DIGITAL SERVICE ACT: LET IT BE

È ormai trascorso del tempo da quando il Digital Services Act dell'UE (“DSA”) ha visto la luce. 

Già dall’agosto scorso avevamo avuto la possibilità di osservarei primi effetti del testo sulle bigtech, e più precisamente sui “Very Large Online Platforms” (VLOPs) e “Very Large Online Search Engines” (VLOSEs), in un crescendo di tensione creata da alcune comunicazioni della Commissione relative all’individuazione delle categorie ed all’avvio di procedimenti formali per presunta violazione della normativa (vedi X e il recentissimo TikTok). 

Come tutti sanno, però, dal 17 febbraio scorso il DSA è diventato la normativa di riferimento per qualsiasi intermediario online: sanzioni fino a un massimo del 6% del fatturato annuo globale e fino al 5% dei ricavi medi quotidiani per ogni giorno di ritardo nell'applicazione delle contromisure richieste. 

Se ve lo foste perso, niente paura. La pecora elettrica è qui per aiutarvi. 

Partendo dalle basi: l’ambito territoriale di applicazione.  

Il DSA replica, infatti, l’impostazione del GDPR risultando applicabile ai servizi intermediari offerti a destinatari il cui stabilimento si trovi nell'Unione Europea o che comunque si trovano nel territorio dell'UE, indipendentemente dalla sede degli intermediari che forniscono tali servizi.  

Passiamo adesso all’ambito di applicazione oggettivo. 

Come già noto dall’e-commerce directive (e da sua attuazione interna) per servizi intermediari si intende uno dei seguenti servizi della società dell’informazione: mere conduit, caching e hosting. D’altra parte, il comma 2 dell’articolo 2 del Regolamento, per individuare i destinatari del DSA utilizza una definizione in negativo, stabilendo come questo “non si applichi ai servizi che non sono servizi intermediari, né alle prescrizioni imposte in relazione a tali servizi, indipendentemente dal fatto che i servizi siano prestati facendo ricorso a servizi intermediari”.  

Trattiamo adesso i principali obblighi. 

Il DSA prevede responsabilità ed obblighi diversi a seconda del numero di utenti serviti ma anche della tipologia di servizio offerto.  

Cominciando dagli obblighi che accomunano tutti i fornitori, questi vanno da più generici obblighi di cooperazione con le autorità, a più specifici riguardanti: 

• l'istituzione di punti di contatto per le autorità e i destinatari, con possibilità di nomina di un rappresentante legale per i prestatori non stabiliti nell’UE;  
• fornire, nelle condizioni generali di servizio, informazioni chiare sulla moderazione dei contenuti e sulle procedure di reclamo; 
• pubblicare, quantomeno una volta l’anno, un report di trasparenza relativo alle attività di moderazione dei contenuti svolte.  

Al Capo III, seconda sezione, il DSA si riferisce invece ai prestatori di servizi di hosting – piattaforme online siete interpellate anche voi – per i quali si aggiungono obblighi relativi: 

• alla predisposizione di meccanismi che consentano agli utenti di presentare agevolmente segnalazioni di contenuti illegali sulla loro piattaforma e permettano di gestire debitamente le notifiche ricevute; 
• alla necessità di fornire una motivazione chiara e specifica ai destinatari sottoposti a restrizioni, ad esempio, a seguito della pubblicazione di contenuti ritenuti illegali (finalmente avremo spiegazioni quando vedremo contenuti del tutto innocui essere oscurati per ragioni sconosciute); 
• alla necessità di notificare sospetti reati contro la vita o l’incolumità delle persone alle autorità competenti. 

Particolare attenzione viene dedicata alle sole piattaforme online, nel Regolamento definite come un servizio di memorizzazione di informazioni che, su richiesta di un destinatario del servizio, memorizza e diffonde informazioni al pubblico […]. Queste sono infatti soggette a obblighi supplementari, come l'adozione di misure tecniche e organizzative per favorire le segnalazioni da parte di fonti affidabili, noti come "trusted flaggers". Inoltre, specifica sezione (4) è dedicata ai soli fornitori di piattaforme che si pongono come intermediarie tra consumatori e operatori commerciali nella conclusione di contratti a distanza, tra i cui obblighi troviamo quello di consentire l’uso del proprio servizio a fini di pubblicizzare o offrire prodotti o servizi da parte di operatori commerciali, solo se è garantita la tracciabilità di questi ultimi. In altre parole, il fornitore deve raccogliere una serie di informazioni (nomi legali, dati relativi al conto di pagamento, autocertificazioni, ecc.) che dovranno essere confermate con fonti accessibili. 

Ma chi vigila sul rispetto di tutti questi obblighi?  

Dei giganti dei VLOP e VLOSE si occupa la Commissione. Per i più “piccoli”, invece, viene istituito su base nazionale un Coordinatore dei servizi digitali (DSC) che, oltre a svolgere la propria attività di vigilanza e applicazione del DSA (tra cui l’individuazione dei sopra menzionati trusted flaggers), esercita funzioni di coordinamento con le altre autorità nazionali competenti. 

In Italia tale ruolo è stato affidato all’AGCOM, che dal 17 febbraio è così entrata a far parte dell’apposito comitato europeo di cui all’articolo 61 del Regolamento. Il Garante Privacy e ogni altra autorità nazionale, nell’ambito delle rispettive competenze, saranno cionondimeno coinvolte e assicureranno ad AGCOM la necessaria cooperazione per l’esercizio delle funzioni di coordinatore dei servizi digitali. 

Tirando le somme, se il DSA sarà un esperimento riuscito ce lo potrà dire ovviamente solo il tempo. Quello che è certo, è che gli obblighi di compliance richiesti sono effettivamente numerosi anche se, d’altra parte, diversi di questi hanno fini che molti di noi auspicano da sempre di vedere raggiunti, come: T&Cs più comprensibili, vietare dark patterns e targettizzare la pubblicità verso i minori.