancora il Data Act e l’AI Act da approvare il prossimo anno, senza dimenticare poi la E-Privacy regulation, e non si può escludere che potrebbero apportare nuovi spunti, anche in vista di una revisione prossima del GDPR.
