WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Approfondimenti

Il Digital Services Act: la normativa sui servizi digitali

12 Giugno 2023

Giuseppe Proietti, Lener & Partners

Di cosa si parla in questo articolo

Il presente contributo analizza le novità del Digital Services Act, la nuova normativa europea sui servizi digitali introdotta con il Regolamento (UE) 2022/2065 che inizierà ad applicarsi dal 17 febbraio 2024.


1. Il Digital Services Act

Il 16 novembre 2022 ha segnato l’entrata in vigore del Regolamento europeo sui servizi digitali (Reg. UE 2022/2065), meglio conosciuto come Digital Services Act (DSA). La sua piena applicazione si avrà a partire dal 17 febbraio 2024 e si va ad inserire nell’articolato piano regolatorio europeo nel settore digitale.

Il Digital Services Act è voluminoso e presenta disposizioni molto articolate e dettagliate. Lo scopo del legislatore europeo è quello di stabilire un primo gruppo di regole che definiscono il perimetro delle esenzioni da responsabilità dei prestatori di servizi intermediari e, un secondo gruppo, volto a stabilire obblighi in capo a questi ultimi. L’ultima parte, invece, è dedicata alle norme sull’attuazione, cooperazione, sanzioni ed esecuzione del regolamento.

I protagonisti del Digital Services Act, quindi, sono i prestatori di determinati servizi della società dell’informazione così come definiti dalla direttiva (UE) 2015/1535; ovvero, coloro che prestano qualsiasi servizio, normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario. In altri termini, il Digital Services Act riguarda tutti quegli operatori del mercato digitale, dai social network alle piattaforme e-commerce e i motori di ricerca. Buona parte della disciplina consiste in un recepimento della giurisprudenza della Corte di Giustizia europea formatasi negli anni. Tra le novità, tuttavia, si può notare l’introduzione di regole riguardanti i discussi sistemi di raccomandazione, strumenti tecnologici di cui si avvalgono molti operatori digitali[1]. Sembra ozioso precisare che il quadro normativo in esame necessiterà di un complesso raccordo con altre normative europee già approvate o ancora in fase di discussione.

2. Il quadro di esenzione da responsabilità dei prestatori di servizi intermediari

Il primo gruppo di norme del Digital Services Act riguardano la statuizione di quelle regole che determinano le condizioni affinché un prestatore sia esentato da responsabilità a fronte di contenuti online illegali[2]. Tali regole vengono suddivise sulla base del servizio prestato, e non in virtù del soggetto che lo presta.

I servizi vengono suddivisi in:

  • semplice trasporto. Si tratta di servizi tra i quali si ricomprendono i punti di interscambio internet, i punti di accesso senza fili, le reti private virtuali, i risolutori e i servizi di DNS, i registri dei nomi di dominio di primo livello, i registrar, le autorità di certificazione che rilasciano certificati digitali, il Voice over IP e altri servizi di comunicazione interpersonale.
  • memorizzazione temporanea. Si tratta di quei servizi intermediari che includono la sola fornitura di reti per la diffusione di contenuti, proxy inversi o proxy di adattamento dei contenuti. Sono quei servizi fondamentali per garantire una trasmissione fluida ed efficiente delle informazioni fornite su internet.
  • memorizzazione di informazioni. Si tratta di quei servizi di hosting che includono categorie come la c.d. nuvola informatica, la memorizzazione di informazioni di siti web, i servizi di referenziazione a pagamento o i servizi che consentono la condivisione di informazioni e contenuti online, compresa la condivisione e la memorizzazione di file. I servizi intermediari possono essere prestati isolatamente, nel quadro di un altro tipo di servizio intermediario o simultaneamente ad altri servizi intermediari.

Il discernimento tra un servizio o l’altro dipende esclusivamente dalle funzionalità tecniche del servizio; esse devono essere valutate caso per caso perché suscettibili di mutare nel tempo.

In generale, i prestatori hanno la facoltà di svolgere indagini volontarie ma non sono tenuti a sorvegliare le informazioni e i contenuti che trasmettono o memorizzano, né sono tenuti ad accertare fatti o circostanze che indichino la presenza di attività illegali (art. 8). Inoltre, se i prestatori realizzano indagini volontarie finalizzate a individuare e rimuovere contenuti illegali non vengono meno le seguenti esenzioni stabilite nel Digital Services Act (art. 7).

Nel caso di prestazione di un servizio di semplice trasporto, il Digital Services Act prevede che il prestatore non è responsabile delle informazioni trasmesse o a cui si è avuto accesso se

  1. non ha dato origine alla trasmissione.
  2. non seleziona il destinatario della trasmissione.
  3. non seleziona né modifica le informazioni trasmesse. Quest’ultima condizione non include quelle manipolazioni di carattere tecnico effettuate nel corso della trasmissione o dell’accesso, purché non alterino l’integrità delle informazioni trasmesse o alle quali è fornito l’accesso.

Nel caso di prestazione di un servizio di memorizzazione temporanea il prestatore non è responsabile (se questa viene effettuata per facilitare l’inoltro delle informazioni ad altri destinatari del servizio su loro richiesta) se

  1. non modifica le informazioni;
  2. si conforma alle condizioni di accesso alle informazioni;
  3. si conforma alle norme sull’aggiornamento delle informazioni riconosciute dalle imprese del settore;
  4. non interferisce con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull’impiego delle informazioni;
  5. agisce prontamente per rimuovere le informazioni memorizzate o per disabilitare l’accesso a queste quando viene a conoscenza della loro rimozione dalla rete o che l’accesso è stato disabilitato o che un’autorità ne abbia ordinato la disabilitazione o rimozione.

Nel caso di prestazione di un servizio di memorizzazione di informazioni il prestatore non è responsabile delle informazioni memorizzate su richiesta del destinatario se

  1. non è effettivamente a conoscenza delle attività e dei contenuti illegali;
  2. quando ne viene a conoscenza agisca immediatamente per la rimozione degli stessi o per disabilitare l’accesso. Tale regola non si applica se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore.

L’esenzione non si applica neppure per quelle piattaforme che consentono ai consumatori di concludere contratti a distanza con operatori commerciali se pubblicano informazioni che fanno ritenere che le informazioni o il prodotto siano forniti dalla stessa piattaforma[3].

3. Gli obblighi del Digital Services Act per i prestatori di servizi intermediari

Il capo dedicato agli obblighi per i prestatori suddivide le norme a seconda degli operatori. Quindi, vengono prescritti:

  • gli obblighi applicabili a tutti i prestatori (artt. 11 – 15 Digital Services Act);
  • gli obblighi applicabili ai prestatori di servizi di memorizzazione di informazioni (artt. 16 – 18 Digital Services Act);
  • gli obblighi (e i poteri) per i fornitori di piattaforme online (artt. 19 – 28 Digital Services Act);
  • gli obblighi aggiuntivi per i fornitori di piattaforme online che consentono ai consumatori di concludere contratti a distanza con gli operatori commerciali (artt. 29 – 32 Digital Services Act);
  • gli obblighi supplementari per i fornitori di piattaforme online e di motori di ricerca online di dimensioni molto grandi (artt. 33 – 43 Digital Services Act).

3.1. Gli obblighi applicabili a tutti i prestatori

Le prime disposizioni, previste nella sez. I del capo III, sono applicabili indistintamente a tutti i prestatori. Questi consistono nel dovere di istituire punti di contatto per le Autorità degli stati membri, Commissione e Comitato (art. 11 Digital Services Act) e un punto di contatto per i destinatari del servizio (art. 12).

Nelle condizioni generali di contratto sono tenuti a specificare (in modo conciso intellegibile e accessibile) le informazioni riguardanti le restrizioni che impongono sull’uso dei loro servizi, tra cui le politiche, le procedure, le misure e gli strumenti utilizzati ai fini della moderazione dei contenuti, incluso il processo decisionale algoritmico e la verifica umana, oltre alle regole procedurali del loro sistema interno per la gestione dei reclami. I prestatori devono agire in modo diligente, obiettivo e proporzionato tenendo conto dei diritti e degli interessi di tutte le parti coinvolte, tra cui la libertà di espressione, il pluralismo dei media e altri diritti e libertà sanciti dalla Carta. I prestatori sono tenuti a pubblicare – con cadenza annuale – relazioni chiare e intellegibili sulle attività di moderazione dei contenuti. Queste devono incentrarsi su elementi tra cui il numero di ordini ricevuti; numero di segnalazioni presentate; utilizzo di strumenti automatizzati; numero di reclami ricevuti (art. 15 Digital Services Act).

3.2. Gli obblighi applicabili ai prestatori di servizi di memorizzazione di informazioni

Per i prestatori di servizi di memorizzazione viene imposta l’istituzione di un meccanismo per le segnalazioni di contenuti illegali per via elettronica. Le decisioni che devono far seguito alle segnalazioni dovranno essere tempestive, adottate diligentemente e in modo non arbitrario e obiettivo. Se ci si avvale dell’utilizzo di strumenti automatizzati, deve essere inclusa un’adeguata informazione sull’uso (art. 16 Digital Services Act).

In caso di adozione di misure restrittive, queste devono essere accompagnate da una adeguata motivazione. Ciò trova una eccezione, però, nel caso in cui le informazioni fossero riferite a contenuti commerciali ingannevoli ad ampia diffusione. Casi concreti potrebbero essere quelli di un utilizzo non autentico del servizio, come l’utilizzo di bot o account falsi o altri usi ingannevoli.

La motivazione che accompagna la misura restrittiva deve contenere una serie di informazioni, tra cui l’indicazione dell’oggetto, ossia se la decisione comporta la rimozione delle informazioni, la disabilitazione dell’accesso, la limitazione della visibilità o altre misure; deve esporre i fatti e le circostanze su cui si basa, le informazioni sugli strumenti automatizzati utilizzati per la decisione; il riferimento alla base giuridica invocata; i mezzi di ricorso disponibili. Questa disposizione sull’esposizione dei motivi e delle circostanze, tuttavia, non trova applicazione nel caso di adozione di un ordine di rimozione da parte di una Autorità (art. 17 Digital Services Act). Nell’ipotesi di sospetto sulla commissione di un reato, il prestatore ne dà subito informazione alle autorità giudiziarie dello stato membro (art. 18 Digital Services Act).

Le tipologie di restrizioni che il prestatore può adottare non sono tipiche e, quindi, non vengono menzionate dal legislatore, ma tra queste si possono ipotizzare:

  • la restrizione della visibilità, che può consistere nella retrocessione nel posizionamento o nei sistemi di raccomandazione, come pure nella restrizione dell’accessibilità da parte di uno o più destinatari del servizio o nell’esclusione dell’utente da una comunità online senza che quest’ultimo ne sia consapevole («shadow banning»).
  • Un’altra restrizione ipotizzata riguarda la monetizzazione — grazie agli introiti pubblicitari — delle informazioni fornite dal destinatario del servizio, la quale può essere limitata mediante la sospensione o la soppressione del pagamento in denaro o degli introiti connessi a tali informazioni.

3.3. Gli obblighi (e i poteri) per i fornitori di piattaforme online

Le piattaforme online sono una sottocategoria rispetto ai prestatori di servizi di memorizzazione. Con “piattaforme online” il legislatore intende i social network o quelle piattaforme che consentono ai consumatori di concludere contratti a distanza con operatori commerciali (quindi, tutte quelle piattaforme che operano nel e-commerce). Esse sono definite come prestatori di servizi di memorizzazione di informazioni che non solo memorizzano informazioni fornite dai destinatari del servizio su richiesta di questi ultimi, ma le diffondono pubblico su richiesta dei destinatari.

A queste piattaforme si applicano un nutrito numero di obblighi. Questi, però, non si applicano a quei fornitori che si qualificano come microimprese o piccole imprese come definite dalla raccomandazione 2003/361/CE.

Tra gli obblighi in questione è prevista:

  1. La predisposizione di un sistema interno per la gestione dei reclami contro una decisione presa dal fornitore all’atto del ricevimento di una segnalazione o contro una serie di decisioni adottate dallo stesso e indicate nel par. 1 dell’art. 20 Digital Services Act. Per le decisioni sui reclami non ci si può avvalere esclusivamente di strumenti automatizzati;
  2. La previsione di una facoltà di risolvere stragiudizialmente le controversie (art. 21 Digital Services Act). Di tale possibilità i destinatari del servizio devono essere informati e deve essere accessibile sulla interfaccia online. L’organismo incaricato per la risoluzione delle controversie non può adottare decisioni vincolanti per le parti;
  3. la figura del “segnalatore attendibile”. Qualifica riconosciuta, su richiesta di qualunque ente, dal Coordinatore in cui è stabilito il richiedente. È necessario che siano dimostrate:
    • capacità e competenze particolari per l’individuazione, identificazione e notifica di contenuti illegali;
    • indipendenza rispetto a qualsiasi fornitore di piattaforme online;
    • capacità di svolgimento dell’attività in modo diligente, accurato e obiettivo.
      I segnalatori pubblicano (e trasmettono al coordinatore), almeno una volta ogni anno, una relazione sulle segnalazioni presentate. Alle segnalazioni che pervengono da questi soggetti deve essere data priorità (art. 22 Digital Services Act);
  4. In aggiunta alle informazioni relative alle relazioni sulle attività di moderazione dei contenuti prescritte dall’art. 15 DSA per tutti i prestatori, i fornitori di piattaforme online devono indicare anche: il numero di controversie sottoposte agli organismi di risoluzione delle controversie, i risultati delle stesse, il tempo medio per il loro espletamento, il numero di sospensioni applicate ai sensi dell’art. 23 DSA.
    Ogni sei mesi i fornitori pubblicano per ciascuna piattaforma e per ciascun motore di ricerca, informazioni sul numero medio mensile di destinatari attivi del servizio nell’UE (art. 24 Digital Services Act).
  5. I fornitori di piattaforme online devono progettare, organizzare e gestire le interfacce in modo che i destinatari dei servizi offerti non vengano ingannati o manipolati o in modo che le loro capacità nell’assumere decisioni libere e informate siano materialmente falsati o compromesse[4]. Il suddetto divieto non trova applicazione per le pratiche contemplate dalla direttiva in materia di pratiche commerciali scorrette (dir. 2005/29/CE) o dal GDPR (art. 25 Digital Services Act);
  6. Nel caso in cui presentino pubblicità sulle proprie interfacce, i fornitori sono tenuti a far sì che i destinatari siano in grado di identificare in modo chiaro, conciso, inequivocabile e in tempo reale: (i) che l’informazione è una pubblicità; (ii) la persona per conto della quale viene presentata; (iii) la persona che finanzia la pubblicità se diversa dalla lettera precedente; (iv) indicazioni su parametri utilizzati per determinare il destinatario a cui viene presentata e alla modalità di modifica di tali parametri.
    I fornitori devono mettere a disposizione dei destinatari una funzione che consente di dichiarare se i contenuti che forniscono (gli stessi destinatari) siano o contengano comunicazioni commerciali.
    I fornitori non possono presentare pubblicità sulla base della profilazione di cui al GDPR sulla base dell’utilizzo di categorie speciali di dati personali di cui all’art. 9 GDPR (art. 26 Digital Services Act).
  7. Coloro i quali si avvalgono di sistemi di raccomandazione sono tenuti a specificare nelle proprie condizioni contrattuali i principali parametri utilizzati nei sistemi, qualunque opzione a disposizione dei destinatari che consente di modificare o influenzare siffatti parametri. Qualora esistano diverse opzioni di parametri, deve essere consentito al destinatario di scegliere l’opzione preferita (art. 27 Digital Services Act).
  8. Nel caso di piattaforme accessibili ai minori, devono essere adottate misure adeguate e proporzionate per garantire l’elevato livello di tutela della vita privata, sicurezza e protezione dei minori. Se si è consapevoli che il destinatario è minore di età non è consentita la pubblicità basata su profilazione (art. 28 Digital Services Act).

Il Digital Services Act, all’art. 23, sebbene li inserisca nell’ambito degli obblighi, prevede alcuni poteri in capo ai fornitori. È sancito che questi, dopo un avviso, possono sospendere i loro servizi – limitato ad un ragionevole periodo di tempo – per alcuni destinatari che forniscono contenuti illegali in modo reiterato. Possono, inoltre, sospendere il servizio dei reclami interni a quei segnalatori che presentano a più riprese reclami o segnalazioni manifestamente infondati. I fornitori devono determinare la loro politica in ordine a tali abusi, anche tramite esempi, nelle loro condizioni generali per l’utilizzo del servizio.

3.4. Gli obblighi aggiuntivi per i fornitori di piattaforme online che consentono ai consumatori di concludere contratti a distanza con gli operatori commerciali

I fornitori possono consentire agli operatori commerciali di utilizzare le loro piattaforme solo se questi ultimi hanno fornito determinate informazioni come dati identificativi, iscrizione a registro imprese o altro registro. Spetta sempre al fornitore verificare con diligenza la veridicità di tali informazioni (art. 30 Digital Services Act).

Se il fornitore viene a conoscenza dell’offerta di un prodotto o di un servizio illegale da un operatore, è tenuto a darne immediata informazione (per gli acquisti avvenuti entro i sei mesi antecedenti) ai consumatori che hanno acquistato il prodotto o servizio.

3.5. Gli obblighi supplementari per i fornitori di piattaforme online (VLOP) e di motori di ricerca online di dimensioni molto grandi (VLOSE)

La commissione europea ha il compito di stabilire quelle che sono le piattaforme online o i motori di ricerca di grandi dimensioni. Questo avviene quando hanno un numero medio mensile di destinatari attivi del servizio nell’UE pari o superiore a 45 milioni. Tale qualità cessa e la decisione revocata se per un periodo ininterrotto di almeno un anno non si è prodotto il numero medio mensile predetto. L’elenco delle piattaforme e motori di ricerca in questione vengono pubblicati nella G.U. UE (art. 33 Digital Services Act).

La prima designazione è avvenuta il 25 aprile 2023. Le piattaforme online designate sono diciassette[5], mentre i motori di ricerca sono solamente due, ossia Google Search e Bing.

Gli obblighi che seguono, quindi, trovano applicazione solo nei confronti di questi soggetti di grandi dimensioni designati dalla commissione europea:

  1. I fornitori sono tenuti a redigere ogni anno una relazione per individuare, analizzare e valutare eventuali rischi sistemici derivanti dalla progettazione o dal funzionamento del loro servizio e dei suoi sistemi, compresi quelli algoritmici o dall’uso dei loro servizi.
    I rischi sistemici di cui tenere conto sono:

    1. La diffusione contenuti illegali;
    2. Gli eventuali effetti negativi prevedibili per l’esercizio dei diritti fondamentali;
    3. Gli eventuali effetti negativi prevedibili sul dibattito civico, sui processi elettorali e sulla sicurezza pubblica;
    4. Qualsiasi effetto negativo prevedibile relativo alla violenza di genere, alla protezione della salute pubblica e dei minori.

Nella valutazione in questione si dovrà tenere conto de:

    • la progettazione dei sistemi di raccomandazione e di qualsiasi altro sistema algoritmico pertinente;
    • i loro sistemi di moderazione dei contenuti;
    • le condizioni generali applicabili;
    • i sistemi di selezione e presentazione di pubblicità;
    • le pratiche del fornitore relative ai dati (art. 34).
  1. con le valutazioni suddette si analizzano in che modo i rischi siano “influenzati dalla manipolazione intenzionale del loro servizio, anche mediante l’uso non autentico o lo sfruttamento automatizzato del servizio, nonché l’amplificazione e la diffusione potenzialmente rapida e ampia di contenuti illegali e di informazioni incompatibili con le condizioni generali”.
    Questi rischi possono sorgere, quindi, da un uso non autentico del servizio, come la creazione di account falsi, l’uso di bot o altri usi ingannevoli di un servizio, e da altri comportamenti automatizzati o parzialmente automatizzati che possono condurre alla rapida e ampia diffusione al pubblico di informazioni che costituiscono contenuti illegali o incompatibili con le condizioni generali della piattaforma online o del motore di ricerca online.
  2. I fornitori sono tenuti a adottare misure di attenuazione dei rischi sistemici individuati (art. 35 Digital Services Act). Le misure possono includere l’adeguamento:
    • della progettazione, delle caratteristiche o del funzionamento dei servizi;
    • delle condizioni generali;
    • delle procedure di moderazione dei contenuti;
    • dei sistemi algoritmici, inclusi i sistemi di raccomandazione;
    • dei sistemi di pubblicità e adozione di misure per limitare o adeguare la presentazione della pubblicità associata al servizio prestato;
      oppure
    • il rafforzamento dei processi interni, in particolare per il rilevamento dei rischi sistemici;
    • l’avvio o l’adeguamento della cooperazione con i segnalatori attendibili e attuazione delle decisioni degli organismi di risoluzione delle controversie;
    • avvio o adeguamento della cooperazione con altri fornitori in merito a codici di condotta e protocolli di crisi;
    • adozione di misure di sensibilizzazione e l’adattamento dell’interfaccia online per fornire maggiori informazioni ai destinatari;
    • adozione di misure mirate per salvaguardare i diritti dei minori;
    • il ricorso a un contrassegno visibile per far sì che un elemento di una informazione (immagine, audio, video generati o manipolati) che assomigli a persone, oggetti, luoghi o altro, e che a una persona appaia falsamente autentico, sia distinguibile quando è presentato sulle loro interfacce online. Deve essere fornita una funzionalità che consenta ai destinatari del servizio di indicare tale informazione (sono le ipotesi del c.d. deep fake).
  3. In caso di circostanze eccezionali che possono comportare una grave minaccia per la sicurezza pubblica o la salute pubblica nell’UE o in parti significative della stessa che determinano una “crisi” (art. 36), la Commissione, su raccomandazione del Comitato, può adottare una decisione che impone a uno o più fornitori di intraprendere una o più azioni (proporzionate – necessarie – giustificate e per un periodo non superiore a tre mesi prorogabile una sola volta) tra cui:
    • una valutazione sulla eventuale portata e sul modo in cui il funzionamento e l’uso dei loro servizi contribuiscono alla crisi;
    • l’individuazione e l’applicazione di misure specifiche, efficaci e proporzionate per prevenire, eliminare o limitare il suddetto contributo;
    • una relazione alla Commissione sulle predette valutazioni e sulle misure adottate.
  4. I fornitori, almeno una volta ogni anno, si devono sottoporre a revisioni indipendenti di propria iniziativa perché sia valutata la conformità agli obblighi di cui al capo III, agli obblighi assunti con i codici di condotta e ai protocolli di crisi. (art. 37 Digital Services Act)[6].
  5. In caso di sistemi di raccomandazione, i fornitori devono assicurare almeno una opzione che non preveda la profilazione di cui all’art. 4, par. 4), GDPR.
  6. Per la pubblicità online i fornitori sono tenuti a rendere accessibile al pubblico, in una specifica sezione, un registro contenente alcune informazioni tra cui: a) contenuto della pubblicità, incluso il nome del prodotto o servizio; b) la persona per conto della quale viene presentata e che ha provveduto al pagamento, se diversa; d) il periodo durante il quale è stata presentata; e) indicazioni se l’annuncio era destinato a un gruppo specifico di destinatari e, in caso positivo, i parametri utilizzati a questo scopo; f) le comunicazioni commerciali pubblicate sulle piattaforme e individuate ai sensi dell’art. 26, par. 2, DSA; g) il numero dei destinatari raggiunti e (se opportuno) i dati aggregati suddivisi per ciascun Stato membro relativi al gruppo o ai gruppi di destinatari ai quali la pubblicità era destinata (art. 39 Digital Services Act).
  7. I fornitori devono garantire al coordinatore dei servizi digitali l’accesso ai dati per valutare la conformità al DSA (art. 40 Digital Services Act).
  8. I fornitori sono tenuti a istituire una funzione di controllo della conformità indipendente dalle loro funzioni operative e composta da uno o più responsabili della conformità (art. 41 Digital Services Act).
  9. Per le relazioni di cui all’art. 15 DSA questi fornitori sono tenuti a specificare ulteriori informazioni tra cui: le risorse umane dedicate al servizio offerto nell’UE; le qualifiche e le competenze linguistiche delle persone che svolgono le attività predette; gli indicatori di accuratezza.

4. Considerazioni conclusive sul Digital Services Act

Il Digital Services Act rappresenta solo un tassello di un complesso mosaico regolatorio che in questi anni è in fase di elaborazione in seno alle istituzioni europee. Il netto svantaggio competitivo europeo nel mercato digitale e tecnologico rispetto a grandi potenze come Stati Uniti e Cina ha contribuito ad avviare un processo di iper-regolamentazione di questi settori con il presumibile tentativo di contenere il passivo esistente. Basti pensare che il Digital Services Act si accompagna al Digital Markets Act, alla proposta di regolamento sull’IA, alla proposta di direttiva europea sulla responsabilità da IA e alla proposta di nuova direttiva sui prodotti difettosi, oltre alla direttiva europea relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e dei servizi digitali, al Data Governance Act, alla proposta di Data Act, alla nuova direttiva sulla e-privacy, alla direttiva europea su Open Data, oltre alle varie direttive e ai regolamenti in tema di sicurezza cibernetica.

Lo scopo principale del Digital Services Act riposa sulla creazione di un ambiente online sicuro, prevedibile e affidabile. L’intento è quello di rendere più trasparenti alcuni strumenti già oggi ampiamente utilizzati come i sistemi di raccomandazione e altri sistemi algoritmici automatizzati. L’idea è anche quella di rendere più efficace il sistema di rimozione di contenuti illegali o contrari alle condizioni generali di contratto del fornitore, benché il tema possa aprire la spinosa questione della censura e la discutibile creazione della figura dei c.d. segnalatori attendibili.

L’ulteriore profilo riguarderebbe il delicato bilanciamento degli interessi in gioco che il fornitore sarebbe chiamato ad effettuare. Sul tema, sebbene il legislatore tenti di regolamentare ogni aspetto, non viene chiarito in modo univoco se la rimozione di contenuti illegali deve essere preceduta da un provvedimento giudiziario che accerti l’illegalità in questione. Da una prima analisi del Digital Services Act la risposta dovrebbe essere negativa, nel senso che il fornitore può procedere con l’adozione diretta di una misura restrittiva senza che vi sia un provvedimento di un’autorità alla base[7]. Su questo aspetto, quindi, la soluzione sembrerebbe ispirata a quanto già offerto dalla giurisprudenza della Corte di Giustizia europea[8].

Per rendere più efficace l’applicazione del Digital Services Act è stato altresì istituito il Centro europeo per la trasparenza algoritmica (ECAT) per vigilare sull’utilizzo dei sistemi algoritmici. L’ECAT sarà chiamato a coadiuvare la commissione europea per garantire che i sistemi algoritmici utilizzati dalle piattaforme e dai motori di ricerca di grandi dimensioni rispettino i requisiti in tema di gestione e di attenuazione dei rischi. L’attuazione del Digital Services Act e il suo collegamento con le copiose e articolate normative ad esso complementari giocherà un ruolo cruciale che determinerà il risultato finale della sfida che il legislatore europeo intende affrontare.

 

[1] Il sistema di raccomandazione viene definito come un sistema interamente o parzialmente automatizzato che una piattaforma online utilizza per: (i) suggerire informazioni specifiche ai destinatari del servizio; oppure (ii) per mettere in ordine di priorità dette informazioni anche quale risultato di una ricerca avviata dal destinatario del servizio o determinando in altro modo l’ordine o l’importanza delle informazioni visualizzate. Non viene fatto alcun riferimento ad una personalizzazione delle raccomandazioni o delle priorità delle informazioni.

[2] Il concetto di «contenuto illegale» deve rispecchiare quello conseguente all’applicazione delle norme nell’ambiente offline. Il concetto di «contenuto illegale» dovrebbe essere definito in senso lato per coprire anche le informazioni riguardanti i contenuti, i prodotti, i servizi e le attività illegali. Con questo concetto deve intendersi il riferimento a informazioni, indipendentemente dalla loro forma, che ai sensi del diritto applicabile sono di per sé illegali, quali l’illecito incitamento all’odio o i contenuti terroristici illegali e i contenuti discriminatori illegali, o che le norme applicabili rendono illegali in considerazione del fatto che riguardano attività illegali. Tra queste figurano, a titolo esemplificativo, come menzionato nel considerando 12: «la condivisione di immagini che ritraggono abusi sessuali su minori, la condivisione non consensuale illegale di immagini private, il cyberstalking (pedinamento informatico), la vendita di prodotti non conformi o contraffatti, la vendita di prodotti o la prestazione di servizi in violazione della normativa sulla tutela dei consumatori, l’utilizzo non autorizzato di materiale protetto dal diritto d’autore, l’offerta illegale di servizi ricettivi o la vendita illegale di animali vivi. Per contro, un video di un testimone oculare di un potenziale reato non dovrebbe essere considerato un contenuto illegale per il solo motivo di mostrare un atto illecito quando la registrazione o la diffusione di tale video al pubblico non è illegale ai sensi del diritto nazionale o dell’Unione. A tale riguardo è irrilevante che l’illegalità delle informazioni o delle attività sia sancita dal diritto dell’Unione o dal diritto nazionale conforme al diritto dell’Unione e quale sia la natura esatta o l’oggetto preciso della legge in questione».

[3] Il caso è quello della piattaforma online che non mostra chiaramente l’identità dell’operatore commerciale.

[4] Questa disposizione, in particolare, dovrà trovare un bilanciamento e raccordo con l’art. 5, par. 1, lett. a) dell’Artificial intelligence Act ancora oggi in piena fase di discussione.

[5] Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando.

[6] La Commissione europea ha di recente posto in pubblica consultazione una bozza di regolamento sulle modalità di esecuzione delle revisioni indipendenti previste dall’art. 37 del DSA. Il Regolamento, che verrà adottato entro la fine dell’anno corrente, definisce i principi che i revisori dovrebbero applicare nella scelta delle metodologie e delle procedure di revisione fornendo ulteriori dettagli per la revisione della conformità delle VLOP e VLOSE agli obblighi di gestione del rischio e di risposta alle crisi.

[7] In questo senso interpretativo sembra implicitamente deporre anche il considerando 54 del regolamento in cui viene specificato che se un prestatore di servizi di memorizzazione di informazioni decide di rimuovere le informazioni fornite da un destinatario del servizio o di disabilitare l’accesso alle stesse o di limitarne in altro modo la visibilità o la monetizzazione perché costituiscono contenuti illegali o sono incompatibili con le condizioni generali (ad esempio a seguito del ricevimento di una segnalazione o agendo di propria iniziativa), dovrebbe informare in modo chiaro e facilmente comprensibile il destinatario della sua decisione dei motivi della stessa e dei mezzi di ricorso disponibili per contestare la decisione, tenuto conto delle conseguenze negative che tali decisioni possono comportare per il destinatario, anche per quanto concerne l’esercizio del suo diritto fondamentale alla libertà di espressione. Se la decisione è stata adottata a seguito del ricevimento di una segnalazione, il prestatore di servizi di memorizzazione di informazioni dovrebbe rivelare l’identità della persona o dell’entità che ha presentato la segnalazione al destinatario del servizio solo se tale informazione è necessaria per identificare l’illegalità del contenuto, ad esempio in caso di violazione dei diritti di proprietà intellettuale.

[8] Da ultimo, sempre in questo senso anche la più recente Corte di Giustizia UE, Grande Sezione, sentenza 8 dicembre 2022, causa C-460/20 secondo la quale il motore di ricerca può dar seguito alla richiesta di deindicizzazione se il richiedente riesce a fornire un fumus di prova della manifesta inesattezza delle notizie indicizzate senza necessità di una precedente pronunzia del giudice. La decisione si fonda sul principio di proporzionalità.

Di cosa si parla in questo articolo
Vuoi leggere la versione PDF?

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12

La Newsletter professionale DB
Giornaliera e personalizzabile
Iscriviti alla nostra Newsletter