Dallo scorso sabato 17 febbraio il Digital Services Act, la norma europea che impone alle piattaforme online di adottare misure per la sicurezza dei contenuti online e il rispetto di alcuni diritti degli utenti, è in vigore per tutte le aziende e non solo per i 19 grandi operatori e motori di ricerca con più di 45 milioni di utenti già identificati (17 VLOP, Very Large Online Platform e 2 VLOSE, Very Large Online Search Engine).

Seppure con obblighi e divieti di minore entità e differenziati in base al tipo di attività, la legge quindi si applica da oggi a una più vasta gamma di aziende che ospitano contenuti di clienti e utenti: dalle piattaforme di blog ai siti di annunci, dai fornitori di hosting a chi fornisce connettività o servizi accessori come cache e CDN.

Queste aziende dovranno adempiere ad alcuni nuovi obblighi nei confronti delle autorità e degli utenti, con l’obiettivo di evitare da un lato la diffusione di contenuti illegali, ma dall’altro di garantire il rispetto della libertà di espressione a utenti e clienti.

DSA, i nuovi obblighi e divieti per tutti

Solo per fare alcuni esempi, termini e condizioni d’uso dovranno specificare chiaramente quali sono i contenuti non ammessi, ma anche prevedere procedure di appello extragiudiziali per definire le controversie (per esempio se un utente ritiene che un suo contenuto sia stato ingiustamente censurato). Le aziende dovranno quindi giustificare eventuali rimozioni o limitazioni all’accesso, indicando quali sono i motivi legali o le violazioni ai termini e condizioni d’uso che hanno determinato la decisione.

Alle aziende è fatto anche divieto di utilizzare i cosiddetti dark pattern, cioè quegli stratagemmi che –  evidenziando o nascondendo alcune informazioni agli utenti nell’interfaccia grafica – possono indurli a compiere scelte sfavorevoli. La definizione è però così generica da riguardare potenzialmente moltissime pratiche comunemente in uso nel marketing digitale, e richiederà un’attenta valutazione da parte delle aziende.

Le aziende dovranno anche definire delle figure di contatto con le autorità, e impegnarsi a segnalare eventuali attività criminali messe in atto attraverso la piattaforma e di cui siano venuti a conoscenza.

Sono esentate dai nuovi obblighi le micro e piccole imprese, definite come aziende con meno di 50 dipendenti e 10 milioni di fatturato annuo, e quelle per le quali le funzionalità di piattaforma online rappresentano una funzionalità accessoria rispetto al servizio principale. In base a questa definizione, dovrebbero essere risparmiati per esempio gli ecommerce che pubblicano recensioni degli utenti per i propri prodotti, ma ciascuna azienda dovrebbe nel dubbio sottoporre il quesito a un legale.

Le nuove categorie coinvolte dal DSA

Vediamo quindi quali sono le nuove categorie di servizi online che devono sottostare al Digital Services Act e quali sono i principali adempimenti. Seguendo l’approccio stratificato del DSA, ciascuna di queste categorie dovrà anche sottostare a tutti gli obblighi e adempimenti delle successive.

Piattaforme online

Come accennato, sono considerate piattaforme online quei servizi che pubblicano contenuti di clienti o utenti come attività predominante del proprio servizio. Il DSA indica esplicitamente alcune categorie di piattaforme online, come social network, marketplace online, app store, servizi per viaggi e ospitalità, siti per la condivisione di contenuti e piattaforme di “economia condivisa”.

A queste aziende, ma anche ad altre che rientrano nelle definizioni, è ora vietato mostrare pubblicità targettizzate sui minori e su profili di utenti selezionati in base a razza, identità e orientamento sessuale, religione o appartenenza politica. Le piattaforme dovranno comunicare in modo trasparente il funzionamento degli algoritmi di raccomandazione e della pubblicità, che dovranno essere periodicamente pubblicate in un report di trasparenza insieme ad altre informazioni sulla moderazione dei contenuti.

Servizi di hosting

Sono considerati fornitori di hosting tutte le aziende che archiviano e pubblicano contenuti prodotti da e su richiesta di un richiedente, che può essere un utente singolo, un cloud provider o una piattaforma online.

Chi fornisce hosting dovrà creare canali ufficiali a cui richiedere la rimozione di contenuti illegali e impegnarsi ad agire con tempi e modalità definite. Dovranno segnalare alle autorità eventuali attività illegali, e fornire informazioni agli enti incaricati di fare segnalazioni o ai fornitori di contenuti.

Intermediari

Sono considerati intermediari i fornitori di connettività o di servizi di caching o archiviazione per conto di soggetti terzi.

Gli operatori intermediari dovranno avere termini e condizioni chiare, notificando agli utenti eventuali cambiamenti, definire punti di contatto e rappresentanti legali con le autorità e i clienti e produrre periodicamente dei report di trasparenza indicando le misure prese.

DSA: controlli e sanzioni

Come dimostrato dall’entità delle sanzioni previste per il GDPR e le norme successive, la Commissione europea ha preso molto seriamente il compito e gli obiettivi che si è data per il suo decennio digitale. Le sanzioni per le violazioni al Digital Service Act possono arrivare al 6 percento del fatturato annuo del gruppo, e nessuna azienda può permettersi di ignorare questa nuova norma.

Fortunatamente, il processo di controllo prevede che all’azienda sottoposta a indagine vengano prima richieste informazioni e sia poi concesso un periodo di tempo entro il quale adempiere agli obblighi determinati dalle autorità.

(Immagine di apertura: Alexandros Michailidis / Shutterstock.com)