Digital Service Act: Cosa cambia per le piattaforme online

Digital Service Act: lo scopo del Regolamento

Il Digital Service Act nasce dalla necessità di regolare la responsabilità dei servizi intermediari della società dell’informazione, come ad esempio social network, marketplace, piattaforme, hosting provider etc.

Negli ultimi decenni, la giurisprudenza si è spesso interrogata sulle responsabilità degli Internet Service Provider. Più volte, i giudici hanno dovuto rispondere a questa domanda: “se un utente carica un contenuto illegale su una piattaforma, quand’è che quest’ultima è responsabile?“.

Sino al Digital Service Act, le norme che avrebbero dovuto rispondere a questa domanda si trovavano nella Direttiva Europea 2000/31/CE, conosciuta anche come Direttiva E-Commerce. Come ogni direttiva, questa dettava soltanto norme di principio, che gli Stati nazionali dell’Unione Europea hanno dovuto recepire nelle rispettive legislazioni.

Negli ultimi anni, la disciplina dettata da questa direttiva ha portato non poche incertezze e capovolgimenti nelle decisioni, sia da parte dei giudici nazionali che della Corte di Giustizia Europea. Inoltre, essendo trascorsi ormai 22 anni dalla direttiva E-Commerce, la Commissione Europea ha pensato che fosse giunto il momento di riprendere in mano il tema della responsabilità degli intermediari, questa volta con un regolamento direttamente applicabile: il Digital Service Act (Reg. UE 2022/2065).

A chi si applica il Digital Service Act

Il Digital Service Act (DSA) si applica ai prestatori di servizi intermediari della società dell’informazione.

Come nella Direttiva E-Commerce, questi vengono suddivisi in tre categorie:

• servizi di semplice trasporto di informazioni (c.d. mere conduit);
• servizi di memorizzazione temporanea delle informazioni (c.d. caching);
• servizi di memorizzazione delle informazioni (c.d. hosting).

La prima categoria comprende ad esempio servizi di Virtual Private Network (VPN); servizi di telecomunicazioni VOIP; punti di accesso WI-FI; servizi di DNS; registrar; registri dei nomi a dominio etc.

La seconda categoria comprende invece servizi di fornitura di reti per la diffusione di contenuti; proxy inversi o proxy di adattamento dei contenuti.

Infine, la terza e più ampia categoria comprende servizi di hosting (incluso il mero web hosting); servizi Cloud; piattaforme di condivisione dei contenuti; Social Network; Marketplace; motori di ricerca etc.

La sottocategoria delle piattaforme online

All’interno della categoria dei fornitori di servizi di memorizzazione, il Digital Service Act individua la sottocategoria delle piattaforme online. La loro caratteristica è che non si limitano a memorizzare informazioni per conto dei destinatari del servizio ma le diffondono al pubblico.

Fra le piattaforme online rientrano, ad esempio: i Social Network come Facebook, Instagram o TikTok; le piattaforme di condivisione dei contenuti come YouTube e i Marketplace come Amazon o Ebay. Non ne fanno parte invece i servizi di Cloud Computing; i servizi di Web Hosting; i Virtual Private Server (VPS) o i servizi di messaggistica privata.

La sottocategoria delle piattaforme online viene sottoposta a regole più stringenti rispetto agli altri servizi di memorizzazione.

Un ulteriore sottoinsieme è rappresentato infine dalle piattaforme online e dai motori di ricerca di dimensioni molto grandi, i quali hanno una media mensile di utenti nell’Unione Europea pari o superiore a 45 milioni. Data la loto portata, l’attività di questi soggetti può comportare rischi per la società e pertanto ad essi si applicano obblighi ancora più stringenti.

Gli obblighi per tutti gli hosting provider

Come la Direttiva E-Commerce, anche il Digital Service Act prevede un’esenzione di responsabilità per i fornitori di servizi di memorizzazione (c.d. hosting provider). Questi non sono responsabili delle informazioni che ospitano, a meno che non siano a conoscenza di attività o contenuti illegali, purché agiscano immediatamente per bloccarli o rimuoverli non appena ne vengono a conoscenza.

Come nella disciplina previgente, gli hosting provider non hanno l’obbligo di monitorare e vigilare attivamente i loro servizi alla ricerca di contenuti e attività illegali.

Obbligo di individuare i punti di contatto

Tutti i prestatori di servizi intermediari, inclusi gli hosting provider, hanno l’obbligo di individuare dei punti di contatto unici, che consentano loro di comunicare con le autorità e con i destinatari dei servizi, nonché ricevere segnalazioni su contenuti illegali.

Le informazioni sui punti di contatto devono essere pubblicate e rese facilmente accessibili. Non è consentito affidarsi esclusivamente a chatbot e strumenti automatizzati. Piuttosto, deve essere possibile richiedere un intervento umano.

Termini e condizioni di servizio

I prestatori di servizi intermediari devono rivedere i loro termini e condizioni contrattuali, precisando al loro interno le regole da rispettare per la fruizione dei servizi.

Fra le altre cose, vanno individuati i criteri e gli strumenti utilizzati per verificare la legittimità dei contenuti, sia che si tratti di processi decisionali automatizzati, che di verifiche umane. Occorre inoltre indicare le procedure da seguire per presentare reclamo contro le decisioni con cui vengono bloccati o rimossi attività e contenuti.

Gestione delle segnalazioni

Tutti gli hosting provider devono prendere delle misure per consentire e facilitare la presentazione di segnalazioni relative a contenuti ed attività illegali nell’utilizzo dei loro servizi.

Le segnalazioni devono contenere determinate informazioni, come una spiegazione motivata dei motivi dell’illegalità presunta; l’indirizzo URL esatto per consentire di individuare il contenuto; nome e indirizzo e-mail del segnalante; una dichiarazione con cui il segnalante conferma la buona fede della sua dichiarazione. L’hosting provider deve preoccuparsi di fornire ai segnalanti tutte le istruzioni necessarie per il corretto invio delle segnalazioni.

Se dalla segnalazione emergono informazioni che permettono all’hosting provider di individuare a prima vista e senza un esame giuridico approfondito l’illegalità dell’attività o del contenuto, deve provvedere immediatamente al blocco o alla rimozione. In difetto, non potrà più beneficiare dell’esenzione menzionata sopra e diventerà direttamente responsabile dell’illegalità del contenuto o dell’attività.

L’hosting provider è tenuto a confermare al segnalante il ricevimento della segnalazione ed a comunicare la decisione presa, informandolo della possibilità di presentare ricorso.

Motivazione della restrizione dei servizi

Quando un hosting provider, a seguito di una segnalazione o di propria iniziativa, prende un provvedimento che prevede la restrizione del servizio, deve informare il destinatario e fornire una motivazione dettagliata della propria decisione. Deve inoltre comunicare la possibilità di proporre reclamo contro la decisione.

Se la decisione viene presa in conseguenza di una segnalazione, l’identità del segnalante deve essere comunicata al destinatario solo se necessaria ad identificare la violazione.

Comunicazione di sospetti reati

Quando vi è il sospetto che sia stato commesso un reato o che sia in procinto di essere commesso, il fornitore del sevizio di memorizzazione deve comunicarlo immediatamente alle autorità competenti.

Supponiamo ad esempio che un sito web venga utilizzato per promuovere attività terroristiche. Una volta informato della circostanza, l’hosting provider deve bloccare immediatamente il sito web ed avvisare le autorità competenti.

Gli obblighi per le piattaforme online

Le piattaforme online sono sottoposte ad obblighi aggiuntivi rispetto a quelli previsti per gli altri hosting provider.

Sono esentati dagli obblighi aggiuntivi i fornitori di piattaforme online che si qualificano come micro o piccole imprese. In base alla raccomandazione n. 2003/361/CE, si considerano piccole le imprese che occupano un numero di dipendenti inferiore a 50 ed hanno un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro, salvo ché non facciano parte di gruppi societari che superano questi limiti.

Gestione dei reclami

Le piattaforme online devono organizzare e mettere a disposizione dei destinatari del servizio un sistema interno di gestione dei reclami.

I destinatari di decisioni di limitazione del servizio (es. rimozione dei contenuti, blocco dell’account, sospensione del servizio etc.) devono avere la possibilità di presentare un reclamo, entro 6 mesi dalla decisione.

Lo stesso vale anche per coloro che hanno presentato una segnalazione e che non si ritengono soddisfatti dalla decisione assunta dalla piattaforma.

Risoluzione extragiudiziale delle controversie

I fornitori di piattaforme online devono fornire tutte le informazioni in merito alla possibilità per i destinatari del servizio di accedere ad un sistema di risoluzione stragiudiziale delle controversie. Questi ultimi devono essere messi in condizioni di scegliere tra il meccanismo interno di reclamo, la risoluzione extragiudiziale delle controversie e la possibilità di avviare un procedimento giudiziario.

Segnalatori attendibili

Alcuni enti, come ad esempio le associazioni di categoria, possono ottenere la qualifica di “segnalatori attendibili“. Questa qualifica viene riconosciuta da un’autorità statale che il Digital Service Act definisce “Coordinatore dei servizi digitali” e che in Italia è rappresentata dall’AGCOM.

Le piattaforme online devono fare in modo che le segnalazioni pervenute da quei soggetti che hanno ottenuto la qualifica di segnalatori attendibili vengano trattate con priorità rispetto alle altre e decise in tempi rapidi.

Misure e protezione contro gli abusi

Per evitare gli abusi, le piattaforme online devono predisporre politiche di sospensione dei servizi nei confronti di coloro che ripetutamente forniscono contenuti illegali.

Allo stesso modo, devono sospendere la possibilità di effettuare segnalazioni a quei soggetti che ripetutamente hanno effettuato segnalazioni infondate.

I criteri adottati per la sospensione dei servizi e delle segnalazioni devono essere definiti e indicati chiaramente nei termini e condizioni di utilizzo della piattaforma.

Obblighi di comunicazione trasparente

I fornitori di piattaforme online sono tenuti a redigere e pubblicare periodicamente delle relazioni. Al loro interno, devono fornire determinate informazioni relative alle controversie sottoposte a risoluzione extragiudiziale e ai provvedimenti adottati in merito alla sospensione dei servizi e delle segnalazioni.

Divieto di Dark Pattern

Il Digital Service Act introduce per le piattaforme online il divieto di utilizzo dei c.d. Dark Pattern. In particolare, viene fatto divieto di progettare interfacce che possano manipolare o ingannare gli utenti, alterandone la capacità di prendere decisioni libere ed informate.

Esempi di Dark Pattern menzionati dal DSA sono:

• attribuire maggiore rilevanza visiva ad alcune scelte con l’intendo di condizionarle;
• chiedere ripetutamente di effettuare una scelta che il destinatario ha già compiuto per indurlo a modificarla;
• rendere la procedura di disdetta di un servizio più difficile rispetto alla sottoscrizione.

Pubblicità sulle piattaforme online

Quando le piattaforme online presentano delle pubblicità sulle loro interfacce, devono far sì che:

• sia chiaramente riconoscibile quando un’informazione costituisce una pubblicità;
• sia chiaramente individuato il soggetto giuridico per conto del quale è presentata la pubblicità e, se diverso, quello che la paga;
• siano comunicati i parametri adottati per determinare il destinatario di una pubblicità personalizzata e le modalità per modificarli.

Quest’ultimo punto rappresenta una novità significativa. In pratica, i gestori di piattaforme che utilizzano pubblicità personalizzata vengono obbligati a comunicare i criteri di profilazione utilizzati. Ciascun utente ha dunque il diritto di sapere perché gli viene presentata una determinata pubblicità e deve avere la possibilità di modificare i criteri utilizzati.

Inoltre, il DSA vieta la profilazione basata su dati personali di natura particolare, ovvero quelli individuati dall’art. 9 del GDPR, come ad esempio dati che denotano lo stato di salute, l’orientamento sessuale, la religione, l’origine etnica etc.

Trasparenza dei sistemi di raccomandazione

Le piattaforme online che fanno ricorso a sistemi di raccomandazione di determinati prodotti o servizi sono obbligate a definire nelle loro condizioni generali, in modo chiaro, i principali parametri utilizzati per le raccomandazioni.

Protezione online dei minori

Il Digital Service Act richiede alle piattaforme di utilizzare cautele ulteriori per tutelare i minori. In particolare, quando i fornitori di piattaforme online sono consapevoli, con ragionevole certezza, che l’utilizzatore della piattaforma è un soggetto minore di età, devono astenersi dal presentare pubblicità personalizzata che utilizza i suoi dati personali.

Nessuna soluzione viene invece fornita per quanto riguarda le modalità di verifica dell’età degli utenti. Su questo punto, tuttavia, il DSA introduce un principio importante ed afferma che le piattaforme non sono obbligate a trattare dati ulteriori per valutare se il destinatario del servizio sia un soggetto minore di età.

Questa precisazione scongiura il rischio che le piattaforme vengano obbligate ad utilizzare modalità di identificazione degli utenti più invasive, ad esempio chiedendo la condivisione di documenti di identità. Misure di questo tipo, se da un lato potrebbero facilitare la protezione dei minori in rete, dall’altro rischierebbero di compromettere la riservatezza di tutti gli altri utenti su Internet.

Gli obblighi per i Marketplace

Fra le piattaforme online si distinguono quelle che consentono ai consumatori di concludere contratti a distanza con operatori commerciali. Si tratta dei cosiddetti Marketplace, come Amazon ad esempio, ovvero quelle piattaforme che, operando come intermediari, mettono in contatto domanda ed offerta di prodotti e servizi rivolta ai consumatori.

Anche in questo caso, sono esentati dai seguenti obblighi i fornitori di Marketplace che si configurano come piccole o micro imprese.

Obbligo di tracciamento degli operatori commerciali

I Marketplace hanno l’obbligo di acquisire e verificare determinate informazioni sugli operatori commerciali che offrono prodotti o servizi sulla loro piattaforma. Ad esempio: dati identificativi e di contatto; iscrizione presso il registro delle imprese; dati relativi al conto di pagamento etc. Devono inoltre acquisire dall’operatore un’autocertificazione con la quale si impegna ad offrire solo prodotti o servizi conformi al diritto dell’Unione.

Oltre all’acquisizione documentale, il Marketplace deve compiere il massimo sforzo per verificare l’attendibilità delle informazioni fornite dall’operatore commerciale.

Obblighi di informazione chiara e trasparente agli utenti

Le informazioni acquisite in relazione agli operatori commerciali che operano nel Marketplace devono essere comunicate agli utenti in modo chiaro e trasparente. Esse devono essere disponibili sull’interfaccia della piattaforma dove appaiono le informazioni sul prodotto o sul servizio.

In altre parole, per l’utente deve essere chiaro che sta stipulando un contratto a distanza con un operatore commerciale diverso dal gestore del Marketplace. Ove l’utente sia indotto a ritenere che l’acquisto stia avvenendo direttamente con il Marketplace o sotto il suo patrocinio, l’intermediario diviene direttamente responsabile della vendita nei confronti del consumatore.

Informazione su prodotti o servizi illegali

Laddove il gestore del Marketplace venga a conoscenza del fatto che, tramite la sua piattaforma, sono stati venduti prodotti o servizi illegali, è tenuto ad informare gli acquirenti. Qualora non abbia a disposizione i recapiti di tutti i consumatori interessati, la comunicazione deve essere resa pubblicata sulla piattaforma in modo facilmente accessibile.

Sanzioni

La violazione delle norme del Digital Service Act può innanzi tutto comportare per gli intermediari l’insorgere di richieste risarcitorie da parte dei soggetti danneggiati.

Sono inoltre previste sanzioni amministrative, comminate in Italia dall’AGCOM, che devono essere effettive, proporzionate e dissuasive e che possono arrivare ad un massimo pari al 6% del fatturato annuo.

Conclusioni

Il Digital Service Act rappresenta un passo significativo nel regolamento della responsabilità dei servizi intermediari della società dell’informazione nell’Unione Europea. Con l’obiettivo di garantire una maggiore trasparenza, responsabilità e protezione per gli utenti online, il DSA introduce una serie di obblighi e misure obbligatorie per gli intermediari digitali.

Attraverso l’istituzione di regole più chiare e stringenti, il DSA mira a creare un ambiente online più sicuro e equo per tutti gli utenti, consentendo loro di godere dei benefici del digitale senza compromettere la loro sicurezza e privacy.

Tutte le imprese che operano nell’ambito dell’intermediazione digitale sono chiamate ad adeguarsi immediatamente, per non rischiare di subire sanzioni o richieste risarcitorie.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale.