Digital Services Act: regole uniformi per le piattaforme online

Il Regolamento (UE) 2022/2065 denominato Digital Services Act (DSA) è entrato in vigore il 16 novembre 2022 e si applicherà alla maggior parte dei servizi ivi disciplinati a partire dal 17 febbraio 2024. Assonime con la circolare n. 17 del 12/6/2023 fornisce alcune indicazioni alle aziende in merito alle nuove regole che dovranno essere seguite ed agli obblighi che sono imposti dal nuovo Regolamento.

Qui di seguito cerchiamo di riassumere i punti più rilevanti affrontati dalla circolare, che è molto dettagliata e corposa, evidenziando le caratteristiche principali del DSA e le sue implicazioni per i fornitori di servizi digitali.

Ambito di applicazione e definizione dei servizi intermediari

Il DSA si applica ai prestatori di servizi della società dell'informazione; quindi, a quei medesimi soggetti a cui si applica già attualmente la disciplina sul commercio elettronico (direttiva 2000/31/CE). In particolare, rientrano tra tali soggetti coloro che effettuano i servizi di mero trasporto delle informazioni (il cd. mere conduit), servizi di memorizzazione temporanea (caching) e servizi di memorizzazione delle informazioni (cd. hosting).

A questi operatori, che potremmo oramai definire tradizionali, si aggiungono coloro che forniscono i servizi intermediari, ossia le piattaforme online, che rispetto ai precedenti hanno la caratteristica di diffondere le informazioni al pubblico anche su richiesta dei destinatari del servizio.

Alcuni esempi di piattaforme online sono i marketplaces o i social network. Vi rientrano, per espressa previsione del Regolamento, anche i motori di ricerca online.

Il DSA trova applicazione per tutti i servizi intermediari offerti a destinatari il cui luogo di stabilimento si trova nell'Unione Europea, e ciò indipendentemente dal luogo di stabilimento o di ubicazione dei prestatori. Si conferma, quindi, quella vocazione transfrontaliera che hanno le norme UE che disciplinano il settore digitale, assoggettando alle stesse anche soggetti collocati al di fuori dell'Unione stessa.

La responsabilità dei prestatori di servizi

Il DSA si limita a stabilire i casi in cui il prestatore dei servizi non può essere ritenuto responsabile in relazione ai contenuti illegali forniti dai destinatari del servizio, mentre non indica in positivo quando il prestatore deve essere ritenuto responsabile, poiché ciò va determinato sulla base delle pertinenti norme applicabili del diritto dell'Unione europea e nazionale.

In particolare, il Regolamento ribadisce l'esonero dalla responsabilità per le attività di mere conduit, caching ed hosting, sostituendo i relativi articoli della direttiva sul commercio elettronico sopra richiamata.

Un'importante novità contenuta nel Regolamento riguarda la possibilità concessa ai providers dall'art. 7 di avvalersi dell'esenzione di responsabilità anche qualora si rendano attivi nello svolgere indagini volontarie di propria iniziativa sui contenuti, oppure pongano in essere apposite procedure volte a individuare, identificare o rimuovere dei contenuti illegali o per disabilitarne l'accesso.

Il contrasto ai contenuti illegali (procedure di notice e takedown)

Una delle novità più rilevanti del DSA è l'introduzione di una disciplina dettagliata volta ad armonizzare le disposizioni relative ai meccanismi per la notifica di eventuali contenuti illegali. L'organizzazione di efficaci procedure di notice and takedown è prevista come obbligo supplementare per gli hosting providers, in considerazione dell'importanza del loro ruolo nel contrasto ai contenuti illegali online.

E' necessario sottolineare che il DSA contiene una nozione di contenuto illegale molto ampia, essendo tale “qualsiasi informazione che, di per sé o in relazione a un'attività, tra cui la vendita di prodotti o la prestazione di servizi, non è conforme al diritto dell'Unione o di qualunque Stato membro conforme con il diritto dell'Unione, indipendentemente dalla natura o dall'oggetto specifico di tale diritto”.

Gli ordini di contrastare i contenuti illegali possono essere emessi dalle autorità amministrative o giurisdizionali nazionali ed il Regolamento disciplina nel dettaglio il comportamento che il prestatore di servizi deve mantenere una volta ricevuto l'ordine.

L'obiettivo della disciplina dettagliata del notice and takedown è quello di evitare comportamenti elusivi da parte delle piattaforme e di costringere le stesse ad una maggiore collaborazione con le autorità in merito al contrasto alla diffusione di notizie illegali.

Il DSA contiene poi una serie di obblighi di diligenza da parte dei prestatori che sono differenziati a seconda della tipologia, della dimensione e della natura del servizio prestato. Ovviamente gli obblighi più incisivi riguardano le piattaforme online di dimensioni molto grandi (Very Large Online Platform – VLOP) ed i motori di ricerca online di dimensioni molto grandi (Very Large Online Search Engine – VLOSE).

Tra tali obblighi segnaliamo, tra gli altri, la necessità di istituire meccanismi di segnalazione e azione, quella di prevedere meccanismi interni di reclami, di adottare misure contro gli abusi, obblighi di tracciabilità degli operatori commerciali o di informazione verso i consumatori (per i marketplace), nonché la valutazione dei rischi sistemici e la loro attenuazione, lo svolgimento di audit indipendenti (per VLOP e VLOSE).

Divieto di Dark Pattern sulle interfacce

Per i fornitori di piattaforme online è previsto il divieto di progettare, organizzare e gestire le loro interfacce online in modo tale da ingannare o manipolare i destinatari dei loro servizi o da falsare materialmente, o comunque compromettere, la capacità dei destinatari dei loro servizi di prendere decisioni libere e informate.

È il divieto di creare i cd. Dark Pattern, ossia pratiche che distorcono o compromettono la capacità dei destinatari dei servizi di compiere scelte o decisione autonome e informata.

Il tema era stato affrontando da qualche Autorità di controllo nazionale, tra cui la nostra Autorità Antitrust in relazione alla tutela dei consumatori, ed ora viene direttamente incluso nell'ambito della disciplina positiva.

Pubblicità e sistemi di raccomandazione nelle piattaforme

I fornitori di piattaforme online che consentono l'inserimento di pubblicità devono istituire dei meccanismi che assicurino, per ogni singola pubblicità presentata a ogni singolo destinatario di comprendere che l'informazione costituisce una pubblicità, la persona fisica o giuridica per conto della quale viene presentata la pubblicità, le informazioni rilevanti direttamente o indirettamente relative ai parametri utilizzati per determinare il destinatario, anche quando è basata sulla profilazione.

Ciò comporta che agli utenti deve essere fornita una funzionalità che consenta di specificare se i contenuti caricati sulla piattaforma costituiscono una pubblicità, mentre viene sancito il divieto di utilizzare le particolari categorie di dati personali di cui all'art. 9 del GDPR (dati relativi alla salute, alla razza, religione, appartenenza politica, etc.) a fini di profilazione pubblicitaria.

Per i sistemi di raccomandazione il DSA impone un obbligo di informare adeguatamente gli utenti del modo in cui tali sistemi incidono sulle modalità̀ di visualizzazione delle informazioni.

Accesso ai dati per la ricerca

Il DSA prevede la possibilità accesso ai dati gestiti dal prestatore per finalità di ricerca scientifica. Lo status di ricercatore abilitato, per la specifica ricerca indicata nella domanda, è attribuito dal coordinatore dei servizi digitali del luogo di stabilimento (ossia dall'Autorità nazionale che viene designata dallo Stato come tale) a ricercatori che appartengono a un organismo di ricerca e che soddisfano tutti i requisiti previsti. I fornitori di servizi digitali non possono rifiutare di consentire l'accesso ai dati per lo specifico obiettivo di ricerca indicato nella richiesta.

Autorità nazionali competenti e coordinatore dei servizi digitali

Per la vigilanza sui fornitori di servizi intermediari e l'esecuzione del Regolamento, l'articolo 49 del DSA prevede che gli Stati membri debbano designare una o più autorità competenti. Una di quelle designate dovrà essere individuata, sempre dallo Stato membro, entro il 17 febbraio 2024, quale coordinatore dei servizi digitali, la cui funzione è di svolgere da punto di contatto unico per tutte le questioni relative alla vigilanza e all'applicazione del DSA nello Stato membro.

Cooperazione

IL DSA prevede anche un meccanismo di condivisione delle informazioni tra le autorità nazionali e i giudici nazionali, ciò al fine di salvaguardare l'applicazione e l'esecuzione armonizzata del Regolamento stesso, evitando in tal modo che vengano assunte decisioni in contrasto con eventuali pronunce precedentemente adottato.

Al tal fine è previsto che la Commissione istituisca un sistema di condivisione delle informazioni affidabile e sicuro per lo scambio di informazioni primariamente tra i coordinatori dei servizi digitali, la Commissione e il comitato, che lo utilizzano per tutte le comunicazioni relative al regolamento. L'accesso a tale sistema può essere concesso anche ad altre autorità competenti, qualora sia necessario per svolgere i loro compiti ai sensi del regolamento.