DSA e DGA

Mercati e servizi digitali, a che punto sono le norme europee

Digital Services Act e Data Governance Act sono gli ultimi due atti di un processo di regolamentazione del mercato digitale europeo in progress da diverso tempo. Le tappe di evoluzione normativa, le proposte efficaci e i punti di debolezza, il rischio di iperproduzione normativa

13 Giu 2022
Chiara Benvenuto

Associate Dipartimento Data Protection Rödl & Partner

digital markets act dma

Nel dicembre 2020, nell’ambito del “pacchetto sul digitale”, la Commissione europea presentava due proposte legislative volte a regolamentare i servizi digitali ed i mercati digitali: il Digital Services Act e Data Governance Act. Dopo quasi un anno e mezzo di trattative tra il Parlamento europeo ed il Consiglio, l’Unione europea ha annunciato nella giornata di sabato 23 aprile scorso l’intesa su un pacchetto legislativo senza precedenti.

Ripercorriamo allora sinteticamente le tappe di evoluzione normativa che hanno interessato il mercato digitale europeo nell’ottica di individuarne le proposte efficaci ed i punti di debolezza, non senza alcune considerazioni sull’inoppugnabile posizione dominante dei big player extra europei.

Digital Services Act, una internet più sicura? Ma sarà sfida applicare le nuove regole

Il processo di regolamentazione del mercato digitale europeo è infatti già in progress da diverso tempo, caratterizzato da interventi di disciplina di rilievo come la Direttiva Copyright n. 790/2019 (recepita dall’Italia con il D. Lgs. n. 177/2021) ed il Regolamento 2019/1150 sui marketplace: fonti normative, queste, tese al contrasto di ogni occasione di contraffazione e/o circolazione non autorizzata di materiali tutelati dal diritto d’autore, per la previsione di un sistema, da un lato, di preliminare verifica dei rivenditori e di autorizzazione da parte dei titolari dei diritti, dall’altro, di autotutela dei danneggiati, per la rimozione istantanea e su richiesta dalle piattaforme online dei prodotti oggetto di segnalazione. Ma il punto d’arrivo del pacchetto di norme in questione potrebbe non essere ridotto alla tutela del copyright.

In uno scenario di mercato digitale profondamente innovato dai precedenti giurisprudenziali e dalle big tech, in che termini la tutela dei competitors e dei consumatori verrà rafforzata dal nuovo intervento normativo? Ed in che modo l’ultimo accordo politico tiene in debito conto le vicende di disinformazione degli utenti rese palesi anche dalla guerra in Ucraina?

Digital Services Act: nuove norme e tempi di attesa

Come detto, il 23 aprile scorso la Commissione europea ha annunciato il raggiungimento di un accordo politico dal valore storico: quello sul Digital Services Act (nel seguito, anche solo “DSA”). Il progetto di proposte legislative prendeva vita nel dicembre 2020, con l’intento di andare a regolamentare i servizi digitali ed i mercati digitali dell’Unione, momento a cui sarebbe seguito un anno e mezzo di trattative tra il Parlamento europeo ed il Consiglio. “Ciò che è illegale offline diventerà illegale online”, questa la dichiarazione, affidata ad un tweet, della Presidente della Commissione europea Ursula Von der Leyen, successivamente citata come slogan da parte di molti, tra tutti dal Ministro per l’Innovazione Vittorio Colao.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

Obiettivo della nuova norma

L’obiettivo della nuova norma è teso a garantire la sicurezza dell’ambiente online, per la salvaguardia della libera iniziativa economica per le imprese digitali ma anche della libertà di espressione dei singoli utenti. Il suo perseguimento verrà reso concretamente possibile grazie all’aggiornamento delle regole attuali, per la previsione di misure di contrasto degli illeciti, di responsabilizzazione degli utenti, di valutazione e attenuazione dei rischi, non senza un rafforzamento dei poteri di vigilanza della Commissione con riferimento all’ambito di operatività delle big tech.

Gli strumenti e le misure previsti

Più nello specifico, il DSA consegnerà un meccanismo di segnalazione dei contenuti illeciti alle piattaforme online e di cooperazione con i cosiddetti “segnalatori attendibili” ed andrà a prevedere nuovi obblighi in materia di tracciabilità degli utenti commerciali nei mercati online. Avverso le azioni dei provider, sarà riconosciuta la facoltà per gli utenti di presentare ricorso, sia attraverso un meccanismo di risoluzione extragiudiziale delle controversie sia per via giudiziaria. Inoltre, nell’ottica di una maggiore tutela dei diritti fondamentali dei singoli, verrà rilasciato ai ricercatori abilitati accesso ai dati fondamentali delle piattaforme di dimensioni maggiori e accesso delle ONG a dati pubblici per avere una migliore comprensione di come evolvono i rischi online. In linea con il diritto all’informazione, poi, verranno prescritte stringenti misure di trasparenza per le piattaforme online in occasione dell’impiego di algoritmi ed altri strumenti automatizzati per la promozione di contenuti, prodotti o servizi. Tra le misure di attenuazione e valutazione dei rischi: l’obbligo per le piattaforme ed i motori di ricerca di dimensioni molto grandi di adottare misure basate sul rischio (risk based approach) per prevenire l’abuso dei loro sistemi e di sottoporre i propri sistemi di gestione dei rischi ad audit indipendenti, sino alla previsione di processi di gestione delle crisi negli ambiti di sicurezza e salute pubblica.

Il Data Governance Act

Una direzione che mira ad uno scopo specifico, tra gli altri: quello di bilanciare coerentemente l’innovazione conferita alla disciplina della governance delle informazioni dalla seconda legge del “pacchetto”, il Data Governance Act: nell’ottica della condivisione di informazioni pubbliche e strategiche e nel rispetto del principio di libera circolazione dei dati, risulta necessario stabilire condizioni per il riutilizzo non discriminatorie, controllate e soprattutto proporzionate rispetto alle categorie di dati impattati e agli scopi del riutilizzo, nonchè, ove necessario, conformi alle prescrizioni proprie del GDPR.

A chi si applica

Il DSA si applicherà a tutti gli intermediari online che operano in Europa ma con obblighi specifici ed ulteriori per le piattaforme di ingente dimensione, ovvero quelle con più di 45 milioni di utenti attivi.

L’accordo politico raggiunto dal Parlamento europeo e dal Consiglio – si legge nel comunicato stampa della Commissione – è ora soggetto all’approvazione formale: una volta adottata, la legge sui servizi digitali sarà direttamente applicabile in tutta l’UE e si applicherà 15 mesi dopo l’entrata in vigore o a decorrere dal 1º gennaio 2024, se la data è posteriore. Per quanto riguarda le piattaforme online di dimensioni molto grandi e i motori di ricerca di dimensioni molto grandi, la legge si applicherà a decorrere da una data precedente, ossia 4 mesi dopo la loro designazione.

Verso un mercato europeo digitale e innovativo

La sola lettura del resumé delle novità normative che il DSA andrebbe (ed andrà) ad introdurre consente di confermarne la portata innovativa. Tuttavia, l’intervento del legislatore comunitario sopraggiunge dopo il primo ventennio del secolo, in un contesto sociale e tecnologico 3.0, difficilmente prevedibile ed imitabile nelle sue dinamiche. In realtà la normativa in commento può essere interpretata più che come una novità come una importante tappa di un più ampio processo evolutivo di governance della Rete, da tempo avviato da altri interventi normativi.

La direttiva Copyright

Basti pensare alla citata Direttiva Copyright: cristallizzando l’orientamento giurisprudenziale maggioritario, il legislatore ha regolamentato l’indistinto novero degli Internet Service Provider fornendo una definizione di “prestatore di servizi della società dell’informazione”: oggi con tale nomenclatura si indica il soggetto con lo scopo principale di memorizzare e dare accesso al pubblico a grandi quantità di opere o di altri materiali protetti dal diritto d’autore, che si collochi in un contesto in cui le opere o gli altri materiali protetti siano caricati dagli utenti, organizzati e promossi allo scopo di trarne profitto sia direttamente che indirettamente (nella categoria rientrano anche i prestatori di mercato online o di servizio cloud che consenta di condividere tra più utenti opere protette).

Tale prestatore di servizi compie un atto di comunicazione al pubblico o un atto di messa a disposizione del pubblico quando concede l’accesso a opere protette dal diritto d’autore o ad altri materiali protetti caricati dai loro utenti, per cui nel caso di mancata acquisizione dell’autorizzazione, è ritenuto responsabile per gli atti non autorizzati di comunicazione al pubblico e di messa a disposizione del pubblico. La tutela del diritto autorale è quindi rafforzata dal meccanismo di notice and take down: è possibile richiedere al prestatore di servizi di disabilitare l’accesso o rimuovere le opere o altri materiali, indicando i motivi della richiesta, ed il prestatore dei servizi, in quel caso, dovrà pertanto dare immediata comunicazione agli utenti dell’avvenuta disabilitazione o rimozione ed istituire e rendere disponibili meccanismi di reclamo.

Il Regolamento eCommerce

Ancora, con il Regolamento 2019/1150 eCommerce, applicabile anche ai motori di ricerca, sono stati previsti obblighi di trasparenza, sistemi per la gestione di reclami ed automatizzati per la limitazione, sospensione e cessazione del servizio ritenuto dal titolare del diritto in violazione della normativa vigente, sino all’obbligo di accesso ai dati. Una serie di strumenti per il monitoraggio (nel vero senso della parola) dei contenuti sulla rete e dei suoi players, teso a rendere concreto un approccio know your business, dettagliato ed ulteriore rispetto agli obblighi di adeguata verifica per i destinatari della normativa antiriciclaggio.

Regolamenti AI e “MiCA”

Sempre con riguardo alla rete ed alle sue logiche, non potrebbe non citarsi la proposta di Regolamento europeo che stabilisce regole armonizzate sull’intelligenza artificiale risalente a circa un anno fa, nonché la proposta di Regolamento del Parlamento europeo e del Consiglio relativo ai Mercati delle Cripto-Attività (Regolamento “MiCA”), appartenente ad un altro pacchetto di riforme adottate da parte della Commissione europea, il cosiddetto Digital Finance Package.

Il primo mira a tipizzare le pratiche vietate nell’utilizzo dei dispositivi intelligenti e più in generale degli algoritmi dotati di IA ed a prevedere specifici requisiti di conformità per i distributori e gli sviluppatori di “Sistemi di IA ad Alto Rischio, anche mediante l’introduzione di un nuovo regime di trasparenza per i sistemi di IA che determinino “rischi di manipolazione”, con ogni eventuale ripercussione per gli interessati. Anche in ambito di IA, stando alla predetta proposta di Regolamento, il legislatore comunitario mira a realizzare un sistema di norme conforme ai valori europei ed alla normativa in vigore in materia di diritti fondamentali, adottando un approccio proporzionato e risk based.

Con la seconda proposta citata, invece, si mira a perseguire quattro diversi obiettivi: oltre al tentativo di disciplinare un ambito del tutto innovativo come quello delle cryptovalute, al fine di conferire la certezza tipica del diritto, nell’ottica del sostegno all’innovazione si mira a prescrivere i principi di concorrenza leale e di tutela dei consumatori e degli investitori, per l’integrità del mercato e la garanzia di stabilità finanziaria. Per quanto d’interesse, anche il Regolamento MiCA fissa obblighi uniformi in materia di trasparenza e di informativa in relazione all’emissione, al funzionamento, all’organizzazione e alla governance dei fornitori di servizi per le criptoattività, per la previsione di norme e misure in riferimento alla vigilanza dei fornitori di servizi e a tutela dei consumatori per prevenire gli abusi di mercato.

Benefici e limiti delle nuove norme

Certamente l’entrata in vigore del DSA non potrà che rafforzare gli strumenti di tutela dei consumatori e degli imprenditori già presenti nel mercato digitale: si assiste, infatti, ad una prevalente valorizzazione degli strumenti di azione stragiudiziale (es. notice and take down, ruolo delle autorità amministrative indipendenti) ed alla proposta dei meccanismi di identificazione della clientela per il tracking dei distributori, a garanzia dei titolari di copyright.

Non solo: i presidi di trasparenza con riferimento all’impiego degli algoritmi e di controllo per l’adozione di misure basate sul rischio, anche mediante l’obbligo di pianificazione di audit indipendenti, ben potrebbero regolarizzare l’impegno di privacy and security by design, attualmente ancora sporadico e quasi mai documentato in maniera adeguata. Tale consapevolezza potrebbe senz’altro tradursi in una consolidata presenza di procedure di continuità operativa e di gestione della crisi. Tutto ciò spiegherebbe i suoi effetti non soltanto con riferimento agli adempimenti informativi in occasione dell’erogazione di servizi e prodotti ed al design delle soluzioni tecnologiche, ma anche in ottica di contrasto del fenomeno delle fake news.

Conclusioni

Alle promesse del legislatore comunitario occorre tuttavia, con consapevolezza, accostare alcune riflessioni. La prima non potrebbe non essere svolta con riferimento all’asserita natura neutrale della Rete, purtroppo non ancora sancita a livello normativo, con ogni conseguenza sul mercato digitale. Si assiste – ormai da tempo – alla proliferazione di prodotti, servizi e condizioni di big player, caratterizzati dall’offerta standard ed unilaterale, spesso in violazione di alcuni principi della normativa generale (si pensi, fra tutti, al tema dei trasferimenti di dati personali extra UE). Nell’attuale contesto del mercato digitale europeo, in realtà, le big tech non solo hanno assunto una posizione dominante nel mercato digitale, ma hanno finito per coincidere con i principali interlocutori delle istituzioni.

Preso atto della lungaggine processuale e della complessità, in termini tecnici, dell’applicazione analogica di normative passeggere a mercati digitali da regolamentare come quelli degli NFT o dei bitcoin, ci si domanda se la propensione all’autotutela sia stata ponderata da questo legislatore comunitario tenuto conto del principio “quis custodes ipsos custodes?” probabilmente vetusto se paragonato al tema in commento ma sempre valido in ottica di bilanciamento tra interessi e diritti.

Conclusioni

Si apprezza un mercato digitale non del tutto estraneo agli interventi di regolamentazione e al tempo stesso uno scenario normativo costellato da interventi di indirizzo generale e di settore, in relazione al quale, come si diceva, il “nuovo” DSA potrà partecipare all’opera di armonizzazione ma di certo non assumere l’elemento di sorpresa.

Di più: ci si augura di non dover constatare una iperproduzione normativa, affetta dal limite del suo stesso iter legislativo (il DSA dovrebbe infatti essere fruibile ed attuabile solo a partire dal 2024) e già obsoleta rispetto al progresso tecnologico, con il rischio di sovrapposizione alle normative locale ed alle linee guida dei garanti europei.

NEWSLETTER
Cashback, Open Banking e molto altro. Non perdere le notizie della Newsletter di Pagamenti Digitali
Pagamenti Digitali
Moneta Elettronica
@RIPRODUZIONE RISERVATA

Articolo 1 di 4