DSA: La legge sui servizi digitali per tutelare l’utente

L’iter normativo

Ancora una volta le istituzioni europee hanno ritenuto opportuno ravvicinare le misure nazionali di regolamentazione, richiamando altresì l’attenzione dei servizi di intermediazione online, che milioni di europei utilizzano quotidianamente. Facendo seguito all’uniformità legislativa raggiunta nel 2016 in materia di protezione dei dati personali con l’adozione del Regolamento Generale Europeo 2016/679 (GDPR), sul tavolo del Parlamento Europeo è giunta la proposta di legge sui servizi digitali (Digital Services Act o DSA) presentata dalla Commissione Europea il 15 dicembre 2020.

L’iter legislativo ordinario si è concluso il 20 gennaio 2022 con l’approvazione del testo di legge da parte del Parlamento Europeo. La normativa interviene sulla Direttiva sul commercio elettronico (2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000), apportando alcune modifiche.

La ratio giustificatrice dell’intervento normativo risiede proprio nelle abitudini degli utenti, sempre più esposti a beni, contenuti e servizi online, in assenza di una tutela normativa in grado di essere al passo coi tempi. Lo scenario di riferimento delle regolamentazioni attuali risulta essere ancora l’economia predigitale.

“Ciò che è illecito offline deve essere illecito anche online”, questo l’assunto di fondo condiviso dalla Commissione Europea, matrice della neo disciplina per i servizi digitali.

Il suddetto principio rivela gli obiettivi che le istituzioni europee intendono perseguire:

• garantire il corretto funzionamento del mercato interno dei servizi intermediari, come chiarito dal considerando 4 della norma;
• stabilire norme uniformi per un ambiente online sicuro, in cui i diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’UE siano tutelati in modo effettivo.

 

I destinatari della norma

Partiamo dall’esamina della platea di fornitori di servizi di intermediazione, ai quali la normativa si rivolge, focalizzandoci anzitutto sul perimetro territoriale. L’articolo 1 bis stabilisce, difatti, che: “Il presente regolamento si applica ai servizi intermediari prestati a destinatari il cui luogo di stabilimento o di residenza si trova nell’Unione, indipendentemente dal luogo di stabilimento dei prestatori di tali servizi”. Pertanto, la residenza europea dei fruitori dei servizi online rileva quale discrimine per l’estensione applicativa della legge sui servizi digitali.

Nello specifico, i fornitori interessati dalla normativa appaiono:

• servizi di intermediazione che offrono infrastrutture di rete, quindi fornitori di accesso a Internet, registratori di nomi di dominio;
• servizi di hosting quali servizi cloud e di web hosting;
• piattaforme online come mercati online, app store, social media etc…;
• strumenti di comparazione di prezzi;
• piattaforme online di grandi dimensioni, come i mercati di commercio elettronico per conto di terzi. Si pensi, ad esempio, ad Amazon, eBay, Zalando etc…

La normativa sembra escludere dal novero dei soggetti obbligati i venditori online “diretti” che non affidano l’e-commerce a piattaforme terze.

Il rischio sotteso all’affidamento di tali servizi di vendita a intermediari è che, spesso, i committenti, sempre più dipendenti da queste realtà, perdono il controllo sui dati degli utenti/clienti e sulla tipologia di contenuti pubblicati sulle piattaforme online, incorrendo nel rischio di vendere prodotti non esistenti o condividere contenuti illegali.

Invero, le analisi condotte, confluite nella valutazione di impatto allegata alla proposta di legge presentata dalla Commissione, delineano le seguenti problematiche:

• esposizione sempre maggiore dei cittadini a rischi e danni online, soprattutto in caso di coinvolgimento di piattaforme di grandi dimensioni;
• mancanza di coordinamento nell’attività di vigilanza sulle piattaforme online;
• regolamentazioni nazionali volte a favorire le piattaforme online di grandi dimensioni.

 

Le nuove policy aziendali

Le misure principali contemplate nel nuovo testo di legge mirano proprio a sanare i deficit sopra descritti, esigendo, da parte di tutti i fornitori di servizi di intermediazione, nuove procedure per la rimozione più rapida di contenuti, prodotti o servizi ritenuti illegali.

Sul punto, si fa riferimento a tutte quelle informazioni che sono di per se illegali per il diritto applicabile o che riguardano attività illegali come condivisione di immagini che ritraggono abusi su minori, condivisione non consensuale illegale di immagini private, etc… Nello specifico, per i servizi di hosting, che si limitano a memorizzare informazioni fornite da un destinatario del servizio su sua richiesta, si pone l’obbligo di attivare un sistema che consenta a terzi di notificare la presenza di presunti contenuti illegali.

Inoltre, per tutte le piattaforme online, ad eccezione di quelle erogate da micro o piccole imprese, si pone l’obbligo di istituire un sistema interno di gestione di reclami da parte degli utenti e la necessità di rivolgersi a organismi certificati di risoluzione extragiudiziale delle controversie per risolvere eventuali controversie con gli utenti dei loro servizi.

La disposizione mette in evidenza la volontà europea di applicare la disciplina in maniera proporzionata alla realtà aziendale interessata, prevedendo delle semplificazioni per le PMI.

 

Risk-based approch

Nel prosieguo dell’esame del testo di legge si individua una sezione peculiare riservata alla gestione dei rischi da parte delle piattaforme online di dimensioni molto grandi. Queste ultime saranno infatti chiamate a realizzare delle valutazioni dei rischi connesse al funzionamento e all’utilizzo dei loro servizi, sui diritti e libertà degli utenti e altresì, ad individuare misure di sicurezza per attenuare tali rischi.

Qui il parallelismo con il GDPR è palese: ritroviamo infatti il concetto di “valutazione del rischio” di cui agli articoli 24, 32 e 35 della normativa privacy europea, che impone ai Titolari del trattamento e ai Responsabili, l’implementazione di misure di sicurezza tecniche e organizzative adeguate a ridurre il rischio di violazione di dati personali.

Il rischio, inteso quale prodotto tra la probabilità che l’evento negativo si verifichi e il danno cagionato, verrà calcolato ricorrendo alle metodologie utilizzate per gli altri sistemi di gestione aziendale (sicurezza, qualità, etc…).

I fornitori si ritroveranno a misurare gli impatti dei servizi online erogati, anche in termini privacy: l’interrogazione verterà in particolare sui trattamenti dei dati personali effettuati con l’utilizzo di nuove tecnologie, tali da presentare un rischio elevato per i diritti e le libertà delle persone fisiche, con particolare riguardo alle attività di valutazione di aspetti personali, basate su trattamenti automatizzati, compresa la profilazione. Si tratta di processi piuttosto comuni tra le piattaforme online di grandi dimensioni.

Dunque, gli strumenti impiegati per la profilazione degli utenti impongono ai Titolari del trattamento dei dati, ossia i fornitori dei servizi di intermediazione, valutazioni d’impatto privacy che diano quantomeno evidenza di:

• una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
• una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
• una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
• le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

 

La nomina del DPO

L’attività di assessment potrà richiedere, soprattutto nel caso di strumenti particolarmente invasivi, il parere del DPO – Data Protection Officer . Il suo contributo sarà decisivo soprattutto ai fini della valutazione del rischio residuo, che, se del caso, potrà condurre alla richiesta di una consultazione preventiva al Garante Privacy.

Inoltre, si rammenta che, per il principio di privacy by design di cui all’articolo 25 del GDPR, l’analisi dell’impatto privacy, dovrà avvenire prima che il trattamento si realizzi o, al più, al momento del trattamento stesso.

Non tutti gli organigrammi privacy aziendali individuano la figura del DPO e spesso i Titolari non sono in grado di effettuare siffatte analisi in piena autonomia, pertanto, se il core business aziendale concerne l’erogazione di servizi di intermediazione online, si invita a valutare la nomina della figura, anche su base volontaria.

Va da sé che la nomina del DPO è mandatoria nell’ipotesi in cui le attività principali del Titolare o del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (art. 37, paragrafo 1, lett. b).

Per quanto concerne la pubblicità online mirata, il considerando 52 della nuova legge sui servizi digitali, ribadisce l’importanza di garantire il diritto di opposizione e le prescrizioni inerenti i processi decisionali automatizzati relativi a persone fisiche, compresa la profilazione e specificamente la necessità di ottenere il consenso dell’interessato prima del trattamento dei dati personali.

In conclusione, si evince che, l’approccio basato sul rischio, tipico della disciplina sulla protezione dei dati personali si estende anche alle regolamentazioni in materia di servizi digitali; entrambe le materie perseguono infatti la tutela dei diritti fondamentali dell’individuo, tra cui primeggia il diritto alla protezione dei dati personali.

Una volta adeguati ai principi della disciplina privacy, la compliance alla neo disciplina dei servizi digitali, non richiederà particolari sforzi e dispendio di risorse.