Cos’è il Digital Service Act?
Il Regolamento UE 2022/2065 del 19 ottobre 2022 (“Regolamento”) relativo a un mercato unico dei servizi digitali, meglio conosciuto come Digital Service Act (“DSA”) - che modifica la Direttiva 2000/31/CE (regolamento sui servizi digitali) - è stato definito la nuova costituzione digitale dell’Unione Europea. Una disciplina uniforme applicabile ai servizi intermediari nel mercato interno con l'obiettivo di garantire un ambiente online sicuro, prevedibile e affidabile, in cui i diritti fondamentali degli individui siano efficacemente tutelati e agevolata l'innovazione e la crescita delle PMI, contrastando al contempo la diffusione di contenuti illegali online e i rischi per la società che la diffusione della disinformazione o di altri contenuti può generare.
Le disposizioni introdotte dal DSA: (i) faciliteranno le modalità di segnalazione dei contenuti illegali, garantendo una protezione rafforzata da merci pericolose e contenuti illegali grazie a sistemi obbligatori di segnalazione; (ii) tuteleranno in maniera più incisiva le vittime di molestie e bullismo online (anche garantendo che qualsiasi immagine privata condivisa in modo non consensuale possa essere segnalata tempestivamente dagli utenti); (iii) limiteranno la pubblicità mirata e imporranno la pubblicazione di termini e condizioni in forma semplificata.
Quando è entrato in vigore?
Il DSA è entrato in vigore il 16 novembre 2022 con efficacia applicativa a partire dallo scorso 17 febbraio, seppur alcuni degli obblighi gravanti sulle piattaforme online e sui motori di ricerca designati dalla Commissione come “di dimensioni molto grandi” (con un numero medio mensile di destinatari attivi del servizio nell’Unione pari o superiore a 45 milioni) fossero già previsti alla data di entrata in vigore.
A chi si applica il DSA?
Il DSA si applica ai servizi intermediari offerti online a soggetti stabiliti o ubicati nell’UE, indipendentemente dal luogo di stabilimento e/o ubicazione dei prestatori di tali servizi.
Per servizi intermediari si intendono:
o attività di non-hosting, che includono servizi di semplice trasporto (mere conduit) e/o di memorizzazione temporanea (caching);
o attività di hosting (servizi di memorizzazione di informazioni).
Si tratta di una definizione estremamente ampia che determina l’applicabilità del DSA, a diverse categorie di prestatori di servizi, tra cui, a titolo esemplificativo, marketplace, piattaforme social, piattaforme di condivisione di contenuti, app store e piattaforme legate al settore viaggi.
Quali sono i principali obblighi?
Il DSA impone agli intermediari quattro livelli di obblighi, rigorosi, cumulativi e crescenti, corrispondenti al loro ruolo e alle loro dimensioni. Il Regolamento distingue tra obblighi minimi comuni, applicabili a tutti gli intermediari e obblighi ulteriori, più stringenti, diversificati rispetto alla tipologia e alla dimensione dell’intermediario.
Gli obblighi minimi comuni, disciplinati agli articoli 11-15 del DSA, si fondano sul principio di due diligence, e prevedono:
o l’obbligo di istituire un punto di contatto unico, destinato alle Autorità ed agli utenti, al fine di consentire una comunicazione diretta e rapida;
o l’obbligo di cooperare con le Autorità competenti per garantire il rispetto degli obblighi derivanti dal Regolamento;
o l’obbligo di formulare i “Termini e le condizioni di utilizzo” dei servizi in modo chiaro, comprensibile e utilizzando un formato accessibile, includendo informazioni chiare in merito alle restrizioni imposte all’uso dei servizi, agli strumenti utilizzati per moderare i contenuti, come il processo decisionale algoritmico adottato e le procedure di reclamo;
o l’obbligo di predisporre e mettere a disposizione del pubblico delle relazioni annuali relative alle attività di moderazione dei contenuti svolte nel periodo di riferimento.
Il secondo livello di obblighi riguarda i servizi di hosting e richiede: (i) l’adozione di meccanismi di notifica dei contenuti illeciti; e (ii) la comunicazione alle autorità di potenziali reati.
Inoltre, il DSA impone alle piattaforme online, anche se di piccole dimensioni, ulteriori adempimenti, quali: (i) l’adozione di meccanismi per la segnalazione dei contenuti illeciti; (ii) l’introduzione di meccanismi di reclamo e (iii) obblighi di trasparenza per le pubblicità presentate sulle loro piattaforme.
Infine, in cima alla piramide, si trovano gli obblighi più stringenti, riservati alle piattaforme e ai motori di ricerca di grandi dimensioni, tenuti ad implementare un sistema di gestione e mitigazione dei rischi.
Il mancato rispetto dei predetti obblighi espone i soggetti inadempienti a specifiche responsabilità, dalle quali può derivare l’irrogazione delle relative sanzioni (che possono raggiungere un importo pari al 6% del fatturato annuo mondiale del fornitore di servizi intermediari).
Il DSA come interagisce con il GDPR?
Il DSA si inserisce nell’articolato tessuto normativo dell’Unione sul digitale con effetti trasversali sulle diverse fonti, come sul Regolamento UE 2016/679 (“GDPR”) relativo alla protezione dei dati personali.
Il DSA richiama espressamente alcune disposizioni del GDPR, specificando che, nelle aree di effettiva sovrapposizione, quest’ultimo prevali in quanto lex specialis. Conseguentemente, i prestatori di servizi intermediari, nell’ambito delle attività che implicano il trattamento di dati personali, dovranno rispettare sia le disposizioni previste dal DSA, che quelle del GDPR.
In particolare, l’interazione tra DSA e GDPR riguarda i seguenti aspetti:
o nel caso di utilizzo, da parte di una piattaforma online, di un sistema automatizzato (p.e. un algoritmo) per identificare e moderare i contenuti illegali o, per gestire i reclami, quest’ultima dovrà rispettare:
(i) i limiti imposti dall’art. 22 del GDPR, che vieta l’utilizzo di sistemi unicamente automatizzati che possano incidere sull’interessato, come p.e. la rimozione di un contenuto. Quindi, nel rispetto di tali limiti, anche la gestione dei reclami non può essere interamente automatizzata, ma dovrà avvenire mediante la supervisione umana, con l’impiego di personale adeguatamente qualificato e formato;
(ii) le norme previste dal GDPR, qualora la rimozione del contenuto sia richiesta perché in violazione del diritto all’oblio;
(iii) gli obblighi di trasparenza previsti dal GDPR, e fissati dal DSA, che prevedono di includere nei termini e nelle condizioni di servizio, informazioni chiare e comprensibili sugli strumenti utilizzati per la moderazione dei contenuti.
o le attività di profilazione finalizzate a raccomandare contenuti o informazioni agli utenti; in tal caso la piattaforma online deve:
(i) progettare l’interfaccia della piattaforma permettendo agli utenti di compiere scelte autonome e, in base al principio di privacy by defaultprevisto dal GDPR, disattivare per impostazione predefinita la raccomandazione dei contenuti basata sulla profilazione, salvo espresso consenso del destinatario;
(ii) rispettare i limiti posti dall’art. 22 del GDPR, poiché le attività di profilazione possono avere un impatto significativo sull’interessato, influenzando le sue scelte e, in ogni caso, necessitano del suo consenso;
(iii) rispettare l’obbligo di trasparenza, previsto sia dal GDPR che dal DSA. Inoltre, il DSA interviene imponendo ulteriori obblighi di trasparenza all’intermediario che presenta pubblicità sulle sue interfacce online, così da assicurare che i destinatari possano identificare in modo chiaro, in primo luogo, che si tratta di pubblicità, da chi è presentata e i parametri utilizzati per determinare il destinatario della pubblicità;
(iv) permettere al destinatario di selezionare l’opzione di sua preferenza, per configurare l’ordine delle informazioni raccomandate. In questo modo, il DSA si allinea con quanto previsto dal GDPR, permettendo all’utente di assumere la decisione finale;
(v) rispettare il divieto previsto dall’art. 26 par. 3 del DSA, che vieta attività di marketing basate sulla profilazione di dati personali particolari, così come definiti dall’art. 9 del GDPR.
o La tutela dei minori. Il DSA, così come il GDPR, mira a tutelare i minori, considerati una categoria che necessita di tutele rafforzate, sia per le attività di marketing mirato, sia come possibili vittime di abusi online. Il GDPR richiede, per accedere ad un servizio online, il consenso al trattamento dei dati personali, che potrà essere prestato direttamente dal minore, se ha raggiunto i 16 anni d’età (in Italia, ex art. 2-quinquies del D.lgs. 196/2003, 14 anni), altrimenti espresso dai genitori. Il DSA si prefigge l’obiettivo di rafforzare le tutele nei confronti di questi soggetti, prevedendo ad esempio, se il servizio è destinato o utilizzato prevalentemente da minori, l’intermediario dovrà fornire spiegazioni chiare, espressamente rivolte ai minori, sulle condizioni e le restrizioni applicabili al servizio, oltre che prevedere meccanismi di verifica dell’età. A tal proposito, è già possibile vedere gli effetti prodotti dal DSA. Infatti, la Commissione europea lo scorso 19 febbraio ha avviato un procedimento formale nei confronti di TikTok, per sospetta violazione delle disposizioni del DSA, ivi incluse quelle relative alla tutela dei minori.
Autrici: Consuelo Leonardi – Beatrice Olivo
Contatto: Avv. Eduardo Guarente e.guarente@bergsmore.com