In data 23 Aprile 2022, il Parlamento Europeo ed il Consiglio dell’Unione Europea hanno raggiunto un accordo politico provvisorio sul Regolamento sui servizi digitali, il c.d. “Digital Services Act” (DSA)[1], definendone il testo che, con ogni probabilità, diventerà definitivo una volta formalmente approvato dai co-legislatori.
L’accordo politico marca un passaggio decisivo nel processo di adozione del nuovo quadro normativo sulle attività delle piattaforme online. Segna anche un momento storico nell’evoluzione della legislazione europea, introducendo norme senza precedenti sui servizi della società dell’informazione, sulla tutela degli utenti di internet e dei loro diritti fondamentali, sulla trasparenza degli algoritmi impiegati nei sistemi di raccomandazione online, e sul regime di responsabilità delle piattaforme per la diffusione di contenuti illegali e dannosi.
È subito da osservare che i co-legislatori hanno mantenuto l’impostazione originaria della proposta della Commissione. Difatti, nonostante numerose modifiche apportate nel processo legislativo, la sostanza del progetto del DSA è stata fedelmente conservata.
Il DSA troverà applicazione a tutti i prestatori di servizi intermediari, con tale termine intendendosi i prestatori dei tre servizi-cardine, di “mere conduit”, “caching” e “hosting”[2], già destinatari della Direttiva sul commercio elettronico del 2000[3]. Tuttavia, il DSA detta norme diversificate, oltre per tipologia di servizio, anche per le diverse tipologie di prestatori di servizi intermediari. In particolare, vi sono norme applicabili a tutti i prestatori, norme applicabili solo alle piattaforme online[4], e infine norme applicabili solo alle piattaforme online dette “di grandi dimensioni”. Nella disciplina della proposta legislativa sul DSA, per piattaforme digitali di grandi dimensioni si intendono le piattaforme digitali che prestano i loro servizi a un numero medio mensile di destinatari attivi del servizio nell’Unione pari o superiore a 45 milioni[5]. Solo le piattaforme online di grandi dimensioni saranno destinatarie dell’integrale disciplina del DSA.
Il DSA contiene un corpo di norme complesso, accomunato dall’obiettivo di creare uno spazio online più sicuro per gli utenti, e per la società nel suo insieme. Nonostante l’eterogeneità delle materie disciplinate dal regolamento, possono essere identificati tre principali ambiti di intervento del DSA: il regime di responsabilità per i prestatori di servizi intermediari, la tutela degli utenti online, e la gestione dei rischi sociali generati da contenuti dannosi, tra cui in primis la disinformazione.
Nonostante il testo dell’accordo non sia stato reso pubblico, le informazioni divulgate dalle Istituzioni partecipanti alle negoziazioni inter-istituzionali permettono di comprendere quali disposizioni della proposta legislativa siano state mantenute sostanzialmente invariate dal Parlamento e dal Consiglio, ed in quali aree siano state invece introdotte novità.
In primo luogo, quanto al regime di responsabilità per i prestatori di servizi intermediari, è stata conservata l’esenzione di base in relazione ai contenuti illegali trasmessi e diffusi loro tramite, con differenti condizioni stabilite per i servizi di mere conduit, caching e hosting, ma mantenendo nella sostanza l’impostazione della Direttiva sul commercio elettronico[6]. Inoltre, sono stati mantenuti gli specifici obblighi per i prestatori del servizio di hosting per la gestione di contenuti online potenzialmente illegali. In particolare, questi prestatori saranno obbligati a predisporre meccanismi di notifica e azione, che consentano agli utenti di segnalare la presenza dei contenuti contestati. Ulteriori e specifici obblighi sulla gestione dei contenuti online sono poi imposti per le piattaforme online. Tuttavia, secondo quanto divulgato dal Consiglio, le piattaforme online che si qualificano come piccole imprese o microimprese sarebbero esenti dagli specifici e ulteriori obblighi previsti per le piattaforme online in genere[7].
In secondo luogo, i co-legislatori hanno mantenuto il sistema di vigilanza per le piattaforme online di dimensioni molto grandi, con attribuzione alla Commissione dei relativi poteri di vigilanza ed esecuzione. Nello specifico, alla Commissione sarà attribuito il potere di verificare che tali piattaforme rispettino gli obblighi loro imposti dal DSA, nonché di vigilare sui rischi sistemici da esse creati. Il nuovo sistema di vigilanza sarà finanziato dagli stessi soggetti vigilati, e prevederà cooperazione regolare tra la Commissione e le autorità nazionali.
In terzo luogo, i co-legislatori hanno deciso di mantenere nel testo finale gli obblighi per le piattaforme online di grandi dimensioni per la gestione dei rischi sistemici. In particolare, tali piattaforme saranno tenute ad analizzare e valutare, con cadenza annuale, gli eventuali rischi sistemici significativi derivanti dalle loro attività per la diffusione di contenuti illegali, dagli effetti negativi sui diritti fondamentali come la libertà di espressione, e dalla manipolazione intenzionale del servizio con ripercussioni negative in diversi ambiti sensibili, tra cui la salute pubblica, i minori ed il dibattito civico. Sulla base delle analisi svolte, tali piattaforme saranno poi tenute a porre in essere misure di attenuazione dei rischi sistemici. Questi obblighi sono stati fortemente controversi nel corso del processo legislativo, a causa del lamentato rischio che siano suscettibili di imporre attività eccessivamente gravose per le piattaforme di grandi dimensioni, che saranno tenute a monitorare fenomeni complessi come la disinformazione. Tuttavia, è attribuito alla Commissione il potere di emanare orientamenti generali su come tali obblighi debbano essere rispettati in concreto, in tal modo facilitando la compliance delle piattaforme coinvolte.
Sempre in relazione agli obblighi degli operatori di grandi dimensioni, i co-legislatori hanno aggiunto una nuova disposizione, non presente nella proposta legislativa, che predispone un meccanismo specifico di risposta a situazioni di crisi, come ad esempio una situazione di conflitto armato, per far fronte a fenomeni come la manipolazione di informazioni online. I co-legislatori hanno deciso di introdurre questo meccanismo alla luce del contesto della crisi bellica in Ucraina, in particolare, alla luce della concreta esperienza delle campagne di disinformazione registrate nel corso del conflitto. Al momento non è stato pubblicato il testo nel nuovo articolo, né sono state fornite informazioni dettagliate sul suo contenuto. Secondo quanto riportato da un comunicato stampa del Consiglio[8], questo meccanismo potrà essere attivato dalla Commissione tramite una decisione adottata su raccomandazione del comitato dei coordinatori nazionali dei servizi digitali, e permetterà di intervenire sulle attività di piattaforme e motori di ricerca di dimensioni molto grandi.
In quarto luogo, i co-legislatori hanno mantenuto l’architettura delle norme sulla tutela degli utenti online già inserite nella proposta legislativa, seppur con qualche modifica. Tra le norme più dibattute al riguardo, vi sono quelle sui sistemi di raccomandazione e sulla tutela dei minori online.
Per i sistemi di raccomandazione, i co-legislatori hanno mantenuto gli obblighi di trasparenza per le piattaforme online di grandi dimensioni in relazione ai principali parametri impiegati, che devono essere indicati in modo chiaro, accessibile e facilmente comprensibile nelle condizioni generali comunicate agli utenti. Inoltre, è stato confermato l’obbligo di offrire agli utenti almeno un sistema di raccomandazione dei contenuti che non si basi sull’impiego della tecnica di profilazione per prevedere le preferenze. Per sistema di raccomandazione, si intende un sistema automatizzato impiegato da una piattaforma online per suggerire specifiche informazioni ai propri utenti sulla propria interfaccia online, sulla base delle ricerche effettuate dagli utenti, o sulla base di altri parametri volti a classificare e mettere in ordine di priorità le informazioni da presentare[9].
Con riferimento alla tutela dei minori, con l’accordo politico i co-legislatori hanno sia confermato obblighi già inseriti nella proposta legislativa, che introdotto un nuovo divieto sulla pubblicità mirata. In primo luogo, è confermato l’obbligo per le piattaforme online di grandi dimensioni di considerare, nell’ambito delle valutazioni dei rischi sistemici, quelli specifici che i loro servizi potrebbero generare per i minori. In secondo luogo, è previsto un nuovo divieto di utilizzare i dati personali dei minori per creare pubblicità mirata a loro diretta. La definizione rilevante di dati personali, ai fini dell’applicazione del divieto, è quella dettata nel diritto europeo dal Regolamento generale sulla protezione dei dati (c.d. “GDPR”)[10]. Resta da vedere, una volta reso pubblico il testo che predispone il divieto, quali obblighi saranno imposti alle piattaforme in relazione alla verifica dell’età dell’utente, e se il DSA detterà una definizione europea di “minore”, o se rimanderà alle normative nazionali rilevanti.
Oltre agli aspetti sopra accennati, ve ne potrebbero essere altri che però saranno resi noti una volta che il testo finale sarà adottato e pubblicato.
L’accordo politico sul DSA costituisce uno sviluppo nodale a livello dell’Unione, anche per il momento storico in cui è avvenuto, nel contesto del conflitto militare in Ucraina. Difatti, alcune norme del DSA acquisiscono particolare importanza nel contrasto ai contenuti diffusi online che non sono illegali in quanto tali, ma che possono generare rischi sistemici per la società o aggravare una situazione di crisi. Il caso più esemplificativo di questo genere di contenuti è la disinformazione, che, secondo quanto riportato da più fonti, è stata impiegata come “arma impropria” nei mass media per manipolare l’opinione pubblica. Il conflitto militare ha a sua volta influito sul testo del DSA, appunto, tramite l’aggiunta della nuova norma sul meccanismo contro la manipolazione delle informazioni online in situazioni di crisi.
Inoltre, l’accordo politico sul DSA si aggiunge all’accordo politico recentemente raggiunto sul nuovo regolamento relativo ai mercati digitali (c.d. “Digital Markets Act”, DMA), così concludendo di fatto il pacchetto di proposte di regolamentazione del settore digitale. Nonostante il DMA ed il DSA siano cose diverse per la natura delle loro disposizioni, i due regolamenti si completano a vicenda nel perseguimento dell’unico obiettivo di realizzare spazi digitali aperti, equi e sicuri, con adeguata tutela degli utenti dei servizi di intermediazione.
Per quanto riguarda le prossime tappe del DSA, l’accordo politico deve essere formalmente approvato dai due co-legislatori. Una volta adottato, il DSA sarà direttamente applicabile in tutti gli Stati Membri. Per quanto riguarda la data di applicazione del Regolamento, non sono state ancora divulgate informazioni precise. Secondo un comunicato stampa rilasciato dal Consiglio dell’Unione Europea[11], la maggior parte delle disposizioni troveranno applicazione in un’epoca tra 12 e 18 mesi dopo l’entrata in vigore, mentre è previsto che le disposizioni sulle piattaforme e sui motori di ricerca di grandi dimensioni trovino applicazione in una data antecedente rispetto a quella prevista per le altre disposizioni.
[1] Proposta di Regolamento del Parlamento europeo e del Consiglio relativo a un mercato unico dei servizi digitali (legge sui servizi digitali) e che modifica la direttiva 2000/31/CE, COM(2020) 825 final del 15.12.2020.
[2] Ai sensi dell’articolo, punto f), della proposta legislativa sul DSA, per “servizio intermediario” si intendono i seguenti servizi:
“– un servizio di semplice trasporto (“mere conduit”), consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire accesso a una rete di comunicazione;
– un servizio di memorizzazione temporanea (“caching”), consistente nel trasmettere, su una rete di comunicazione, informazioni fornite dal destinatario del servizio, che comporta la memorizzazione automatica, intermedia e temporanea di tali informazioni al solo scopo di rendere più efficiente il successivo inoltro delle informazioni ad altri destinatari su loro richiesta;
– un servizio di “hosting”, consistente nel memorizzare informazioni fornite da un destinatario del servizio su richiesta di quest’ultimo”.
[3] Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico»), GUUE L 178 del 17.07.2000.
[4] Ai sensi dell’articolo 2, punto h), della proposta legislativa sul DSA, per “piattaforma online” si intende: “un prestatore di servizi di hosting che, su richiesta di un destinatario del servizio, memorizza e diffonde al pubblico informazioni, tranne qualora tale attività sia una funzione minore e puramente accessoria di un altro servizio e, per ragioni oggettive e tecniche, non possa essere utilizzata senza tale altro servizio e a condizione che l’integrazione di tale funzione nell’altro servizio non sia un mezzo per eludere l’applicabilità del presente regolamento”.
[5] Per maggiori informazioni, si veda l’articolo 25 della proposta legislativa.
[6] Per maggiori informazioni sulle condizioni previste per l’esenzione, si vedano gli articoli 3, 4 e 5 della proposta legislativa sul DSA, rispettivamente per i servizi di mere conduit, caching e hosting.
[7] Si veda il comunicato stampa del Consiglio dell’Unione Europea disponibile al seguente LINK. Ai sensi dell’articolo 16 della proposta legislativa sul DSA, l’esenzione si applica per le piccole imprese e le microimprese che si qualificano come tali ai sensi dell’allegato della raccomandazione 2003/361/CE.
[8] Si veda il comunicato stampa del Consiglio dell’Unione Europea disponibile al seguente LINK.
[9] Si veda la definizione legislativa di sistema di raccomandazione data dall’articolo 2, punto o), del DSA.
[10] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GUUE L 119 del 04.05.2016.
[11] Si veda il comunicato stampa del Consiglio dell’Unione Europea disponibile al seguente LINK.