È stato raggiunto a fine aprile, a livello di Unione Europea, un accordo provvisorio – denominato Digital Services Act (DSA) – su un importante aggiornamento delle regole per i servizi digitali operanti nell’area, in pratica un complemento dell’accordo politico sul Digital Markets Act del mese di marzo 2022. L’accordo si propone di armonizzare la moderazione dei contenuti e altre regole di governance per accelerare la rimozione di argomenti e prodotti illegali. Inoltre, esso affronta problematiche di protezione dei consumatori e privacy, oltre a introdurre requisiti di responsabilità algoritmica per le grandi piattaforme, aumentandone, pertanto, la responsabilità in merito ai loro servizi.
Digital Services Act: a chi si applica
Le tipologie di servizi digitali soggette a tale normativa comprendono:
• mercati online
• social network
• piattaforme di condivisione dei contenuti
• app store
• piattaforme di viaggio online
• piattaforme di alloggio
• servizi di intermediazione come provider Internet e registrar di domini
• servizi di cloud e hosting web
• piattaforme di economia collaborativa
L’accordo provvisorio – come ha precisato il Parlamento e la Commissione europei in un comunicato stampa – deve essere sottoposto ora a un’analisi tecnica e verificato da giuristi-linguisti prima della sua formale approvazione. Una volta completato, esso entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell’Unione Europea e le regole inizieranno ad applicarsi quindici mesi dopo, concedendo così un periodo sufficientemente lungo alle aziende per adattarsi.
Digital Services Act: cosa prevede
La Commissione Europea, con il DSA mira a garantire che:
- ciò che è illegale offline sia illegale anche online;
- l’ambiente online rimanga uno spazio sicuro, salvaguardando la libertà di espressione e le opportunità per le imprese digitali;
- la responsabilità sia proporzionata alla dimensione delle piattaforme online.
Il DSA è da considerare un segnale forte a tutti gli europei, a tutte le imprese dell’UE e alle nostre controparti internazionali.
Da quanto è ricavabile dai comunicati stampa si evince che il Digital Services Act contemplerà quanto di seguito illustrato.
Ambito, supervisione e sanzioni
Il DSA si applicherà a tutti gli intermediari online che forniscono servizi nell’UE. In particolare, gli obblighi del regolamento intendono essere proporzionati alla natura dei servizi interessati e al numero di utenti, con requisiti aggiuntivi “più rigorosi” per “piattaforme online molto grandi” (i.e.: VLOP – Very Large Online Platform) e motori di ricerca online molto grandi (i.e.: VLOSE- Very Large Online Search Engines).
I servizi con più di 45 milioni di utenti attivi mensili nell’Unione Europea saranno considerati VLOP o VLOSE. Inoltre, al fine di salvaguardare lo sviluppo delle start-up e delle piccole imprese nel mercato interno, le micro e piccole imprese – con meno di 45 milioni di utenti attivi mensili nell’Unione Europea – saranno esentate da alcuni dei nuovi obblighi.
La Commissione stessa sarà responsabile della supervisione di VLOP e VLOSE in modo da evitare “colli di bottiglia” nella supervisione e nell’applicazione degli obblighi che sono loro specifici.
Le Agenzie a livello di Stato membro supervisioneranno l’ambito più ampio del DSA, mantenendo il principio del paese di origine che è integrato nelle regole digitali esistenti.
Le sanzioni per le violazioni del DSA possono raggiungere il 6% del fatturato annuo globale e i destinatari dei servizi digitali avranno diritto di chiedere un risarcimento per eventuali danni o perdite subiti a causa di violazioni da parte delle piattaforme.
Obblighi extra per VLOP/VLOSE
Gli stessi operatori dovranno affrontare il controllo del funzionamento dei loro algoritmi da parte della Commissione europea e delle Agenzie degli Stati membri. Il DSA introduce anche l’obbligo per piattaforme e servizi digitali molto grandi di analizzare i “rischi sistemici che creano” e di effettuare “analisi di riduzione del rischio”. L’analisi dei rischi dovrà essere svolta annualmente per consentire il monitoraggio e la riduzione dei rischi in settori quali:
- diffusione di contenuti illegali;
- effetti negativi sui diritti fondamentali;
- manipolazione di servizi che incidono sui processi democratici e sulla sicurezza pubblica;
- effetti negativi sulla violenza di genere e sui minori e gravi conseguenze per la salute fisica o mentale degli utenti.
Inoltre, i VLOP/VLOSE saranno soggetti ad audit indipendenti ogni anno; mentre le piattaforme che utilizzano algoritmi per determinare quali contenuti vedono gli utenti (ovvero “sistemi di raccomandazione”) dovranno fornire almeno un’opzione che non sia basata sulla profilazione. Di fatto anche se molti già adottano tale approccio, spesso applicano tecniche di dark patterns (i.e. modelli di design utilizzati specificamente per indurre gli utenti ad agire contro il proprio reale interesse), quindi sarà necessaria una supervisione olistica per tutelare meglio gli utenti. In quest’ottica il Digital Services Act prevederà l’osservanza dei requisiti di trasparenza per i parametri di questi sistemi di raccomandazione con l’obiettivo di migliorare le informazioni per gli utenti e le scelte che attuano.
Divieto di utilizzo di dark patterns
Il DSA è destinato a considerare un divieto sui dark patterns che, tuttavia, sembrerebbe applicarsi solo alle “piattaforme online”. Pertanto, non sembrerebbe sussistere un divieto generale riferito ai tipi di app e servizi digitali che, in teoria, ci si aspetterebbe non attuassero pratiche non etiche, indipendentemente dalle loro dimensioni. Ne consegue che le piattaforme e i mercati online non dovrebbero spingere le persone a utilizzare i loro servizi. Inoltre, la decisione di annullare un abbonamento a un servizio dovrebbe diventare facile come abbonarsi ad esso.
Secondo quanto si evince dai comunicati stampa del Parlamento e della Commissione – il testo approvato prevede che i fornitori di piattaforme online dovranno progettare, organizzare o gestire le loro interfacce online in modo tale da evitare ogni inganno, manipolazione, distorsione, garantendo da parte degli utenti decisioni libere e informate.
La Commissione potrà emettere linee guida su pratiche specifiche da parte delle piattaforme in modo tale da dare, ad esempio, maggiore risalto a determinate scelte o richiedere ripetutamente la conferma della scelta operata da parte dell’utente.
Meccanismo di risposta alla crisi
Si tratta di un articolo aggiunto ex-novo al DSA in seguito al conflitto russo-ucraino-e a fronte della crescente preoccupazione per l’impatto della disinformazione online. Tale meccanismo sarà attivato da una decisione della Commissione su raccomandazione del Comitato dei Coordinatori Nazionali dei Servizi Digitali e consentirà di analizzare l’impatto dell’attività delle piattaforme e dei motori di ricerca di dimensioni molto grandi sulla crisi in questione e, altresì, le misure proporzionali ed efficaci da attuare nel rispetto dei diritti fondamentali dei cittadini.
Digital Services Act: rischi sistemici delle grandi piattaforme e dei motori di ricerca
Data l’importanza degli operatori di dimensioni molto grandi nella vita quotidiana dei cittadini europei, il DSA introduce l’obbligo per essi di identificare tempestivamente e analizzare i rischi sistemici che generano e di mettere in atto misure per ridurli.
Ma vediamo meglio in cosa consisteranno gli obblighi speciali del Digital Services Act per le piattaforme online molto grandi per la gestione dei rischi sistemici:
- Obblighi di gestione del rischio – Le piattaforme dovranno effettuare valutazioni annuali del rischio sui rischi sistemici significativi derivanti dal funzionamento e dall’uso dei loro servizi nell’Unione Europea.
- Audit esterno e responsabilità pubblica – Le piattaforme dovranno condurre audit annuali sulla conformità al DSA e al codice di condotta tramite un revisore professionista esterno indipendente. Il revisore dovrà emettere una relazione scritta che includa gli elementi obbligatori elencati nel DSA.
- Trasparenza dei sistemi di raccomandazione – Il sistema di raccomandazione dovrà includere i parametri principali e alcune informazioni su questo sistema nei suoi termini e nelle condizioni oltre a garantire opzioni per gli utenti che non comportino la profilazione.
- Più trasparenza nella pubblicità online – Le piattaforme dovranno rendere pubblicamente disponibile un repository anonimo sugli annunci online visualizzati sulla piattaforma. Il repository dovrà contenere il contenuto degli annunci, il nome di ciascun inserzionista, il periodo in cui è stato visualizzato ciascun annuncio e determinate informazioni sul pubblico di destinazione di ciascun annuncio.
- Condivisione dei dati con autorità e ricercatori: Le piattaforme dovranno consentire l’accesso ai dati al coordinatore del servizio digitale o alla Commissione per il monitoraggio e la valutazione del rispetto del DSA. Inoltre, dovranno consentire l’accesso ai dati a ricercatori accademici indipendenti e controllati per condurre ricerche che contribuiscano all’identificazione e alla comprensione dei rischi sistemici. L’accesso ai dati deve essere garantito tramite API (Application programming interface – i.e.: interfaccia di programmazione delle applicazioni) o database online.
- Responsabile della conformità: le piattaforme dovranno nominare almeno un responsabile della conformità professionale atto a monitorare la conformità al Digital Services Act. Il nome e i dettagli di contatto del responsabile della conformità dovranno essere forniti al coordinatore del servizio digitale e alla Commissione.
- Obblighi aggiuntivi di rendicontazione sulla trasparenza: le piattaforme dovranno pubblicare rapporti sulla trasparenza ogni sei mesi e pubblicare rapporti aggiuntivi, come elencati nel DSA, oltre a presentarli al coordinatore del servizio digitale e alla Commissione.
Un approccio sempre più risk-oriented
Quanto sopra delineato non fa che confermare come il principio del rischio acquisisca un ruolo sempre più dominante nella regolamentazione dei mercati digitali e della società digitale nell’area della legislazione dell’Unione Europea.
Di fatto, sembra esserci un consenso diffuso sul fatto che la rapida digitalizzazione di quasi ogni aspetto della vita moderna porti con sé – oltre a enormi benefici – anche notevoli rischi. Ovvero, viviamo in una cosiddetta ” società del rischio” in cui decisioni umane creano rischi globali e non sorprende, quindi, che nel nostro clima tecnologico e politico, l’identificazione e la gestione dei rischi associati alla vita moderna – e, soprattutto, alla vita moderna digitale – diventino una priorità per legislatori e governi.
Conclusioni
L’accordo sul Digital Services Act rappresenta un momento decisivo nella storia della regolamentazione di Internet nel tentativo di garantire un mondo online che rispetta meglio i diritti umani, frenando efficacemente il potere incontrollato delle Big Tech.
Il DSA mira, quindi, a stabilire regole uniformi e armonizzate per: promuovere l’innovazione, la crescita e la competitività; proteggere meglio i consumatori e i loro diritti fondamentali online; garantire un ambiente online sicuro, prevedibile e affidabile; offrire più scelte per gli utenti e una minore esposizione ai contenuti illegali; fornire agli utenti commerciali l’accesso ai mercati a livello dell’UE attraverso piattaforme; facilitare l’espansione delle piattaforme più piccole, delle PMI e delle start-up.
Memori del fatto che, per troppo tempo, i nostri dati più intimi sono stati utilizzati come armi per minare il nostro diritto alla privacy, amplificare la disinformazione, alimentare il razzismo e persino influenzare le nostre convinzioni e opinioni, auspichiamo che il DSA proteggerà meglio i cittadini dell’Unione Europea dalla raccolta intrusiva di dati e dagli annunci pubblicitari che utilizzano informazioni personali, come convinzioni religiose, opinioni politiche o preferenze sessuali, in modi che non ci saremmo mai aspettati o desiderati.
Di fatto, l’obiettivo è di garantire un equilibrio ottimale tra innovazione e tutela dei diritti, in linea con le caratteristiche emergenti del costituzionalismo (digitale) europeo, retto da regole che, rafforzando la fiducia degli operatori e degli utenti che operano nello spazio unico digitale europeo, aumenti la capacità attrattiva della UE nella competizione planetaria globale anche rispetto agli ecosistemi di USA e Cina, tecnologicamente molto avanzati, ma costruiti sulla base di regole (o di mancanze di regole) che rendono sempre meno affidabili per gli utenti i trattamenti dei dati i e la sicurezza dei servizi assicurati dalle grandi piattaforme delle Big Tech.
Ovvero, si tratta di garantire un Internet che metta sempre più al centro gli individui, salvaguardandone i diritti e, al tempo stesso, ricordando che i rischi si generano dalla non conoscenza di ciò che stiamo facendo in modo tale da comprendere l’impatto delle tecnologie sulle nostre vite e individuare le misure necessarie in termini normativi.
Solo grazie a una prospettiva basata sul rischio si potrà gestire al meglio la progettazione dell’DSA e, al contempo, i vantaggi e gli svantaggi degli approcci normativi basati sul rischio (rispetto agli approcci basati su regole, ad esempio) nel tentativo di affrontare le sfide delle moderne tecnologie e le loro applicazioni per il diritto e la società.
In quest’ottica risulterà fondamentale applicare il DSA in modo rigoroso, evitando che si converta in una semplice “tigre di carta” e sarà altresì importante che altre giurisdizioni in tutto il mondo seguano l’esempio e adottino leggi severe per proteggere ulteriormente le persone dai danni causati dai modelli di business basati sulla sorveglianza di Big Tech.