Il Digital Service Act (DSA), insieme al Digital Market Act (DMA), rappresenta uno dei pilastri della Strategia Digitale Europea. A ormai due anni di distanza dalla proposta di legge della Commissione, sono entrati in vigore e, alcune delle disposizioni, sono già divenute applicabili. Cosa possiamo aspettarci? Cosa devono sapere (tutti) i DPO? Riassumiamo l’iter che ha portato alla definizione della riforma digitale europea e le conseguenze per le imprese.
Nel mese di dicembre 2020 la Commissione Europea ha lanciato due iniziative per aggiornare le norme che regolano i servizi digitali nell'UE: la legge sui servizi digitali (DSA) e la legge sui mercati digitali (DMA). Durante il primo semestre del 2022 sono stati raggiunti gli accordi politici fra il parlamento europeo e gli stati membri. Dopo l'adozione da parte del Consiglio dell’Unione Europea, gli atti sono stati pubblicati in Gazzetta ufficiale: il DMA è stato pubblicato il 12 ottobre 2022 ed entrato in vigore lo scorso primo novembre; il DSA è stato pubblicato il 27 ottobre 2022 ed entrerà in vigore il prossimo 16 novembre.
Rispetto alla data di applicazione delle norme è bene chiarire quanto segue:
- L’art. 54 del DMA specifica che questo diverrà direttamente applicabile in tutta l’UE a partire dal 2 maggio 2023, salvo alcuni articoli che si applicheranno già a decorrere dal 1° novembre 2022 ed altri articoli che si applicheranno dal 25 giugno 2023.
- L’art. 93 del DSA specifica che questo diverrà direttamente applicabile in tutta l’UE a partire dal 17 febbraio 2024, salvo alcuni articoli che si applicheranno già a decorrere dal 16 novembre 2022.
La ratio legis delle nuove norme
DSA e DMA si inquadrano all’interno della più ampia cornice regolamentare europea definita dalla c.d. “strategia digitale”, la quale mira a far sì che la trasformazione digitale, resa possibile dalle nuove tecnologie, vada a beneficio dei cittadini e delle imprese. In particolare, i servizi intermediari, quali quelli di hosting dei dati, ed i servizi della società dell'informazione, quali le reti sociali (cosiddetti social network) e le grandi piattaforme online, hanno permesso agli utenti commerciali e ai consumatori di accedere alle informazioni, diffonderle ed effettuare transazioni in modi nuovi.
In tale contesto, il DSA ed il DMA si prefiggono due obiettivi principali:
- creare uno spazio digitale più sicuro in cui siano tutelati i diritti fondamentali di tutti gli utenti dei servizi digitali, diritti sanciti dalla Carta dei diritti fondamentali dell'Unione europea;
- stabilire condizioni di parità per promuovere l'innovazione, la crescita e la competitività, sia nel mercato unico europeo che a livello globale.
DSA, DMA ed impatto privacy
La legge sui servizi digitali, all’art. 1 definisce l’oggetto della norma, ovvero “contribuire al corretto funzionamento del mercato interno dei servizi intermediari stabilendo norme armonizzate per un ambiente online sicuro, prevedibile e affidabile che faciliti l'innovazione e in cui i diritti fondamentali sanciti dalla Carta, compreso il principio della protezione dei consumatori, siano tutelati in modo effettivo”. Per perseguire tale obiettivo il DSA introduce norme volte a disciplinare:
- La responsabilità degli intermediari online per i contenuti di terze parti;
- La sicurezza degli utenti online;
- Gli obblighi dei fornitori di servizi della società dell'informazione, in funzione della natura dei rischi che tali servizi rappresentano per la società europea.
Va subito precisato che il DSA, attraverso il considerando 10, chiarisce che “la protezione delle persone fisiche con riguardo al trattamento dei dati personali è disciplinata unicamente dalle norme del diritto dell'Unione in materia, in particolare dal regolamento (UE) 2016/679 e dalla direttiva 2002/58/CE”. Il considerando 68 aggiunge un esplicito richiamo alle norme riguardanti il diritto di opposizione e il processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione, e specificamente la necessità di ottenere il consenso dell'interessato prima del trattamento dei dati personali per la pubblicità mirata. Al tempo stesso, il DSA rinvia alle disposizioni di cui alla direttiva 2002/58/CE, riguardanti l'archiviazione di informazioni nell'apparecchiatura terminale e l'accesso a informazioni ivi archiviate. Proprio il tema del marketing e della profilazione online è normato con particolare attenzione, in considerazione dei rischi che possono derivare, dal ricorso a tali pratiche, per i consumatori (si rinvia, in particolare, all’art. 26 del DSA).
La legge sui mercati digitali, invece, stabilisce “norme armonizzate volte a garantire, per tutte le imprese, che i mercati nel settore digitale nei quali sono presenti gatekeeper (controllori dell'accesso) siano equi e contendibili in tutta l'Unione, a vantaggio degli utenti commerciali e degli utenti finali”. Tutto ciò si esplica attraverso disposizioni volte a:
- Limitare gli squilibri economici fra i diversi operatori;
- Regolamentare le pratiche commerciali sleali dei c.d. gatekeepers, ovvero i grandi operatori economici che erogano “core platform services” su larga scala (social network, servizi di messaggistica, servizi di video-sharing, servizi di intermediazione, servizi pubblicitari online, etc.).
Anche il DMA si applica “senza pregiudicare le norme derivanti da altri atti di diritto dell'Unione che disciplinano taluni aspetti della fornitura di servizi contemplati dal presente regolamento”, fra cui il GDPR (considerando 12). Il Regolamento europeo in materia di protezione dei dati personali viene richiamato in diversi passaggi del DMA, sia con riferimento all’erogazione di servizi pubblicitari online, che con riguardo alle condizioni per il consenso al trattamento. Alla stregua del DSA, anche il DMA mira a massimizzare la trasparenza delle pratiche di profilazione di cui si avvalgono i gatekeeper, prevedendo l’obbligo di fornire “una descrizione sottoposta a audit indipendente della base su cui è realizzata la profilazione” (articolo 15 e considerando 72). Inoltre, per limitare il fenomeno del c.d. lock-in ad una piattaforma digitale, viene richiamato il diritto alla portabilità dei dati, riconosciuto dall’art. 20 del GDPR.
L’impatto sulle organizzazioni
All’atto pratico, le disposizioni del DSA si traducono in:
- Obblighi in materia di tracciabilità degli utenti commerciali nei mercati online, per identificare i venditori di beni illegali;
- Obblighi per le piattaforme di grandi dimensioni di prevenire qualsiasi abuso dei loro sistemi adottando interventi basati sul rischio e sottoponendo le proprie attività di gestione del rischio ad audit indipendenti;
- Obblighi di trasparenza per le piattaforme online su vari aspetti, compresi gli algoritmi utilizzati e i “sistemi di raccomandazione”.
A tali obblighi si affiancano misure volte a contrastare beni, servizi o contenuti illeciti online; nonché garanzie efficaci per gli utenti, tra cui la possibilità di contestare le decisioni prese dalle piattaforme in merito alla moderazione dei contenuti. Vengono introdotti anche dei divieti, fra cui:
- Il divieto all’uso tecniche di targeting indirizzate ai minori o che prendono di mira gruppi vulnerabili;
- Il divieto all’uso di tecniche ingannevoli o di “nudging” per influenzare il comportamento degli utenti attraverso modelli occulti.
Anche il DMA impone obblighi e divieti (“do's and don'ts”) che le società che si qualificano come gatekeepers, dovranno rispettare nelle loro attività quotidiane. Alcuni di questi obblighi riguardano:
- La necessità di rendere i servizi interoperabili per i terzi in situazioni specifiche;
- La facoltà, per gli utenti business, di accedere ai dati che generano utilizzando la piattaforma;
- L’introduzione di strumenti e informazioni necessarie per consentire agli inserzionisti e agli editori di effettuare verifiche indipendenti dei messaggi pubblicitari ospitati dalla piattaforma.
Fra i comportamenti vietati, invece, troviamo, ad esempio:
- Riservare ai propri servizi e prodotti un trattamento favorevole in termini di classificazione rispetto a servizi o prodotti analoghi offerti da terzi sulla loro piattaforma;
- Impedire ai consumatori di mettersi in contatto con le imprese al di fuori della piattaforma;
- Impedire agli utenti di disinstallare software o applicazioni preinstallate se lo desiderano;
- Trattare dati di minori per scopi commerciali, marketing diretto, profilazione e pubblicità comportamentale;
- Combinare dati personali al fine di fornire pubblicità mirata o micro-targettizzata, tranne quando vi è un chiaro, esplicito, rinnovato ed informato consenso.
Conseguenze sanzionatorie
Ai sensi dell’art. 52 del DSA, gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione del regolamento da parte dei fornitori di servizi intermediari che rientrano nella loro competenza e adottano tutte le misure necessarie per assicurarne l'applicazione. L'importo massimo delle sanzioni pecuniarie che possono essere irrogate è pari al 6 % del fatturato annuo mondiale del fornitore di servizi intermediari interessato nell'esercizio finanziario precedente.
La violazione delle norme del DMA, invece, può comportare ammende fino al 20 % del fatturato totale del gatekeeper realizzato a livello mondiale nel corso del precedente esercizio finanziario, alle condizioni di cui all’art. 30.
Un bilancio preliminare delle riforme: luci e ombre
Sebbene si sia giunti ad un testo definitivo, lanciarsi in pronostici su come verranno accolte le nuove norme e che effetto avranno è difficile. Già nel mese di aprile, in seguito al raggiungimento dell’intesa politica sul DSA, Guido Scorza, componente del Garante per la protezione dei dati personali, dichiarava “scrivere regole e approvarle è relativamente semplice mentre applicarle è tutta un’altra storia e la storia di internet è lastricata di buoni principi che, tuttavia, hanno fatto flop alla prova dell’applicazione pratica”.
Senza dubbio, però, le luci sembrano decisamente più numerose delle ombre. Passi importanti sono stati fatti nell’ottica di trasparenza nei confronti degli utenti, che avranno più controllo su quello che gestori di piattaforme e servizi digitali sanno su di loro e su come usano tali informazioni. Nuove forme di tutela sono state introdotte per tutti gli utenti, minori ma non solo, con la messa al bando dei c.d. “dark patterns” e l’introduzione di nuove garanzie (quali il riconoscimento della crittografia end to end, a sancire il diritto di parola e di espressione in forma anonima).
D’altro canto, secondo quanto prospettato da Scorza, nel limitare i contenuti nocivi e illeciti online “c’è il rischio che si finisca con l’immolare una porzione significativa della libertà di parola”. Il DSA sembrerebbe intenzionato a riconoscere, ai gestori delle piattaforme, la facoltà di decidere in autonomia quale contenuto lasciare online e quale rimuovere e quale utente lasciar libero di pubblicare e quale condannare all’ostracismo digitale. In questo modo, prosegue Scorza, si rischia di compromettere l’obiettivo generale perseguito, andando a rafforzare, invece che a limitare, il ruolo dei gestori delle piattaforme di dettare la linea editoriale mediatica globale e di plasmare le coscienze collettive. Al tempo stesso, sorgono dubbi in merito all’applicazione delle nuove norme, al ruolo della Commissione, del nuovo “coordinatore dei servizi digitali” e del connesso Comitato.
Solo il tempo ci dirà se il sistema preposto all’applicazione delle nuove regole, si rivelerà anche essere il relativo tallone d’Achille.
Il ruolo del DPO
In conclusione, come abbiamo visto, le norme che costituiscono la riforma digitale europea hanno un impatto privacy considerevole. Molte delle disposizioni di DSA e DMA, infatti, rinviano direttamente al regolamento europeo in materia di protezione dei dati personali, come a voler tessere una grande rete normativa a protezione dei diritti delle persone fisiche. Inoltre, sebbene DSA e DMA si applichino principalmente alle grandi organizzazioni, intermediari di servizi online o gatekeeper di mercato, alcune disposizioni evidenziano la posizione del legislatore comunitario rispetto a temi delicati quali la profilazione online, il trattamento di dati di minori e l’uso di dark patterns (a cui abbiamo già dedicato un approfondimento).
L’Associazione rappresenta un punto di confronto per discutere di questi temi, del relativo impatto e di come applicare, nel concreto, le disposizioni di DSA e DMA. Per maggiori informazioni sull’adesione, ti consigliamo di visitare la pagina.
Per restare costantemente aggiornato, iscriviti alla newsletter.
Fonti:
L’articolo di Guido Scorza, 28 aprile 2022