Diritto

Digital Services Act: Cosa Prevede Il Regolamento Europeo Sui Servizi Digitali (DSA)

  2. Home
  3. Blog
  4. Diritto
  5. Digital Services Act: Cosa Prevede Il Regolamento Europeo Sui Servizi Digitali (DSA)

Il Digital Services Act è la normativa europea che disciplina le piattaforme online che forniscono contenuti, servizi, merci. Il testo del DSA, in Italiano Regolamento Europeo sui servizi digitali, è stato redatto con l'obiettivo di tutelare gli utenti e contrastare la diffusione di contenuti e merci illegali online. A tal fine il Digital Services Act prevede obblighi per le piattaforme, in particolare quelle di dimensioni molto grandi, ad esempio con riguardo alla moderazione dei contenuti pubblicati online.

Il Digital Services Act è stato redatto dal Commissario Europeo per l'agenda digitale Margrete Vestager e dal Commissario Europeo per il mercato interno Thierry Breton, membri della Commissione Von der Leyen.

Il testo del Digital Services Act (DSA) (Gazzetta Ufficiale UE)

Digital Services Act (testo PDF)

Indice

Cosa prevede il Digital Services Act? Intro

Il Digital Services Act prevede una disciplina dedicata alle piattaforme online di grandi dimensioni e alle specifiche problematiche che queste comportano, ad esempio con riguardo alla disinformazione e alla trasparenza degli algoritmi che selezionano contenuti e pubblicità per determinate categorie di utenti. Il DSA persegue questi obiettivi responsabilizzando i fornitori delle piattaforme, con obblighi e sanzioni, e prevede il coordinamento al livello europeo tra le autorità cui è assegnata la vigilanza sull'applicazione delle nuove norme.

Il precedente quadro normativo europeo in materia di servizi online è rappresentato dalla Direttiva sul commercio elettronico: il testo del Digital Services Act o Regolamento europeo sui servizi digitali si propone di aggiornare la normativa con specifico riferimento alle esigenze di tutela relative ai servizi di intermediazione online, in particolare quelli forniti dai giganti del web. L'impatto da questi esercitato sulle società e le economie su scala globale, e le relative problematiche, erano difficilmente immaginabili quando venne redatto il testo della Direttiva sul commercio elettronico, nel 2000.

Entrata in vigore del DSA

Il Digital Services Act è entrato in vigore il 1 Novembre 2022; le disposizioni dedicate alle piattaforme ed ai motori di ricerca molto grandi sono applicabili dal 25 Agosto 2023. Il resto del DSA è pienamente applicabile in tutti gli Stati dell'Unione Europea a partire dal 17 Febbraio 2024.

Il Coordinatore dei servizi digitali

Gli Stati membri dovranno istituire entro il 17 Febbraio 2024 il Coordinatore dei servizi digitali : una autorità con il compito di vigilare sul rispetto del Regolamento da parte delle piattaforme stabilite sul territorio nazionale. Gli Stati dovranno dotare i coordinatori delle risorse necessarie per consentire loro di svolgere le proprie mansioni in maniera indipendente e trasparente.

Gli Stati membri potranno nominare anche altre autorità, ad esempio assegnando loro la vigilanza su aspetti o settori specifici oggetto del Regolamento; in tal caso, al Coordinatore spetterà un'opera di coordinamento delle attività svolte dalle autorità nazionali eventualmente nominate.

Al fine di garantire l'uniforme applicazione del Regolamento al livello europeo è prevista l'istituzione di un Comitato europeo per i servizi digitali : un gruppo consultivo composto dai coordinatori dei servizi digitali con i seguenti compiti:

  1. prestare assistenza ai coordinatori nazionali in merito alla applicazione del Regolamento;
  2. supportare il lavoro di analisi ed elaborazione di orientamenti della Commissione nelle materie disciplinate dal Regolamento;
  3. assistere la Commissione e i coordinatori dei servizi digitali nell'opera di vigilanza esercitata sulle piattaforme online di dimensioni molto grandi.

A chi si applica il Digital Services Act

Il Digital Services Act si applica alle piattaforme online che forniscono servizi, contenuti e merci su internet, come social network, marketplace e piattaforme che consentono la condivisione di contenuti. Gli obblighi previsti dal Digital Services Act sono graduati in base alle dimensioni delle piattaforme: gli adempimenti sono più gravosi per le piattaforme di grandi dimensioni, mentre quelle più piccole ne sono in parte esentate.

  • Piattaforme che impiegano meno di 50 persone e che realizzano un fatturato annuo inferiore a 10 milioni di euro, qualificate come microimprese o piccole imprese dalla raccomandazione 2003/361/CE, sono esentate da alcuni obblighi ed adempimenti
  • piattaforme di grandi dimensioni, considerate tali se raggiungono mensilmente in media 45 milioni di utenti nel mercato europeo: sono oggetto di obblighi più stringenti e disposizioni specifiche che andiamo ad esaminare.

Obblighi per tutte le piattaforme

Divieto di ricorrere ai dark pattern

Le piattaforme non possono condizionare gli utenti attraverso l'utilizzo di dark pattern, o percorsi oscuri, definiti dal considerando 67 pratiche che distorcono o compromettono in misura rilevante, intenzionalmente o di fatto, la capacità dei destinatari del servizio di compiere scelte o decisioni autonome e informate. Tali pratiche possono essere utilizzate per convincere i destinatari del servizio ad adottare comportamenti indesiderati o decisioni indesiderate che abbiano conseguenze negative per loro.

Tra i possibili esempi di dark pattern vi è la richiesta reiterata a un destinatario del servizio di effettuare una scelta qualora tale scelta sia già stata effettuata, rendendo la procedura di cancellazione di un servizio notevolmente più complessa di quella di aderirvi, o rendendo talune scelte più difficili o dispendiose in termini di tempo rispetto ad altre

Nel vietare il ricorso ai dark pattern, il Regolamento sui servizi digitali richiama la normativa europea che già disciplina tali pratiche, ossia la direttiva 2005/29 sulle pratiche commerciali sleali e il GDPR.

Punti di contatto

Il fornitore della piattaforma online nomina un punto di contatto che consenta la diretta comunicazione con le Autorità degli Stati membri, la Commissione e il Comitato europeo per i servizi digitali. Il punto di contatto rappresenta un interlocutore anche per gli utenti: a tal fine, le piattaforme pubblicano le informazioni che consentono di identificare e comunicare con i punti di contatto designati.

Rappresentante legale per piattaforme con sede extra UE

Le piattaforme che hanno una sede fuori dall'UE, ma che offrono i propri servizi sul mercato unico europeo, nominano un rappresentante legale con il compito di interloquire e cooperare con le autorità nazionali ed europee in merito alla corretta applicazione del regolamento. A tal fine, oltre alla nomina, il fornitore deve conferire i poteri necessari affinché il rappresentante legale possa esperire efficacemente tale funzione di collegamento e rappresentanza. La nomina va notificata, con nominativo e contatti, al coordinatore dei servizi digitali dello Stato in cui il rappresentante è stabilito.

Cosa prevede il DSA riguardo alla moderazione dei contenuti?

Il Digital Services Act prevede che i fornitori di servizi digitali informino l'utente delle condotte che comportano interventi di moderazione. La piattaforma deve esporre nei termini e condizioni le restrizioni con riguardo alle informazioni pubblicate dagli utenti: cosa si può pubblicare, e cosa no. Pertanto, le politiche e le procedure sulla moderazione dei contenuti, incluse le modalità di gestione dei reclami presentati dagli utenti, devono essere rese pubbliche e conoscibili in anticipo dall'utente.

Segnalazione dei contenuti illegali

Le piattaforme predispongono dei meccanismi che consentono agli utenti di segnalare i contenuti illegali, indicando le motivazioni e le informazioni necessarie ad individuare i contenuti segnalati. Il sistema informa l'utente della ricezione della segnalazione e lo aggiorna sull'esito della stessa, sulle azioni intraprese e le eventuali modalità per ricorrere contro la decisione.

Restrizioni ed obbligo di motivazione

Nel caso la piattaforma reputi i contenuti pubblicati dagli utenti illegali o comunque non in linea con le condizioni generali, al punto da imporre restrizioni quali

  • limitazione dei pagamenti: demonetizzazione dei contenuti pubblicati dagli utenti;
  • limitazioni all'uso dei servizi offerti dalla piattaforma;
  • sospensione o chiusura dell'account dell'utente

la relativa decisione va motivata all'utente destinatario delle restrizioni, dovendo comunicare:

  • quali misure in particolare vengono adottate in relazione ai contenuti ritenuti illegali e la loro durata;
  • i fatti in base ai quali la decisione è stata adottata, se questa deriva da una autonoma indagine della piattaforma o se vi è stata una segnalazione di un utente.
  • In caso di contenuti ritenuti illegali, è necessario indicare le norme che si sostiene siano state violate e che giustificano, ad esempio, il provvedimento che rimuove un contenuto dalla piattaforma.
  • Se le informazioni o i contenuti non sono illegali ma contrastano con le condizioni generali della piattaforma, questa deve richiamare i termini che ritiene siano stati violati con la pubblicazione.
  • quali mezzi ha a disposizione l'utente per ricorrere contro la decisione che impone restrizioni ai contenuti.

Nel caso dai contenuti pubblicati emergano elementi che portino a sospettare il compimento di reati, il fornitore della piattaforma è tenuto a notificare alle autorità giudiziarie le informazioni pubblicate sulla piattaforma che portano a sospettare che si stia commettendo o probabilmente sarà commesso un reato che comporta una minaccia per la vita o la sicurezza di una o più persone.

Relazione annuale sugli interventi di moderazione

A scadenza annuale le piattaforme pubblicano una relazione sugli interventi di moderazione effettuati con le seguenti informazioni :

  • il numero di ordini ricevuti dalle autorità per contrastare i contenuti illegali pubblicati;
  • le segnalazioni ricevute dagli utenti circa i contenuti illegali;
  • le attività di moderazione svolte, anche attraverso l'impiego di strumenti automatizzati; il numero e il tipo di misure adottate e il loro impatto sulla disponibilità del servizio o la fruizione dei contenuti da parte degli utenti.
  • Il numero di reclami ricevuti dagli utenti relativi alle iniziative di moderazione effettuate;

Gli obblighi che abbiamo appena elencato si applicano a tutte le piattaforme; altre disposizioni invece sono dirette a tutte le piattaforme ad esclusione di piccole imprese e microimprese: sono tali i fornitori che impiegano meno di 50 persone e realizzano un fatturato inferiore a 10 milioni di euro.

Obblighi per tutte le piattaforme eccetto piccole e micro imprese

Gestione dei reclami

Abbiamo appena visto che le restrizioni all'utilizzo delle piattaforme, per contenuti ritenuti illegali o in contrasto con le condizioni generali, vadano debitamente motivate.

Ai fornitori di piattaforme online, che non siano microimprese o piccole imprese, è richiesta l'istituzione di un sistema di gestione dei reclami che consenta all'utente di contestare, entro 6 mesi, le restrizioni applicate al proprio account o alle informazioni pubblicate.

Il reclamo va gestito con la supervisione di personale adeguatamente qualificato e non avvalendosi esclusivamente di strumenti automatizzati. Pertanto, non è possibile decidere un reclamo, e magari confermare le restrizioni applicate alle informazioni pubblicate da un utente, sulla base di un meccanismo automatico, in esecuzione di un algoritmo.

L'utente va informato dell'esito del reclamo e della possibilità di ricorrere contro la decisione. È possibile ricorrere ad un organismo di risoluzione extragiudiziale delle controversie: questo deve essere certificato dal coordinatore dei servizi digitali del Paese in cui è stabilito e possedere alcuni requisiti, tra cui imparzialità, competenza, e deve operare in base a regole procedurali chiare, accessibili agli utenti e ovviamente in conformità al diritto applicabile.

Contro le decisioni dei fornitori delle piattaforme online l'utente può comunque ricorrere presso gli organi giurisdizionali competenti.

Segnalatori attendibili

Il Regolamento sui servizi digitali prevede che le segnalazioni di contenuti illegali presentate da segnalatori attendibili siano trattate in via prioritaria dalle piattaforme che le ricevono. La qualifica di segnalatore attendibile viene assegnata dal coordinatore dei servizi digitali a chi ne faccia richiesta e sia in possesso dei seguenti requisiti:

  • capacità particolari nella individuazione, identificazione e notifica dei contenuti illegali;
  • indipendenza da qualsiasi piattaforma;
  • diligenza ed obiettività nel segnalare i contenuti ritenuti illegali.

Il segnalatore attendibile pubblica una relazione annuale sulle segnalazioni effettuate, indicando i tipi di contenuti illegali riscontrati, le piattaforme destinatarie della segnalazione e le azioni da queste prese in seguito alla segnalazione. Tali relazioni annuali vengono inviate al coordinatore dei servizi digitali che gli ha assegnato la qualifica e sono messe a disposizione del pubblico.

Sospensione dei servizi

La piattaforma online può sospendere, dopo un preavviso, i servizi per quegli utenti che si rendano responsabili di abusi:

  • Pubblicazione reiterata di contenuti evidentemente illegali;
  • Invio di reclami o segnalazioni manifestamente infondati: le piattaforme possono sospendere l'esame delle segnalazioni e dei reclami provenienti dagli utenti che abusano di tali strumenti.

Le condizioni generali della piattaforma online devono specificare nel dettaglio quali condotte vengono considerate abusi e per quanto tempo viene disposta la sospensione dei servizi.

Pubblicità online

I messaggi pubblicitari sulle piattaforme devono essere segnalati come tali all'utente, unitamente alle seguenti informazioni:

  • la persona fisica o giuridica che pubblica e paga il messaggio pubblicitario;
  • quali parametri vengono utilizzati per decidere a quale utente mostrare una certa pubblicità e come può l'utente modificare tali parametri. In altre parole: se la pubblicità è rivolta ad un target particolare, inteso come tipo di potenziale consumatore di un certo prodotto, l'utente al quale viene mostrata deve essere informato sugli elementi hanno contribuito ad individuarlo come destinatario del messaggio pubblicitario e deve poter scegliere di non ricevere messaggi pubblicitari personalizzati, se così preferisce.

Inoltre, non è consentita la profilazione basata su dati personali:

  • relativi alla origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Questo in virtù del rinvio operato dall'articolo 26 del Digital Services Act all'articolo 9 del GDPR.
  • appartenenti a minori, se tale appartenenza è nota o desumibile con ragionevole certezza.

Contenuti raccomandati

Così come per la pubblicità, un obbligo di trasparenza è previsto anche per i contenuti che vengono raccomandati; l'utente deve essere informato se l'offerta di contenuti sia personalizzata, quali criteri o fattori hanno determinato la selezione e quali opzioni ha l'utente per incidere su questa. In presenza di più opzioni, ossia se l'utente ha più alternative per orientare la scelta dei contenuti raccomandati, o il loro ordine, la piattaforma o interfaccia online mette a disposizione dell'utente una apposita funzionalità per consentire la scelta tra le opzioni disponibili.

Marketplace

Il regolamento sui servizi digitali dedica una sezione ai mercati online o marketplace, ossia alle piattaforme online che consentono ai consumatori di concludere contratti a distanza con gli operatori commerciali. Le disposizioni in argomento non si applicano alle piattaforme che ospitano operatori commerciali che rientrano nella definizione di microimprese o piccole imprese, a meno che la piattaforma stessa non sia di grandi dimensioni.

In altre parole: se sono piccoli venditori o negozianti al dettaglio a vendere su un marketplace online, le disposizioni del regolamento non trovano applicazione; se invece la piattaforma rientra tra quelle di dimensioni molto grandi, il regolamento si applica a prescindere dalla qualifica dei venditori ospitati sulla piattaforma.

In primo luogo, un marketplace online va progettato e realizzato in maniera da ottemperare agli obblighi specificamente previsti per tali piattaforme, consentendo agli operatori commerciali di inviare le informazioni ad essi richieste, in particolare quelle per identificare i prodotti e se del caso quelle relative ad etichettatura e marchio secondo la normativa europea in materia di sicurezza e conformità dei prodotti.

Identificazione degli operatori commerciali

Il fornitore deve in via preliminare identificare gli operatori commerciali che intendono servirsi della piattaforma per pubblicizzare e vendere i proprio prodotti; prima di essere ammessi, questi devono fornire le seguenti informazioni:

  1. nome, indirizzo e recapiti;
  2. copia del documento di identificazione;
  3. dati sul conto utilizzato per i pagamenti;
  4. se il venditore è iscritto ad un registro delle imprese, numero di iscrizione;
  5. un'autocertificazione tramite la quale il venditore si impegna ad offrire solo prodotti conformi alle norme del diritto UE.

Il fornitore della piattaforme è tenuto a verificare le informazioni ricevute, anche attraverso banche dati o qualsiasi altra interfaccia online messa a disposizione da uno Stato membro o dall'UE, eventualmente chiedendo al venditore di fornire integrazioni o documenti a supporto delle informazioni fornite. In mancanza di tali informazioni, le piattaforme sospendono i venditori fino a quando questi non comunicano i dati richiesti.

I venditori che già operano su marketplace online al momento dell'entrata in vigore del regolamento devono essere identificati e comunicare i loro dati entro il 17 febbraio 2024.

Infine: le informazioni fornite dal venditore, ad eccezione del documento di riconoscimento e dei dati relativi al conto in banca, vanno esposte sulla piattaforma e mostrate all'utente insieme alle informazioni relative al prodotto o servizio acquistabile.

Marketplace e prodotti illegali

Al fornitore del marketplace è richiesto, per quanto con sforzi ragionevoli e in manieria casuale, di verificare attraverso banche dati e altre risorse disponibili online se i prodotti offerti dagli operatori commerciali ammessi sulla piattaforma sono stati già identificati come illegali.

Se il fornitore realizza che un prodotto illegale è stato commercializzato attraverso la piattaforma provvede ad avvisare gli utenti che lo hanno acquistato, se dispone dei loro contatti, specificando l'identità del venditore e l'eventuale disponibilità di un mezzo di ricorso a disposizione dell'utente. Ove non sia possibile contattare direttamente gli utenti che hanno acquistato il prodotto illegale, tali informazioni vengono pubblicate online sulla piattaforma. L'obbligo di informare gli utenti sussiste per gli acquisti effettuati nei 6 mesi precedenti al momento in cui il fornitore apprende della illegalità del prodotto o servizio venduto.

Piattaforme e motori di ricerca di dimensioni molto grandi

Il Regolamento europeo prevede delle norme dedicate alle piattaforme o motori di ricerca di dimensioni molto grandi: sono considerate tali se utilizzate da una media di 45 milioni (o più) di utenti dell'Unione Europea al mese.

La Commissione adotta la decisione che attribuisce la qualifica di piattaforma molto grande in base ai dati che il fornitore è tenuto a fornire sui propri utenti attivi. In assenza di comunicazioni da parte del fornitore, la Commissione può procedere anche autonomamente sulla base di altre informazioni di cui sia a disposizione, dando al fornitore la possibilità di presentare entro 10 giorni lavorativi le proprie osservazioni sulle conclusioni raggiunte dalla Commissione in merito alla attribuzione della qualifica di piattaforma molto grande.

La Commissione ha redatto una prima lista di piattaforme molto grandi il 25 Aprile 2023; queste dovranno conformarsi agli obblighi per loro previsti entro 4 mesi, ossia entro il 25 Agosto 2023. Il primo degli adempimenti sarà la valutazione dei rischi.

Cos'è la valutazione del rischio sistemico?

La valutazione del rischio sistemico prevista dal DSA è un adempimento a carico delle piattaforme di grandi dimensioni: consiste nel valutare il rischio, definito sistemico, che il servizio da loro offerto possa rappresentare in ordine a:

  1. la diffusione di contenuti illegali
  2. eventuali effetti negativi per l'esercizio dei diritti fondamentali, in particolare quelli previsti dalla Carta dei Diritti Fondamentali dell'Unione Europa agli articoli:
    • 1: dignità umana
    • 7: rispetto della vita privata e della vita familiare
    • 8: tutela dei dati personali
    • 11: libertà di espressione ed informazione
    • 21: non discriminazione
    • 24: rispetto dei diritti del minore
    • 38: tutela dei consumatori
  3. il possibile impatto negativo su dibattito civico e sui processi elettorali, nonché sulla sicurezza pubblica.
  4. qualsiasi effetto negativo, attuale o prevedibile, in relazione alla violenza di genere, alla protezione della salute pubblica e dei minori e alle gravi conseguenze negative per il benessere fisico e mentale della persona.

La valutazione del rischio sistemico deve considerare quanto incidono sul rischio i seguenti fattori:

  • il sistema di raccomandazione dei contenuti;
  • il sistema di moderazione dei contenuti;
  • le condizioni generali;
  • i sistemi di selezione della pubblicità e le modalità che individuano l'utente o tipo di utente a cui mostrarla;
  • la gestione dei dati.

Nel valutare il rischio sistemico occorre considerare anche l'eventualità che la piattaforma venga manipolata, ad esempio utilizzata attraverso meccanismi automatizzati, e in che modo tali manipolazioni incidano sul rischio. Un possibile esempio è quello dei bot: il loro carattere automatizzato amplifica i rischi prodotti da un uso malevolo della piattaforma.

La valutazione dei rischi va effettuata entro il 25 Agosto 2023 la prima volta, e successivamente a scadenze annuali o comunque prima del rilascio di ogni nuova funzionalità che possa avere un impatto sui rischi sistemici.

Attenuazione del rischio

Alla valutazione segue l'elaborazione ed adozione di misure che consentano di attenuare i rischi rilevati, con particolare riferimento a quegli aspetti che presentano elementi di rischio in precedenza menzionati: gli algoritmi che raccomandano contenuti o pubblicità, il meccanismo di moderazione, le condizioni generali e più in generale tutta la progettazione e la realizzazione della piattaforma deve essere adeguata al fine di attenuare i rischi sistemici rilevati. In tal senso il Regolamento raccomanda anche la cooperazione con i segnalatori attendibili e lo sviluppo di pratiche organizzative interne che consentano di trattare in maniera efficace le segnalazioni ricevute ed evidenziare prontamente nuovi rischi sistemici.

Meccanismi di risposta alle crisi

In presenza di una situazione di crisi la Commissione può imporre ai fornitori di piattaforme online o motori di ricerca molto grandi di adottare misure di risposta alla crisi; secondo l'articolo 36 del Regolamento sui servizi digitali, una crisi si verifica quando circostanze eccezionali comportano una grave minaccia per la sicurezza pubblica o la salute pubblica nell'Unione.

La Commissione, con una apposita decisione, può imporre una o più delle seguenti misure di risposta alla crisi:

  1. valutare se e in che modo i servizi offerti contribuiscono a determinare la situazione di crisi;
  2. individuazione ed attuazione di misure specifiche per neutralizzare il contributo prestato alla situazione di crisi: tra queste, l'adeguamento delle procedure di moderazione dei contenuti...e, se del caso, la rapida rimozione dei contenuti oggetto della notifica o la disabilitazione dell'accesso agli stessi. Si è osservato come tale disposizione risulti problematica, potendo legittimare la censura attraverso l'irrigidimento dei meccanismi di moderazione a danno della libertà di espressione.
  3. una relazione alla Commissione che esponga l'eventuale contributo alla crisi riscontrato nel funzionamento della piattaforma e le eventuali misure adottate di conseguenza.

Le misure imposte dalla Commissione in risposta ad una crisi presentano dei limiti:

  • sono strettamente necessarie e proporzionate alla situazione di grava minaccia che si vuole contrastare;
  • è previsto un termine entro cui adottarle;
  • sono limitate ad un periodo di 3 mesi.

La Commissione valuta l'applicazione delle misure adottate dal fornitore e può:

  • revocare la decisione e chiedere al fornitore di interrompere l'applicazione delle misure, ove queste non siano più necessarie;
  • chiedere al fornitore di riconsiderare le misure adottate e la loro applicazione, in particolare se queste si sono rivelate, a giudizio della Commissione, poco efficaci.
  • prorogare l'applicazione delle misure per un periodo non superiore a 3 mesi.

Revisioni indipendenti

Le piattaforme online e i motori di ricerca di dimensioni molto grandi devono sottoporsi ad una valutazione annuale, operata da organizzazioni indipendenti, che attesti la conformità:

  1. agli obblighi di carattere generale previsti per tutte le piattaforme che abbiamo esaminato in precedenza;
  2. agli impegni assunti con i codici di condotta e i protocolli di crisi; su questo torneremo più avanti.

Le revisioni indipendenti mantengono il riserbo sulle informazioni ricavate dalle piattaforme nel corso dell'audit; tuttavia, il rispetto della riservatezza di tali informazioni non deve impedire la revisione o altri adempimenti previsti dal Regolamento. Ove necessario, la revisione può omettere di riportare quelle informazioni che potrebbero considerarsi come riservate.

Come detto, è necessario che le organizzazioni incaricate della revisione siano indipendenti e libere da alcun conflitto di interesse con i fornitori e in particolare:

  • non devono aver prestato alcun servizio diverso dalla revisione al fornitore o a qualsiasi persona giudirica ad esso collegata negli ultimi 12 mesi e devono impegnarsi a non fornire alcun servizio nei 12 mesi successivi alla revisione;
  • non possono ricevere per la revisione un compenso collegato all'esito della stessa.

La revisione si conclude con una relazione e un giudizio sulla conformità al Regolamento che può essere "positivo", "positivo con osservazioni" o "negativo". Se il giudizio non è "positivo", la relazione raccomanda l'adozione di misure, entro un certo termine, che consentano alla piattaforma di correggere le criticità riscontrate.

Pubblicità su piattaforme online di dimensioni molto grandi

In aggiunta agli obblighi di trasparenza sulla pubblicità che abbiamo visto in precedenza, le piattaforme molto grandi che mostrano messaggi pubblicitari sono tenute a pubblicare una sezione con informazioni dettagliate sulla pubblicità e in particolare:

  • il contenuto della pubblicità: nome e marchio del prodotto, oggetto della pubblicità;
  • il committente del messaggio pubblicitario e chi paga, se non si tratta della stessa persona, fisica o giuridica;
  • se un certo messaggio pubblicitario sia diretto ad un gruppo o categoria specifica di utenti, e in caso affermativo i parametri in base ai quali questi vengono identificati.
  • il numero di utenti raggiunti con la pubblicità e, ove opportuno, i dati aggregati suddivisi per ciascuno Stato membro relativi al gruppo o ai gruppi di destinatari ai quali la pubblicità era specificamente destinata.

Accesso ai dati

Le piattaforme online di dimensioni molto grandi, su richiesta del Coordinatore dei servizi digitali del Paese in cui la piattaforma è stabilita, o della Commissione, sono tenute a consentire l'accesso ai dati necessari a valutare la conformità al Regolamento sui servizi digitali. Sempre su richiesta del Coordinatore dei servizi digitali o della Commissione, il fornitore fornisce spiegazioni sullo sviluppo e il funzionamento degli algoritmi utilizzati, in particolare di quelli che raccomandano contenuti agli utenti.

I ricercatori abilitati

Il Regolamento prevede la figura del ricercatore abilitato: questo può chiedere l'accesso ai dati di una piattaforma online di grandi dimensioni al fine di studiare i rischi sistemici e l'adeguatezza delle misure di attenuazione del rischio adottate. La domanda va rivolta al Coordinatore dei servizi digitali che, se l'accoglie, chiede al fornitore di una piattaforma online di grandi dimensioni di consentire al ricercatore l'accesso ai dati.

La domanda del ricercatore deve:

  • specificare il tipo di ricerca che si intende svolgere;
  • dimostrare che l'accesso ai dati è proporzionato e funzionale alle finalità della ricerca.

Per qualificarsi come ricercatore abilitato, il richiedente deve possedere dei requisiti:

  • essere indipendente da interessi commerciali;
  • appartenere ad un organismo di ricerca;
  • avere le competenze per gestire i dati raccolti nel rispetto delle disposizioni applicabili in materia di sicurezza dei dati e tutela dei dati personali;
  • impegnarsi a rendere pubblici i risultati delle ricerche.

Come detto, la decisione in merito alla attribuzione della qualifica di ricercatore abilitato compete al Coordinatore dei servizi digitali, che può anche revocarla, e con essa l'accesso ai dati, nel caso il ricercatore non sia più in possesso dei requisiti richiesti.

Funzione di controllo della conformità

Tra gli obblighi che il Regolamento prevede per le piattaforme e i motori di ricerca di grandi dimensioni c'è la nomina di una funzione di controllo della conformità: una struttura indipendente da quella operativa con il compito di monitorare il rispetto del Regolamento da parte della piattaforma.

La funzione di controllo della conformità è composta da:

  • un capo della funzione di controllo, individuato come un alto dirigente indipendente con responsabilità distinta per la funzione di controllo della conformità; questo riferisce direttamente all'organo di gestione del fornitore della piattaforma, informandolo di eventuali rischi sistemici o inosservanze riscontrate.
  • uno più responsabili della conformità, nominati tra soggetti in possesso delle competenze professionali necessarie allo svolgimento dei seguenti compiti:
    • collaborare con il coordinatore dei servizi digitali e la Commissione per le questioni relative alla puntuale applicazione del Regolamento;
    • identificare e segnalare i rischi sistemici, valutare l'adeguatezza delle misure di attenuazione adottate;
    • assistere il fornitore con le attività relative alle revisioni indipendenti;
    • monitorare la conformità della piattaforma al Regolamento e agli impegni derivanti dai codici di condotta e dai protocolli di crisi.

Codici di condotta

Il Regolamento prevede ed incoraggia l'adozione di codici di condotta: iniziative volontarie intraprese dai fornitori di piattaforme online, organizzazioni della società civiile e altre parti interessate, volte a definire standard conformi al Regolamento. Gli aspetti che il Regolamento cita come possibile oggetto dei codici di condotta sono quelli del rischio sistemico e del contrasto ai contenuti illegali online: i due aspetti che abbiamo visto essere ricorrenti nelle disposizioni fin qui analizzate.

Il Regolamento sui servizi digitali prevede ed incoraggia l'adozione anche di codici di condotta specifici su:

  • pubblicità online, finalizzati a conseguire una maggiore trasparenza in materia di pubblicità, ulteriore rispetto a quella già richiesta in via generale dal Regolamento;
  • accessibilità, volti ad assicurare che i servizi offerti dalle piattaforme siano fruibili anche da persone con disabilità.

Per quanto si tratti di strumenti volontari, la Commissione e il Comitato europeo per i servizi digitali incoraggiano l'adozione di codici di condotta che specifichino gli obiettivi che intendono realizzare e contengano indicatori chiave di prestazione : parametri che consentano di misurare l'efficacia dei codici di condotta nel conseguire gli obiettivi prefissati.

La Commissione e il Comitato monitorano i codici di condotta al fine di valutare se questi sono coerenti con le finalità loro assegnate dal Regolamento, se realizzano i loro obiettivi, e ne promuovono l'aggiornamento periodico. Nel caso di violazione reiterata dei codici di condotta, la Commissione e il Comitato possono invitare i soggetti partecipanti ad adottare le misure necessarie: non sembra che in caso di violazione dei codici di condotta la Commissione possa andare oltre un'opera di raccomandazione.

Protocolli di crisi

I protocolli di crisi sono elaborati dalla Commissione, su raccomandazione del Comitato, per far fronte a situazioni di crisi: il Regolamento definisce genericamente le situazioni di crisi come situazioni strettamente limitate a circostanze straordinarie che incidono sulla sicurezza pubblica o sulla salute pubblica. La Commissione incoraggia una ampia partecipazione alla elaborazione dei protocolli di crisi, che può coinvolgere i fornitori di piattaforme online, di grandi dimensioni e non, gli Stati membri, le istituzioni Comunitarie, le organizzazioni della società civile.

Un protocollo di crisi ha un contenuto minimo, dovendo contenere:

  • gli elementi che individuano la situazione di crisi cui il protocollo deve far fronte;
  • i compiti dei partecipanti e le azioni che questi devono compiere tanto durante la preparazione che all'attivazione del protocollo di crisi;
  • una procedura che stabilisca quando attivare il protocollo di crisi e i tempi per l'adozione delle misure in esso previste;
  • garanzie che controbilancino eventuali effetti negativi sull'esercizio di diritti fondamentali, quali la libertà di espressione ed informazione e il diritto alla non discriminazione, eventualmente derivanti dai protocolli di crisi.
  • una procedura che informi pubblicamente delle misure adottate in forza del protocollo, e i loro esiti, una volta terminata la situazine di crisi.

Infine, nel caso i protocolli si dimostrino inefficaci nel far fronte alla situazine di crisi, o non garantiscano l'esercizio dei diritti fondamentali citati poc'anzi, la Commissione chiede ai partecipanti di rivedere il protocollo ed adottare ulteriori misure ove necessario.

Poteri di vigilanza

La vigilanza sul rispetto del Regolamento da parte delle piattaforme online che NON siano di dimensioni molto grandi spetta allo Stato in cui è stabilito il fornitore della piattaforma. Se il fornitore ha sede extra UE, i poteri di vigilanza competono allo Stato membro in cui risiede il rappresentante legale del fornitore. Come abbiamo visto in precedenza, i fornitori non europei sono tenuti a nominare un rappresentante legale per l'Unione Europea, stabilito in uno degli Stati membri.

La vigilanza sul rispetto del Regolamento sui servizi digitali da parte delle piattaforme ed i motori di ricerca di dimensioni molto grandi spetta in via esclusiva alla Commissione: così dispone l'articolo 56 al comma 2.

Digital Services Act: sanzioni

Per le violazioni di competenza degli Stati membri, ossia quelle commesse dalle piattaforme diverse da quelle di grandi dimensioni, sono gli Stati a decidere l'entità delle sanzioni con provvedimenti di diritto nazionale.

Il Regolamento si limita a disporre che:

  • le sanzioni adottate siano effettive, proporzionate e dissuasive.
  • l'importo massimo delle sanzioni pecuniarie irrogabili è pari al 6% del fatturato annuo mondiale del fornitore della piattaforma nell'esercizio finanziario precedente. Per la comunicazione di informazioni inesatte, incomplete o fuorvianti e di inosservanza dell'obbligo di sottoporsi ad un'ispezione la sanzione massima è pari all'1% del fatturato annuo mondiale.

Per le violazioni di cui si rendano responsabili le piattaforme di dimensioni molto grandi, l'irrogazione delle sanzioni spetta alla Commissione. Prima di comminare le sanzioni, la Commissione comunica al fornitore le violazioni riscontrate indicando le misure necessarie per porvi rimedio. Anche in questo caso, l'importo massimo della sanzione è pari al 6% del fatturato annuo.

Reclamo e risarcimento in caso di violazione

L'utente ha il diritto di presentare un reclamo ove ritenga che il fornitore della piattaforma online abbia violato le disposizioni del Regolamento. L'utente presenta il reclamo presso il coordinatore dei servizi digitali dello Stato membro in cui risiede; il coordinatore valuta il reclamo e, ove la piattaforma in questione sia stabilita in altro Paese, lo inoltra al coordinatore dello Stato competente. Sia l'utente che ha presentato il reclamo che il fornitore hanno diritto ad essere ascoltati ed aggiornati sullo stato del reclamo.

L'utente che ritiene di aver subito un danno dalla violazione del Regolamento può chiedere un risarcimento al fornitore della piattaforma.

Conclusioni

Il Regolamento sui servizi digitali introduce una ampia disciplina dedicata ai servizi di intermediazione online, affrontando le esigenze di regolamentazione emerse con lo sviluppo del settore e il ruolo sempre maggiore che le piattaforme hanno acquisito nelle economie e nelle società.

Un compito non facile, dovendo disciplinare una gamma molto ampia di servizi e le rispettive esigenze di tutela: contrastare la diffusione dei contenuti illegali, combattere la disinformazione e garantire la libertà di espressione, tutelare il consumatore e la privacy degli utenti. Il tutto garantendo una applicazione coerente del Regolamento in tutta l'Unione Europea, coordinando l'azione delle autorità istituite al livello nazionale e di quelle europee.

In conclusione, sarà interessante vedere come verrà recepita la nuova disciplina a partire dal Febbraio 2024, tanto dai fornitori destinatari di nuovi obblighi, alcuni dei quali dovranno confrontarsi con uno sforzo di compliance non indifferente, quanto dagli utenti: questi avranno a disposizione strumenti che nelle intenzioni dovrebbero consentire un uso più consapevole e meno passivo dei servizi online. Vedremo l'efficacia di tali strumenti e l'uso che ne verrà fatto.

Vincenzo Lalli

Vincenzo Lalli

Di formazione legale, appassionato da sempre di tecnologia ed informatica; esperienza professionale acquisita a cavallo tra i due mondi, finora piuttosto lontani tra loro. Mi dedico ad esplorare le crescenti interazioni tra il Diritto e la tecnologia, e a dare il mio contributo alla causa dell'innovazione nel settore legale; a tal fine, ho dato vita ad Avvocloud.net.

Contatti

Creative Commons License
il logo di avvocloud

Promuoviamo le competenze legali degli avvocati online e aiutiamo gli utenti ad orientarsi tra i meandri del Diritto.