Via libera al Digital Services Package: nuovi obblighi e responsabilità per le piattaforme

Articolo Blog
Silvia Compagnucci
LinkedIn
Credit: Pixabay/PhotoMIX-Company

Il 5 luglio scorso, il Parlamento, nella sessione plenaria, ha approvato il Digital Services Package, composto dal Digital Markets Act (DMA) e dal Digital Services Act (DSA), due proposte di regolamento lanciate dalla Commissione nel dicembre 2020 e sulle quali il Parlamento Europeo e il Consiglio avevano raggiunto l’accordo politico rispettivamente il 24 marzo e il 23 aprile scorsi, con cui l’UE mira a ridisegnare la cornice normativa e, dunque, gli obblighi e le responsabilità in capo alle piattaforme digitali online. Queste ultime, complice anche un set inizialmente molto scarno di regole che certamente ha favorito l’innovazione e l’emersione di nuovi modelli di business, hanno assunto negli anni, e soprattutto da quando è scoppiata l’emergenza sanitaria, un ruolo straordinariamente importante per le opportunità che offrono a cittadini, imprese e PP.AA. in termini di garanzia di continuità delle attività e delle relazioni socio-economiche fino a giungere addirittura a rappresentare uno strumento utile all’esercizio di diritti essenziali come quello allo studio o alla salute.

All’affermazione delle piattaforme e al fine di offrire risposte efficaci alle criticità rilevate, il DSA, in particolare, pur mantenendo saldi i principi chiave della direttiva e-commerce adottata nel lontano 2000, introduce un quadro orizzontale per tutte le categorie di contenuti, prodotti, servizi e attività sui servizi di intermediazione nel quale però viene delineato un regime di responsabilità diversificato in base ai servizi offerti ed alla dimensione del fornitore, introduce un’ampia gamma di obblighi di trasparenza ma anche organizzativi e procedurali, definisce e rafforza i meccanismi di enforcement e cooperazione tra gli Stati e, nel definire il modello di governance istituisce nuovi soggetti, in particolare i Coordinatori nazionali dei Servizi Digitali ed il Board. Il DMA, invece, stabilisce una serie di criteri oggettivi strettamente definiti per qualificare una grande piattaforma online come gatekeeper e pone, secondo un approccio ex ante, una serie di obblighi e divieti in capo a tali soggetti.

IL DSA: LE NUOVE REGOLE

Partendo dal DSA, il testo approvato dal Parlamento giunge all’esito di un ampio dibattito che ha favorito l’inserimento di molte modifiche e integrazioni al testo inizialmente proposto dalla Commissione. A livello generale, ciò che spicca è l’adesione ad un approccio maggiormente improntato al rigore nella logica di assicurare tutele più efficaci. Il quadro che ne emerge è fortemente innovativo e vede, da un lato, maggiori possibilità di azione e maggiore responsabilizzazione in capo agli utenti ed alla società civile in generale e, dall’altro, nuovi obblighi a carico delle piattaforme tarati sulle dimensioni delle stesse. Tralasciando l’analisi delle questioni legate a competenze e governance e soffermando l’attenzione sulle imprese destinatarie del regolamento, a carico di tutti i prestatori di servizi intermediari, esso pone l’obbligo di designare un punto di contatto unico non solo per le autorità degli Stati membri, la Commissione e il comitato, ma anche per i destinatari dei servizi al fine di assicurare una possibilità di comunicazione rapida e semplice e di incaricare e propri rappresentanti legali a fungere come punto di riferimento per tutte le questioni necessarie per il ricevimento, l’adempimento e l’esecuzione delle decisioni adottate in relazione al regolamento stesso. Particolare attenzione è posta agli obblighi di comunicazione, in particolare, delle condizioni generali, rispetto alle quali i fornitori di piattaforme online e di motori di ricerca online di dimensioni molto grandi sono chiamati, da un lato, a fornire ai destinatari dei servizi una sintesi concisa, di facile accesso e in un formato leggibile meccanicamente delle condizioni generali, compresi le misure correttive e i mezzi di ricorso disponibili, in un linguaggio chiaro e privo di ambiguità e, dall’altro, a pubblicare le proprie condizioni generali nelle lingue ufficiali di tutti gli Stati membri in cui offrono i loro servizi.

Nella logica di tutelare gli utenti, il regolamento prescrive alle piattaforme di garantire ai destinatari del servizio l’accesso a un sistema interno di gestione dei reclami efficace e detta regole precise in merito alla possibilità per gli stessi destinatari di scegliere qualunque organismo di risoluzione extragiudiziale delle controversie certificato. Sul punto, è interessante evidenziare come rispetto al testo proposto sia stato espressamente posto a carico delle parti il dovere di agire in buona fede per risolvere la controversia e sia stata riconosciuta la possibilità per le piattaforme online di rifiutarsi di impegnarsi, qualora una controversia riguardante le stesse informazioni e gli stessi motivi di presunta illegalità o incompatibilità dei contenuti sia già stata risolta. Sempre sulla stessa linea, l’obbligo di progettare, organizzare o gestire le interfacce online in modo tale da ingannare, manipolare, o materialmente falsare o compromettere in altro modo la capacità dei destinatari dei servizi di prendere decisioni libere e informate, di individuare in maniera chiara le comunicazioni di carattere commerciale e di garantire trasparenza dei sistemi di raccomandazione. A ciò si aggiungono specifici obblighi in materia di tracciabilità degli operatori commerciali che riguardano la progettazione delle interfacce e le informazioni da rendere ai consumatori.

Rispetto alle piattaforme (e ai motori di ricerca di dimensioni molto grandi) il testo approvato, così come accade per il DMA, prevede la designazione ad opera della Commissione e fa discendere da tale designazione una serie di obblighi ulteriori che si sostanziano nella valutazione di eventuali rischi sistemici derivanti dalla progettazione, compresi i sistemi algoritmici, dal funzionamento e dall’uso dei loro servizi nell’Unione (di cui il regolamento definisce i contenuti e le modalità di tale valutazione) e nell’adozione di misure di attenuazione dei rischi. Specifici obblighi – anche si verifica delle misure messe in atto – possono inoltre essere imposti dalla Commissione ai fornitori di piattaforme online di dimensioni molto grandi o di motori di ricerca online di dimensioni molto grandi in caso di minaccia grave. Gli stessi soggetti sono inoltre obbligati a sottoporsi a proprie spese, almeno una volta all’anno, ad audit indipendenti di cui il regolamento fissa i requisiti di terzietà ed indipendenza al fine di scongiurare rischi di conflitti di interesse anche potenziale, a consentire alla Commissione o al coordinatore dei servizi digitali del luogo di stabilimento l’accesso ai dati necessari per monitorare e valutare la conformità al presente regolamento, a fornire spiegazioni agli stessi in merito alla progettazione, la logica, il funzionamento e la sperimentazione dei loro sistemi algoritmici, compresi i loro sistemi di raccomandazione, nonché a consentire accesso senza indebito ritardo ai dati, compresi i dati in tempo reale ove tecnicamente possibile, a condizione che i dati siano disponibili al pubblico nella loro interfaccia online per i ricercatori, compresi quelli appartenenti a organismi, organizzazioni e associazioni senza scopo di lucro che utilizzano i dati unicamente per svolgere attività di ricerca che contribuiscono all’individuazione, all’identificazione e alla comprensione dei rischi sistemici nell’Unione.

Il regolamento prescrive inoltre l’istituzione di una funzione di controllo della conformità per monitorare la conformità del fornitore alla disciplina ed addebita ai fornitori di piattaforme online di dimensioni molto grandi e ai motori di ricerca online di dimensioni molto grandi un contributo annuale per le attività di vigilanza. Lo stesso regolamento incoraggia l’elaborazione di codici di condotta non solo per la pubblicità online, ma anche per l’accessibilità delle persone con disabilità.

IL DMA PER GARANTIRE MERCATI EQUI E CONTENDIBILI NELL’UE

Se ampie e variegate sono state le modifiche apportate nel corso della procedura legislativa alla proposta di DSA lanciata dalla Commissione, parimenti importanti appaiono i correttivi inseriti al DMA. Tralasciando gli aspetti relativi a competenze e governance, partendo dalla procedura di designazione dei gatekeeper, il testo approvato dal Parlamento prescrive all’impresa di comunicare alla Commissione il raggiungimento delle soglie rilevanti senza indugio e comunque entro 2 mesi e disciplina dettagliatamente la procedura nel caso in cui con la propria notifica, l’impresa fornisca argomentazioni sufficientemente fondate per dimostrare che, eccezionalmente, pur raggiungendo tutte le soglie, a causa delle circostanze relative al funzionamento del pertinente servizio di piattaforma di base, essa non soddisfa i requisiti elencati dal regolamento. Arricchiti e rafforzati gli obblighi in capo al gatekeeper chiamato a: a) non trattare, ai fini della fornitura di servizi pubblicitari online, i dati personali degli utenti finali che utilizzano servizi di terzi che si avvalgono di servizi di piattaforma di base del gatekeeper; b) non combinare dati personali provenienti dal pertinente servizio di piattaforma di base con dati personali provenienti da altri servizi di piattaforma di base o da eventuali ulteriori servizi forniti dal gatekeeper o con dati personali provenienti da servizi di terzi; c) non utilizzare in modo incrociato dati personali provenienti dal pertinente servizio di piattaforma di base in altri servizi forniti separatamente dal gatekeeper, compresi altri servizi di piattaforma di base, e viceversa; d) non far accedere con registrazione gli utenti finali ad altri servizi del gatekeeper al fine di combinare dati personali in mancanza di consenso dell’utente finale (con divieto, nel caso di diniego o revoca del consenso, di ripetere la richiesta di consenso per la stessa finalità più di una volta nell’arco di un anno; e) non impedire agli utenti commerciali di offrire gli stessi prodotti o servizi agli utenti finali attraverso servizi di intermediazione online di terzi o attraverso il proprio canale di vendita diretta online a prezzi o condizioni diversi da quelli offerti attraverso i servizi di intermediazione online del gatekeeper; f) consentire agli utenti commerciali, a titolo gratuito, di comunicare e promuovere offerte, anche a condizioni diverse, agli utenti finali acquisiti attraverso il proprio servizio di piattaforma di base o attraverso altri canali, e di stipulare contratti con tali utenti finali, a prescindere dal fatto che, a tal fine, essi si avvalgano dei servizi di piattaforma di base del gatekeeper; g) consentire agli utenti finali di accedere a contenuti, abbonamenti, componenti o altri elementi e di utilizzarli attraverso i suoi servizi di piattaforma di base avvalendosi dell’applicazione software di un utente commerciale, anche se tali utenti finali hanno acquistato tali elementi dall’utente commerciale in questione senza utilizzare i servizi di piattaforma di base del gatekeeper; h) non impedire o limitare, direttamente o indirettamente, la possibilità per gli utenti commerciali o gli utenti finali di sollevare questioni in materia di inosservanza del pertinente diritto dell’Unione o del diritto nazionale da parte del gatekeeper presso qualsiasi autorità pubblica competente, compresi gli organi giurisdizionali nazionali, per quanto riguarda le pratiche del gatekeeper; i) non imporre agli utenti finali di utilizzare, o agli utenti commerciali di utilizzare, offrire o essere interoperabili con un servizio di identificazione, un motore di rendering dei browser web o un servizio di pagamento, o servizi tecnici funzionali alla fornitura dei servizi di pagamento, quali i sistemi di pagamento per gli acquisti in-app, di tale gatekeeper nel contesto dei servizi forniti dagli utenti commerciali che si avvalgono dei servizi di piattaforma di base di tale gatekeeper. A ciò si aggiungono obblighi informativi su base giornaliera e a titolo gratuito, di cui il regolamento individua i contenuti, relativi a ogni annuncio pubblicitario pubblicato dall’inserzionista, a ogni annuncio pubblicitario che appare nello spazio pubblicitario dell’editore e gli ulteriori obblighi che potranno essere oggetto di ulteriori specifiche. Tra questi si segnala, perché è stato oggetto di un ampio dibattito visto l’impatto su sicurezza e modelli di business, l’obbligo per il gatekeeper di consentire anche a livello tecnico, l’installazione e l’uso effettivo di applicazioni software o di negozi di applicazioni software di terzi. Rispetto a tale previsione, in particolare, è stato opportunamente precisato l’utilizzo del sistema operativo del gatekeeper o l’interoperabilità con esso e prescritto a tali applicazioni software o negozi di applicazioni software con mezzi diversi dai pertinenti servizi di piattaforma di base di tale gatekeeper. Specifici e stringenti obblighi sono dettati in relazione all’interoperabilità dei servizi di comunicazione interpersonale indipendenti dal numero. Così come nel DSA, anche il DMA prescrive l’istituzione di una funzione di controllo della conformità.

CONCLUSIONI

Dopo due anni di discussione è giunta alle battute finali la procedura di adozione del Digital Services Package con il quale si supera il modello di partenza che inevitabilmente era costituito da poche regole, in favore di un nuovo ecosistema che con l’obiettivo di governare la complessità insita nella rapidità dell’innovazione digitale, si presenta come un quadro composto da molte previsioni, direttamente applicabili in tutti i paesi e, dunque, ispirate ad una logica di armonizzazione massima, adottate secondo una logica ex ante. Certamente l’esigenza di fondo e gli obiettivi perseguiti sono condivisibili: all’accresciuto ruolo delle piattaforme divenute cruciali per il vivere quotidiano di imprese, cittadini e PP.AA. non poteva infatti non accompagnarsi la fissazione di obblighi e responsabilità nuovi nel tentativo di fronteggiare i rischi, diffusi e spesso concreti, di violazioni dei diritti. Parimenti condivisibile è l’intenzione di superare le frammentazioni e assicurare un unico ecosistema normativo europeo – che assurga a modello globale – che certamente ha il pregio di favorire la certezza del diritto, garantire pari opportunità ai paesi e assicurare alle piattaforme una certa prevedibilità indispensabile per pianificare i propri investimenti nell’Unione. Alla luce di questi obiettivi ben si comprende la scelta di definire regole ex ante che tuttavia scontano, per natura, l’incapacità di essere sufficientemente flessibili ed agili da potersi rapidamente adattare alle evoluzioni che certamente verranno e che oggi nessuno può prevedere con sufficiente lucidità.

Al contempo non va sottovalutato l’impatto sulle imprese di una disciplina così pervasiva che impatta enormemente sul business di piattaforme e gatekeeper, imponendo loro di ripensare finanche le proprie strutture organizzative, assolvere numerosissimi e spesso onerosi obblighi, assumere importanti responsabilità. “Da grandi poteri derivano grandi responsabilità”, mai citazione è stata più adatta di questa nell’attuale momento storico che vede le piattaforme confermare il proprio ruolo da protagoniste, depositarie di enormi quantità di dati e strumenti indispensabili per la vita socio-economica di tutti noi.

La pubblicazione in Gazzetta arriverà in autunno dopo la pronuncia del Consiglio. Solo il passare del tempo e la concreta applicazione che imprese e istituzioni europee e nazionali daranno di DSA e DMA ci dirà se l’obiettivo sarà stato raggiunto e se l’UE sarà dunque riuscita, seppur con qualche ferita nel percorso, a definire una cornice normativa in grado di assicurare efficacemente il rispetto dei diritti e la contendibilità dei mercati senza ostacolare l’innovazione e la competitività del sistema europeo e ad assurgere, così come è accaduto in passato col GDPR, a modello globale.

Vicepresidente dell'Istituto per la Competitività (I-Com). Laureata in Giurisprudenza presso l’Università di Tor Vergata nel 2006 ha partecipato, nel 2009, al master di II Livello in “Antitrust e Regolazione dei Mercati” presso la facoltà di Economia della medesima università conseguendo il relativo titolo nel 2010, anno in cui ha conseguito l’abilitazione all’esercizio della professione forense.