Digital Services Act (DSA) o Regolamento (UE) 2022/2065 del Parlamento Europeo e del Consiglio del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali).
Punti principali
Il DSA è applicabile dal 17 febbraio 2024. La Commissione europea è l'autorità di vigilanza, in collaborazione con i coordinatori nazionali (Coordinatori per i Servizi Digitali o DSC), per l'Italia l'Agcom. Lo scopo della normativa è di creare uno spazio digitale più sicuro in cui siano tutelati i diritti fondamentali di tutti gli utenti dei servizi digitali.
A chi si rivolge la normativa
Il DSA si applica ai servizi delle società dell’informazione, cioè a tutti gli intermediari che offrono servizi a distanza, per via elettronica o telematica. Le piattaforme sono incluse in quattro categorie:
1) Servizi di intermediazione (intermediary services)
2) Hosting (es. cloud)
3) Piattaforme online (es. social media)
4) Very large online platform (VLOP) e very large online search engine (VLOSE).
L'ultima categoria è costituita dalle piattaforme che contano più di 45 milioni di utenti al mese nell'UE, che devono rispettare obblighi più stringenti, e sono:
- VLOSE (grandi motori di ricerca): Bing e Google Search;
- VLOP (grandi piattaforme online): social media (Facebook, Instagram, Twitter, TikTok, Snapchat, LinkedIn, Pinterest), servizi di commercio elettronico (Alibaba AliExpress, Amazon Store, Apple AppStore, Zalando), servizi Google (Google Play, Google Maps e Google Shopping), e anche Booking.com, Wikipedia e YouTube.
Obblighi per le piattaforme
Obblighi di trasparenza e informazione:
- rapporti sulla trasparenza e termini del servizio che includono i diritti fondamentali (tutte le categorie);
- obbligo di notifica e informazioni agli utenti (cat. 2, 3, 4);
- trasparenza sulla pubblicità (cat. 3 e 4);
- trasparenza dei sistemi di raccomandazione (cat, 4);
- condivisione dei dati con autorità e ricercatori (cat. 4).
Obblighi di cooperazione:
- cooperazione con le autorità nazionali a seguito di ordini e punti di contatto e, se necessario, rappresentante legale (tutte le categorie);
- meccanismo di reclamo e risoluzione extragiudiziale delle controversie (cat. 3 e 4);
- revisione contabile esterna, conformità interna e cooperazione in risposta alle crisi (cat. 4).
Obblighi di contrasto a beni, servizi o contenuti illegali:
- trusted flaggers, misure contro le notifiche e le contro-notifiche abusive o ripetitive, obblighi speciali per i marketplace (es. verifica delle credenziali dei fornitori terzi), compliance by design, controlli casuali, segnalazione di reati, obblighi di gestione del rischio (cat. 3 e 4);
- codici di condotta (cat. 4).
L’impianto della direttiva eCommerce viene mantenuto, con l’introduzione di obblighi in materia di trasparenza. Quindi rimane (artt. 4, 5 e 6) l’esenzione di responsabilità per i fornitori di servizi online (hosting, caching e mere conduit) e l’assenza di un generale obbligo di sorveglianza da parte della piattaforma sui contenuti immessi dagli utenti dei suoi servizi (art. 8). Possono, invece, essere soggetti (Considerando 25) a obblighi di monitoraggio o rimozione di specifici contenuti (come ad esempio l’obbligo previsto dall’art. 17 della Direttiva Copyright).
Il DSA introduce (considerando 26 e art. 7) la clausola del “buon samaritano” che prevede che l’indagine volontaria sui contenuti immessi dagli utenti al fine di stabilire se siano leciti o illeciti, non necessariamente determini una “consapevolezza” del contenuti ai sensi della normativa vigente, purché tali attività siano svolte in buona fede e in modo diligente.
Il DSA prende atto che il problema dei contenuti illegali non è risolvibile scaricando l’onere solo sulle piattaforme. Il considerando 27, infatti, precisa che “ove possibile, i terzi interessati da contenuti illegali trasmessi o memorizzati online dovrebbero cercare di risolvere i conflitti relativi a tali contenuti senza coinvolgere i prestatori di servizi intermediari in questione”. In sostanza un presunto diffamato dovrebbe, se possibile, prendersela con il diffamante e non con la piattaforma.
L'articolo 14 introduce un obbligo di trasparenza e di informazione (in particolare per i VLOP e VLOSE) in base al quale le piattaforme devono specificare nei loro TOS (termini di servizio) quali sono le restrizioni imposti agli utenti del servizio e le motivazioni dei provvedimenti, per cui l'utente dovrà essere consapevole del motivo che ha portato al provvedimento preso dalla piattaforma. Ad esempio dovranno indicare che la piattaforma si riserva il diritto di limitare la visibilità di specifici contenuti e di rimuoverli (ban). L'informazione verso gli utenti deve essere chiara e comprensibile, e deve includere le procedure, le misure e gli strumenti utilizzati per la moderazione dei contenuti, indicando l'eventuale uso di processi decisionali automatizzati. Infine deve essere indicata la procedura di gestione dei reclami. Va precisato anche che è possibile rivolgersi, in ultima istanza, anche a tribunali o autorità statali (le cui decisioni dovrebbero essere vincolanti per la piattaforma).
Una novità introdotta con l’articolo 14 è l’obbligo di tutelare i diritti fondamentali dei cittadini (come previsti dalla Carta dei diritti fondamentali dell’Unione europea), in particolare la libertà di espressione. Il DSA introduce una serie di obblighi che, ovviamente, vanno a impattare direttamente sulla moderazione dei contenuti da parte della piattaforme online (che è spesso vista come una minaccia alla libertà di espressione e al dibattito pubblico, anche in considerazione degli incentivi ad eccedere nelle rimozioni). La scelta è stata quella di privilegiare la regolamentazione delle procedure e non del discorso (cioè i contenuti). Con ciò evitando il pericoloso compito di dover stabilire se occorre regolamentare solo i contenuti illeciti (in violazione delle norme) oppure anche quelli soltanto discutibili (es. hate speech, disinformazione).
L’articolo 15 introduce l’obbligo di redigere annualmente un documento (Relazione di trasparenza) che relazioni in maniera chiara sulle attività di moderazione dei contenuti svolte nel periodo di riferimento predisposto in un formato leggibile meccanicamente e in modo facilmente accessibile, almeno una volta all'anno, che relazioni in maniera chiara e facilmente comprensibile sulle attività di moderazione dei contenuti svolte durante il periodo di riferimento. Il contenuto delle Relazioni varia a seconda della tipologia di prestatore di servizi, e non è prevista per le PMI.
L’articolo 24 prevede l'obbligo di una relazione annuale che deve includere il numero di controversie sottoposte agli organismi di risoluzione extragiudiziale, i risultati della risoluzione delle controversie, il tempo medio necessario per completare le procedure di risoluzione nonché la percentuale di controversie per le quali il fornitore della piattaforma online ha attuato le decisioni dell'organismo. La relazione deve anche includere il numero di sospensioni dei profili utente, distinguendo tra le sospensioni seguite alla fornitura di contenuti manifestamente illegali e quelle conseguenti alla presentazione di segnalazioni o reclami manifestamenti infondati.
L’articolo 27 introduce il divieto di progettare, organizzare o gestire le piattaforme in modo tale da ingannare o manipolare i destinatari dei loro servizi o da materialmente falsare o compromettere la capacità dei destinatari dei loro servizi di prendere decisioni libere e informate. Il divieto di utilizzo di dark pattern deve essere coordinato con le norme che vietano tali pratiche già contemplate dalla direttiva 2005/29/CE (pratiche commerciali sleali) o dal regolamento (UE) 2016/679 (GDPR).
Pubblicità online
Il DSA obbliga le piattaforme a rendere (art. 26) riconoscibili in modo inequivocabile le pubblicità, chi paga la pubblicità e il soggetto per conto del quale viene presentata la pubblicità (se diversi). Inoltre dovranno essere fornite agli utenti informazioni chiare sui parametri utilizzati per determinare il destinatario al quale viene presentata la pubblicità e, laddove applicabile, le modalità di modifica di detti parametri.
La norma prevede (art. 26.3) anche il divieto di indirizzare pubblicità in base alle categorie speciali dei dati di cui all’articolo 9 par. 1 del GDPR (cioè dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona). Nel caso in cui i destinatari siano minori è vietata (art. 28) la pubblicità basata sulla profilazione, se la piattaforma è consapevole, con ragionevole certezza, che il destinatario del servizio sia un minore.
Meccanismo di crisi
L’articolo 36 consente alla Commissione europea di imporre ai VLOP e VLOSE delle specifiche azioni, quali valutare se i loro servizi possano contribuire a una minaccia grave, individuare misure specifiche (elencate negli articoli 35 e 48) per prevenire o eliminare il contributo alla minaccia grave. Per minaccia grave si intende una minaccia alla sicurezza e alla salute pubblica.
Timeline
- 4 ottobre 2019: l'industria televisiva e cinematografica chiede ulteriori misure antipirateria, la MPA chiede uno specifico obbligo per i fornitori di servizi di non fare affari con partner anonimi;
- 29 ottobre 2019: nell'ambito della riforma dei servizi digitali gli editori chiedono che le piattaforme del web siano rese responsabili per i contenuti immessi dagli utenti:
- 8 novembre 2019: emergono le richieste degli editori (lobbying) in merito al DSA;
- gennaio 2020: la Presidente della Commissione europea, Ursula von der Leyen, pubblica le linee guida politiche per il periodo 2019-2024, nel quale sono riassunti gli obiettivi da raggiungere, tra questi la stesura di norme per i servizi digitali (Digital Service Act);
- 6 maggio 2020: l'europarlamentare Tiemo Wölken dichiara che occorre garantire il rispetto dei diritti fondamentali dei cittadini anche online;
- 2 giugno 2020: la Commissione europea lancia una consultazione pubblica sui servizi digitali;
- 30 giugno 2020: molte aziende tecnologiche (Facebook, Google, Apple) presentano le proprie osservazioni nella consultazione pubblica:
- 15 settembre 2020: la commissione JURi pubblica uno studio sull'impatto degli algoritmi;
- 20 ottobre 2020: le commissioni JURI, IMCO e LIBE votano i propri rapporti sul DSA (non vincolanti);
- 15 dicembre 2020: la Commissione europea presenta la proposta di regolamentazione dei servizi digitali;
- 11 dicembre 2020: il Corporate Europe Observatory svela il numero (160) di riunioni lobbistiche per il DSA;
- 5 novembre 2021: giornalisti, fact-checkers e ricercatori sulla disinformazione scrivono alla Commissione IMCO per chiedere di eliminare l’esenzione per i media;
- 20 gennaio 2022: il Parlamento europeo adotta il suo testo del DSA; iniziano i triloghi;
- 23 aprile 2022: si raggiunge l'accordo politico sul DSA;
- 5 luglio 2022: Il Parlamento europeo approva il DSA;
- 4 ottobre 2022: il Consiglio dell'Unione europea approva il DSA;
- 19 ottobre 2022: il DSA viene pubblicato in Gazzetta Ufficiale europea;
- 16 novembre 2022: il DSA entra in vigore;
- 17 febbraio 2023: inizia l'attuazione del DSA, le piattaforme devono comunicare i dati (utenti mensili) per l'attuazione del DSA;
- entro al massimo 4 mesi si ha la designazione di VLOP e VLOSE che dovranno attuare le norme del DSA conseguenti a tale designazione (e pubblicare i risk assessment);
- 17 febbraio 2024: il DSA si applica a tutte le piattaforme e l'Unione europea individua i Coordinatori per i Servizi Digitali.
Articoli di approfondimento
- 8 novembre 2019: Per una regolamentazione delle piattaforme digitali;
- 12 giugno 2020: Digital Service Act: l’Europa prepara le nuove regole per le piattaforme online (in particolare sui problemi da risolvere dell'ambiente digitale e il level playing field);
- 20 dicembre 2020: L’Europa presenta le nuove regole per il digitale;
- 19 novembre 2021: Secondo la whistleblower di Facebook il Digital Service Act salverà la democrazia. Ma è davvero così?;
- 2 febbraio 2022: Digital Services Act: cosa prevede il testo del Parlamento europeo;
- 15 gennaio 2023: Entra in vigore il Digital Services Act, la principale normativa europea che regolamenta il mondo digitale.