Digital Services Act, la legge UE per proteggere gli utenti dei servizi online
“Stiamo portando i nostri valori europei nel mondo digitale. Con regole severe in materia di trasparenza e responsabilità, il nostro Digital Services Act mira a proteggere i nostri bambini, le nostre società e le nostre democrazie. Le grandi piattaforme online sono obbligate ad applicare la nuova legge”.
Questo è il tweet con cui la presidentessa della Commissione Europea Ursula Von Der Leyen il 25 agosto 2023 ha sostanzialmente sancito l’entrata in vigore del Digital Services Act (DSA), la legge che, assieme al Digital Markets Act, intende affrontare e regolamentare gli effetti sociali ed economici dell’industria tecnologica stabilendo precisi obblighi per le modalità di funzionamento e di fornitura dei servizi nell’UE.
Cos’è il Digital Services Act?
Il Digital Services Act (o Regolamento UE 2022/2065) è una legislazione proposta dall’Unione Europea che mira a fornire norme per le attività delle piattaforme online e dei servizi digitali. Il DSA è stato annunciato nel dicembre 2020 come parte del pacchetto Digital Compass dell’UE, che cerca di definire una visione chiara per il futuro digitale dell’Europa entro il 2030. Questa nuova normativa sostituirà la Directive on Services in the Internal Market (conosciuta anche come e-Commerce Directive) del 2000, che non era più adeguata ad affrontare le attuali e future sfide digitali.
A riguardo il DSA precisa che i servizi digitali in generale e le piattaforme online in particolare svolgono un ruolo sempre più importante nell’economia, soprattutto nel mercato interno alla UE, consentendo alle imprese di raggiungere gli utenti in tutta l’Unione, facilitando il commercio transfrontaliero e aprendo opportunità commerciali del tutto nuove a un gran numero di imprese dell’Unione a vantaggio dei consumatori dell’Unione.
Tuttavia, allo stesso tempo, i servizi forniti dalla piattaforma di base presentano una serie di caratteristiche che possono essere sfruttate dalle aziende che li forniscono. Un esempio di tali caratteristiche sono le estreme economie di scala, che spesso derivano da costi marginali quasi nulli per aggiungere utenti commerciali o finali. A ciò si aggiungono i fortissimi effetti di rete, la capacità di connettere molti utenti commerciali con molti utenti finali grazie alla pluralità dei servizi, un grado significativo di dipendenza sia degli utenti commerciali sia degli utenti finali, gli effetti di lock-in, la mancanza di multi-homing per gli utenti finali, l’integrazione verticale e gli svantaggi legati ai dati.
Tutte queste caratteristiche, combinate con pratiche scorrette da parte delle imprese che forniscono i servizi della piattaforma di base, possono avere l’effetto di compromettere in modo sostanziale la contendibilità di tali servizi, nonché di incidere sull’equità delle relazioni commerciali tra le imprese che li forniscono e i loro utenti commerciali e finali. In pratica, ciò porta a una rapida e potenzialmente ampia riduzione delle possibilità di scelta degli utenti e può quindi conferire al fornitore di tali servizi una posizione dominante. Un ruolo simile a quello che nel Digital Markets Act viene identificato con l’espressione gatekeeper.
In pratica, il DSA stabilisce che ciò che è illegale offline, deve essere illegale anche online. E questo non andrebbe mai dimenticato. In tal senso, il Digital Services Act intende creare un internet più sicura e responsabile. Un obiettivo che la nuova legge vuole raggiungere fissando standard di comportamento per i fornitori di servizi digitali, come siti web, app, social media, motori di ricerca e marketplace, così da ridurre la diffusione di contenuti illegali, la disinformazione online e altri rischi per la società. Questi obblighi sono proporzionati alle dimensioni delle piattaforme e ai rischi che queste possono creare per la società.
A chi si rivolge il Digital Services Act
Desiderio della Commissione Europea è di rendere l’intero ecosistema online più sicuro, tutelando sia i singoli sia le imprese digitali. Per questo, il Digital Services Act si applica a tutti gli intermediari che forniscono servizi in Internet all’interno dell’UE.
Le piattaforme online devono essere tutte responsabilizzate, ma questa responsabilità deve essere proporzionata alla loro dimensione. Perciò è stabilito che i primi a doversi adeguare alla legge europea sono le very large online platform (VLOP) e i very large online search engine (VLOSE), cioè le piattaforme e i motori di ricerca che superano i 45 milioni di utenti attivi ogni mese nella UE (circa il 10% della popolazione).
La Commissione Europea ha individuato 19 realtà che soddisfano tale requisito: 17 piattaforme e 2 motori di ricerca, che sono:
Very large online platform
- AliExpress
- Amazon Store
- AppStore
- Booking
- Google Maps
- Google Play
- Google Shopping
- Snapchat
- TikTok
- Wikipedia
- YouTube
- Zalando
Very large online search engine
- Google Search
- Microsoft Bing
La Commissione europea ritiene che chi è presente in questo elenco abbia assunto una rilevanza sistemica e quindi debba avere un ruolo preminente nel rendere Internet uno spazio sicuro e affidabile agendo con maggiore trasparenza e responsabilità.
Quali obblighi impone il DSA
Sono essenzialmente quattro i punti su cui la Commissione Europea focalizza l’attenzione per il Digital Services Act.
- Protezione degli utenti
Uno dei principali obiettivi del DSA è garantire la sicurezza degli utenti online, in particolare dei minori. Ciò include la lotta contro la diffusione di contenuti illegali o dannosi, come la pornografia infantile e l’incitamento all’odio. Le piattaforme saranno tenute a prendere misure proattive per rimuovere tali contenuti e a instaurare procedure di notifica più efficaci per gli utenti.
- Più trasparenza nelle operazioni
Il DSA mira a promuovere la trasparenza nelle operazioni delle piattaforme digitali. Quelle più grandi e influenti dovranno fornire agli utenti informazioni dettagliate sul funzionamento dei loro algoritmi e sulle misure adottate per la moderazione dei contenuti. Questo permetterà di comprendere meglio come vengono presentati i contenuti online.
- Maggiore responsabilità
Il DSA impone una maggiore responsabilità alle piattaforme online per i contenuti ospitati sulle loro reti. Questo significa che le piattaforme saranno soggette a regole più rigorose in materia di rimozione dei contenuti illegali o dannosi e saranno tenute a fornire un canale di reclamo per gli utenti.
- Competitività al mercato
Per evitare pratiche anticoncorrenziali, il DSA introduce regole che limitano l’uso di dati raccolti dalle piattaforme per scopi commerciali, garantendo così che anche alle imprese più piccole sia riservata la possibilità di competere.
Le VLOP e VLOSE presentano il rischio più elevato quindi dovranno rispettare obblighi più severi, applicati dalla Commissione. Questi includono la prevenzione di rischi sistemici (come la diffusione di contenuti illegali, effetti negativi sui diritti fondamentali, sui processi elettorali e sulla violenza di genere o sulla salute mentale) e l’obbligo di sottoporsi ad audit indipendenti (a proprie spese e almeno una volta all’anno e comunque prima dell’introduzione di funzionalità che potrebbero avere un impatto critico sui rischi definiti all’interno del DSA). Queste piattaforme dovranno inoltre offrire agli utenti la possibilità di scegliere di non ricevere raccomandazioni basate sulla profilazione e dovranno facilitare l’accesso ai loro dati e algoritmi alle autorità e ai ricercatori autorizzati.
Dal canto loro, le entità con meno di 45 milioni di utenti attivi al mese saranno esentate da alcuni obblighi e avranno hanno più tempo delle altre imprese per attuarne altri. La Commissione valuterà l’impatto delle nuove norme sulle piccole imprese.
I siti web e le app che non rientrano nell’ambito delle piattaforme di servizi digitali non devono sottostare al DSA.
Chi controlla la conformità con il DSA
Il Digital Services Act prevede che i VLOP e i VLOSE debbano introdurre al loro interno una funzione di compliance, che non deve essere parte di alcuna altra funzione operativa e che deve essere composta da uno o più compliance officer, compreso un responsabile, che deve essere un senior manager indipendente con una qualifica specifica.
Le aziende devono garantire che il compliance officer abbia l’autorità e le risorse adeguate (in termini numerici ma anche di conoscenza, esperienza e capacità) per monitorare il rispetto delle norme imposte dal DSA.
Il responsabile della funzione di conformità riferisce direttamente al board aziendale, avvertendolo in caso di rischi di non conformità al Digital Services Act.
Il responsabile della funzione di compliance non può essere rimosso senza la preventiva approvazione del board dell’azienda.
Dal canto suo, ogni Stato membro dell’UE deve designare un Digital Services Coordinator, che è responsabile di tutte le questioni relative all’applicazione e all’esecuzione del DSA nello Stato stesso. Il Digital Services Coordinator si fa carico di garantire il coordinamento a livello nazionale di tali questioni e di contribuire all’applicazione e all’attuazione del DSA in tutta l’Unione Europea.
A tal fine, i Digital Services Coordinator cooperano tra loro, con le altre autorità nazionali competenti, con il consiglio di amministrazione e con la Commissione europea, fatta salva la possibilità per gli Stati membri di prevedere regolari scambi di opinioni con altre autorità, se pertinenti per lo svolgimento dei compiti di tali autorità e del coordinatore dei servizi digitali.
I Digital Services Coordinator, responsabili anche della vigilanza delle piattaforme e dei motori di ricerca più piccoli, devono essere istituiti dagli Stati membri dell’UE entro il 17 febbraio 2024. Questa stessa data è anche il termine entro il quale tutte le altre piattaforme devono adempiere agli obblighi previsti dalla DSA e fornire ai propri utenti la protezione e le garanzie previste.
L’Italia ha assegnato all’Autorità per le garanzie delle comunicazioni (Agcom) la funzione di coordinatore dei servizi digitali, con la collaborazione e l’assistenza da parte del Garante per la protezione dei dati personali e di quello della concorrenza e del mercato (Antitrust).
Le sanzioni previste dal Digital Services Act
Il DSA prevede sanzioni severe al fine di garantire che le piattaforme online si attengano alle norme del Digital Services Act e che proteggano quindi gli utenti online. Le piattaforme che non rispettano tali norme possono incorrere in sanzioni fino al 6% del fatturato globale del fornitore dei servizi intermediari o della persona interessati nell’esercizio finanziario precedente.
A questo va aggiunto che in caso di comunicazione, mancata risposta o rettifica di informazioni inesatte, incomplete o fuorvianti, di informazioni inesatte e di inosservanza dell’obbligo di sottoporsi a un’ispezione le aziende possano subire una sanzione pari all’1 % del reddito annuo o del fatturato mondiale.
Da sottolineare poi che gli utenti dei servizi digitali possono chiedere un risarcimento per perdite o danni subiti a fronte di eventuali violazioni operate dalle piattaforme.
Aspetti positivi, ma anche critiche
Il DSA rappresenta evidentemente un passo importante verso una maggiore regolamentazione e un più puntuale controllo delle attività delle piattaforme online. Nonostante ciò, non è privo di critiche. C’è chi sostiene che le misure proposte potrebbero colpire in modo inadeguato le piccole imprese digitali, che potrebbero avere difficoltà a rispettare i requisiti imposti. Altri si dicono preoccupati per la censura potenziale e la sorveglianza digitale previste dal DSA, sostenendo che potrebbero limitare la libertà di espressione.
In realtà, il DSA obbliga i servizi online a fornire agli utenti informazioni chiare e trasparenti sul loro funzionamento, sulle loro politiche e sui loro processi di moderazione dei contenuti, che non potranno perciò più essere cancellati in modo arbitrario. Le piattaforme dovranno sempre motivare il loro comportamento e accettare eventuali ricorsi.
A differenza di norme come il GDPR, che ha in qualche modo toccato tutte le aziende con nuovi obblighi, il DSA impone obblighi e incombenze soprattutto a pochi operatori individuati singolarmente.