In vigore il Digital Services Act: stop agli illeciti su contenuti, prodotti e servizi online

È stato recentemente pubblicato in Gazzetta Ufficiale il testo definitivo del Digital Services Act, o Reg. UE 2022/2065, relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali) la cui entrata in vigore è prevista fra poco meno di venti giorni.

Il Digital Services Act (nel formato abbreviato, DSA) rappresenta uno dei pilastri fondamentali della strategia digitale europea, e si pone lo scopo – assolutamente prioritario e delicato – di fornire degli elementi che possano consentire l’effettiva ed efficace moderazione e i contenuti online, introducendo anche forme di responsabilità per le piattaforme sulle quali detti contenuti sono pubblicati e diffusi.

End Surveillance Capitalism no more ad-spies

Guarda questo video su YouTube

Più nel dettaglio, il DSA introduce una serie di obblighi asimmetrici differenziati per le cosiddette VLOPs (Very Large Online Platforms) e per le SMEs (Small and Medium Enterprises), volti a contrastare, come detto, la diffusione di contenuti dannosi online, e rendere il funzionamento della piattaforma più trasparente nei confronti degli utenti. Parte delle misure contenute nel DSA si focalizza, altresì, sulla prevenzione della contraffazione online, al fine di consentire una rimozione più rapida e semplificata delle merci contraffatte dai circuiti di vendita.

Nel prosieguo, si rende, senza presunzione di esaustività, una sintetica trattazione dei punti essenziali del Regolamento, al fine di consentirne una più agevole lettura.

Il DSA quale soluzione alla diffusione dei “contenuti illegali”

Il DSA, come anticipato, si pone quale obiettivo quello di stabilire le condizioni per lo sviluppo e l’espansione sana dei servizi digitali innovativi nel mercato interno europeo, essendo divenuti detti servizi “una componente significativa dell’economia dell’Unione e della vita quotidiana dei suoi cittadini” ed essendo sempre più frequenti fenomeni di abuso di detti servizi, come l’utilizzo dei medesimi per la diffusione di contenuti dannosi e illegali, fake news, e altro.

Al fine di conseguire l’obiettivo di garantire un ambiente online sicuro, prevedibile e affidabile, il regolamento si cura innanzitutto di definire il concetto di «contenuto illegale», definito in senso lato per coprire anche le informazioni riguardanti i contenuti, i prodotti, i servizi e le attività illegali come “qualsiasi informazione che, di per sé o in relazione a un’attività, tra cui la vendita di prodotti o la prestazione di servizi, non è conforme al diritto dell’Unione o di qualunque Stato membro conforme con il diritto dell’Unione, indipendentemente dalla natura o dall’oggetto specifico di tale diritto”. La definizione resa, si specifica nel Regolamento, dovrebbe riferirsi “alle informazioni, indipendentemente dalla loro forma, che ai sensi del diritto applicabile sono di per sé illegali, quali l’illecito incitamento all’odio o i contenuti terroristici illegali e i contenuti discriminatori illegali, o che le norme applicabili rendono illegali in considerazione del fatto che riguardano attività illegali”.

Tra queste figurano, a titolo illustrativo, “la condivisione di immagini che ritraggono abusi sessuali su minori, la condivisione non consensuale illegale di immagini private, il cyberstalking (pedinamento informatico), la vendita di prodotti non conformi o contraffatti, la vendita di prodotti o la prestazione di servizi in violazione della normativa sulla tutela dei consumatori, l’utilizzo non autorizzato di materiale protetto dal diritto d’autore, l’offerta illegale di servizi ricettivi o la vendita illegale di animali vivi”.

Digital Services Act: verso una nuova era del diritto digitale (con qualche incognita)

L’ambito di applicazione del DSA

Il DSA si applica espressamente ai prestatori di “qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario”, ai prestatori di servizi intermediari, e in particolare “ai servizi intermediari consistenti in servizi noti come semplice trasporto (cosiddetto «mere conduit»), memorizzazione temporanea (cosiddetto «caching») e memorizzazione di informazioni (cosiddetto «hosting»)”.

La crescita esponenziale del ricorso a tali servizi, infatti, principalmente per finalità legittime e socialmente utili di qualsiasi tipo, ne ha anche accresciuto il ruolo nell’intermediazione e nella diffusione di informazioni e attività illegali o comunque dannose.

L’ambito territoriale di applicazione del regolamento segue all’incirca le medesime logiche che sono state utilizzate nel GDPR: infatti, le norme previste nella normativa si applicano a tutti i servizi intermediari che offrono servizi nell’Unione o hanno un collegamento sostanziale con l’Unione Europea, indipendentemente dalla circostanza per cui la sede dei medesimi sia localizzata all’interno dell’UE.

Le responsabilità dei prestatori di servizi intermediari

Il DSA si occupa, poi, di definire i casi in cui il prestatore di servizi non possa ritenersi responsabile delle condotte illecite presenti sulla piattaforma. In primis, si prevede che il fornitore di un servizio di comunicazione e trasmissione di informazioni non sia responsabile delle informazioni trasmesse o a cui si è avuto accesso a condizione che:

1. non dia origine alla trasmissione;
2. non selezioni il destinatario della trasmissione;
3. non selezioni né modifichi le informazioni trasmesse.

Nel caso dei servizi di memorizzazione delle informazioni, resi al fine di rendere maggiormente sicuro l’inoltro delle medesime ai destinatari del servizio, su loro richiesta, la responsabilità del prestatore pure si esclude nel caso in cui quest’ultimo:

1. “non modifichi le informazioni;
2. si conformi alle condizioni di accesso alle informazioni;
3. si conformi alle norme di settore sull’aggiornamento delle informazioni;
4. non interferisca con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull’impiego delle informazioni;
5. agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l’accesso alle stesse”, non appena venga effettivamente a conoscenza del fatto che le informazioni all’origine della trasmissione sono state rimosse o ne è stato disabilitato l’accesso anche su ordine di un organo giurisdizionale o di un’autorità amministrativa.

Allo stesso modo, il prestatore non è responsabile per le informazioni che siano memorizzate su richiesta di un destinatario del servizio, a condizione che detto prestatore:

1. non sia effettivamente a conoscenza delle attività o dei contenuti illegali e di fatti o circostanze che rendono manifesta l’illegalità dell’attività o dei contenuti; oppure
2. non appena venga a conoscenza di tali attività o contenuti illegali o divenga consapevole di tali fatti o circostanze, agisca immediatamente per rimuovere i contenuti illegali o per disabilitare l’accesso agli stessi.

A tutti i prestatori di servizi, inoltre, si richiede prontamente di dare riscontro agli ordini emessi dalle autorità giudiziarie o amministrative nazionali competenti, quando riguardano proprio il contrasto di contenuti illegali o la richiesta di informazioni per motivi connessi all’accertamento del rispetto della normativa unionale e nazionale applicabile.

A seguito dell’emissione di un avviso preventivo, i fornitori delle piattaforme dovranno poi sospendere, “per un periodo di tempo ragionevole”, la prestazione dei loro servizi ai destinatari del servizio che con frequenza forniscono contenuti manifestamente illegali.

Trasparenza e informazione

Assolutamente centrale nel DSA è il tema della trasparenza e dell’informazione nei confronti di tutti gli utenti e dei destinatari dei servizi resi. In tal senso, sono molteplici gli obblighi posti in capo ai prestatori, tutti mirati a ridurre il gap informativo che sussiste solitamente tra il prestatore e l’utente.

Si prevede, infatti, che i prestatori di servizi intermediari debbano innanzitutto includere nelle condizioni generali informazioni sulle restrizioni che sono imposte sull’uso dei servizi. Tali informazioni riguardano “tra l’altro le politiche, le procedure, le misure e gli strumenti utilizzati ai fini della moderazione dei contenuti, compresi il processo decisionale algoritmico e la verifica umana, nonché le regole procedurali del loro sistema interno di gestione dei reclami”. Inoltre, devono essere redatte “in un linguaggio chiaro, semplice, comprensibile, facilmente fruibile e privo di ambiguità” ed essere rese “disponibili al pubblico in un formato facilmente accessibile e leggibile meccanicamente”.

Se un servizio intermediario è principalmente destinato a minori o è utilizzato in prevalenza da questi, al prestatore si richiede di rendere le condizioni e le restrizioni intelligibili e chiare anche a dette categorie di utenti.

I fornitori di piattaforme online di dimensioni molto grandi e di motori di ricerca online di dimensioni molto grandi (VLOPs), inoltre, forniscono ai destinatari dei loro servizi anche “una sintesi concisa delle condizioni generali, di facile accesso e leggibile meccanicamente, compresi le misure correttive e i mezzi di ricorso disponibili, in un linguaggio chiaro e privo di ambiguità”, e rendono disponibili le condizioni generali nelle lingue ufficiali di tutti gli Stati membri in cui offrono i loro servizi.

Sempre in un’ottica di trasparenza, ai prestatori di servizi intermediari si richiede di mettere a disposizione del pubblico “in un formato leggibile meccanicamente e in modo facilmente accessibile, almeno una volta all’anno”, anche delle relazioni sull’attività di moderazione dei contenuti svolta.

Segnalazioni e segnalatori

Il DSA introduce anche una serie di obblighi relativi alle segnalazioni di contenuti illeciti. Essi, infatti, secondo quanto previsto dal DSA, devono innanzitutto predisporre dei meccanismi atti a “consentire a qualsiasi persona o ente di notificare loro la presenza nel loro servizio di informazioni specifiche che tale persona o ente ritiene costituiscano contenuti illegali”. I meccanismi di segnalazione dovranno essere di facile accesso e uso, e consentire la presentazione di segnalazioni – sufficientemente precise e adeguatamente motivate – esclusivamente per via elettronica.

Nel caso in cui ai destinatari siano applicate delle restrizioni, il prestatore dovrà altresì informare gli stessi circa le motivazioni della restrizione, esplicitando se le informazioni fornite costituiscono contenuti illegali o sono incompatibili con le proprie condizioni generali. In detto ultimo caso potranno essere applicate al destinatario:

• eventuali restrizioni alla visibilità di informazioni specifiche fornite dal destinatario medesimo, comprese la rimozione di contenuti, la disabilitazione dell’accesso ai contenuti o la retrocessione dei contenuti;
• la sospensione, la cessazione o altra limitazione dei pagamenti in denaro;
• la sospensione o la cessazione totale o parziale della prestazione del servizio;
• la sospensione o la chiusura dell’account del destinatario del servizio.

Unitamente al meccanismo di segnalazione, i fornitori di piattaforme online dovranno fornire ai destinatari del servizio, comprese le persone o gli enti che hanno presentato una segnalazione, “per un periodo di almeno sei mesi dalla decisione di cui al presente paragrafo, l’accesso a un sistema interno di gestione dei reclami efficace, che consenta loro di presentare per via elettronica e gratuitamente reclami contro la decisione presa dal fornitore della piattaforma all’atto del ricevimento di una segnalazione o contro le seguenti decisioni adottate dal fornitore della piattaforma online”.

I reclami dovranno essere gestiti in modo tempestivo, non discriminatorio, diligente e non arbitrario.

Si prevede, nel DSA, anche la figura del cosiddetto «segnalatore attendibile», ossia al soggetto che soddisfa le seguenti condizioni:

1. dispone di capacità e competenze particolari ai fini dell’individuazione, dell’identificazione e della notifica di contenuti illegali;
2. è indipendente da qualsiasi fornitore di piattaforme online;
3. svolge le proprie attività al fine di presentare le segnalazioni in modo diligente, accurato e obiettivo.

A dette figure sarà richiesta la pubblicazione, almeno una volta all’anno, di relazioni facilmente comprensibili e dettagliate sulle segnalazioni presentate.

Digital Services Act: What Can the US Learn from the EU?

Guarda questo video su YouTube

No ai “Dark commercial patterns”

Allo stesso modo, assolutamente rilevante ed innovativa è la norma dedicata alla progettazione ed organizzazione delle interfacce online, nella quale si stabilisce il divieto, per i fornitori di piattaforme online, di organizzare o gestire le loro interfacce online “in modo tale da ingannare o manipolare i destinatari dei loro servizi o da materialmente falsare o compromettere altrimenti la capacità dei destinatari dei loro servizi di prendere decisioni libere e informate”.

Al fine di chiarire, sotto il profilo applicativo, quali possano essere i dark commercial patterns vietati, si dà altresì il potere, alla Commissione, di emanare orientamenti circa la corretta applicazione del divieto citato, con riguardo a pratiche specifiche, tra cui:

1. attribuire maggiore rilevanza visiva ad alcune scelte quando si richiede al destinatario del servizio di prendere una decisione;
2. chiedere ripetutamente che un destinatario del servizio effettui una scelta laddove tale scelta sia già stata fatta, specialmente presentando pop-up che interferiscano con l’esperienza dell’utente;
3. rendere la procedura di disdetta di un servizio più difficile della sottoscrizione dello stesso.

Pubblicità sempre più trasparente

In relazione alla pubblicità online, il DSA introduce nuovi obblighi di trasparenza. In particolare, si richiede ai fornitori che presentano pubblicità sulle loro interfacce online di provvedere “affinché, per ogni singola pubblicità presentata a ogni singolo destinatario, i destinatari del servizio siano in grado di identificare in modo chiaro, conciso, inequivocabile e in tempo reale” una serie di elementi:

1. che l’informazione costituisce una pubblicità, anche attraverso contrassegni visibili;
2. la persona fisica o giuridica per conto della quale viene presentata la pubblicità;
3. la persona fisica o giuridica che paga per la pubblicità, se diversa dalla persona per la quale è presentata;
4. informazioni rilevanti direttamente e facilmente accessibili dalla pubblicità relative ai parametri utilizzati per determinare il destinatario al quale viene presentata la pubblicità e, laddove applicabile, alle modalità di modifica di detti parametri.

I fornitori di piattaforme online mettono a disposizione dei destinatari del servizio anche una funzionalità che “consente di dichiarare se i contenuti che forniscono siano o contengano comunicazioni commerciali”. Se sono utilizzati sistemi di raccomandazione dei contenuti si richiede di specificare altresì, nelle condizioni generali, in un linguaggio chiaro e intellegibile, i principali parametri utilizzati nei sistemi di raccomandazione, “nonché qualunque opzione a disposizione dei destinatari del servizio che consente loro di modificare o influenzare tali parametri principali”. Le informazioni devono comprendere almeno i seguenti elementi minimi:

1. i criteri più significativi per determinare le informazioni suggerite ai destinatari del servizio;
2. le ragioni per l’importanza relativa di tali parametri.

Si prevede, da ultimo, che i fornitori non possano presentare pubblicità basate sulla profilazione di categorie speciali di dati personali.

Le VLOPS e l’elemento del “rischio”

In conclusione, si ritiene opportuno svolgere alcune precisazioni in merito agli obblighi aggiuntivi previsti per le VLOPs. Per queste ultime categorie di fornitori si valorizza, nel DSA, l’elemento del “rischio”, in ragione dell’enorme bacino di utenza che le stesse possono raggiungere: rientrano nelle VLOPs, infatti, le piattaforme online e i motori di ricerca online “che hanno un numero medio mensile di destinatari attivi del servizio nell’Unione pari o superiore a 45 milioni” e che sono designati come piattaforme online di dimensioni molto grandi o motori di ricerca online di dimensioni molto grandi sulla base di specifica decisione della Commissione Europea.

La qualifica di VLOPs rende necessario, per queste ultime, individuare, analizzare e valutare con diligenza gli eventuali rischi sistemici che possono derivare “dalla progettazione o dal funzionamento del loro servizio e dei suoi relativi sistemi, compresi i sistemi algoritmici, o dall’uso dei loro servizi”, mediante una valutazione di rischio annuale, da rinnovarsi anche nel caso in cui siano introdotte nuove funzionalità che possono avere un impatto critico sui rischi individuati.

La valutazione del rischio deve essere specifica per i servizi resi e proporzionata ai rischi sistemici, tenendo in considerazione la loro gravità e la loro probabilità, e deve comprendere almeno i seguenti rischi sistemici:

1. la diffusione di contenuti illegali;
2. eventuali effetti negativi, attuali o prevedibili, per l’esercizio dei diritti fondamentali;
3. eventuali effetti negativi, attuali o prevedibili, sul dibattito civico e sui processi elettorali, nonché sulla sicurezza pubblica;
4. qualsiasi effetto negativo, attuale o prevedibile, in relazione alla violenza di genere, alla protezione della salute pubblica e dei minori e alle gravi conseguenze negative per il benessere fisico e mentale della persona.

Nello svolgimento delle valutazioni dei rischi, i fornitori di piattaforme online di dimensioni molto grandi e di motori di ricerca online di dimensioni molto grandi dovranno tener conto, in particolare, dell’eventualità e del modo in cui i rischi sistemici possono essere influenzati dai seguenti fattori:

1. la progettazione dei sistemi di raccomandazione e di qualsiasi altro sistema algoritmico pertinente;
2. i sistemi di moderazione dei contenuti;
3. le condizioni generali applicabili e la loro applicazione;
4. i sistemi di selezione e presentazione delle pubblicità;
5. le pratiche relative ai dati.

Le valutazioni analizzano inoltre se e in che modo i rischi siano influenzati dalla manipolazione intenzionale del loro servizio, “anche mediante l’uso non autentico o lo sfruttamento automatizzato del servizio, nonché l’amplificazione e la diffusione potenzialmente rapida e ampia di contenuti illegali e di informazioni incompatibili con le condizioni generali”.

A fronte dei rischi individuati e delle valutazioni svolte, i fornitori delle VLOPs dovranno adottare “misure di attenuazione ragionevoli, proporzionate ed efficaci, adattate ai rischi sistemici specifici” prestando particolare attenzione agli effetti di tali misure sui diritti fondamentali. Dette misure di attenuazione possono ricomprendere, a titolo esemplificativo e non esaustivo:

1. l’adeguamento della progettazione, delle caratteristiche o del funzionamento dei servizi e delle interfacce online;
2. l’adeguamento delle condizioni generali e la loro applicazione;
3. l’adeguamento delle procedure di moderazione dei contenuti;
4. la sperimentazione e l’adeguamento dei sistemi algoritmici, compresi i sistemi di raccomandazione;
5. l’adeguamento dei sistemi di pubblicità e l’adozione di misure mirate volte a limitare o ad adeguare la presentazione della pubblicità associata al servizio da esse prestato;
6. il rafforzamento dei processi interni, delle risorse, della sperimentazione, della documentazione o della vigilanza sulle attività, in particolare per quanto riguarda il rilevamento dei rischi sistemici;
7. l’adozione di misure di sensibilizzazione e l’adattamento dell’interfaccia online al fine di dare ai destinatari del servizio maggiori informazioni;
8. l’adozione di misure mirate per tutelare i diritti dei minori;
9. il ricorso a un contrassegno ben visibile per fare in modo che un elemento di un’informazione, che assomigli notevolmente a persone, oggetti, luoghi o altre entità o eventi esistenti e che a una persona appaia falsamente autentico o veritiero, sia distinguibile.

I VLOPs dovranno da ultimo sopporsi, “a proprie spese e almeno una volta all’anno, a revisioni indipendenti volte a valutare la conformità agli obblighi normativi e agli impegni assunti a norma dei codici di condotta e dei protocolli di crisi”.